14
Nur bestimmte USB-Sticks im Netzwerk erlauben
Hi,
ich möchte in einem Windows Domänen Netzwerk alle USB-Stick sperren.
Nur von der Firma ausgegebene USB Sticks sollen funktionieren - diese aber an allen Rechnern im Netzwerk.
Soweit ich weiß geht das über die ID der "besseren" USB-Sticks.
Es geht darum das niemand einen privaten USB Stick nutzen kann, sondern nur die von der Firma ausgegebenen.
Ich wollte nun einmal wissen was die beste Lösung dafür ist?
Am liebsten wäre es mir, wenn ich über die GPO's alle USB-Sticks sperren könnte (das geht ja) und dann über eine weitere GPO spezielle USB-Sticks wieder erlaube (in die GPO werden dann z.Bsp. die Stick IDs eingetragen?).
ich möchte in einem Windows Domänen Netzwerk alle USB-Stick sperren.
Nur von der Firma ausgegebene USB Sticks sollen funktionieren - diese aber an allen Rechnern im Netzwerk.
Soweit ich weiß geht das über die ID der "besseren" USB-Sticks.
Es geht darum das niemand einen privaten USB Stick nutzen kann, sondern nur die von der Firma ausgegebenen.
Ich wollte nun einmal wissen was die beste Lösung dafür ist?
Am liebsten wäre es mir, wenn ich über die GPO's alle USB-Sticks sperren könnte (das geht ja) und dann über eine weitere GPO spezielle USB-Sticks wieder erlaube (in die GPO werden dann z.Bsp. die Stick IDs eingetragen?).
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1682821735
Url: https://administrator.de/contentid/1682821735
Printed on: April 20, 2024 at 00:04 o'clock
14 Comments
Latest comment
Seit win10 v1903 kannst du genau das beides per GPO machen. Whitelisting einzelner IDs. Teste es mal aus.
Alternativ habe ich zwei Vorschläge, aber teste doch erst einmal den vorgesehenen Weg.
Alternativ habe ich zwei Vorschläge, aber teste doch erst einmal den vorgesehenen Weg.
Je nach AV Produkt, kannst du es auch darüber machen. ESET bspw. kann auch Chargen oder Hersteller whitelisten.
Ansonsten über GPOs möglich, wie der Kollege schon schrieb.
Ansonsten über GPOs möglich, wie der Kollege schon schrieb.
Moin,
dein Gedanke ist nachvollziehbar. Wir haben ebenfalls alle USB-Sticks an allen Rechner mit einigen Ausnahmen gesperrt. Die Ausnahmen sind die Admin-Rechner, die die USB-Sticks dann händisch erstmal scannen bevor da was drüber kopiert wird.
Wir haben künftig auch den Bedarf, dass innerhalb des Netzwerkes USB-Sticks funktionieren sollen, aber noch keine geeignete Lösung gefunden. Klar, ich kann wie @DerWoWusste schreibt die einzelnen IDs whitelisten, aber da kommen wir dann zum nächsten Problem:
Ich drücke Kollege A den USB Stick in die Hand, den er dann nutzen soll um zwischen Rechner 1 und Rechner 2 (nicht im Netzwerk, da Produktion) Daten zu kopieren. Kollege A nimmt nun aber den USB-Stick mit nach hause um sich ein neues Hintergrundbild auf seinen Rechner zu kopieren und schwubs wandert die Malware von seinem Privatrechner ins Firmennetzwerk.
Daher habe ich für mich diese Option wieder verworfen, aber auch keine für mich akzeptable Lösung gefunden.
Gruß
Doskias
dein Gedanke ist nachvollziehbar. Wir haben ebenfalls alle USB-Sticks an allen Rechner mit einigen Ausnahmen gesperrt. Die Ausnahmen sind die Admin-Rechner, die die USB-Sticks dann händisch erstmal scannen bevor da was drüber kopiert wird.
Wir haben künftig auch den Bedarf, dass innerhalb des Netzwerkes USB-Sticks funktionieren sollen, aber noch keine geeignete Lösung gefunden. Klar, ich kann wie @DerWoWusste schreibt die einzelnen IDs whitelisten, aber da kommen wir dann zum nächsten Problem:
Ich drücke Kollege A den USB Stick in die Hand, den er dann nutzen soll um zwischen Rechner 1 und Rechner 2 (nicht im Netzwerk, da Produktion) Daten zu kopieren. Kollege A nimmt nun aber den USB-Stick mit nach hause um sich ein neues Hintergrundbild auf seinen Rechner zu kopieren und schwubs wandert die Malware von seinem Privatrechner ins Firmennetzwerk.
Daher habe ich für mich diese Option wieder verworfen, aber auch keine für mich akzeptable Lösung gefunden.
Gruß
Doskias
@Doskias
Wenn man erreichen will, dass die Sticks nur in der Firma genutzt werden können (zu Hause unter keinen Umständen funktionieren, sondern nur auf Domänen-PCs), dann geht das nur mittels Bitlocker: USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Wenn man erreichen will, dass die Sticks nur in der Firma genutzt werden können (zu Hause unter keinen Umständen funktionieren, sondern nur auf Domänen-PCs), dann geht das nur mittels Bitlocker: USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Danke das hab ich letztes Jahr auch gelesen, aber so einfach ist das leider nicht. Will hier jetzt nicht zu viel schreiben, weil ich sonst das Thema übernehme. Ggf. mache ich später (oder im Laufe der Jahre) noch ein eigenes Topic auf oder wir PN untereinander. Ich wollte mit dem meinem Post nur darauf hinweisen, dass der Firmen-Stick auch außerhalb der Firma genutzt werden kann. Deine Lösung scheint mir da für den TO besser geeignet als die GPO Freigabe der einzelnen IDs.
Für mich ich das leider nicht geeignet, da die USB-Sticks in der Domain zwar funktionieren sollen, aber gleichzeitig auch auf Produktionsrechner, die nicht in der Domäne/Netzwerk sind, nicht aber auf den Privatrechnern der Anwender zuhause.
Für mich ich das leider nicht geeignet, da die USB-Sticks in der Domain zwar funktionieren sollen, aber gleichzeitig auch auf Produktionsrechner, die nicht in der Domäne/Netzwerk sind, nicht aber auf den Privatrechnern der Anwender zuhause.
Zitat von @DerWoWusste:
@Doskias
Wenn man erreichen will, dass die Sticks nur in der Firma genutzt werden können (zu Hause unter keinen Umständen funktionieren, sondern nur auf Domänen-PCs), dann geht das nur mittels Bitlocker: USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
@Doskias
Wenn man erreichen will, dass die Sticks nur in der Firma genutzt werden können (zu Hause unter keinen Umständen funktionieren, sondern nur auf Domänen-PCs), dann geht das nur mittels Bitlocker: USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Wegen Krankheit konnte ich mich nicht vorher melden.
Erstmal danke für die Antworten.
Ich denke die Lösung mit Bitlocker gefällt mir am besten.
Dazu aber noch eine Frage:
Kann ich das auch mischen?
Also z.Bsp.:
8 x Sticks die mit Bitlocker verschlüsselt sind und an allen Clients in der Domäne funktionieren, sonst aber nirgendwo.
2 x Stick die nicht verschlüsselt sind, auf allen Clients in der Domäne funktionieren und auch an anderen "fremden" PC's
Ansonsten darf an den Clients in der Domäne kein USB Stick funktionieren, nur die 10 x Sticks von oben. Auch Smartphone-Massenspeicher sollen gesperrt sein.
Nein, das kannst Du nicht mischen, wenn Du meinem Vorschlag folgst. Verschlüsselung wird dabei ja überall erzwungen. Du könntest allenfalls einigen Nutzern erlauben, noch ein Kennwort zu setzen, um so den Stick außerhalb der Domäne an Windowsrechnern nutzen zu können.
Sobald Du einige PCs von der Regelung ausnimmst (man kann nicht einzelne Sticks ausnehmen, sondern nur einzelne PCs), hast Du vermutlich nicht das erreicht, was Du willst.
Warum willst Du denn unverschlüsselte Sticks haben? Davon würde ich abraten.
Wenn es zufällig dabei darum geht, dass diese auf Mac oder Linux lesbar sein sollen: es gibt auch Verschlüsselungen, die überall funktionieren - mir fällt da diese ein: https://www.withopf.com/tools/securstick/
Sobald Du einige PCs von der Regelung ausnimmst (man kann nicht einzelne Sticks ausnehmen, sondern nur einzelne PCs), hast Du vermutlich nicht das erreicht, was Du willst.
Warum willst Du denn unverschlüsselte Sticks haben? Davon würde ich abraten.
Wenn es zufällig dabei darum geht, dass diese auf Mac oder Linux lesbar sein sollen: es gibt auch Verschlüsselungen, die überall funktionieren - mir fällt da diese ein: https://www.withopf.com/tools/securstick/
Ich brauche unverschlüsselte Sticks, weil dort Firmware Dateien aufgespielt werden, welche dann an einem "fremden" PC aufgespielt werden sollen.
Was gäbe es da sonst für eine Lösung?
Was gäbe es da sonst für eine Lösung?
Natürlich kannst du den Rechner, der die Sticks mit Firmware bespielt davon ausnehmen, es sei denn, das ist immer ein anderer.
Hallo,
es gibt eine Firma "Schwabenstick" die bieten USB Sticks mit Parametern nach Wahl an. Also PID, VID, Seriennummer und andere.
Hab mich wegen diesem Kommentar extra registriert, da ich finde das dies ein Thema ist, dass auch andere interessiert.
Gruß
Fawiko
es gibt eine Firma "Schwabenstick" die bieten USB Sticks mit Parametern nach Wahl an. Also PID, VID, Seriennummer und andere.
Hab mich wegen diesem Kommentar extra registriert, da ich finde das dies ein Thema ist, dass auch andere interessiert.
Gruß
Fawiko
Hallo zusammen,
ich greife das Thema nochmal auf weil wir genau das Szenario wie anfangs beschrieben haben.
Das Problem ist das die ADMX folgendes hergeben, siehe Bild, daher entweder whitelisten über Device-ID oder komplett auf alle Wechselmedien anwenden, ohne Ausnahme, siehe folgenden Text aus einem Heise-Artikel:
"Leider lassen sich die Einstellungen für einzelne Geräteklassen und die pauschale Blockierung von Wechselmedien nicht kombinieren. Daher ist es auch nicht möglich, den Zugriff generell zu unterbinden und anschließend etwa das Lesen für ausgewählte Gerätetypen zu erlauben.
Aktiviert man die Einstellung zum Sperren aller Wechselmedien, dann überlagert sie sämtliche spezifischen Konfigurationen."
Frage, wie kann ich das bewerkstelligen USB-Sticks generell zu verbieten jedoch ein bestimmtes Modell eines bestimmten Herstellers zuzulassen, weiter sollen andere USB-Geräte weiter nutzbar sein.
Danke im Voraus
ich greife das Thema nochmal auf weil wir genau das Szenario wie anfangs beschrieben haben.
Das Problem ist das die ADMX folgendes hergeben, siehe Bild, daher entweder whitelisten über Device-ID oder komplett auf alle Wechselmedien anwenden, ohne Ausnahme, siehe folgenden Text aus einem Heise-Artikel:
"Leider lassen sich die Einstellungen für einzelne Geräteklassen und die pauschale Blockierung von Wechselmedien nicht kombinieren. Daher ist es auch nicht möglich, den Zugriff generell zu unterbinden und anschließend etwa das Lesen für ausgewählte Gerätetypen zu erlauben.
Aktiviert man die Einstellung zum Sperren aller Wechselmedien, dann überlagert sie sämtliche spezifischen Konfigurationen."
Frage, wie kann ich das bewerkstelligen USB-Sticks generell zu verbieten jedoch ein bestimmtes Modell eines bestimmten Herstellers zuzulassen, weiter sollen andere USB-Geräte weiter nutzbar sein.
Danke im Voraus
Nimm doch meine geskriptete Lösung: Bad-USB geskriptet abwehren (ab Windows 8)
ich möchte USB-Geräte generell zulassen und nur die USB-Sticks auf ein bestimmtes modell einschränken
...ja... und was willst Du damit ausdrücken? Das kann meine Lösung.
