Class filtering des ports USB

Message par **micha30000** » jeu. 15 oct. 2009 11:47

Hello les amis,

J'ai une question à laquelle personne ne sait répondre jusqu'à maintenant...
Dans un de mes projets je dois parfaitement gérer les ports USB.

Architecture: j'ai des machines virtuelles XP Pro sur plateforme VmWare View prises à distance par des clients légers te type Wyse V10 (ou supérieurs, ou autre marque, on sait pas encore).
Problématique: je dois pouvoir brancher par exemple un lecteur de carte propriétaire, mais surtout pas de mass storage...
Problème: tous les développeurs sont admin de leur image.

Puisqu'ils sont admins de leur image, tout ce qui est sur la couche OS/Software ne correspond pas. Je cherche par exemple des clients légers qui permettent de filtrer de manière très fine et centralisée les périphériques USB... ou n'importe quelle autre solution qui ne soit pas cassable par un gars admin de son poste...

Si vous avez des idées... merci

Message par **lionel57** » jeu. 15 oct. 2009 16:08

si le mec est admin de son poste, de toute façon il mettra au tapis ton client de filtrage.....
ton lecteur de carte , c est obligatoirement de l usb ? il est en fixe ou pas sur la machine ?

Message par **micha30000** » jeu. 15 oct. 2009 16:58

Il existe des solutions, même quand le gars est admin. Je suis en train d'en tester une.

Nos lecteurs de carte sont essentiellement en USB oui. Je ne parle pas des oscillos et autres micro-proce... ils ne sont pas dans le périmètre.

Chaque gars aura son propre matériel, et n'auront pas le droit de se l'échanger sans notre accord.

Si tu as une idée je suis preneur

Message par **lionel57** » ven. 16 oct. 2009 04:24

Il existe des solutions, même quand le gars est admin. Je suis en train d'en tester une.

pourquoi tu poses la question si tu as deja des solutions ??

Message par **micha30000** » ven. 16 oct. 2009 12:53

Parce que pour le moment ça convient pas.

j'aurai préféré un filtrage quasi matériel... par définition, une application se cracke...

Message par **lionel57** » ven. 16 oct. 2009 17:55

tu vires tous les ports usb, et tu mets tes lecteurs en esata ou ethernet

Message par **gizmo78** » ven. 16 oct. 2009 18:11

tu peux pas brancher les lecteurs sur un port usb interne? je dis peut être une connerie hein, et "boucher" les externes

Message par **micha30000** » ven. 16 oct. 2009 18:23

C'est une solution mais faut fermer les machines pour le coup. Les mettre dans une boite solide. C'est vrai que c'est une solution correcte. Sauf qu'ils ont assez souvent à changer de matériel (nouveaux lecteurs, produits de fournisseurs etc), donc pas forcément optimum pour tout le monde. J'en parlerai à mon chef quand même, ça peut être une protection contre pas mal de choses.

PS: les machines sont en fait des clients légers. Mais ça marche aussi.

Message par **c0bw3b** » ven. 16 oct. 2009 20:28

Par curiosité pcq ça m'intéresse aussi, c'est quoi la "solution qui convient pas" ?

Mais bon sinon je ne pense pas qu'il existe du matériel qui te permette de définir les ID autorisés directement dessus, genre ds le bios ou autre.
Donc soit les users ne sont plus admin de l'environnement et on bloque les mass storage au niveau de l'OS (ce que j'imagine impossible pour des raisons d'applis ou autre), soit il n'y a pas de ports usb sur le client léger...

C'est bien le problème des interfaces qui veulent tout faire qd même. Moi je dis lecteur de carte sur port série ou // ! Na ! ^^

Message par **micha30000** » ven. 16 oct. 2009 22:14

Bah, le port série, il existe bien des lecteurs de carte SD, donc mass storage possible.

Les solutions qui ne correspondent pas, c'est en partie parce que les gars sont admins de leurs postes. Donc tout ce qui est changement de clé de registre ou GPO, ça n'est pas valable.

Aujourd'hui je teste un soft qui est fort sympathique, qui s'appelle Sky Recon. C'est une boîte qui vient d'être rachetée par Arkoon pour ceux qui connaissent. Apparemment même en étant administrateur, le gars ne peut pas fermer l'application et les politiques qui lui sont associées via le serveur de l'appli.

Sinon pour la gestion des périphériques, il existe un produit miraculeux qui n'a pas été très utilisé, c'est les solutions PC over IP. A priori ça serait embarqué de façon logicielle dans le prochain VmWare View 4.0, donc avec un client léger PCoIP sur ce VMWare ça serait surement possible... Il sort que mi-novembre mais bon...

Message par **c0bw3b** » ven. 16 oct. 2009 22:26

Oué ok je pensais justement au chti StormShield de SkyRecon.
Très bien foutu effectivement. Et cocorico c'est français. Le rapprochement avec Arkoon devrait donner des trucs chouettes.

Pour la solution de la virtualisation du poste de travail : le tout frais XenDesktop 4 te permettrait pas de faire ça ? Pas besoin d'attendre vmWare View, Citrix est ds le domaine depuis des lustres.

Message par **micha30000** » sam. 17 oct. 2009 09:23

Non Xen ne correspond pas. Et dans le domaine de la virtualisation, c'est VMWare qui y est depuis des lustres, Citrix a racheté Xen il y a moins d'un an et demi...

Message par **c0bw3b** » sam. 17 oct. 2009 14:08

Dans la virtualisation des serveurs voué, mais pour les postes de travail les clients léger déportés Citrix en fait depuis un bout de temps.
Bref c'est pas le débat ici, et puis tfaçon on est même pas en désaccord.

Message par **micha30000** » sam. 17 oct. 2009 15:06

Xen fait pas ce qu'on veut... Après le débat est ailleurs, c'est certainement un très bon produit