Verwendung von Wechselmedien per GPO verbieten

USB Sticks sind ein handliches Werkzeug um Daten offline zu übertragen, oder zu sichern. Dank USB 3 Standard lassen sich in kürzester Zeit mehrere Gigabyte an Daten transferieren. Und genau darin besteht das Problem für Unternehmen. Vorbei an Firewall und Packetfilter lassen sich ungeschützt Daten ins Firmen-LAN bringen, oder sensible Nutzdaten von Dort entwenden. Für  Sicherheitsbeauftragte sind tragbare Speichermedien ein Albtraum. Diese ganz zu verbieten erhöht zwar die Sicherheit, erschwert die Arbeit. Man denke beispielsweise an Personen, die Digitalbilder von einer Kamera übertragen müssen. Auch dies sind Wechselmedien.

Wieder einmal geht die Schere zwischen Komfort und Sicherheit auseinander. Maximale Sicherheit bedeutet minimalen Komfort und umgekehrt. Absolute Sicherheit wird es nicht geben. Und während man vermeintlich einen Zugang durch ein Bollwerk versperrt und so auch die Produktivität behindert, sucht sich der Angreifer einen kleinen, ungeschützten Seiteneingang.

Besser ist ein Kompromiss, bei dem zunächst global allen Nutzern der Gebrauch von Wechselmedien untersagt wird und darüber hinaus gezielt einzelne Anwender autorisiert werden. Diese Schlüsselgruppe kann zuvor über die Risiken geschult werden. „Verwendung von Wechselmedien per GPO verbieten“ weiterlesen

vSphere 6 – Bootimage erstellen

Ein halbes Jahr musste dieser Artikel auf die Veröffentlichung warten. Das Beta Programm NDA mit vmware erlaubte, jedoch nicht die Publikation.

Seit 30.6.2014 ist die vSphere 6 Beta verfügbar. Ich habe in der Zeit seither  unteschiedliche Aspekte des neuen Produkts ausprobiert und werde die Erfahrungen hier veröffentlichen.

Eine wichtige Frage für die Praxis ist beispielsweise: “Wie bekomme ich das Image auf ein fertiges Bootmedium, das ich vor Ort nur noch einstecken und starten muss?”. In der Version 5.x half hier eine kleine VM, die als Image-maker fungierte.

Image Maker

Mit Version ESXi 5.0.0 hatte sich die Methode zur Erstellung von USB Bootimages verändert. Ich habe in einem älteren Artikel beschrieben, wie man diese vorab auf USB Medien erstellen kann, um damit Server auszurüsten. Die gute Nachricht vorab: Die Methode funktioniert auch weiterhin. Die Hilfs-VM zum Setup von ESXi 5.x kann auch für ESXi 6 beta verwendet werden.

ESXi6BootImage01

„vSphere 6 – Bootimage erstellen“ weiterlesen

vMotion Problem durch USB Device

Beim Versuch, eine VM mit vMotion auf einen anderen Host zu verschieben, erhielt ich diese Fehlermeldung:

fault.cannotAccessVMDevicesummary

Gibt man diese Meldung in eine Suchmaschine der Wahl ein, so kommen (derzeit) keine hilfreichen Treffer. Also musste ich selbst nach der Ursache suchen. Alle VMs konnten vom Host migriert werden bis auf diese eine, welche den Fehler produzierte.

Bei der Inspektion des ESX-Servers fand ich ein USB Dongle. Das brachte mich auf die Spur. Jemand hatte ein USB Gerät über den Host in der VM verfügbar gemacht. Dieses verhinderte aber ein vMotion auf den anderen Host.

Nachdem ich das USB Gerät abgemeldet und entfernt hatte, gab es keine weiteren Probleme mit dieser VM.

 

VDI: Zero Client und USB Devices

Panologic unterstützt eine Vielzahl an USB Geräten am Pano-Device bzw. am Zero-Client (FTS).  Für die Version 3.5 gab es eine Kompatibilitätsliste, auf die ich in einem älteren Beitrag referenzierte. Das Pano Hilfecenter liefert Informationen auch für die Hauptversionen 4.0 und 5.0.

Bei USB Geräten muß hier zunächst zwischen zwei Typen unterschieden werden

  • nicht isochrone USB-Geräte
    • Maus, Tastatur, sonstige HID-Devices
    • CD-ROM, DVD-ROM, Brenner
    • Massenspeicher (Festplatte, USB-Stick)
    • Scanner
    • Drucker
  • isochrone USB-Geräte für zeitkritische Audio- und Video-Datenströme
    • Mikrophone
    • Lautsprecher
    • Webcams
    • Headsets