Control USB

Hola, Zidac:

Jarl!!. No pides nada, colega
Respondiendo a tu consulta, señalar que puedes tener un mejor control de
los dispositivos por GPO en sistema MS w2k8 server, ya que para éstos lares
hay que reconocerles a los chicos de Redmon una mejora sustancial. En los
sistemas MS w2k3, desgraciadamente necesitarás hacer uso de aplicativos y
herramientas de terceros para lo que señalas, ya que el sistema "per se", me
temo que no puede hacer exactamente lo que señalas, aun haciendo uso del
EFS, RFS, DFS y/o gestión de archivos...

Personalmente, te recomiendo haga uso de un antivirus centralizado para la
red local (TrendMicro ServerProtect 8.5 era mi favorito, pero no reconoce a
los clientes MS wXP, por lo que te sugiero pases al TrenMicro OfficeScan
server,
que viene a ser la "actualización" del mismo + Control Manager). Más info:

· TrendMicro OfficeScan antivirus centralizado:
http://us.trendmicro.com/us/product...fficescan/

... Y para el resto de funciones, sólo se me ocurre que hagas uso de las GPO
a nivel de dominio, con unas dosis extra de privilegios reducidos de usuario,
todo ello aderezado con reglas WMI para impedir la ejecución de cualquier
aplicativo que no sean los que tú especifiques, pero ya sabes: te arriesgas a
que los usuarios te odien de por vida...
·
Gracias por leerte mi charla :-D
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech


"ZIDAC" wrote:

Hola a todos,

Tengo en mi empresa unos 1000 clientes con XPpro y dominio 2003, en algunos
equipos tengo (a través de GPO) bloqueado los USB, es decir, si un usuario
introduce cualquier dispositivo de almacenamiento no es detectado por el
sistema.

Ahora quiero controlar algunos aspectos como:

1) Bloquear la ejecución de .exe .vbs y similares desde un USB
2) Bloquear acceso a USB si está infectado por virus
3) Bloquer el traspaso de .exe, .vbs y similares desde el USB al PC

Es posible hacer esto ?
Qué alternativas existen ? Tanto propietarias como de terceros
Cómo controláis los USB ?

Gracias,
ZIDAC

cuanto me queda por aprender madre de dios...
Yo lo que he echo ha sido, desabilitar el autorun de las maquinas, y
ROGARLEs que antes de entrar al pendrive lo examinen, me han dicho de una
tool de mx-one que todo pendrive que mete lo analiza POR COJONEs.
Uso de antivirus el gratuito avira antivir.
"Desiderio Ondo." escribió en el
mensaje news:

Hola, Zidac:

Jarl!!. No pides nada, colega
Respondiendo a tu consulta, señalar que puedes tener un mejor control de
los dispositivos por GPO en sistema MS w2k8 server, ya que para éstos
lares
hay que reconocerles a los chicos de Redmon una mejora sustancial. En los
sistemas MS w2k3, desgraciadamente necesitarás hacer uso de aplicativos y
herramientas de terceros para lo que señalas, ya que el sistema "per se",
me
temo que no puede hacer exactamente lo que señalas, aun haciendo uso del
EFS, RFS, DFS y/o gestión de archivos...

Personalmente, te recomiendo haga uso de un antivirus centralizado para la
red local (TrendMicro ServerProtect 8.5 era mi favorito, pero no reconoce
a
los clientes MS wXP, por lo que te sugiero pases al TrenMicro OfficeScan
server,
que viene a ser la "actualización" del mismo + Control Manager). Más info:

· TrendMicro OfficeScan antivirus centralizado:
http://us.trendmicro.com/us/product...fficescan/

... Y para el resto de funciones, sólo se me ocurre que hagas uso de las
GPO
a nivel de dominio, con unas dosis extra de privilegios reducidos de
usuario,
todo ello aderezado con reglas WMI para impedir la ejecución de cualquier
aplicativo que no sean los que tú especifiques, pero ya sabes: te
arriesgas a
que los usuarios te odien de por vida...
·
Gracias por leerte mi charla :-D
==> Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech


"ZIDAC" wrote:

Hola a todos,

Tengo en mi empresa unos 1000 clientes con XPpro y dominio 2003, en
algunos
equipos tengo (a través de GPO) bloqueado los USB, es decir, si un
usuario
introduce cualquier dispositivo de almacenamiento no es detectado por el
sistema.

Ahora quiero controlar algunos aspectos como:

1) Bloquear la ejecución de .exe .vbs y similares desde un USB
2) Bloquear acceso a USB si está infectado por virus
3) Bloquer el traspaso de .exe, .vbs y similares desde el USB al PC

Es posible hacer esto ?
Qué alternativas existen ? Tanto propietarias como de terceros
Cómo controláis los USB ?

Gracias,
ZIDAC

Hola, Askatuak:

Teniendo en cuenta que hasta los profesores universitarios tienen MUCHO
que aprender, imagínate cualquiera de nosotros...

Ahora bien, personalmente considero que la dependencia de la "buena fe"
de los usuarios es cuanto menos, arriesgada: si pudieran sacarle provecho
a ése pequeño detalle, no dudo un ápice a que lo harían al instante... De ahí
que siempre recomiende "obligarles" a que se subyuguen a las políticas de
empresa, NO a tu persona en particular, ya que entonces comprometes el
funcionamiento de tu entorno LAN a tus relaciones con ellos...

Mi propuesta: Impedir por GPO (tanto a nivel de dominio como en local) la
ejecución/acceso a unidades que no sean estrictamente habilitadas (es decir,
quitamos disquetteras, CD/DVD, lectores SSD y unidades por USB. Si puede
ser tambien por BIOS, mejor que mejor), habilitar un proxy con reglas 24x7
que impidan en tráfico de ficheros NO CERTIFICADOS mayores de 5Mb (por
lo que de golpe nos quitamops todos los .MP3, .AVI, .WAV's, .PPTSx's no
corporativos), un antivirus centralizado con agentes hasta en los PDA's
(protegidos por password Kerberos, por supuesto) que analicen los posibles
archivos que se hayan "colado" del ForeFront... Todo ello aderezado con unas
dosis de cuotas de disco de 100Mb para TODOS, perfiles obligatorios con
carpetas re-dirigidas y grupos de usuarios con inicios de sesión restringidos
por fase horaria.

Ah! no puedo olvidarme de la "Ingeniería social", que tan buenos resultados
suele dar: falsos rumores de passwords de administración para localizar a los
aprendices de "crackers" por auditorías, SMBA cada X tiempo (no periódico)
para comprobar los intentos de modificación de los sistemas, y una completa
restauración de los mismos por imágenes de SYSPREP ante cada incidencia
cuya resolución supere las 2 horas desde su notificación.

Como decía previamente, la recompensa es bastante dispar: los usuarios te
odian, estás relativamente demonizado, las becarias no quieren ligar
contigo...
pero compensa regresar a casa todos los días sabiendo que hasta cierto punto,
es imposible que "alguien" en tu red haga algo sin que lo sepas

... Y créeme, Askatuak... tanto usuarios, Administradores y MVP's ya se
encargan
de demostrarme que aún me falta mucho por aprender, al igual que tú
... Pero para éso estamos en éste foro, no?
·
Gracias por leerte mi charla :-D
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech


"askatuak" wrote:

cuanto me queda por aprender madre de dios...
Yo lo que he echo ha sido, desabilitar el autorun de las maquinas, y
ROGARLEs que antes de entrar al pendrive lo examinen, me han dicho de una
tool de mx-one que todo pendrive que mete lo analiza POR COJONEs.
Uso de antivirus el gratuito avira antivir.
"Desiderio Ondo." escribió en el
mensaje news:
> Hola, Zidac:
>
> Jarl!!. No pides nada, colega
> Respondiendo a tu consulta, señalar que puedes tener un mejor control de
> los dispositivos por GPO en sistema MS w2k8 server, ya que para éstos
> lares
> hay que reconocerles a los chicos de Redmon una mejora sustancial. En los
> sistemas MS w2k3, desgraciadamente necesitarás hacer uso de aplicativos y
> herramientas de terceros para lo que señalas, ya que el sistema "per se",
> me
> temo que no puede hacer exactamente lo que señalas, aun haciendo uso del
> EFS, RFS, DFS y/o gestión de archivos...
>
> Personalmente, te recomiendo haga uso de un antivirus centralizado para la
> red local (TrendMicro ServerProtect 8.5 era mi favorito, pero no reconoce
> a
> los clientes MS wXP, por lo que te sugiero pases al TrenMicro OfficeScan
> server,
> que viene a ser la "actualización" del mismo + Control Manager). Más info:
>
> · TrendMicro OfficeScan antivirus centralizado:
> http://us.trendmicro.com/us/product...fficescan/
>
> ... Y para el resto de funciones, sólo se me ocurre que hagas uso de las
> GPO
> a nivel de dominio, con unas dosis extra de privilegios reducidos de
> usuario,
> todo ello aderezado con reglas WMI para impedir la ejecución de cualquier
> aplicativo que no sean los que tú especifiques, pero ya sabes: te
> arriesgas a
> que los usuarios te odien de por vida...
> ·
> Gracias por leerte mi charla :-D
> ==> > Desiderio Ondo | Ing. en Informática.
> Certificado ITIL | Certificado MCSE
> http://pantuflo.gsyc.es/~desitech
>
>
> "ZIDAC" wrote:
>
>> Hola a todos,
>>
>> Tengo en mi empresa unos 1000 clientes con XPpro y dominio 2003, en
>> algunos
>> equipos tengo (a través de GPO) bloqueado los USB, es decir, si un
>> usuario
>> introduce cualquier dispositivo de almacenamiento no es detectado por el
>> sistema.
>>
>> Ahora quiero controlar algunos aspectos como:
>>
>> 1) Bloquear la ejecución de .exe .vbs y similares desde un USB
>> 2) Bloquear acceso a USB si está infectado por virus
>> 3) Bloquer el traspaso de .exe, .vbs y similares desde el USB al PC
>>
>> Es posible hacer esto ?
>> Qué alternativas existen ? Tanto propietarias como de terceros
>> Cómo controláis los USB ?
>>
>> Gracias,
>> ZIDAC


.

que sepas que me lo he leido de cabo a rabo...
Alfinal les he deshabilitado, el autorun de los medios extraibles, y les he
puesto el avira antivir, y les pondre el mxone, para los usb,con un archivo
bat que lo actualice cada vez que inicien sesion, lo malo de esta tool es
que no consigo que me haga el analisis exshaustivo cada vez. No obstante en
cuanto todos los user tengan correo web (¿sabeis de alguna empresa que de un
buen precio/servicio por correo web?), y una carpeta en red PERSONAL, ya no
habra disculpa para los usb peeero. El cliente siempre manda, pero tendra
que PAGAR un buen antivirus.
"Desiderio Ondo." escribió en el
mensaje news:

Hola, Askatuak:

Teniendo en cuenta que hasta los profesores universitarios tienen MUCHO
que aprender, imagínate cualquiera de nosotros...

Ahora bien, personalmente considero que la dependencia de la "buena fe"
de los usuarios es cuanto menos, arriesgada: si pudieran sacarle provecho
a ése pequeño detalle, no dudo un ápice a que lo harían al instante... De
ahí
que siempre recomiende "obligarles" a que se subyuguen a las políticas de
empresa, NO a tu persona en particular, ya que entonces comprometes el
funcionamiento de tu entorno LAN a tus relaciones con ellos...

Mi propuesta: Impedir por GPO (tanto a nivel de dominio como en local) la
ejecución/acceso a unidades que no sean estrictamente habilitadas (es
decir,
quitamos disquetteras, CD/DVD, lectores SSD y unidades por USB. Si puede
ser tambien por BIOS, mejor que mejor), habilitar un proxy con reglas 24x7
que impidan en tráfico de ficheros NO CERTIFICADOS mayores de 5Mb (por
lo que de golpe nos quitamops todos los .MP3, .AVI, .WAV's, .PPTSx's no
corporativos), un antivirus centralizado con agentes hasta en los PDA's
(protegidos por password Kerberos, por supuesto) que analicen los posibles
archivos que se hayan "colado" del ForeFront... Todo ello aderezado con
unas
dosis de cuotas de disco de 100Mb para TODOS, perfiles obligatorios con
carpetas re-dirigidas y grupos de usuarios con inicios de sesión
restringidos
por fase horaria.

Ah! no puedo olvidarme de la "Ingeniería social", que tan buenos
resultados
suele dar: falsos rumores de passwords de administración para localizar a
los
aprendices de "crackers" por auditorías, SMBA cada X tiempo (no periódico)
para comprobar los intentos de modificación de los sistemas, y una
completa
restauración de los mismos por imágenes de SYSPREP ante cada incidencia
cuya resolución supere las 2 horas desde su notificación.

Como decía previamente, la recompensa es bastante dispar: los usuarios te
odian, estás relativamente demonizado, las becarias no quieren ligar
contigo...
pero compensa regresar a casa todos los días sabiendo que hasta cierto
punto,
es imposible que "alguien" en tu red haga algo sin que lo sepas

... Y créeme, Askatuak... tanto usuarios, Administradores y MVP's ya se
encargan
de demostrarme que aún me falta mucho por aprender, al igual que tú
... Pero para éso estamos en éste foro, no?
·
Gracias por leerte mi charla :-D
==> Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech


"askatuak" wrote:

cuanto me queda por aprender madre de dios...
Yo lo que he echo ha sido, desabilitar el autorun de las maquinas, y
ROGARLEs que antes de entrar al pendrive lo examinen, me han dicho de una
tool de mx-one que todo pendrive que mete lo analiza POR COJONEs.
Uso de antivirus el gratuito avira antivir.
"Desiderio Ondo." escribió en
el
mensaje news:
> Hola, Zidac:
>
> Jarl!!. No pides nada, colega
> Respondiendo a tu consulta, señalar que puedes tener un mejor control
> de
> los dispositivos por GPO en sistema MS w2k8 server, ya que para éstos
> lares
> hay que reconocerles a los chicos de Redmon una mejora sustancial. En
> los
> sistemas MS w2k3, desgraciadamente necesitarás hacer uso de aplicativos
> y
> herramientas de terceros para lo que señalas, ya que el sistema "per
> se",
> me
> temo que no puede hacer exactamente lo que señalas, aun haciendo uso
> del
> EFS, RFS, DFS y/o gestión de archivos...
>
> Personalmente, te recomiendo haga uso de un antivirus centralizado para
> la
> red local (TrendMicro ServerProtect 8.5 era mi favorito, pero no
> reconoce
> a
> los clientes MS wXP, por lo que te sugiero pases al TrenMicro
> OfficeScan
> server,
> que viene a ser la "actualización" del mismo + Control Manager). Más
> info:
>
> · TrendMicro OfficeScan antivirus centralizado:
> http://us.trendmicro.com/us/product...fficescan/
>
> ... Y para el resto de funciones, sólo se me ocurre que hagas uso de
> las
> GPO
> a nivel de dominio, con unas dosis extra de privilegios reducidos de
> usuario,
> todo ello aderezado con reglas WMI para impedir la ejecución de
> cualquier
> aplicativo que no sean los que tú especifiques, pero ya sabes: te
> arriesgas a
> que los usuarios te odien de por vida...
> ·
> Gracias por leerte mi charla :-D
> ==>> > Desiderio Ondo | Ing. en Informática.
> Certificado ITIL | Certificado MCSE
> http://pantuflo.gsyc.es/~desitech
>
>
> "ZIDAC" wrote:
>
>> Hola a todos,
>>
>> Tengo en mi empresa unos 1000 clientes con XPpro y dominio 2003, en
>> algunos
>> equipos tengo (a través de GPO) bloqueado los USB, es decir, si un
>> usuario
>> introduce cualquier dispositivo de almacenamiento no es detectado por
>> el
>> sistema.
>>
>> Ahora quiero controlar algunos aspectos como:
>>
>> 1) Bloquear la ejecución de .exe .vbs y similares desde un USB
>> 2) Bloquear acceso a USB si está infectado por virus
>> 3) Bloquer el traspaso de .exe, .vbs y similares desde el USB al PC
>>
>> Es posible hacer esto ?
>> Qué alternativas existen ? Tanto propietarias como de terceros
>> Cómo controláis los USB ?
>>
>> Gracias,
>> ZIDAC


.

Perdón que me interponga en su interesante comentario.

Yo tengo implementado sólo prohibir el autorun, tan sólo con eso, mi
estadísticas de infección disminuyeron un 90%, además tengo antivirus en el
Firewall Perimetral, y en los servidores de correo, archivos y equipos, en
los equipos y archivos también tengo el Avira Proffessional v.9.

La peor vulnerabilidad en cualquier sistema, es el mismo usuario, lo comento
porque aunque tengas unidades compartidas por web, aun así el usuario
siempre encuentra forma de vulnerar tu seguridad y peor si eres parte de una
institución educativa, y créanme, los más analfabetas en cuestiones de
informática son los profesores.

Saludos.

"askatuak" escribió en el mensaje de
noticias:uB$

que sepas que me lo he leido de cabo a rabo...
Alfinal les he deshabilitado, el autorun de los medios extraibles, y les
he puesto el avira antivir, y les pondre el mxone, para los usb,con un
archivo bat que lo actualice cada vez que inicien sesion, lo malo de esta
tool es que no consigo que me haga el analisis exshaustivo cada vez. No
obstante en cuanto todos los user tengan correo web (¿sabeis de alguna
empresa que de un buen precio/servicio por correo web?), y una carpeta en
red PERSONAL, ya no habra disculpa para los usb peeero. El cliente siempre
manda, pero tendra que PAGAR un buen antivirus.
"Desiderio Ondo." escribió en el
mensaje news:

Hola, Askatuak:

Teniendo en cuenta que hasta los profesores universitarios tienen MUCHO
que aprender, imagínate cualquiera de nosotros...

Ahora bien, personalmente considero que la dependencia de la "buena fe"
de los usuarios es cuanto menos, arriesgada: si pudieran sacarle provecho
a ése pequeño detalle, no dudo un ápice a que lo harían al instante... De
ahí
que siempre recomiende "obligarles" a que se subyuguen a las políticas de
empresa, NO a tu persona en particular, ya que entonces comprometes el
funcionamiento de tu entorno LAN a tus relaciones con ellos...

Mi propuesta: Impedir por GPO (tanto a nivel de dominio como en local) la
ejecución/acceso a unidades que no sean estrictamente habilitadas (es
decir,
quitamos disquetteras, CD/DVD, lectores SSD y unidades por USB. Si puede
ser tambien por BIOS, mejor que mejor), habilitar un proxy con reglas
24x7
que impidan en tráfico de ficheros NO CERTIFICADOS mayores de 5Mb (por
lo que de golpe nos quitamops todos los .MP3, .AVI, .WAV's, .PPTSx's no
corporativos), un antivirus centralizado con agentes hasta en los PDA's
(protegidos por password Kerberos, por supuesto) que analicen los
posibles
archivos que se hayan "colado" del ForeFront... Todo ello aderezado con
unas
dosis de cuotas de disco de 100Mb para TODOS, perfiles obligatorios con
carpetas re-dirigidas y grupos de usuarios con inicios de sesión
restringidos
por fase horaria.

Ah! no puedo olvidarme de la "Ingeniería social", que tan buenos
resultados
suele dar: falsos rumores de passwords de administración para localizar a
los
aprendices de "crackers" por auditorías, SMBA cada X tiempo (no
periódico)
para comprobar los intentos de modificación de los sistemas, y una
completa
restauración de los mismos por imágenes de SYSPREP ante cada incidencia
cuya resolución supere las 2 horas desde su notificación.

Como decía previamente, la recompensa es bastante dispar: los usuarios te
odian, estás relativamente demonizado, las becarias no quieren ligar
contigo...
pero compensa regresar a casa todos los días sabiendo que hasta cierto
punto,
es imposible que "alguien" en tu red haga algo sin que lo sepas

... Y créeme, Askatuak... tanto usuarios, Administradores y MVP's ya se
encargan
de demostrarme que aún me falta mucho por aprender, al igual que tú
... Pero para éso estamos en éste foro, no?
·
Gracias por leerte mi charla :-D
==>> Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech


"askatuak" wrote:

cuanto me queda por aprender madre de dios...
Yo lo que he echo ha sido, desabilitar el autorun de las maquinas, y
ROGARLEs que antes de entrar al pendrive lo examinen, me han dicho de
una
tool de mx-one que todo pendrive que mete lo analiza POR COJONEs.
Uso de antivirus el gratuito avira antivir.
"Desiderio Ondo." escribió en
el
mensaje news:
> Hola, Zidac:
>
> Jarl!!. No pides nada, colega
> Respondiendo a tu consulta, señalar que puedes tener un mejor control
> de
> los dispositivos por GPO en sistema MS w2k8 server, ya que para éstos
> lares
> hay que reconocerles a los chicos de Redmon una mejora sustancial. En
> los
> sistemas MS w2k3, desgraciadamente necesitarás hacer uso de
> aplicativos y
> herramientas de terceros para lo que señalas, ya que el sistema "per
> se",
> me
> temo que no puede hacer exactamente lo que señalas, aun haciendo uso
> del
> EFS, RFS, DFS y/o gestión de archivos...
>
> Personalmente, te recomiendo haga uso de un antivirus centralizado
> para la
> red local (TrendMicro ServerProtect 8.5 era mi favorito, pero no
> reconoce
> a
> los clientes MS wXP, por lo que te sugiero pases al TrenMicro
> OfficeScan
> server,
> que viene a ser la "actualización" del mismo + Control Manager). Más
> info:
>
> · TrendMicro OfficeScan antivirus centralizado:
> http://us.trendmicro.com/us/product...fficescan/
>
> ... Y para el resto de funciones, sólo se me ocurre que hagas uso de
> las
> GPO
> a nivel de dominio, con unas dosis extra de privilegios reducidos de
> usuario,
> todo ello aderezado con reglas WMI para impedir la ejecución de
> cualquier
> aplicativo que no sean los que tú especifiques, pero ya sabes: te
> arriesgas a
> que los usuarios te odien de por vida...
> ·
> Gracias por leerte mi charla :-D
> ==>>> > Desiderio Ondo | Ing. en Informática.
> Certificado ITIL | Certificado MCSE
> http://pantuflo.gsyc.es/~desitech
>
>
> "ZIDAC" wrote:
>
>> Hola a todos,
>>
>> Tengo en mi empresa unos 1000 clientes con XPpro y dominio 2003, en
>> algunos
>> equipos tengo (a través de GPO) bloqueado los USB, es decir, si un
>> usuario
>> introduce cualquier dispositivo de almacenamiento no es detectado por
>> el
>> sistema.
>>
>> Ahora quiero controlar algunos aspectos como:
>>
>> 1) Bloquear la ejecución de .exe .vbs y similares desde un USB
>> 2) Bloquear acceso a USB si está infectado por virus
>> 3) Bloquer el traspaso de .exe, .vbs y similares desde el USB al PC
>>
>> Es posible hacer esto ?
>> Qué alternativas existen ? Tanto propietarias como de terceros
>> Cómo controláis los USB ?
>>
>> Gracias,
>> ZIDAC


.