16
Usb Ports sperren auf mehreren Computern gleichzeitig
Hallo,
Kann man über ein Windows 2000 Serverbetriebssystem alle Usb Ports die an
einen Clientrechner angeschlossen sind sperren?
Es sollen nur Usbsticks gesperrt sein.
Kann man über ein Windows 2000 Serverbetriebssystem alle Usb Ports die an
einen Clientrechner angeschlossen sind sperren?
Es sollen nur Usbsticks gesperrt sein.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 29171
Url: https://administrator.de/contentid/29171
Printed on: April 19, 2024 at 14:04 o'clock
16 Comments
Latest comment
Hallo, vielleicht könnte das etwas für dich sein:
DriveLook
http://www.centertools.de/
Diese flexible Konfiguration kann zentral vorgenommen werden. Zur Verteilung der Konfigurationsdaten wird dabei eine ActiveDirectory Group Policy benutzt. Der Aufbau einer zusätzlichen Infrastruktur ist also nicht erforderlich.
Oder USBSecure http://www.henningmueller.com/ dabei ist auch ein nettes PDF zum Thema
Ansonsten http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
DriveLook
http://www.centertools.de/
Diese flexible Konfiguration kann zentral vorgenommen werden. Zur Verteilung der Konfigurationsdaten wird dabei eine ActiveDirectory Group Policy benutzt. Der Aufbau einer zusätzlichen Infrastruktur ist also nicht erforderlich.
Oder USBSecure http://www.henningmueller.com/ dabei ist auch ein nettes PDF zum Thema
Ansonsten http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Hallo,
du kannst das ohne Zusatztools machen.
Einfach per Gruppenrichtlinie (oder Anmeldescript) diesen Registrykey importieren:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Jetzt werden USB Massenspeicher nicht mehr erkannt.
Allerdings betrifft das auch z.B. Digitalkameras. Macht aber auch Sinn, da man auch auf denen Daten rein- oder rausschmuggeln kann.
Nikolas
du kannst das ohne Zusatztools machen.
Einfach per Gruppenrichtlinie (oder Anmeldescript) diesen Registrykey importieren:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Jetzt werden USB Massenspeicher nicht mehr erkannt.
Allerdings betrifft das auch z.B. Digitalkameras. Macht aber auch Sinn, da man auch auf denen Daten rein- oder rausschmuggeln kann.
Nikolas
Bei uns im Unternehmen wird der USBGuard von Krüger eingesetzt: https://www.thkrueger.de/index.php?id=34
Wir sind eigentlich sehr zufrieden damit.
Gruss
Stefan
Wir sind eigentlich sehr zufrieden damit.
Gruss
Stefan
Wenn's kostenlos und von Microsoft sein soll:
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324
Einfach das Template kopieren, im Editor einfügen und als adm-file abspeichern. Dann erstellst du eine neue GPO und importierst dieses adm Template (bei der Computerkonfiguration unter Administrative Vorlagen). Kleines Manko: Um die Einstellungen zu sehen musst du Administrative Vorlagen markieren, dann auf Ansicht und bei der Filterung das Häkchen bei "Nur vollständig verwaltbare...." entfernen. Danach kannst du über GPO USB, CD-ROM, Floppy und L-120 Laufwerke deaktivieren.
Wir nutzen das hier und es funtkioniert einwandfrei.
Gruß
[Edit]: Macht im Prinzip nix anderes wie bereits it-2 beschrieben hat. Ist halt etwas anwenderfreundlicher.
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324
Einfach das Template kopieren, im Editor einfügen und als adm-file abspeichern. Dann erstellst du eine neue GPO und importierst dieses adm Template (bei der Computerkonfiguration unter Administrative Vorlagen). Kleines Manko: Um die Einstellungen zu sehen musst du Administrative Vorlagen markieren, dann auf Ansicht und bei der Filterung das Häkchen bei "Nur vollständig verwaltbare...." entfernen. Danach kannst du über GPO USB, CD-ROM, Floppy und L-120 Laufwerke deaktivieren.
Wir nutzen das hier und es funtkioniert einwandfrei.
Gruß
[Edit]: Macht im Prinzip nix anderes wie bereits it-2 beschrieben hat. Ist halt etwas anwenderfreundlicher.
noch eine andere frage wenn man per Gruppenrichtlinienobjekt bei windows 2000 server
die client usbports sperrt, kann mann ausnahmen machen das bestimmte benutzer oder
computer nicht gesppert werden?
die client usbports sperrt, kann mann ausnahmen machen das bestimmte benutzer oder
computer nicht gesppert werden?
Die müssen halt in einer OU liegen, die nicht von dieser Richtlinie betroffen ist. Also in einer Unter-OU mit Aufhebung der Einstellungen oder in einer OU neben der, auf der die Gruppenrichtlinie angewendet wird.
Es gibt auch die Möglichkeit, auf bestimmte Benutzer die Richlinien nicht zu verwenden (Eigenschaften der Richlinie, Aktenreiter Sicherheit), das macht imho das ganze AD-Gefüge aber sehr unübersichtlich und somit schwer wartbar.
Gruss
Stefan
Es gibt auch die Möglichkeit, auf bestimmte Benutzer die Richlinien nicht zu verwenden (Eigenschaften der Richlinie, Aktenreiter Sicherheit), das macht imho das ganze AD-Gefüge aber sehr unübersichtlich und somit schwer wartbar.
Gruss
Stefan
Ausnahmen in dem Sinne brauchst du eigentlich nicht, wenn du es z.B. mit diesem adm File machst. Du hast dann eine Richtlinie (z.B. USB sperren). Diese Richtlinie greift nur auf Computer. D.h. wenn du bei der Sicherheitsfilterung in der Gruppenrichtlinienmanagementkonsole (was für ein Wort) z.B Authentifizierte User oder etwas ähnliches nimmst passiert rein gar nichts. Du musst als Objekte die Rechner nehmen. Du kannst dir ja im AD eine Gruppe anlegen und dort sämtliche Computer reinpacken die USB gesperrt haben sollen. Diese Gruppe trägst du dann in der Sicheheitsfilterung ein. Ganz einfach und vollkommen übersichtlich.
Ich bin kein Freund davon, für jede Richtlinie 2 OU's anzulegen, jeweils dafür ob die Richtlinie nun greifen soll oder nicht. Das widerspricht auch dem Gedanken von MS bei den Gruppenstrategien alá A G DL P usw.
Wir haben hier z.B. 10 OU's (Außenbezirke), einige davon mit 2-4 Untergeordneten OU's. In jeder OU sind mind. 10 Richtlinien. Wenn ich jetzt für jede Richtlinie 2 OU's nehme, kannst du dir ja ausrechnen und vorstellen wie die Konsole bald ausehen würde. Bei anderen machst das vielleicht Sinn, ich will da keinem reinreden. Jeder muss das wohl für sich und seine Anforderungen entscheiden.
Noch was zur Richtline. Mit dieser Richtlinie wird ja z.B. USB gesperrt. Wenn nun ein PC doch wieder USB benötigt brauchst du die gleiche Richtlinie nochmals. Dort musst du dann die Deaktivierung von USB deaktivieren. Hört sich seltsam an, aber wenn man die Richtlinie sieht versteht man es schon. Ist nur etwas ungewohnt.
Gruß
Ich bin kein Freund davon, für jede Richtlinie 2 OU's anzulegen, jeweils dafür ob die Richtlinie nun greifen soll oder nicht. Das widerspricht auch dem Gedanken von MS bei den Gruppenstrategien alá A G DL P usw.
Wir haben hier z.B. 10 OU's (Außenbezirke), einige davon mit 2-4 Untergeordneten OU's. In jeder OU sind mind. 10 Richtlinien. Wenn ich jetzt für jede Richtlinie 2 OU's nehme, kannst du dir ja ausrechnen und vorstellen wie die Konsole bald ausehen würde. Bei anderen machst das vielleicht Sinn, ich will da keinem reinreden. Jeder muss das wohl für sich und seine Anforderungen entscheiden.
Noch was zur Richtline. Mit dieser Richtlinie wird ja z.B. USB gesperrt. Wenn nun ein PC doch wieder USB benötigt brauchst du die gleiche Richtlinie nochmals. Dort musst du dann die Deaktivierung von USB deaktivieren. Hört sich seltsam an, aber wenn man die Richtlinie sieht versteht man es schon. Ist nur etwas ungewohnt.
Gruß
Hallo erstmal.
Bin neu hier und mich interessiert dieses Thema auch sehr. Ich habe folgendes Problem.
Ich lege ein logon script fest.
Der User loggt sich auf den client ein. Das logon script schaut nach ob in der Registry der Eintrag für:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
steht. Wenn nicht, soll der Wert 4 gesetzt werden. Gibt es eine Möglichkeit diesen Wert zu setzen? Als Benutzer hat er ja nicht die Rechte in die HKLM zu schreiben.
Über Gruppenrichtlinie kann ich das auch nicht machen, weil ich auch die Machinen abfrage über ihre Mac adresse und dann entscheide ob der Schlüssel gesetzt werden muss oder nicht. Der Benutzer meldet sich nämlich mal an einem Rechner an, wo er Zugriff haben muss und an einem anderen Rechner an welchem der USB Port gesperrt werden muss für diesen.
Hoffe ich habe es nicht allzu konfus geschrieben und es hat jemand eine Möglichkeit.
Gruß Marco
Bin neu hier und mich interessiert dieses Thema auch sehr. Ich habe folgendes Problem.
Ich lege ein logon script fest.
Der User loggt sich auf den client ein. Das logon script schaut nach ob in der Registry der Eintrag für:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
steht. Wenn nicht, soll der Wert 4 gesetzt werden. Gibt es eine Möglichkeit diesen Wert zu setzen? Als Benutzer hat er ja nicht die Rechte in die HKLM zu schreiben.
Über Gruppenrichtlinie kann ich das auch nicht machen, weil ich auch die Machinen abfrage über ihre Mac adresse und dann entscheide ob der Schlüssel gesetzt werden muss oder nicht. Der Benutzer meldet sich nämlich mal an einem Rechner an, wo er Zugriff haben muss und an einem anderen Rechner an welchem der USB Port gesperrt werden muss für diesen.
Hoffe ich habe es nicht allzu konfus geschrieben und es hat jemand eine Möglichkeit.
Gruß Marco
Vielleicht geht es mit runas. Evtl. kannst du ja ein zweites Script damit aufrufen um die Werte zu setzen.
Hallo,
würde eine Gruppenrichtlinie ür Maschinen gehen?
Oder soll das weder an einem Rechner noch an einem User festgemacht werden, sondern nur wenn ein bestimmter User an einem bestimmten Rechner sitzt?
Dann müsstest du das über ein relativ kompliziertes Anmeldescript machen, in dem du den Rechnernamen und den Usernamen ausliest und nur bei passender Kombination den Schlüssel richtig setzt.
Nikolas
würde eine Gruppenrichtlinie ür Maschinen gehen?
Oder soll das weder an einem Rechner noch an einem User festgemacht werden, sondern nur wenn ein bestimmter User an einem bestimmten Rechner sitzt?
Dann müsstest du das über ein relativ kompliziertes Anmeldescript machen, in dem du den Rechnernamen und den Usernamen ausliest und nur bei passender Kombination den Schlüssel richtig setzt.
Nikolas
Hey,
vielleicht komm ich bisschen zu spät.
Aber ich hab die Lösung gefunden... Das ganze nennt sich devicepro 2007.
Unter devicepro.de findet Ihr nen Download von der Vollversion. 5 Lizenzen sind kostenlos.
vielleicht komm ich bisschen zu spät.
Aber ich hab die Lösung gefunden... Das ganze nennt sich devicepro 2007.
Unter devicepro.de findet Ihr nen Download von der Vollversion. 5 Lizenzen sind kostenlos.
Wir haben den Nachfolger devicepro 2008 im Einsatz. Der Hammer!
Ich bin nunmehr seit 8Jahre Administrator bei einem Mittelständischen Unternehmen in Süddeutschland und devicepro ist die erste Lösung, die ich ohne Schulung oder Lehrgang installieren, implementieren und administrieren kann.
Besonders gefällt mir die Oberfläche, die wie Outlook 2003 aussieht, das Ticketsystem und die Protokollierung.
Sogar unser sehr strenger Betriebsrat hat die Protokollierung frei gegeben ... naja liegt auch daran, dass er jedesmal sein PW eingeben muss, wenn ich etwas nachschauen will
Grüße aus dem Süden
Ich bin nunmehr seit 8Jahre Administrator bei einem Mittelständischen Unternehmen in Süddeutschland und devicepro ist die erste Lösung, die ich ohne Schulung oder Lehrgang installieren, implementieren und administrieren kann.
Besonders gefällt mir die Oberfläche, die wie Outlook 2003 aussieht, das Ticketsystem und die Protokollierung.
Sogar unser sehr strenger Betriebsrat hat die Protokollierung frei gegeben ... naja liegt auch daran, dass er jedesmal sein PW eingeben muss, wenn ich etwas nachschauen will
Grüße aus dem Süden
Hallo folks,
Ich freue mich über die Antworten hier im Forum. Na ja.. ManUnited..
Wie du sicherlich auch weißt, will der Kunde nie etwas ausgeben, denn es soll ja kostenlos gehen.
Wir haben bis jetzt noch nicht wirklich etwas gefunden, wie wir das am besten lösen können.
Es soll Benutzerabhängig sein. Also 1 Benutzer darf USB-Sticks benutzen und ein anderer darf es nicht. Dies soll mit Boardmitteln realisiert werden.
Na ja... aber vielen Dank für die zahlreichen Antworten.
lg
Marco
Ich freue mich über die Antworten hier im Forum. Na ja.. ManUnited..
Wie du sicherlich auch weißt, will der Kunde nie etwas ausgeben, denn es soll ja kostenlos gehen.
Wir haben bis jetzt noch nicht wirklich etwas gefunden, wie wir das am besten lösen können.
Es soll Benutzerabhängig sein. Also 1 Benutzer darf USB-Sticks benutzen und ein anderer darf es nicht. Dies soll mit Boardmitteln realisiert werden.
Na ja... aber vielen Dank für die zahlreichen Antworten.
lg
Marco
Wir haben bei uns auch DevicePro seit 3 Jahren im Einsatz.
Echt einfach und kann ne Menge. Hatte mir auch aus Interesse andere Lösungen von Zeit zu Zeit angeschaut. Da bin ich immer noch der Meinung das richtige gewählt zu haben...
Herstellerinfo's dazu gibts unter http://cynapspro.com/DE/products/devicepro
Echt einfach und kann ne Menge. Hatte mir auch aus Interesse andere Lösungen von Zeit zu Zeit angeschaut. Da bin ich immer noch der Meinung das richtige gewählt zu haben...
Herstellerinfo's dazu gibts unter http://cynapspro.com/DE/products/devicepro
@damaster: Wir setzen die DevicePro Software auch schon ne Weile ein und haben gerade auf den Nachfolger EgoSecure Endpoint (http://egosecure.com) ) geupgradet. Kann das Upgrade nur empfehlen!!!
Läuft wie gehabt stabil und jetzt haben wir noch kostenlos einen Datenshredder, zentrale Bitlocker Verwaltung und Firewall Verwaltung dabei.
Überlegen auch noch das AntiVirus von denen zu beziehen...
Läuft wie gehabt stabil und jetzt haben wir noch kostenlos einen Datenshredder, zentrale Bitlocker Verwaltung und Firewall Verwaltung dabei.
Überlegen auch noch das AntiVirus von denen zu beziehen...
