26
USB Ports Sperren
Hallo leibes Administrator Forum,
suche eine Möglichkeit USB Ports zu Sperren ohne Externe Software.
Windows 8.1 und Server 2012 sind im Einsatz bei uns.
Die GPO wo man Wechseldatenträger verweigert erfüllt leider nicht ganz den Zweck da bei uns ein paar Arbeitsplätze lokale Dongel besitzen.
Am besten wäre es wenn ich sage:
Version 1:
Maus: ok
Tastatur: ok
und unsere 6 Dongel in eine Withelist nehme und sage ok:
Version 2:
oder kann man einem Rechner beibringen das PC-A 2 aktive USB Ports hat (da wären Maus Tastatur angeschlossen) PC-b hat 3 aktive (maus tastatur Dongel) und der rest der Ports deaktiviert.
(Könnte mir vorstellen das Version 2 Irgendwie mit Registry einträgen zu bewerkstelligen wäre =) oder? müss keine GPO sein kann dass auch als Turnschuh admin machen
)
Ich hoffe meine Frage ist verständlich leider wird hier im Forum immer nur über drittsoftwareanbieter geredet hoffe es gibt auch einen Windows weg.
MFG
Blindzerokiller
suche eine Möglichkeit USB Ports zu Sperren ohne Externe Software.
Windows 8.1 und Server 2012 sind im Einsatz bei uns.
Die GPO wo man Wechseldatenträger verweigert erfüllt leider nicht ganz den Zweck da bei uns ein paar Arbeitsplätze lokale Dongel besitzen.
Am besten wäre es wenn ich sage:
Version 1:
Maus: ok
Tastatur: ok
und unsere 6 Dongel in eine Withelist nehme und sage ok:
Version 2:
oder kann man einem Rechner beibringen das PC-A 2 aktive USB Ports hat (da wären Maus Tastatur angeschlossen) PC-b hat 3 aktive (maus tastatur Dongel) und der rest der Ports deaktiviert.
(Könnte mir vorstellen das Version 2 Irgendwie mit Registry einträgen zu bewerkstelligen wäre =) oder? müss keine GPO sein kann dass auch als Turnschuh admin machen
)Ich hoffe meine Frage ist verständlich leider wird hier im Forum immer nur über drittsoftwareanbieter geredet hoffe es gibt auch einen Windows weg.
MFG
Blindzerokiller
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263627
Url: https://administrator.de/contentid/263627
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
26 Kommentare
Neuester Kommentar
Hi Blindzerokiller,
mir ist keine Funktion in Windows bekannt, die deinen Wunsch erfüllt (Sperren von USB-Geräten mit Whitelist für bestimmte Geräte).
Wenn ihr jedoch eine Security-Lösung einsetzt, kann es durchaus sein, dass diese solche eine Funktion anbietet, bspw. Geräte- und Anwnedungskontrolle bei Symantec Endpointprotection.
mir ist keine Funktion in Windows bekannt, die deinen Wunsch erfüllt (Sperren von USB-Geräten mit Whitelist für bestimmte Geräte).
Wenn ihr jedoch eine Security-Lösung einsetzt, kann es durchaus sein, dass diese solche eine Funktion anbietet, bspw. Geräte- und Anwnedungskontrolle bei Symantec Endpointprotection.
Moin.
Schau Dir mal das an: USB-Laufwerke sperren
Schau Dir mal das an: USB-Laufwerke sperren
#Webfuchs das hab ich mir leider schon angeschaut würde die GPO gerne benutzen wenn ich hier USB Dongels in eine Withelist eintragen könnte
#DerWoWusste danke das werd ich mal testen
würde die GPO gerne benutzen wenn ich hier USB Dongels in eine Withelist eintragen könnte #DerWoWusste danke das werd ich mal testen
Hey DerWoWusste,
ich habe das ganze mal getestet leider bringt es bei mir nicht den gewünschten erfolg wahrscheinlich ist noch eine Einstellung falsch.
Ich habe das ganze erstmal lokal an einem Rechner gemacht
Einfache Aufgabe erstellen:
Bei Protokollierung eines bestimmten Ereignisses
Protokoll: Microsoft-Windows-WPD-MTPClassDriver/Betriebsbereit
Quelle: WPD-MTPClassDriver
Ereignis-ID: 1000
-> Programm starten
Skript unter windows Phones.bat
Benutzer der es ausführt ist unser Domain\Administrator
Executer: System?
Meinst du damit den Benutzer System?
Mit Administrator läuft die aufgabe durch aber leider ist der Zugriff auf mein Iphone trotzdem möglich?
War vor der aufgabe dort schon installiert ist dies der Grund dafür?
Devcon und batch sind im Windowsordner
wo sieht man welche devcon version man benutzt
Windows Ordner ist aber nicht system32 darunter gemeint oder?
Ich teste gleich noch den Stick vill klappts da gleich auf anhieb
Mit freundlichen grüßen
Joey
ich habe das ganze mal getestet leider bringt es bei mir nicht den gewünschten erfolg wahrscheinlich ist noch eine Einstellung falsch.
Ich habe das ganze erstmal lokal an einem Rechner gemacht
Einfache Aufgabe erstellen:
Bei Protokollierung eines bestimmten Ereignisses
Protokoll: Microsoft-Windows-WPD-MTPClassDriver/Betriebsbereit
Quelle: WPD-MTPClassDriver
Ereignis-ID: 1000
-> Programm starten
Skript unter windows Phones.bat
Benutzer der es ausführt ist unser Domain\Administrator
Executer: System?
Meinst du damit den Benutzer System?
Mit Administrator läuft die aufgabe durch aber leider ist der Zugriff auf mein Iphone trotzdem möglich?
War vor der aufgabe dort schon installiert ist dies der Grund dafür?
Devcon und batch sind im Windowsordner
wo sieht man welche devcon version man benutzt
Windows Ordner ist aber nicht system32 darunter gemeint oder?
Ich teste gleich noch den Stick
vill klappts da gleich auf anhiebMit freundlichen grüßen
Joey
Mit Executor habe ich das ausführende Konto gemeint. Trag dort System ein, auf gar keinen Fall nutzt man hier den Domänenadmin.
Okay hab ich gemacht, danke schonmal für die schnelle Antwort.
Leider habe ich immernoch zugriff auf usb stick / usb festplatten (ich stecke die geräte immer ab bei einer änderung dann änder ich den task und danach steck ich Sie wieder an )
Mit höchsten Privilegien ausführen muss dies angehakt sein ?
Leider habe ich immernoch zugriff auf usb stick / usb festplatten (ich stecke die geräte immer ab bei einer änderung dann änder ich den task und danach steck ich Sie wieder an )
Mit höchsten Privilegien ausführen muss dies angehakt sein ?
Mit höchsten Privilegien ausführen muss dies angehakt sein ?
Nein, nicht, wenn man System nutzt, denn dieses hat automatisch höchste Privilegien. Bei anderen Adminkonten müsste es angehakt sein.Schau bitte mal, ob der Task überhaupt anläuft, bzw, was passiert, wenn Du ihn von Hand startest.
Ah okay danke für die Erklärung
Wenn ich ihn von Hand starte kommt
Wird ausgeführt:
Prozess für erstellte Aufgabe
die Aufgrabe wurde gestartet
die Aktion wurde gestartet
Die Aufgabe wurde vom Benutzer ausgelöst
Aktion abgeschlossen
Aufgabe abgeschlossen (erfolgreich fertiggestellt)
Wenn ich einen Stick anschließe kommt:
Die Aufgabe wurde durch ein Ereigniss ausgelöst (3 mal)
Prozess für erstellte Aufgabe
Die Aufgabe wurde gestartet
Die Aktion wurde gestartet
Warnung die Startanforderung wurde ignoriert. die Instanz wurd bereits ausgeführt.
-> Allgemein: die Aufgabenplaung hat die Aufgabe \Flashsticks nicht gestartet weil die Instanz "...." de gleichen Aufgabe bereits ausgeführt wird
Diese Warnung kommt noch 2 mal (denke mal weil er 3 mal gestartet hat warnt er 2 mal)
Aktion abgeschlossen
Aufgabe abgeschlossen
danke für die ErklärungWenn ich ihn von Hand starte kommt
Wird ausgeführt:
Prozess für erstellte Aufgabe
die Aufgrabe wurde gestartet
die Aktion wurde gestartet
Die Aufgabe wurde vom Benutzer ausgelöst
Aktion abgeschlossen
Aufgabe abgeschlossen (erfolgreich fertiggestellt)
Wenn ich einen Stick anschließe kommt:
Die Aufgabe wurde durch ein Ereigniss ausgelöst (3 mal)
Prozess für erstellte Aufgabe
Die Aufgabe wurde gestartet
Die Aktion wurde gestartet
Warnung die Startanforderung wurde ignoriert. die Instanz wurd bereits ausgeführt.
-> Allgemein: die Aufgabenplaung hat die Aufgabe \Flashsticks nicht gestartet weil die Instanz "...." de gleichen Aufgabe bereits ausgeführt wird
Diese Warnung kommt noch 2 mal (denke mal weil er 3 mal gestartet hat warnt er 2 mal)
Aktion abgeschlossen
Aufgabe abgeschlossen
Ja und? Läuft es nicht?
Die Diagnose ist doch ganz leicht. Wenn es nicht geht, startest Du eine cmd mit Systemrechten (psexec -s -i cmd) und lässt das Skript manuell laufen um zu sehen, was es tut/nicht tut.
Die Diagnose ist doch ganz leicht. Wenn es nicht geht, startest Du eine cmd mit Systemrechten (psexec -s -i cmd) und lässt das Skript manuell laufen um zu sehen, was es tut/nicht tut.
xcopy \\TVD001\USB\allowlist.txt c:\windows\ /y
ok
(Erklärung: Admin trägt am Server neue Hardware IDS ein und diese Neue txt Datei wird auf den Client unter C Windows kopiert)
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
ok
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
%%a kann syntaktisch an dieser Stelle nicht verarbeitet werden.
ok
(Erklärung: Admin trägt am Server neue Hardware IDS ein und diese Neue txt Datei wird auf den Client unter C Windows kopiert)
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
ok
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
%%a kann syntaktisch an dieser Stelle nicht verarbeitet werden.
Wenn Du eine Batchzeile "manuell" abfeuerst, musst Du die %% durch % ersetzen.
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
USB\VID_04E8&PID_1F05\00000015E0931050055C : USB-Massenspeichergerät
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A : USB-Massenspeichergerät
USB\VID_18A5&PID_0300\07072B67F943E583 : USB-Massenspeichergerät
USB\VID_07AB&PID_FC86\152D203380B6 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB : USB-Massenspeichergerät
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC : USB-Massenspeichergerät
USB\VID_07AB&PID_FC9F\549428A450BDA668 : USB-Massenspeichergerät
for /f %a in (%temp%\usb.txt) do echo %a>>%temp%\usb2.txt
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
auf kommandozeile:
23 mal No device were removed
Windows Driver Kit Version 7.1.0 habe ich heruntergeladen ? wo sehe ich welche version die devcon ist
BS ist Windows 8.1 64 Bit in der Pro variate
USB\VID_04E8&PID_1F05\00000015E0931050055C : USB-Massenspeichergerät
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A : USB-Massenspeichergerät
USB\VID_18A5&PID_0300\07072B67F943E583 : USB-Massenspeichergerät
USB\VID_07AB&PID_FC86\152D203380B6 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB : USB-Massenspeichergerät
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC : USB-Massenspeichergerät
USB\VID_07AB&PID_FC9F\549428A450BDA668 : USB-Massenspeichergerät
for /f %a in (%temp%\usb.txt) do echo %a>>%temp%\usb2.txt
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
auf kommandozeile:
23 mal No device were removed
Windows Driver Kit Version 7.1.0 habe ich heruntergeladen ? wo sehe ich welche version die devcon ist
BS ist Windows 8.1 64 Bit in der Pro variate
Und die Allowlist.txt ist ausgefüllt und auch unter c:\windows gespeichert?
Die Version von devcon ist welche? Ist es x64-devcon?
Die Version von devcon ist welche? Ist es x64-devcon?
Ja die ist dort vorhanden. Aber bis jetzt steht noch nichts drin somit müsste er alle sperren oder habe ich dies flasch verstanden.
Hab jetzt mal eine Hardware ID hinzugefügt gleiches ergebnis
http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ...
Diese Datei heruntergeladen
Windows Driver Kit Version 7.1.0
und dann nach C:\temp entpackt
Dort gab es dann unter
C:\Temp\WinDDK\7600.16385.win7_wdk.100208-1538\tools\devcon\amd64
devcon exe
Denke mal amd64 wird für die x64 Variante stehen
Hab jetzt mal eine Hardware ID hinzugefügt gleiches ergebnis
http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ...
Diese Datei heruntergeladen
Windows Driver Kit Version 7.1.0
und dann nach C:\temp entpackt
Dort gab es dann unter
C:\Temp\WinDDK\7600.16385.win7_wdk.100208-1538\tools\devcon\amd64
devcon exe
Denke mal amd64 wird für die x64 Variante stehen
Ja, ist sie leer, sollte alles verboten sein. Und die Devon.exe sollte passen, hier ist es (auch auf 8.1 x64) die Dateiversion 6.1.7600.16385, genau wie von Dir angegeben. Du musst noch einen kleinen unbewussten Fehler machen.
Versuche bitte mal von Hand au der Systemkonto-Kommandozeile den Befehl
Damit MUSS es schließlich gehen, sonst hast Du keine Systemrechte.
PS: ich habe mein Skript mit meinem damaligen Tipp verglichen: eine Änderung musste ich hinzufügen: im zweiten Codeblock kam eine neue Zeile hinzu, ich habe das editiert. Die Zeile
muss nach Zeile 2 hinzugefügt werden.
Versuche bitte mal von Hand au der Systemkonto-Kommandozeile den Befehl
devcon.exe remove "@USB\VID_04E8&PID_1F05\00000015E0931050055C" Damit MUSS es schließlich gehen, sonst hast Du keine Systemrechte.
PS: ich habe mein Skript mit meinem damaligen Tipp verglichen: eine Änderung musste ich hinzufügen: im zweiten Codeblock kam eine neue Zeile hinzu, ich habe das editiert. Die Zeile
del %temp%\usb2.txt
Hallo,
schau Dir doch mal die folgende Möglichkeit an:
http://www.windowsecurity.com/articles-tutorials/authentication_and_enc ...
Die normale USB GPO geht nicht? Da gibt es ja die Regeln für Storage und auch eine für Custom USB Device oder so ähnlich. Unter die letzteren sollte eigentlich der Dongle fallen.
Gruß
schau Dir doch mal die folgende Möglichkeit an:
http://www.windowsecurity.com/articles-tutorials/authentication_and_enc ...
Die normale USB GPO geht nicht? Da gibt es ja die Regeln für Storage und auch eine für Custom USB Device oder so ähnlich. Unter die letzteren sollte eigentlich der Dongle fallen.
Gruß
Das entfernen klappt
1 device were removed
del %temp%\usb2.txt
hinzugefügt (hat dadurch auch nichtmehr so viele Einträge)
Willst dich mal per Teamviewer draufschalten und dir persönlich anschauen
1 device were removed
del %temp%\usb2.txt
hinzugefügt (hat dadurch auch nichtmehr so viele Einträge)
Willst dich mal per Teamviewer draufschalten und dir persönlich anschauen
Wenn das klappt, muss das andere auch klappen... es ist das selbe nur manuell durchgeführt. Versuche bitte zunächst, es selbst zu finden, ich darf vom Büro aus keinen TeamV. nutzen.
Okay, Ich versuchs mal zu verstehen:
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
Sagt das Alle USB.Mass (also USB Massenspeichergeräte) in die usb.txt geschrieben werden
del %temp%\usb2.txt
nur wichtig wenn schon ein usb2.txt da ist , damit die Eintrage nicht Uferlos weitergeführt werden
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
alle zeilen von usb.txt in usb2.txt abspeichern?
hier soll er aus dem usb2.txt die zeilen auslesen und mit der allowlist vergleichen -> wenn er nicht drin ist soll er entfernt werden oder ?
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
Sagt das Alle USB.Mass (also USB Massenspeichergeräte) in die usb.txt geschrieben werden
del %temp%\usb2.txt
nur wichtig wenn schon ein usb2.txt da ist , damit die Eintrage nicht Uferlos weitergeführt werden
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
alle zeilen von usb.txt in usb2.txt abspeichern?
hier soll er aus dem usb2.txt die zeilen auslesen und mit der allowlist vergleichen -> wenn er nicht drin ist soll er entfernt werden oder ?
alle zeilen von usb.txt in usb2.txt abspeichern?
Fast. Gespeichert wird alles bis zum ersten Leerzeichen, deswegen.-> wenn er nicht drin ist soll er entfernt werden oder ?
Ganz genau.
Ich denke ich weiß jetzt was das Problem an der Sache ist.
Beim auslesen der USB geräte werden die angesteckten USB geräte garnicht angezeigt sprich:
Ich habe USB.txt und USB2.txt ohne Sticks mir aufen Desktop gezogen
Batch aufgeführt mit Sticks dran: Ergebniss gleiche Einträge in beiden Dateien.
Beim auslesen der USB geräte werden die angesteckten USB geräte garnicht angezeigt sprich:
Ich habe USB.txt und USB2.txt ohne Sticks mir aufen Desktop gezogen
Batch aufgeführt mit Sticks dran: Ergebniss gleiche Einträge in beiden Dateien.
Ich versteh' kein Wort.
Sorry ich machs mal als Beispiel:
Keine USB Stick angesteckt: (und Batch manuell gestartet)
usb.txt enthält 7 Zeilen
Diese Datei gesichert
Ich Stecke einen USB Stick an : (und Batch manuell gestartet)
Mit der gesicherten Datei verglichen
usb.txt enthält immernoch 7 Zeilen
Die Zeilen sind identisch in der USB.txt Datei
Heißt ja das er den USB Stick nicht mit ausließt -> kann er ihn auch nicht sperren
Keine USB Stick angesteckt: (und Batch manuell gestartet)
usb.txt enthält 7 Zeilen
Diese Datei gesichert
Ich Stecke einen USB Stick an : (und Batch manuell gestartet)
Mit der gesicherten Datei verglichen
usb.txt enthält immernoch 7 Zeilen
Die Zeilen sind identisch in der USB.txt Datei
Heißt ja das er den USB Stick nicht mit ausließt -> kann er ihn auch nicht sperren
Nein, das heißt es nicht. Der Stick steht da schon drin, weil er schon vorher dran war. Öffne zur Kontrolle den Gerätemanager, lies den Identifier des Sticks aus und Du wirst sehen, er steht da drin.
Jo stimmt stand drin ... hab den Fehler nicht gefunden aber eine alternative:
https://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx
So ist die Lösung jetzt schonmal gut.
PC mit Dongel : Dongel ist installiert und bleibt benutzbar
PC : Alle Massenspeichergeräte gesperrt
Fehlt nurnoch die Withelist für paar Admin-USB Sticks wo man schnell was drauf tun kann....
Sie sprechen hier von Geräte-ID aber irgendwie meinen Sie nicht die Hardware ID .. mal schauen vill find ichs mit tante google noch
Wenn die Withelist noch funkt wird gelöst makiert
https://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx
So ist die Lösung jetzt schonmal gut.
PC mit Dongel : Dongel ist installiert und bleibt benutzbar
PC : Alle Massenspeichergeräte gesperrt
Fehlt nurnoch die Withelist für paar Admin-USB Sticks wo man schnell was drauf tun kann....
Sie sprechen hier von Geräte-ID aber irgendwie meinen Sie nicht die Hardware ID .. mal schauen vill find ichs mit tante google noch
Wenn die Withelist noch funkt wird gelöst makiert
