Idegen pendrive védelem

 ( Dyl4n | 2017. augusztus 21., hétfő - 11:44 )

Sziasztok,

Adott egy vidéki kisbolt, ahol vállalnak fénymásolást, nyomtatást is, kiegészítő szolgáltatásként.
A boltban 5 db Win 7-el telepített gép van, hálózatban.
Nemrég vettem kicsit kezelésbe az IT-s dolgokat, és felmerült bennem, hogy nem túl jó ötlet, hogy vadidegenek behoznak mindenféle pendrive-on doc, pdf állományokat, és kérik, hogy nyomtassák ki ezeket, merthogy akármilyen vírus is bejöhet így a gépre.
A kérdésem az, hogy ti hogyan védekeznétek az esetleges kártékony programok ellen?
Egyrészt van vírusirtó a gépeken (Avast), másrészt senki sem rendszergazdai joggal dolgozik, hanem normál userként.
Van arra valamilyen mód, hogy az usb-s eszközök valamilyen sandbox-ban dolgozzanak?
A .doc fájlokkal pedig további gondom, hogy nem tudom őket nyomtatni, csak ha engedélyezem a szerkesztést (megbízhatónak titulálva a fájlt, amiről semmit nem tudok).

Szívesen venném a javaslatokat!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Radix reload (vagy utódja) másfajta megközelítéshez hasznos lehet.

1. Linuxról nyomtatod :) Vagy file formátumot konvertálsz itt, és csak úgy kerül Win-es gépre.
2. Több motort használó AV.

Linuxról azért necces lenne, tudomásom szerint a LO-->MSO átjárhatóság még mindig nem 100%-os, a vásárlót pedig nem fogja érdekelni, hogy mennyivel jobb így a boltosnak, ha közben az ő doksija lett hibásan nyomtatva.

Ami azt illeti, az MSO --> MSO átjárhatóság sem 100%-os. :)

+1

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

Sokszor még - látszólag - azonos verziók esetén sem.

A több motort használó AV-ban az a jó, hogy így minimum megduplázódik a kihasználható sérülékenységek száma. :)

eldobhato vm-ben nyitod meg a cuccot. (pl snapsnotolva van a win, aztan doc/pdf megnyitas utan visszaallsz arra)

aztan persze meg valami tuzfal se art ami csak a nyomtatos gepre enged elerest.

nem ismerem de talan jo lehet a qubes os neked erre.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A Qubes OS valóban jó erre.
Ott tényleg el lehet az USB eszközöket szeparálni és/vagy külön VM-hez hozzáadni,
meg eldobható VM-eket használni a nyomtatási feladatokra.

Azonban ahol eddig 5 windows7 wolt a full IT, ott elég nehéz elképzelni hogy átállnak Qubes OS-re.
De ha mégis ez az irány, akkor szívesen segítek.

--
zrubi.hu

Köszi a tippet, utána nézek ennek a Qubes OS-nek kicsit jobban.
A nyomtató amúgy hálózaton van, így elvileg ha támogatott linux alatt, akkor akár onnan is lehetne nyomtatni.

Most hirtelen egy dual boot jutott eszembe (Win/Linux választással), bár ez a PC újraindítását igényelné, aminek nem biztos, hogy örülnének.

A simán csak Linux alól nyomtatás csak látszólag segít rajtad, mert:
- vírosok ott is vannak - bár tény, hogy egyelőre nagyságrenddel kevesebb.
- új problémád is lesz: a legújabb office izében létrehozott csilivili .docx izék nem úgy fognak kinézni, és kinyomtatódni Open/Libre Office-ból, mint ahogy a kedves vevő elképzelte/megalkotta otthon.

Arról nem is beszélve hogy a "Jolikanéni" a boltban majd mit fog szólni a "váltáshoz".
És ez utóbbi Qubes esetén hatványozottan lenne érvényes.

--
zrubi.hu

mondjuk 2 különböző windows ill office verzió között sem 100% az egyezés... ha jót akarunk PDF-t használunk :-)

Beágyazott fontokkal. :-)

Ha nyomdaba akarsz adni barmit, akkor "nyomdai pdf"-ben (PDF/X-1a) kell leadnod az anyagot. Ez jo par dolgot tartalmaz, tobbek kozott a fontok beagyazasat is (de csak a doksiban valoban hasznalt karaktereket. nice.).

De meg meg igy is elofordulnak kulonbsegek a kiadvanyszerkeszto altal renderelt kep, a pdf nezo progi altal mutatott es a nyomdai rendszer altal kikalkulalt latvany kozott: mi arra jutottunk jo par eve a nyomdaval, ahova adogattunk le anyagokat, hogy inkabb kapcsoljuk be a "szovegek gorbeve alakitasa" export opciot a kiadvanyszerkesztoben (Adobe InDesign). Ez vektoros grafikava alakit minden egyes karaktert, ugyhogy utana mar nincs beagyazott font. Meg egy marek nagyfelbontasu kep es kesz is a "hoppacska, 4 gigas pdf lett ez a szaz oldal". :)

"a legújabb office izében létrehozott csilivili .docx izék nem úgy fognak kinézni, és kinyomtatódni Open/Libre Office-ból, mint ahogy a kedves vevő elképzelte/megalkotta otthon"

Erre azt szokták okosok mondani, hogy csak PDF-ben garantált ugyanolyan nyomat a papíron mint amilyen a monitoron látszik.
--

Hát nem.
Linuxon is van wps office. Abba minden jól nyílik meg.
Viszont az odt/odf et nem támogatja. Arra meg felrak egy libre-t.
Nincs olyan doksi ami nem nyílna meg jól és maradhat a linux.

pch
--
http://www.buster.hu "A" számlázó
--

http://www.copygeneral.hu/szakdolgozat-diploma-nyomtatas-kotes-budapest

"A PDF-re szavazunk: a nyomtatásra szánt dokumentumot ajánlatos PDF fájlként elmenteni, más fájltípusoknál ugyanis előfordulhat, hogy a szerkesztett szöveg elcsúszik, ami jelentős utómunkát és többletköltséget eredményezhet."
-----------------------
https://www.copyguru.hu/diplomakotes.php

"Microsoft Word esetében: "Fájl->Mentés Másként" és a fájl formátumát a név alatti leugró sávban állítsuk át PDF-re.
• Azért fontos, hogy a kinyomtatandó - főként szöveges, vagy esetleg kép (pl. tervrajz) - anyagot PDF-be konvertáld, mert így biztosan garantálható a tökéletesen elkészülő nyomat!"
-----------------------

Ez virágnyelven azt jelenti h. nem vállalnak érte felelősséget, ha nem PDF.

--

De ez természetes, hiszen a szövegszerkesztő nem kiadványszerkesztő. A pdf meg nem dokumentum struktúrát tárol, hanem renderelési információkat.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Office használók ezt nem tudják, ők márpedig kiadványt szerkesztenek. Sehol se érdekli őket hogy hogyan kell jó dokumentumot szerkeszteni. Lényeg hogy amit napok alatt összeizzadtak szóközös igazítással, azt most azonnal nyomtassák ki, hiszen ezért fizet. De azért olyan sokat nem akar. :D
..PDf exportálással meg végkép nem akar szórakozni az plusz fél óra neki.

összeizzadtak szóközös igazítással

Jaj, ne is mondd! :(


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ha nem win az OS akkor a doc szétesik ami meg nem igazán jó, szóval én az következőt csinálnám:
- linux host
- win guest
- snapshotolható guest
- boot alkalmával automatikusan elindítja a win guestet és annak a képét mutatja fullscreen
- leállítás előtt snapshotból visszaállítja a guestet a tiszta állapotra
- host automatikusan leáll ha a guest kikapcsolt

Fentiek helyett a win-t is lehet védeni:
- Autorun kikapcsolva
- jó vírusirtó
- pendrive berakásakor automatikusan lefutó vírusellenőrzés a pendrivera.
- erős tűzfal
- linuxos szerver este elindítja a klienseket és naponta visszaállítja a merevlemez állapotát image-ből (clonezilla)

+1

Ha nyomtatás miatt vannak kirakva a gépek akkor Deep Freeze. Minden bootkor egy beállított pontra áll vissza.

+1 a Deep Freeze-re, nem is értem hogy miért csak a sokadik hozzászólásban került elő.

Köszi az aktív javaslatokat.
A visszaállítás azért nem szerencsés, mert aktív használat van a gépeken (számlázó, készletnyilvántartó, árajánlatokat készítenek stb).
Megoldható lenne, hogy csak 1 gépbe engedjenek idegen pendrive-ot betenni. docx is előfordul néha, így akkor a linux OS kiesett.
Nem erre vannak amúgy a gépek (szerelvénybolt, rakat áruval), de minden Ft számít alapon ezt is bevállalták, amikor már a sokadik embernek lett volna rá szüksége, és más nincs a környéken aki ilyet tud.

connor javaslataiból az alábbiakat megnézem:
- Autorun kikapcsolva
- pendrive berakásakor automatikusan lefutó vírusellenőrzés a pendrivera.

Ez utóbbit nem tudom, hogy tudja e az avast, ha nem akkor körülnézek a piacon és lehet, hogy váltunk arra.
Itt ugye megint érdekes a sebesség, mert ha egy 64Gb-os pendrive-al jönnek ide, amin van 10.000 file, akkor várhatnak egy ideig, mire 1 oldalt is kinyomtatnak. A legtöbbször pedig sajnos ez van, beszaladnak, hogy gyorsan ezt nyomtassuk ki nekik, és szaladnak is tovább...

Mondhatnám persze, hogy új IT policy-t vezetek be, innentől nincs ilyen szolgáltatás, de most már érdekel a téma, hogy ezen a területen mit lehetne lépni Windows alapon. Nem hiszem, hogy ez csak nálunk probléma.

A Linux akkor sem esik ki, ha .docx-et kell nyomtatni. Befogtok egy linuxos gépet, ahhoz csatlakoztatjátok a pendrive-ot, ott átnézi egy vírusirtó (pl. clamav), hogy nincs-e rajta szemét, ha nincs, akkor felcsatoljátok megosztásba, amit windowsos gépen szépen elértek, és kinyomtatjátok. Vagy esetleg tartotok egy windowsos gépet, ami nincs aktív használatban, csak pendrive-ról nyomtatásra van befogva, ha szétcsesződik rajta a rendszer, akkor visszahúzzátok 2 perc alatt image-ből működőre, és jöhet a következő kuncsaft.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Nem kell plussz scannelés egy pendrive behelyezésekor, elég az on-access scannelés, azt tudja az avast is. Ami a virtualizációt illeti, olyat kell keresni, ami automatikusan át tudja passzolni a guest vm-nek az összes bedugott pendrive-ot (lehetőleg az egész USB hosztot, célszerűen PCI passthru-val). Azért is jó a virtualizáció, mert kb. néhány másodperc a visszaállás korábbi snapshotra.

A visszaállítás azért nem szerencsés, mert aktív használat van a gépeken (számlázó, készletnyilvántartó, árajánlatokat készítenek stb).

Szerintem ez így ebben a formában életveszélyes, nem normális. A cég belső, céges ügyeit, számlázását ugyanazon a gépen intézni, amelybe óvszer nélkül dugnak sehonnai bitang emberek mindenféle szutykos pendrive-okat, minimum eszetlen vakmerőség. :)

Erre a célra kell egy dedikált gép, azon egy Linux, majd virtuális gépben egy Windows, az USB pedig átadva a guest Windowsnak. Minden reggel a mentett image visszamásolását követően indítanám a virtuális gépet, így a vendégek egymást sem fertőznék. Legrosszabb esetben csak a fertőzést követően ugyanazon a napon arra járókat.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

+1

+1

Valami hibernált állapotból induló image is jó. Ha erős a gép (SDD+sok memória) akkor akár minden pendrive-nál is újra lehet indítani VM-et. Bár nem tudom lehet e ezeket úgy indítani hogy az az eredeti image-t nem írja felül.

Az image-et biztos felülírja, hacsak nem másolod RAM-ba, de ahhoz azért kellene mondjuk 128 GB RAM, ami nem az a tipikus otthoni konfig. :) Viszont, ha van SSD, az image azon változata, amely a telepítést követően már sohasem lesz boot-olva, másolható, s mindig a másolatot kell boot-olni, így az mindig tiszta lesz. Az SSD csak azért, hogy gyorsan másolódjon, de szerintem néhány perc alatt HDD-n is megvan. A munkanap kezdetén az is belefér, addig épp megissza az ember a kávéját. :) Az nem túl nagy baj, ha a filerendszer támogatja a sparse file-okat, de például az ext4 ilyen.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Masolas? RAM?

Legalabb 4 kulonbozo modon (retegben) lehet copy-on-write modon lekezelni a valtozott adatblokkokat.

- device-mapper snapshot
- LVM snapshot
- FS beli snapshot (vagy lehet tenyleg masolni is, a cp --reflink source dest "0 ido" alatt kesz van, mert COW, de utana semmi sem kulonbozteti meg egy "valodi" masolastol.)
- virtualizacios kornyezet altal kezelt VM snapshot

Talan az utolso a legjobb jelen esetben, mert bebootolt es "lepauzalt" virt gepet is lehet menteni es grafikus feluletrol visszaallni ra: (cetli a monitor oldalan)
"NYOMTATAS IGY:
Ugyfel erkezesekor kattints a "uj nyomtatas inditasa" gyorsinditora! [VBox indul es inditja a mar bebootolt, office-t, pdf nezot memoriaba toltott windows VM-et]
Ha kesz az ugyfel nyomtatasa zard be a virtualbox ablakot a jobb felso X-szel. Kerdezni fogja, hogy mit csinaljon a benne futo windows-zal, kattints a "visszaallas a mentett allapotra" gombra! Kesz."

Attól tartok, valóban nem gondoltam végig. Ennek egyik oka, hogy sohasem használtam még tehenet. :)) Meg kellene tanulnom ezt is...


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Meg inkabb "suspend"-bol. Akkor par masodperc egy szuz virt gep indulasa.

Igen, valami ilyesmire gondoltam.

Ajaj. Akkor ezt a szokást gyorsan be kellene szüntetni (gyk: a cég lelke gépbe dugdossátok az idegen holmikat). Ha érvelni is kell, akkor csinálj egy tervet arra vonatkozólag, hogy mekkora kiesés (és adatvesztés) történik akkor ha pendriveon érkezik egy x vírus és lenulláz minden adatot. Ezt számítsátok át forintba, és vessétek össze azzal, hogy mekkora bevétel származik a nyomtatásból. Ezt aztán lehet prezentálni a t. ügyfélnek és majd eldönti, hogy 1) beállít egy vendég gépet csak nyomtatásra (csak célgép kell, +1 KVM swich) 2) megszünteti a tevékenységet.

off: A minap újságolta egy ismerős, hogy almás gyógyszertár, főműsoridő, ajtaja zárva, rajta papír: Vírus fertőzés miatt a számítógépes hálózat nem működik ezért a bolt az adott napon zárva tart.
Vicces, hogy egy _gyógyszertár_ nem tud védekezni a vírusok ellen :D
Egy gyógyszertár napi kiesése elég jelentős is lehet.

almás gyógyszertár
[...]
Vicces, hogy egy _gyógyszertár_ nem tud védekezni a vírusok ellen :D

Különösképp, hogy almás! :DD

(Tudom, övön aluli volt... ;) )


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

VirtualBox mintha tudna olyat, hogy egy usb portot (azt hiszem usb vendor id mintát is lehet megadni?) automatikusan "passthrough" -olja a VM-nek, ha csatolódik. Így a hoszton nem mount-olódik az eszköz. Lényegében Linux hoszttal és Windows Guesttel, VM akár cronból snapshotolva, hálózaton keresztüli nyomtatással elég biztonságosnak érzem.

Éés még a hecc kedvéért a VM-be is telepíteni a vírus kergetőt.

Lehet, hogy túlzás.

----------------------------------------
o.-

Javítsatok ki ha nagy hülyeséget írok.

Igen, de ebben az esetben a VM ugyanarra a hálózatra nyomtat, ahol a többi gép (na meg a VM host) van, azaz ebben az esetben csak egy nagy vargabetűt csinálunk. De ha a guest kap egy dedikált nyomtatót, akkor ez kilőve, és akkor működhet.
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

Milyen kiadású Windows 7-esek ezek?
Software Restriction Policy, AppLocker (ezeket a Home és "kisebb" társai nem támogatják), de ha nagyon muszáj a Simple Software Restriction Policy minden verzión megy.
--
Debian 8.8 Jessie, Android 6.0.1 Marshmallow+MIUI 8.2.9.0 Global, OpenWrt 15.05.1 Chaos Calmer, Armbian 5.24, Free MC Boot 1.953+OPL 0.10.15 Daily Build, Boyue C60 20140410 (Gentoo)

Elvileg mindegyik Win 7 Pro, utánanézek ma. Köszi a tippet!

Találtam még tegnap egy ilyet:
Sandboxie
Ismeri / használja ezt valaki?

Arra gondoltam ez ügyben, hogy a pdf-et, doc-ot ha ebben nyitnám meg, az elvileg jelenthetne valami védelmet.

Windows 10 + Defender nem kell ide semmi mágia. (Esetleg autorun kikapcsolás)

LOL

--
zrubi.hu

Dedikált gép kell erre a célra amin valamilyen újabb Linux fut Wine-al.
Mert ha már a Wine komplett játékokat tud futtatni akkor egy mezei office ne legyen már neki probléma.
Ja, és az összes fontot valamelyik windowsos gépről át kell másolni a linuxosra. A ttf-mscorefonts-installer telepítése nem megoldás, mert valahogy nem teljesen ugyanazok azok a fontok mint az eredeti windowsos, tehát nem lesznek ugyanolyanok a dokumentumok.
A legtöbb esetben a Libreoffice simám el fog boldogulni a dokumentumokkal. Ha mégse akkor ott van a Wine + MS Office.

-------------------
https://onlinestream.hu/ - A legtöbb magyar rádió és TV egy helyen!

Nem feltétlen kell teljes Office, ha nem kell beleszerkeszteni. Az MS-nél korábban volt Word/Excel/PP Viewer és azt ingyen le lehetett tölteni az MS-től. Ubuntu+Wine esetén hibátlan megoldás.

Igen, itt az a lényeg, hogy a lehető legegyszerűbb megoldásra érdemes törekedni. A fent leírt virtualizációs okosságok már 'ágyúval verébre' megoldás amikor ott van a Wine ami egyre gyakrabben képes csodákra.

-------------------
https://onlinestream.hu/ - A legtöbb magyar rádió és TV egy helyen!

De nem képes olyan csodákra mint a vásárlók. Tuti hoznak valami win olny pendriveot, vagy olyan doksit, amit még wine se tud kezelni. ITsok vagyunk, szeretünk ágyúval lőni, abból lehet tanulni.

Azzal vigyázz, nemrég telepítettem én is több gépre őket és letöltésnél figyelmeztet az MS, hogy hamarosan megszünteti a támogatásukat. Alternatívaként az Office Online-t ajánlja...

By the way, én is dedikált gépben gondolkodnék, viszont nem erőlködnék linux-al, ha sikerül is megcsinálni h a doksik x%-a úgy jelenjen meg ahogy kell, akkor is marad egy látszólag elhanyagolható kisebbség ami az istennek nem fog menni tisztességesen, és persze ilyen doksik fognak a legváratlanabb időben jönni, és mindegyik very important doksi lesz.
Szal a gép legyen dedikált, ne csatlakozzon a belső hálózatra, csak közvetlenül a nyomtatóra, (akár a netet is elfelejteném róla ebben az esetben), legyen image a gépről h gond esetén azonnal vissza lehessen állítani és ennyi, no wanna no cry.

--
Debian 8.8 Jessie, Android 6.0.1 Marshmallow+MIUI 8.2.9.0 Global, OpenWrt 15.05.1 Chaos Calmer, Armbian 5.24, Free MC Boot 1.953+OPL 0.10.15 Daily Build, Boyue C60 20140410 (Gentoo)

Szerintem jobb virtualizálni, kényelmesebbé teszi a visszaállítást. Az rendben, hogy a guest legyen Windows, de alatta a host legyen egy Linux. A natúr vason Windows-zal az a bajom, hogy csak észlelhető problémánál lesz image-ből újrahúzva, amíg sunnyog a kórokozó, addig lustaság, kényelem okán nem.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Kössz, hogy szóltál. Majd mentek egyet az utókornak. Bár főleg csak itthon és saját célra használom őket, mert még elég sok olyan cég/intézmény van, ahol a kinyomtatandó/kitöltendő doksi sajnos Word és nem PDF. (Bár az utóbbi években szerencsére egyre kevesebb.)

+1, mentettem én is

Hulye otlet es nem tudom hogy mukodik-e, de: https://hub.docker.com/u/microsoft/

Ha valaki probalta, meselje el hogy megy-e.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Még egy dolog, amit nem írt senki. Érdemes lenne rászoktatni az ügyfeleket és a felhasználókat, hogy MS Office-os dokumentumot nem visznek nyomtatni, előbb kinyomtatják vagy átalakítják otthon legalább részleges betűtípus-beágyazású .pdf-be, amit egyrészt bárhol ki lehet nyomtatni, akár Linuxon is, és nem esik szét a dokumentum megjelenése. Ugyanis az MS Office formátuma nem csak hogy a LibreOffice-szal nem egészen kompatibilis, de az MS Office korábbi/későbbi verzióival sem egészen, és ha van valami extra beállítás vagy nagyon eltér a felbontás, telepített betűtípusok, akkor szétcsesződik a dokumentum megjelenése, és nyomtatásban nem úgy fog kinézni, ahogy előtte otthon. Nyomtatásra, nyomdázáshoz a .pdf való, pont. Ugyanez vonatkozik arra is, ha valakinek mailben vagy más módon kell dokumentumot küldeni, és nem lesz cél, hogy beleszerkesszenek, vagy kifejezetten kívánatos, hogy ne barmoljanak bele. Nem csak a vírusok kiszűrésére és az MS Office, Windows licenc miatti spórolás miatt érdemes meglépni, vagy azért, hogy nem kell minden spéci formátumhoz mindenféle spéci szoftvert telepíteni, hanem mindenkinek jobb így minden szempontból.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum