USB-Laufwerke sperren
Hallo zusammen,
ich habe hier schon viele Fragen dazu gesehen und habe mir auch schon einige Lösungen angesehen aber nicht gefunden, wie ich die USB-Laufwerke mit Hilfe einer Batchdatei sperren kann.
Vielleicht suche ich falsch oder mir kann jemand helfen?
ich habe hier schon viele Fragen dazu gesehen und habe mir auch schon einige Lösungen angesehen aber nicht gefunden, wie ich die USB-Laufwerke mit Hilfe einer Batchdatei sperren kann.
Vielleicht suche ich falsch oder mir kann jemand helfen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 243241
Url: https://administrator.de/forum/usb-laufwerke-sperren-243241.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
31 Kommentare
Neuester Kommentar
Hi @DerWoWusste,
ich würde mir das gern mal anschauen. Klingt gut.
Du lässt also nur Devices (egal ob USB-Stick etc.) zu, die in der Whitelist sind, korrekt?
Gruß
ich würde mir das gern mal anschauen. Klingt gut.
Du lässt also nur Devices (egal ob USB-Stick etc.) zu, die in der Whitelist sind, korrekt?
Gruß
Hi @DerWoWusste,
Gruß,
Dani
Ich habe vor wenigen Tagen etwas umgesetzt, was mit Events arbeitet.
Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Hört sich gut an... Bekunde Interesse!Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Gruß,
Dani
Du genießt es richtig uns auf die Folter zu spannen, oder?
Grüße,
Philip
Zunächst zu killtecs Frage nach dem Ansatz: wir wollen hier nur bestimmte Sticks sehen und Smartphones komplett verbieten. Andere Geräte werden nicht eingeschränkt - ich hatte auch das mal versucht und kann nur sagen: Microsoft's GPO-Konzept dazu ist selbst mit 8.1/2012R2 erst halb gar. Ich will da aber nicht näher ins Detail gehen.
Realisiert ist es so: es wurden zwei geplante Tasks verteilt, einer "gegen" Smartphones und einer gegen USB-Sticks. Diese arbeiten mit der devcon.exe http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ... in der Version 6.1.7600.16385. Wichtig: eine Version pro Architektur, die 32er-Version läuft zwar auf 64-Bit, aber fehlerhaft!
Schritt 1: devcon.exe verteilen per GPO nach c:\windows
2: 2 Tasks (Phones und Sticks) per GPO verteilen.
--
Phones: Tasktrigger bei Event, und zwar:
Log: Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Aktion: lokale Batch mit
Executor: System
Edit: Nebenwirkungen und neuer Workaround siehe Sperrung von WPD Devices - Folge: IPhones nicht mehr über USB aufladbar
--
Sticks: Tasktrigger bei Event, und zwar: Log: Microsoft-Windows-Kernel-PnP/Device, Source: Kernel-PnP, EventID: 410
Aktion: lokale Batch mit
Executor: System
Das war's auch schon. In der allowlist.txt stehen bei uns bestimmte Klassen von Sticks (Hersteller: sandisk, Modell Cruzer Orbit) drin, man kann aber sogar Einzelgeräte bis zur Seriennummer damit verbieten, wenn man es weiter anpasst. Beispieleintrag: (Dies ist die Hardware-ID, erste Zeile).
Die Batches lasse ich auch per GPO nach c:\windows verteilen.
Limitierungen:
1 lokale Admins können Tasks abschalten, also solltet Ihr diese ggf. überwachen, ebenso die Batches und devcon, wenn es wasserdicht sein muss und ihr Leute mit Adminrechten ausstattet, denen nicht zu trauen ist
2 Card Reader sind damit noch nicht abgedeckt (war hier keine Anforderung)
Getestet auf win8.1 x64/x86
Realisiert ist es so: es wurden zwei geplante Tasks verteilt, einer "gegen" Smartphones und einer gegen USB-Sticks. Diese arbeiten mit der devcon.exe http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ... in der Version 6.1.7600.16385. Wichtig: eine Version pro Architektur, die 32er-Version läuft zwar auf 64-Bit, aber fehlerhaft!
Schritt 1: devcon.exe verteilen per GPO nach c:\windows
2: 2 Tasks (Phones und Sticks) per GPO verteilen.
--
Phones: Tasktrigger bei Event, und zwar:
Log: Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Aktion: lokale Batch mit
for /f "tokens=1 delims=:, " %%a in ('devcon listclass wpd') do devcon.exe remove "@%%a"
Edit: Nebenwirkungen und neuer Workaround siehe Sperrung von WPD Devices - Folge: IPhones nicht mehr über USB aufladbar
--
Sticks: Tasktrigger bei Event, und zwar: Log: Microsoft-Windows-Kernel-PnP/Device, Source: Kernel-PnP, EventID: 410
Aktion: lokale Batch mit
xcopy \\server\share\allowlist.txt c:\windows\ /y
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
devcon.exe findall * |findstr /c:"Generic Flash Disk USB Device" >>%temp%\usb.txt
del %temp%\usb2.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb2.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"
Das war's auch schon. In der allowlist.txt stehen bei uns bestimmte Klassen von Sticks (Hersteller: sandisk, Modell Cruzer Orbit) drin, man kann aber sogar Einzelgeräte bis zur Seriennummer damit verbieten, wenn man es weiter anpasst. Beispieleintrag:
USBSTOR\DiskSanDisk_Cruzer_Orbit____1.26
Die Batches lasse ich auch per GPO nach c:\windows verteilen.
Limitierungen:
1 lokale Admins können Tasks abschalten, also solltet Ihr diese ggf. überwachen, ebenso die Batches und devcon, wenn es wasserdicht sein muss und ihr Leute mit Adminrechten ausstattet, denen nicht zu trauen ist
2 Card Reader sind damit noch nicht abgedeckt (war hier keine Anforderung)
Getestet auf win8.1 x64/x86
Ok, dann fehlen Dir aber echte Grundlagen von GPOs und in dem Fall ist diese Aufgabe vielleicht auch zu groß für Dich. Verteilen kannst Du mittels group policy preferences http://technet.microsoft.com/en-us/library/cc772536.aspx - Auch Tasks verteilt man damit.
Hi!
Die Frage ist doch, ob Du GPOs in deinem Falle überhaupt brauchst? GPOs werden nur im Netzwerk verwendet. Handelt es sich um einen einzelnen Rechner oder nur um eine kleine Arbeitsgruppe, kannst Du das Thema GPOs gleich mal abhaken und dann den Rat von Kollege @aqui beherzigen und alles manuell (also von Hand) machen....
Dann ist noch wichtig, wie es der Kollege DWW ja schon schreibt, ob auf dem Rechner die Benutzerrechte eingeschränkt sind. Denn wenn alle User Adminrechte haben, kannst Du dir das Thema komplett sparen. Ein User mit Adminrechten darf alles, auch Batchdateien löschen, die, wie in dem Fall, fürs deinstallieren von USB-Sticks eingerichtet wurden. Ist die Batchdatei weg, ist auch die "Sperre" weg. Du musst also erst mal den oder die PCs so einrichten, dass die User nicht mehr alles machen dürfen, ansonsten wäre dein Thema "USB Sticks sperren" gleich komplett gegessen, zumindest per Batch...
mrtux
Die Frage ist doch, ob Du GPOs in deinem Falle überhaupt brauchst? GPOs werden nur im Netzwerk verwendet. Handelt es sich um einen einzelnen Rechner oder nur um eine kleine Arbeitsgruppe, kannst Du das Thema GPOs gleich mal abhaken und dann den Rat von Kollege @aqui beherzigen und alles manuell (also von Hand) machen....
Dann ist noch wichtig, wie es der Kollege DWW ja schon schreibt, ob auf dem Rechner die Benutzerrechte eingeschränkt sind. Denn wenn alle User Adminrechte haben, kannst Du dir das Thema komplett sparen. Ein User mit Adminrechten darf alles, auch Batchdateien löschen, die, wie in dem Fall, fürs deinstallieren von USB-Sticks eingerichtet wurden. Ist die Batchdatei weg, ist auch die "Sperre" weg. Du musst also erst mal den oder die PCs so einrichten, dass die User nicht mehr alles machen dürfen, ansonsten wäre dein Thema "USB Sticks sperren" gleich komplett gegessen, zumindest per Batch...
mrtux
Und wenn es mal nicht funktioniert oder es Probleme gibt steht man alleine da...
Zudem kann DriveLock mehr und ist sehr durchdacht...
z.B. Zeitbegrenzte Freigabe von geblockten Anschlüssen/Laufwerken per Klick (für Rechner die sich im Netz befinden) oder per Freischaltcode (für Rechner die unterwegs sind).
Erstellen von verschlüsselten USB-Sticks...
Usw....
Zudem kann DriveLock mehr und ist sehr durchdacht...
z.B. Zeitbegrenzte Freigabe von geblockten Anschlüssen/Laufwerken per Klick (für Rechner die sich im Netz befinden) oder per Freischaltcode (für Rechner die unterwegs sind).
Erstellen von verschlüsselten USB-Sticks...
Usw....
Achtung: an alle, die evtl. mein Skript mochten und einsetzen... mir ist gerade eine Unschönheit aufgefallen, die durchaus ein Problem darstellt.
Ich habe nun im zweiten Codeblock Zeile 3 hinzugefügt: del %temp%\usb2.txt
Ohne diese Zeile wächst die usb2.txt stetig an... und irgendwann ist die Performance so schlecht, dass die Löschung des angesteckten Sticks (und damit das Deaktivieren des selbigen) nicht mehr sofort, sondern erst nach einigen Sekunden erfolgt... das wollen wir nicht
Ich habe nun im zweiten Codeblock Zeile 3 hinzugefügt: del %temp%\usb2.txt
Ohne diese Zeile wächst die usb2.txt stetig an... und irgendwann ist die Performance so schlecht, dass die Löschung des angesteckten Sticks (und damit das Deaktivieren des selbigen) nicht mehr sofort, sondern erst nach einigen Sekunden erfolgt... das wollen wir nicht
Guten Tag, ich bin ganz neu hier, ich fürchte, mir ist ein Fehler bei der Positionierung meiner Frage passiert. Hab sie irrtümlich bei der Reiter WISSEN gestellt. Bitte um Korrektur und die Annahme meiner Entschuldigung.
Zu meiner Frage:
Diese Umsetzung und Idee findet ich höchst interessant. Ich versuche diese Schritte nachzuvollziehen, mit dem Ziel, event-triggering in anderen Situationen einzusetzen. Hab mich schon durch einige Artikel gelesen und kann der Logik des Aufbaus prinzipiell folgen. Nur:
ich scheitere bisher an den Triggern: z.B. Trigger: Tasktrigger bei Event und zwar Log: Microsoft-Windows-Kernel-PnP/Device Configuration, Source: Kernel-PnP, Event ID:410.
Oder:
Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Ich kann diese Logeinträge nicht finden. Ich habe dann versucht, in den Logs die eventIDs von connect/disconnect eines USB devices zu finden. Ebenfalls ohne Erfolg, scheinen für Win 7 professional keine eindeutigen Events zu sein.
Wenn man (ihr ) mir hier ein klein wenig auf die Sprünge helfen würdest, wär das sehr fein. Ich hoff, die Frage ist nicht allzu blöd.
grüsse
micmac
Zu meiner Frage:
Diese Umsetzung und Idee findet ich höchst interessant. Ich versuche diese Schritte nachzuvollziehen, mit dem Ziel, event-triggering in anderen Situationen einzusetzen. Hab mich schon durch einige Artikel gelesen und kann der Logik des Aufbaus prinzipiell folgen. Nur:
ich scheitere bisher an den Triggern: z.B. Trigger: Tasktrigger bei Event und zwar Log: Microsoft-Windows-Kernel-PnP/Device Configuration, Source: Kernel-PnP, Event ID:410.
Oder:
Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Ich kann diese Logeinträge nicht finden. Ich habe dann versucht, in den Logs die eventIDs von connect/disconnect eines USB devices zu finden. Ebenfalls ohne Erfolg, scheinen für Win 7 professional keine eindeutigen Events zu sein.
Wenn man (ihr ) mir hier ein klein wenig auf die Sprünge helfen würdest, wär das sehr fein. Ich hoff, die Frage ist nicht allzu blöd.
grüsse
micmac
Siehe heutige Antwort hier: Bad-USB geskriptet abwehren (ab Windows 8)