USB-Port Administration
im Firmennetzwerk
Hallo,
ich suche im Moment ein Tool, was es Möglich macht die USB-Ports der User zu sperren, bzw. nur bestimmt Geräte zuzulassen. Dadurch soll verhindert werden, dass die User per USB- Stick o.ä. auf die Festplatte zugreifen.
Bis jetzt habe ich nur das Programm von WDW Consulting ausfindig machen können.
Ich suche allerdings noch weitere Tools zum Vergleich.
Hat jemand Erfahrungen auf dem Gebiet? Wäre über jeden Tipp dankbar.
Hallo,
ich suche im Moment ein Tool, was es Möglich macht die USB-Ports der User zu sperren, bzw. nur bestimmt Geräte zuzulassen. Dadurch soll verhindert werden, dass die User per USB- Stick o.ä. auf die Festplatte zugreifen.
Bis jetzt habe ich nur das Programm von WDW Consulting ausfindig machen können.
Ich suche allerdings noch weitere Tools zum Vergleich.
Hat jemand Erfahrungen auf dem Gebiet? Wäre über jeden Tipp dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 17281
Url: https://administrator.de/forum/usb-port-administration-17281.html
Ausgedruckt am: 24.12.2024 um 03:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
DeviceLock, http://www.devicelock.com
ist für Business Einsätze gut geeignet. Es gibt ebenfalls eine 30 Tage demo.
Die c't hatte auch mal einen netten Artikel mit einem Tool veröffentlicht, aber dieses Tool läßt sich durch geschickte Anwender austricksen.
mfg
DrOktagon
DeviceLock, http://www.devicelock.com
ist für Business Einsätze gut geeignet. Es gibt ebenfalls eine 30 Tage demo.
Die c't hatte auch mal einen netten Artikel mit einem Tool veröffentlicht, aber dieses Tool läßt sich durch geschickte Anwender austricksen.
mfg
DrOktagon
@12217:
Echt? In wie fern lässt sich das Überwachen der Registry-Keys überlisten? Wenn das Script als Dienst läuft und der User keine Admin-Rechte hat und am Script und der Konfiguration nichts ändern kann, sehe ich da keine Möglichekeit.
Ausserdem kann man verhindern dass User USB-Massenspeicher wie Festplatten und USB-Sticks anschliessen, indem man dem User SYSTEM die Rechte auf die Datei usbstor.inf entzieht (cacls %windir%\inf\usbstor.inf /D System /E). Dann kann das Betriebssystem den benötigten Treiber nicht mehr installieren wenn ein Gerät angestevkt wird.
Das geht aber nur, so lange der Treiber noch nicht installiert war. War schon mal ein Massenspeicher angesteckt, ist der Treiber schon installiert und das Ganze funktioniert nicht mehr.
Und noch was:
Um das speichern von der Festplatte auf einen USB Wechseldatenträger unter Windows XP mit SP2 zu unterbinden, muß man einen Registry Eingriff machen. Öffne den Schlüssel Hkey_Local_Machine/System/CurrentControlSet/Control/StorageDevicePolicies und erstelle einen DWORD Eintrag mit der Bezeichnung WriteProtect, als Wert wird eine 1 gesetzt. Sollte der Schlüssel StorageDevicePolicies nicht vorhanden sein, muß man ihn nur erstellen. Nach diesem Hack kann von dem Wechseldatenträger zwar noch gelesen werden, aber nicht mehr darauf geschrieben werden.
Und noch was hier aus dem Forum selbst:
USB Port sperren
Usb Stick sperren
Gruss,
Thomas
Echt? In wie fern lässt sich das Überwachen der Registry-Keys überlisten? Wenn das Script als Dienst läuft und der User keine Admin-Rechte hat und am Script und der Konfiguration nichts ändern kann, sehe ich da keine Möglichekeit.
Ausserdem kann man verhindern dass User USB-Massenspeicher wie Festplatten und USB-Sticks anschliessen, indem man dem User SYSTEM die Rechte auf die Datei usbstor.inf entzieht (cacls %windir%\inf\usbstor.inf /D System /E). Dann kann das Betriebssystem den benötigten Treiber nicht mehr installieren wenn ein Gerät angestevkt wird.
Das geht aber nur, so lange der Treiber noch nicht installiert war. War schon mal ein Massenspeicher angesteckt, ist der Treiber schon installiert und das Ganze funktioniert nicht mehr.
Und noch was:
Um das speichern von der Festplatte auf einen USB Wechseldatenträger unter Windows XP mit SP2 zu unterbinden, muß man einen Registry Eingriff machen. Öffne den Schlüssel Hkey_Local_Machine/System/CurrentControlSet/Control/StorageDevicePolicies und erstelle einen DWORD Eintrag mit der Bezeichnung WriteProtect, als Wert wird eine 1 gesetzt. Sollte der Schlüssel StorageDevicePolicies nicht vorhanden sein, muß man ihn nur erstellen. Nach diesem Hack kann von dem Wechseldatenträger zwar noch gelesen werden, aber nicht mehr darauf geschrieben werden.
Und noch was hier aus dem Forum selbst:
USB Port sperren
Usb Stick sperren
Gruss,
Thomas
@superboh: Du hast recht. Anwender mit normalen Berechtigungen können den USB-Wächter nicht deaktivieren.
Anmerkung von Gruppenrichtlinien.de zum c't USB-Wächter:
"Der USB Wächter ist eine "Fummel und Bastellösung" von der c´t http://www.heise.de/ct/ftp/03/08/190/
Die Leute von der c´t haben ein VB Script geschrieben, daß die Geräte der USB Schnittstelle überwacht. Das Script läuft im Hintergrund und entscheidet anhand einer .cfg Datei über die zugelassenen Geräte. Zum Thema Sicherheit sei nur soviel gesagt: Einen Prozess zu killen ist wohl eine der leichtesten Übungen ..."
mfg
DrOktagon
Anmerkung von Gruppenrichtlinien.de zum c't USB-Wächter:
"Der USB Wächter ist eine "Fummel und Bastellösung" von der c´t http://www.heise.de/ct/ftp/03/08/190/
Die Leute von der c´t haben ein VB Script geschrieben, daß die Geräte der USB Schnittstelle überwacht. Das Script läuft im Hintergrund und entscheidet anhand einer .cfg Datei über die zugelassenen Geräte. Zum Thema Sicherheit sei nur soviel gesagt: Einen Prozess zu killen ist wohl eine der leichtesten Übungen ..."
mfg
DrOktagon
Also, ich bevorzuge auch das, was superboh schon beschrieben hat. Der Weg über usbstor.inf ist der einfachste und ohne zusätzliche Software zu bewerkstelligen.
Als Ergänzung möchte ich noch anmerken, dass es auch geht, wenn schon ein USB-Stick installiert wurde. In diesem Fall als Admin anmelden, USB-Stick einstecken und deinstallieren. Danach die USBSTOR.SYS im %systemroot%\System32\drivers-Verzeichnis löschen und wie von superboh beschrieben, die Rechte auf die Datei USBSTOR.INF im %systemroot%\inf-Verzeichnis beschränken.
Nur eines musst Du dabei beachten. Wenn Du als Admin, aus welchen Gründen auch immer, auf diesem Rechner wieder einen USB-Stick nutzt, ist dieser auch für den User wieder nutzbar, da Du den USBSTOR-Treiber wieder installiert hast.
Als Ergänzung möchte ich noch anmerken, dass es auch geht, wenn schon ein USB-Stick installiert wurde. In diesem Fall als Admin anmelden, USB-Stick einstecken und deinstallieren. Danach die USBSTOR.SYS im %systemroot%\System32\drivers-Verzeichnis löschen und wie von superboh beschrieben, die Rechte auf die Datei USBSTOR.INF im %systemroot%\inf-Verzeichnis beschränken.
Nur eines musst Du dabei beachten. Wenn Du als Admin, aus welchen Gründen auch immer, auf diesem Rechner wieder einen USB-Stick nutzt, ist dieser auch für den User wieder nutzbar, da Du den USBSTOR-Treiber wieder installiert hast.
Hört sich gut und einfach an, allerdings
will ich die Nutzung nicht voll verbieten,
sondern manchen Benutzer die Funktion offen
lassen.
Ich suche also ein Tool, mit dem ich gezielt
vom Server einen Überblick über die
USB-Ports bekomme und diese einzeln verwalten
kann.
Mehrere Programme hab ich schon gefunden,
allerdings würd ich gern wissen welche
empfehlenswert sind:
Programm Hersteller
USB-Port Admi WDW
USB Protector Prosoft
Device Lock Smart Line
Drive Lock Center Tools
USB Blocker netinfoline
USB Security WinIccm
Vielen Dank für die ersten Tipps!
will ich die Nutzung nicht voll verbieten,
sondern manchen Benutzer die Funktion offen
lassen.
Ich suche also ein Tool, mit dem ich gezielt
vom Server einen Überblick über die
USB-Ports bekomme und diese einzeln verwalten
kann.
Mehrere Programme hab ich schon gefunden,
allerdings würd ich gern wissen welche
empfehlenswert sind:
Programm Hersteller
USB-Port Admi WDW
USB Protector Prosoft
Device Lock Smart Line
Drive Lock Center Tools
USB Blocker netinfoline
USB Security WinIccm
Vielen Dank für die ersten Tipps!
Du hast da noch ein sehr gutes Tool vergessen.
Den "USB Blocker" der Fa. iSM, sperrt interene und exteren Geräte auf Basis der Gruppenrichtlinien vom ADS und NDS. http://www.secu-sys.de
Gruß,
Jörg