9
Einzelnes USB-Gerät aus Wechselmedien-GPO ausnehmen
Hallo,
wir wenden eine GPO zur Sperrung von Wechselmedien an (Benutzerkonfiguration - Richtlinien - System - Wechselmedienzugriff).
Hier ist unter anderem "Wechseldatenträger Lese- und Schreibzugriff verweigern" aktiviert. Nun gibt es allerdings USB-Geräte zum Teilen des Bildschirms, die ebenfalls als Wechseldatenträger erkannt werden und somit ebenfalls gesperrt werden. Gibt es eine Möglichkeit, diese von der Sperre auszunehmen?
Danke & Gruß
wir wenden eine GPO zur Sperrung von Wechselmedien an (Benutzerkonfiguration - Richtlinien - System - Wechselmedienzugriff).
Hier ist unter anderem "Wechseldatenträger Lese- und Schreibzugriff verweigern" aktiviert. Nun gibt es allerdings USB-Geräte zum Teilen des Bildschirms, die ebenfalls als Wechseldatenträger erkannt werden und somit ebenfalls gesperrt werden. Gibt es eine Möglichkeit, diese von der Sperre auszunehmen?
Danke & Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1944060124
Url: https://administrator.de/contentid/1944060124
Printed on: May 17, 2024 at 05:05 o'clock
9 Comments
Latest comment
Hi.
Ja, seit Win10 v1909 können einzelne IDs gesperrt oder ausgenommen werden. Schau die aktuellen GPos mal genauer an.
Ja, seit Win10 v1909 können einzelne IDs gesperrt oder ausgenommen werden. Schau die aktuellen GPos mal genauer an.
Ich kann die Wechseldatenträger Option deaktivieren, müsste dann aber sämtliche IDs wissen, die ich sperren will. Da kann natürlich schnell etwas durchrutschen. Der umgekehrte Weg ist mir nicht bekannt.
Guckst Du:
Wie klar wird, ist das nicht die Wechseldatenträger-GPO, sondern eine generellere Device-restriction-GPO.
Du müsstest also zwangsläufig umstricken, oder Du nimmst mein Konzept, wio die Freischaltung deutlich einfacher ist:
Bad-USB geskriptet abwehren (ab Windows 8)
Du müsstest also zwangsläufig umstricken, oder Du nimmst mein Konzept, wio die Freischaltung deutlich einfacher ist:
Bad-USB geskriptet abwehren (ab Windows 8)
Kombinieren lassen sich diese beiden Varianten vermutlich nicht? Also erst sperren per Userkonfiguration, Freigabe per Computerkonfiguration.
Nein, du musst auf die Device-restrictions (oder meinen Eigenbau) umschwenken, wenn Du das Erwünschte erreichen willst.
Dein Ansatz ist sehr interessant. Allerdings für meinen Fall glaube ich vom Aufwand her kaum umsetzbar. Ich müsste ja alle möglichen Geräteklassen bzw. Hardware-IDs zusammentragen (bei ~160 Rechnern kommt da ziemlich viel zusammen), um diese dann auf die Whitelist zu setzen. Denn Dein Script schaut ja eigentlich erst mal nur nach Tastatur-Geräten.
Schau doch an, was ich speziell für USB-Massenspeicher gemacht hatte: USB-Laufwerke sperren
Mein Problem an der Sache ist, dass ich Deinen Vorschlag sicherlich irgendwie umsetzen könnte. Aber ich würde mir eher eine Lösung wünschen, die dann auch jemand außer mir selbst nachvollziehen kann. Da kann ich noch so viel dokumentieren. Zudem sehe ich hier die Gefahr, dass vielleicht zu viele Geräte an der Installation gehindert werden könnten und dann ist das Geschrei in der Belegschaft groß. Vor allem, wenn dann gerade IT-seitig niemand im Haus sein sollte.
Es gab wohl im letzten August ein Windows Update, dass die GPO zur Installationserlaubnis noch mal erweitert, unter anderem werden speziellere Einstellungen vor anderen bevorzugt usw.
Im Grunde wäre es glaube ich fast besser, mit o.g. GPO die Installation aller Geräte zu erlauben (so ist es bei uns aktuell sowieso umgesetzt) und USB-Sticks, externe SSDs und Festplatten auszuschließen. Das war ja auch der eigentliche Plan. Denn wenn ich daran denke, wie viele Geräte von Hand freigegeben werden müssten bzw. deren GUID herauszufinden wären, wäre das eine wochenlange Aufgabe (verschiedenste Headsets, Mäuse, Tastaturen, Webcams, Logitech sowie Dell Bluetooth-Sender für Maus-/Tastatur-Kombis, Bluetooth Dongle). Außerdem soll eigentlich ein sehr kleiner Personenkreis weiterhin die Erlaubnis bekommen, auf USB-Sticks zugreifen zu können. Mit meiner eingangs genannten GPO konnte ich diese Ausnahmen nämlich wunderbar per Sicherheitsgruppe vornehmen. Da ist die GPO aber auch auf Benutzerebene integriert. Die GPO um alle Geräte zu verbieten wiederum nur auf Computerebene. Wenn ich dann aber wiederum einzelne Computer ausnehme, könnte sich an diesem Computer auch ein anderer Mitarbeiter anmelden und hätte dann wieder die Berechtigung für USB-Sticks...
Alles irgendwie nicht so optimal.
Es gab wohl im letzten August ein Windows Update, dass die GPO zur Installationserlaubnis noch mal erweitert, unter anderem werden speziellere Einstellungen vor anderen bevorzugt usw.
Im Grunde wäre es glaube ich fast besser, mit o.g. GPO die Installation aller Geräte zu erlauben (so ist es bei uns aktuell sowieso umgesetzt) und USB-Sticks, externe SSDs und Festplatten auszuschließen. Das war ja auch der eigentliche Plan. Denn wenn ich daran denke, wie viele Geräte von Hand freigegeben werden müssten bzw. deren GUID herauszufinden wären, wäre das eine wochenlange Aufgabe (verschiedenste Headsets, Mäuse, Tastaturen, Webcams, Logitech sowie Dell Bluetooth-Sender für Maus-/Tastatur-Kombis, Bluetooth Dongle). Außerdem soll eigentlich ein sehr kleiner Personenkreis weiterhin die Erlaubnis bekommen, auf USB-Sticks zugreifen zu können. Mit meiner eingangs genannten GPO konnte ich diese Ausnahmen nämlich wunderbar per Sicherheitsgruppe vornehmen. Da ist die GPO aber auch auf Benutzerebene integriert. Die GPO um alle Geräte zu verbieten wiederum nur auf Computerebene. Wenn ich dann aber wiederum einzelne Computer ausnehme, könnte sich an diesem Computer auch ein anderer Mitarbeiter anmelden und hätte dann wieder die Berechtigung für USB-Sticks...
Alles irgendwie nicht so optimal.
