USB Stick selektiv sperren

[JAIRBS]

Liebe Community,

ich habe gestern über ein Verfahren gehört wie man USB Sticks selektiv sperren kann je nach Client, an dem sie eingesteckt werden. Im Detail:

Ich kannte es bis jetzt nur so, dass man an Clients (hier konkret im Domänennetzwerk in einer Firma unter Windows 10) USB Sticks nur global entweder sperren oder erlauben kann. Maximal kannte ich noch die etwas exotischere Konfiguration, dass nur bestimmte Sticks an den Clients zugelassen werden konnten, die per Geräte-ID (?) identifiziert worden sind. Das hatte aber den Nachteil, dass man diese Sticks auch zu Hause anschließen konnte, im theoretischen Fall Schadsoftware draufspielen kann und der Stick weiterhin am Client akzeptiert wird.

Gestern habe ich von einer sehr interessanten Konfiguration erfahren, die ich mir nicht ergooglen kann, welches u.A. eventuell daran liegt, dass ich die falschen Vokabeln benutze innerhalb meiner Suchanfragen. Mit den Begriffen "USB Wächter" o.Ä. komme ich da jedenfalls nicht weiter, da dies zwar grob, aber nicht genau in die gesuchte Richtung geht.
Das Szenario sieht so aus, dass der Admin USB Sticks manuell von seinem PC aus für alle oder auch nur bestimmte Clients in der Firma autorisieren kann. Jetzt kommt aber das Interessante: Wird der Stick in einen PC eingesteckt, z.B. der private Laptop eines Mitarbeiters etc., so sperrt sich der USB Stick, weil er erkennt, dass er an einem nicht autorisierten Gerät steckt. Der Stick wird dann infolge dessen auch nicht mehr an den vorher verifizierten Clients erkannt, sondern ist komplett gesperrt und muss händisch wieder vom Admin freigegeben werden. So soll wohl kontrolliert werden, dass die Sticks vorschriftsmäßig nur an den vorgegebenen Geräten verwendet werden.

Weiß jemand von Euch wie man sowas realisiert? Geht sowas über die GPO von Windows, sind das Features von irgendwelchen Endpoint Security Suiten oder ist das gar Drittanbieter-Software, also solche USB Guards oder Software von Stickherstellern selbst?

Hier geht's nicht darum so etwas produktiv zu bewerkstelligen, sondern mich interessiert lediglich die grobe Theorie wie man diesen Mechanismus in die Tat umsetzt.

Grüße,

frizzmaster

 

[Amaoto]

Das geht so nicht (jedenfalls nicht mit herkömmlichen USB-Sticks), aber man den Datenträger natürlich verschlüsseln, so dass er an fremden Rechnern ohne Formatierung nicht benutzbar ist.

 

[Rickmer]

Du könntest zumindest über OUs festlegen, welche Clients USB Sticks auslesen dürfen und welche nicht... aber das ist ja nicht ganz was du suchst.



Les dir das mal durch: https://serverfault.com/questions/6...-bitlocker-to-go-usb-stick-on-domain-computer

Ein Bitlocker-verschlüsselter USB der sich in der Domäne automatisch öffnet wäre etwa das was du suchst?

Laut demhier sogar spezifischen User-Gruppen zuweisbar

• Active Directory Account or Group. A key can be assigned to an Active Directory user, group, or computer account and when those credentials are presented the drive will be unlocked. Using this key protector requires using manage-mde or the Windows PowerShell cmdlets for BitLocker to manually add the ADAccountorGroup key protector. For more information on the cmdlet, see Add-BitLockerKeyProtector. For more information on the command-line syntax, see Manage-bde: protectors.

edit: Noch relevant: https://kb.wisc.edu/cads/page.php?id=72670

 

[SpamBot]

Das geht so nicht (jedenfalls nicht mit herkömmlichen USB-Sticks)

Naja für Firmen sind solche Sticks schon herkömmlich, vermutlich bei vielen sogar verpflichtend. Unser verschlüsselten Firmen Sticks haben nur eine kleine sichtbare Partition mit der Exe, auch von daheim kannst du da nicht einfach den ganzen Stick formatieren und benutzen.

 

[smart-]

Also da gibt es alles mögliche an Varianten und ich kann in dem Fall auch nur spekulieren, da ich das konkrete Netzwerk nicht vor mir haben.
Eine einfache Variante wäre allerdings, dass der Stick verschlüsselt ist und sich im firmeninternen Netzwerk automatisch entsperrt. Wenn ein anderes Netzwerk / Gerät angeschlossen wird, dann wird der Stick blockiert und kann auch nicht mehr auf intern zugreifen. Das ist natürlich sehr gut durchdacht.
Realisierbar ist das durch alles mögliche, meist eine übergeordnete Verwaltungssoftware der entsprechenden Domäne. Innerhalb dieser sind alle zugelassenen Geräte erfasst. Das ist meistens sogar relativ einfach gehandhabt, das wird wohl unter externe Devices oder dergleichen laufen, die man vermutlich ähnlich wie bei Clients in Black und Whitelists eintragen kann. Die Frage ist jetzt anhand welcher Parameter das gemacht wird, wenn es nur die MAC Ist, dann ist das leicht zu umgehen. Interessant wäre hierbei zu wissen, um welche Sticks es sich handelt. Wenn es handelsübliche sind und theoretisch jeder genommen werden kann, dürfte das relativ leicht knackbar sein. Es gibt im Top-Secret Bereich aber auch sehr speziell angepasste Sticks.
Interessant wäre es die Sperre insofern zu umgehen, als das man versucht eine Freigabe zu simulieren. Wenn man weiß anhand welcher Parameter die Autorisierung erfolgt, ist das ein Kinderspiel. Im Prinzip findet man das recht fix heraus. Also es ist eine interessante Sicherheitsmaßnahme, allerdings auch relativ einfach wieder aushebelbar, insofern das nicht gerade wie beim Geheimdienst noch zusätzlich abgesichert ist.
Ich habe hier jetzt aber nur eine Variante geschildert, die möglich ist. Ob das im geschilderten Netzwerk genau so umgesetzt wurde, kann ich von hier aus nicht sagen.
Mal noch vereinfachter dargestellt ist das genau das gleiche wie wenn ich mit einem fremden Client versuche mich an ein internes Netzwerk einer Firma anzustöpseln. Ich kann mich da von außen nicht einfach so an einer Domäne anmelden und bekomme auch keinen Zugriff auf freigegebene Laufwerke, etc.. zumindest nicht einfach so. Ähnlich ist das eben bei den Sticks, die nur innerhalb dieses Öko-Systems funktionieren und sofort merken wenn sie nicht innerhalb dieses Netzwerks sind.