Ankündigung

Einklappen
1 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
2 von 2 < >

Schulungen zu Symantec Endpoint Protection

Zu Symantec Endpoint Protection bieten wir Ihnen mehrere Schulungen an:

https://www.niwis.com/service/schulu...on-schulungen/
Mehr anzeigen
Weniger anzeigen

Geräte am Endpunkt protokollieren

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Geräte am Endpunkt protokollieren

    In der Gerätesteuerung von SEP ist es möglich, blockierte Geräte zu protokollieren. Wer jedoch Geräte protokollieren möchte, ohne etwas zu sperren, muss über die Anwendungssteuerung gehen.

    Hier wird eine neue Regel erstellt, die die folgenden Registry-Keys überwacht (danke an Symantec für das Whitepaper und an Forensics Wiki für weitere Infos ):

    Code:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB*\*\*
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\*\*
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56308-b6bf-11d0-94f2-00a0c91efb8b}\*\*
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\*\*
    devcontrol1.jpg

    Im Protokoll lassen sich nachher die Geräte recherchieren:

    devcontrol2.JPG

    Die Regel haben wir auch als Download bereit gestellt.
    Zuletzt geändert von uspange; 15.04.2010, 16:43.

    #2
    Danke dafür.

    Ich hätte gern einige Fragen dazu gestellt, da mich das Thema momentan auch umtreibt.

    Welches Whitepaper von Symantec ist gemeint? Im SET habe ich nichts entsprechendes gefunden.

    Mir ist aufgefallen, dass mit der Policy schon ein einzelner Client sehr viele Einträge pro Stunde produziert, insofern dürfte das Verfahren für größere Umgebungen (~60000 Clients) wohl ungeeignet sein?

    Einen echten Discovery-Mode um einen Überblick über in der Umgebung vorhandene Hardware zu bekommen, gibt es offenbar nicht?

    Kommentar


      #3
      Einen echten Discovery-Mode um einen Überblick über in der Umgebung vorhandene Hardware zu bekommen, gibt es offenbar nicht?
      Nein, das ist ein von der SAVUG bereits übermittelter Feature Request.

      Kommentar


        #4
        Danke, ich hatte auch gerade bei Symantec angerufen und die Info bekommen einen Request einzureichen, da es die Funktionalität noch nicht gibt.

        Kommentar

        Lädt...
        X