8
Ausführen von Programmen von USB-Laufwerken verhindern
Hallo,
seit SP2 gibt es die Möglichkeit das Schreiben auf USB-Laufwerken per Registry zu unterbinden. Ich suche eine ähnliche Funktion....
In einem PC-Pool zur öffentlichen Nutzung sollen die Nutzer Daten mit ihrem USB-Sticks austauschen dürfen. Allerdings will ich verhindern, dass diese Nutzer von ihren USB-Sticks Programme ausführen. (Um z.B. die Installation von Skype zu unterbinden. Das geht ja auch mit Benutzerrechten.)
Auf den öffentlich zugänglichen Laufwerk hab ich den Nutzern das Recht schon entzogen, aber bei USB-Sticks weiß ich nicht weiter.
Gibt es eine Möglichkeit das zu realisieren?
Gibt es eine Gruppenrichtlinie, die das Ausführen von Dateien für bestimmte Laufwerksbuchstaben verhindert?
Das Problem ist, dass ich nicht einfach die Rechte auf dem Stick ändern kann, da dies ja einen Eingriff auf den Stick des Nutzers darstellt....
Gruß Yggdrasil
Auf den öffentlich zugänglichen Laufwerk hab ich den Nutzern das Recht schon entzogen, aber bei USB-Sticks weiß ich nicht weiter.
Gibt es eine Möglichkeit das zu realisieren?
Gibt es eine Gruppenrichtlinie, die das Ausführen von Dateien für bestimmte Laufwerksbuchstaben verhindert?
Das Problem ist, dass ich nicht einfach die Rechte auf dem Stick ändern kann, da dies ja einen Eingriff auf den Stick des Nutzers darstellt....
Gruß Yggdrasil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 69661
Url: https://administrator.de/contentid/69661
Printed on: April 19, 2024 at 21:04 o'clock
8 Comments
Latest comment
Hallo Yggdrasil,
das könntest Du z.B. mit einem Produkt wie Drivelock machen.
Das regelt Dir die Zugriffe auf Endgeräten sehr granular und wird über GPO's konfiguriert.
Du hast die Möglichkeit das ausführen von Dateien zu verhindern, das lesen von Dokumenten bestimmter Typen zu steuern usw.
Dabei kann man bis auf die Seriennummer des USB Sticks herunter filtern.
Gruß
Egbert
das könntest Du z.B. mit einem Produkt wie Drivelock machen.
Das regelt Dir die Zugriffe auf Endgeräten sehr granular und wird über GPO's konfiguriert.
Du hast die Möglichkeit das ausführen von Dateien zu verhindern, das lesen von Dokumenten bestimmter Typen zu steuern usw.
Dabei kann man bis auf die Seriennummer des USB Sticks herunter filtern.
Gruß
Egbert
Safend ist auch ein Software lösaung zur Zugriffregelung von Externen geräten.
Safend ist auch ein Software lösaung zur
Zugriffregelung von Externen geräten.
Zugriffregelung von Externen geräten.
Ziemlich abgefahren dieser Satz, darf ich den zitieren?
Zurück zum Thema, in wenigen Tagen soll Symantec Endpoint Protection erscheinen. Da sind solche Mechanismen enthalten. Hab es bisher nur in der Beta-Version sehen dürfen, sah aber vielversprechend aus (Policies, Groups, Roaming).
OK. Habe ich gerade auch gelesen (da war ich wohl schon...)
Ich denke so ist es besser.
Safend ist eine Software Lösung zur zugriffsregelung Externer Geräte. Siehe http://www.prosoft.de/produkte/portsecurity/index.html?gclid=CKz8t6_Q5I ....
@51705: Ja, darfst du verwenden.
Ich denke so ist es besser.
Safend ist eine Software Lösung zur zugriffsregelung Externer Geräte. Siehe http://www.prosoft.de/produkte/portsecurity/index.html?gclid=CKz8t6_Q5I ....
@51705: Ja, darfst du verwenden.
Ich benutze hierfür auch DriveLock, funktioniert tadellos und kostet glaub ich 25€ / Client.
Damit kannst Du dann nciht nur USB-Sticks überwachen, sondern wirklich JEDE Schnittstelle die deine PCs haben.
Damit kannst Du dann nciht nur USB-Sticks überwachen, sondern wirklich JEDE Schnittstelle die deine PCs haben.
Danke für die Hinweise. Die beiden Programme scheinen geeignet zu sein und ich werde sie mir mal genauer anschauen. Allerdings würde dann mit Kanonen auf Spatzen geschossen werden
Die meisten Features werde ich definitiv nicht brauchen.
Vielleicht gibt es noch eine Lösung mit Boardmitteln. Daher harke ich das Thema noch nicht ab.
Die meisten Features werde ich definitiv nicht brauchen.
Vielleicht gibt es noch eine Lösung mit Boardmitteln. Daher harke ich das Thema noch nicht ab.
So,
ich will mich nochmal melden. Habe es jetzt doch mit Boardmitteln gelöst. Man kann in den Sicherheitseinstellungen unter anderem Pfad-Regeln definieren, die das Ausführen von Software nur auf bestimmten Laufwerken / Ordnern zulässt.
Die Lokale Sicherheitseinstellungen erreicht man über Ausführen> secpol.msc. Dort erstellt man eine neue Richtlinie bei "Richtlinien für Softwareeinstellungen" und erstellt neue Regeln unter "Zusätzliche Regeln".
Alternativ kann man auch einen Blick auf Windows SteadyState werfen. Da gibt es eine ähnliche vordefinierte Gruppenrichtlinie.
ich will mich nochmal melden. Habe es jetzt doch mit Boardmitteln gelöst. Man kann in den Sicherheitseinstellungen unter anderem Pfad-Regeln definieren, die das Ausführen von Software nur auf bestimmten Laufwerken / Ordnern zulässt.
Die Lokale Sicherheitseinstellungen erreicht man über Ausführen> secpol.msc. Dort erstellt man eine neue Richtlinie bei "Richtlinien für Softwareeinstellungen" und erstellt neue Regeln unter "Zusätzliche Regeln".
Alternativ kann man auch einen Blick auf Windows SteadyState werfen. Da gibt es eine ähnliche vordefinierte Gruppenrichtlinie.
Auch nicht schlecht gelöst, ich frage mcih nur eines:
Was passiert wenn Du die Netzwerkstrippe aus dem PC ziehst bevor Du ihn einschaltest ??
Ist die Richtlinie dann überhaupt wirksam ?
Nicht das man mit so einfachen Mitteln deine Sicherheitsvorkehrungen aushebeln kann.
Was passiert wenn Du die Netzwerkstrippe aus dem PC ziehst bevor Du ihn einschaltest ??
Ist die Richtlinie dann überhaupt wirksam ?
Nicht das man mit so einfachen Mitteln deine Sicherheitsvorkehrungen aushebeln kann.
