blindzerokiller
Goto Top

USB Ports Sperren

Hallo leibes Administrator Forum,

suche eine Möglichkeit USB Ports zu Sperren ohne Externe Software.

Windows 8.1 und Server 2012 sind im Einsatz bei uns.


Die GPO wo man Wechseldatenträger verweigert erfüllt leider nicht ganz den Zweck da bei uns ein paar Arbeitsplätze lokale Dongel besitzen.


Am besten wäre es wenn ich sage:

Version 1:

Maus: ok
Tastatur: ok
und unsere 6 Dongel in eine Withelist nehme und sage ok:

Version 2:

oder kann man einem Rechner beibringen das PC-A 2 aktive USB Ports hat (da wären Maus Tastatur angeschlossen) PC-b hat 3 aktive (maus tastatur Dongel) und der rest der Ports deaktiviert.

(Könnte mir vorstellen das Version 2 Irgendwie mit Registry einträgen zu bewerkstelligen wäre =) oder? müss keine GPO sein kann dass auch als Turnschuh admin machen face-wink )


Ich hoffe meine Frage ist verständlich leider wird hier im Forum immer nur über drittsoftwareanbieter geredet hoffe es gibt auch einen Windows weg.


MFG

Blindzerokiller

Content-ID: 263627

Url: https://administrator.de/contentid/263627

Ausgedruckt am: 05.11.2024 um 13:11 Uhr

Webfuchs
Webfuchs 16.02.2015 um 17:02:17 Uhr
Goto Top
goscho
goscho 16.02.2015 um 17:27:37 Uhr
Goto Top
Hi Blindzerokiller,

mir ist keine Funktion in Windows bekannt, die deinen Wunsch erfüllt (Sperren von USB-Geräten mit Whitelist für bestimmte Geräte).

Wenn ihr jedoch eine Security-Lösung einsetzt, kann es durchaus sein, dass diese solche eine Funktion anbietet, bspw. Geräte- und Anwnedungskontrolle bei Symantec Endpointprotection.
DerWoWusste
DerWoWusste 16.02.2015 um 17:31:41 Uhr
Goto Top
Moin.
Schau Dir mal das an: USB-Laufwerke sperren
Blindzerokiller
Blindzerokiller 17.02.2015 um 07:43:55 Uhr
Goto Top
#Webfuchs das hab ich mir leider schon angeschaut face-wink würde die GPO gerne benutzen wenn ich hier USB Dongels in eine Withelist eintragen könnte face-wink

#DerWoWusste danke das werd ich mal testen face-wink
Blindzerokiller
Blindzerokiller 18.02.2015 aktualisiert um 10:06:00 Uhr
Goto Top
Hey DerWoWusste,

ich habe das ganze mal getestet leider bringt es bei mir nicht den gewünschten erfolg wahrscheinlich ist noch eine Einstellung falsch.

Ich habe das ganze erstmal lokal an einem Rechner gemacht face-wink

Einfache Aufgabe erstellen:

Bei Protokollierung eines bestimmten Ereignisses

Protokoll: Microsoft-Windows-WPD-MTPClassDriver/Betriebsbereit
Quelle: WPD-MTPClassDriver
Ereignis-ID: 1000

-> Programm starten
Skript unter windows Phones.bat


Benutzer der es ausführt ist unser Domain\Administrator

Executer: System?

Meinst du damit den Benutzer System?

Mit Administrator läuft die aufgabe durch aber leider ist der Zugriff auf mein Iphone trotzdem möglich?

War vor der aufgabe dort schon installiert ist dies der Grund dafür?

Devcon und batch sind im Windowsordner

wo sieht man welche devcon version man benutzt

Windows Ordner ist aber nicht system32 darunter gemeint oder?


Ich teste gleich noch den Stick face-wink vill klappts da gleich auf anhieb

Mit freundlichen grüßen

Joey
DerWoWusste
DerWoWusste 18.02.2015 um 10:08:41 Uhr
Goto Top
Mit Executor habe ich das ausführende Konto gemeint. Trag dort System ein, auf gar keinen Fall nutzt man hier den Domänenadmin.
Blindzerokiller
Blindzerokiller 18.02.2015 aktualisiert um 10:19:13 Uhr
Goto Top
Okay hab ich gemacht, danke schonmal für die schnelle Antwort.

Leider habe ich immernoch zugriff auf usb stick / usb festplatten (ich stecke die geräte immer ab bei einer änderung dann änder ich den task und danach steck ich Sie wieder an )

Mit höchsten Privilegien ausführen muss dies angehakt sein ?
DerWoWusste
DerWoWusste 18.02.2015 um 10:29:54 Uhr
Goto Top
Mit höchsten Privilegien ausführen muss dies angehakt sein ?
Nein, nicht, wenn man System nutzt, denn dieses hat automatisch höchste Privilegien. Bei anderen Adminkonten müsste es angehakt sein.

Schau bitte mal, ob der Task überhaupt anläuft, bzw, was passiert, wenn Du ihn von Hand startest.
Blindzerokiller
Blindzerokiller 18.02.2015 aktualisiert um 10:59:27 Uhr
Goto Top
Ah okay face-wink danke für die Erklärung

Wenn ich ihn von Hand starte kommt

Wird ausgeführt:

Prozess für erstellte Aufgabe
die Aufgrabe wurde gestartet
die Aktion wurde gestartet
Die Aufgabe wurde vom Benutzer ausgelöst
Aktion abgeschlossen
Aufgabe abgeschlossen (erfolgreich fertiggestellt)

Wenn ich einen Stick anschließe kommt:

Die Aufgabe wurde durch ein Ereigniss ausgelöst (3 mal)
Prozess für erstellte Aufgabe
Die Aufgabe wurde gestartet
Die Aktion wurde gestartet
Warnung die Startanforderung wurde ignoriert. die Instanz wurd bereits ausgeführt.
-> Allgemein: die Aufgabenplaung hat die Aufgabe \Flashsticks nicht gestartet weil die Instanz "...." de gleichen Aufgabe bereits ausgeführt wird


Diese Warnung kommt noch 2 mal (denke mal weil er 3 mal gestartet hat warnt er 2 mal)


Aktion abgeschlossen
Aufgabe abgeschlossen
DerWoWusste
DerWoWusste 18.02.2015 um 11:04:51 Uhr
Goto Top
Ja und? Läuft es nicht?
Die Diagnose ist doch ganz leicht. Wenn es nicht geht, startest Du eine cmd mit Systemrechten (psexec -s -i cmd) und lässt das Skript manuell laufen um zu sehen, was es tut/nicht tut.
Blindzerokiller
Blindzerokiller 18.02.2015 aktualisiert um 11:34:02 Uhr
Goto Top
xcopy \\TVD001\USB\allowlist.txt c:\windows\ /y
ok

(Erklärung: Admin trägt am Server neue Hardware IDS ein und diese Neue txt Datei wird auf den Client unter C Windows kopiert)

devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt

ok


for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt

%%a kann syntaktisch an dieser Stelle nicht verarbeitet werden.
DerWoWusste
DerWoWusste 18.02.2015 um 11:36:21 Uhr
Goto Top
Wenn Du eine Batchzeile "manuell" abfeuerst, musst Du die %% durch % ersetzen.
Blindzerokiller
Blindzerokiller 18.02.2015 um 12:07:00 Uhr
Goto Top
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt

USB\VID_04E8&PID_1F05\00000015E0931050055C : USB-Massenspeichergerät
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A : USB-Massenspeichergerät
USB\VID_18A5&PID_0300\07072B67F943E583 : USB-Massenspeichergerät
USB\VID_07AB&PID_FC86\152D203380B6 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB : USB-Massenspeichergerät
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC : USB-Massenspeichergerät
USB\VID_07AB&PID_FC9F\549428A450BDA668 : USB-Massenspeichergerät


for /f %a in (%temp%\usb.txt) do echo %a>>%temp%\usb2.txt

USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668



auf kommandozeile:

23 mal No device were removed


Windows Driver Kit Version 7.1.0 habe ich heruntergeladen ? wo sehe ich welche version die devcon ist

BS ist Windows 8.1 64 Bit in der Pro variate
DerWoWusste
DerWoWusste 18.02.2015 um 13:00:47 Uhr
Goto Top
Und die Allowlist.txt ist ausgefüllt und auch unter c:\windows gespeichert?
Die Version von devcon ist welche? Ist es x64-devcon?
Blindzerokiller
Blindzerokiller 18.02.2015 aktualisiert um 13:20:16 Uhr
Goto Top
Ja die ist dort vorhanden. Aber bis jetzt steht noch nichts drin somit müsste er alle sperren oder habe ich dies flasch verstanden.

Hab jetzt mal eine Hardware ID hinzugefügt gleiches ergebnis


http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ...

Diese Datei heruntergeladen

Windows Driver Kit Version 7.1.0
und dann nach C:\temp entpackt

Dort gab es dann unter

C:\Temp\WinDDK\7600.16385.win7_wdk.100208-1538\tools\devcon\amd64
devcon exe

Denke mal amd64 wird für die x64 Variante stehen
DerWoWusste
DerWoWusste 18.02.2015 aktualisiert um 13:36:01 Uhr
Goto Top
Ja, ist sie leer, sollte alles verboten sein. Und die Devon.exe sollte passen, hier ist es (auch auf 8.1 x64) die Dateiversion 6.1.7600.16385, genau wie von Dir angegeben. Du musst noch einen kleinen unbewussten Fehler machen.
Versuche bitte mal von Hand au der Systemkonto-Kommandozeile den Befehl
devcon.exe remove "@USB\VID_04E8&PID_1F05\00000015E0931050055C"  

Damit MUSS es schließlich gehen, sonst hast Du keine Systemrechte.

PS: ich habe mein Skript mit meinem damaligen Tipp verglichen: eine Änderung musste ich hinzufügen: im zweiten Codeblock kam eine neue Zeile hinzu, ich habe das editiert. Die Zeile
del %temp%\usb2.txt
muss nach Zeile 2 hinzugefügt werden.
exchange
exchange 18.02.2015 um 13:38:46 Uhr
Goto Top
Hallo,
schau Dir doch mal die folgende Möglichkeit an:
http://www.windowsecurity.com/articles-tutorials/authentication_and_enc ...

Die normale USB GPO geht nicht? Da gibt es ja die Regeln für Storage und auch eine für Custom USB Device oder so ähnlich. Unter die letzteren sollte eigentlich der Dongle fallen.

Gruß
Blindzerokiller
Blindzerokiller 18.02.2015 um 14:08:04 Uhr
Goto Top
Das entfernen klappt

1 device were removed


del %temp%\usb2.txt

hinzugefügt (hat dadurch auch nichtmehr so viele Einträge)


Willst dich mal per Teamviewer draufschalten und dir persönlich anschauen
DerWoWusste
DerWoWusste 18.02.2015 um 14:13:43 Uhr
Goto Top
Wenn das klappt, muss das andere auch klappen... es ist das selbe nur manuell durchgeführt. Versuche bitte zunächst, es selbst zu finden, ich darf vom Büro aus keinen TeamV. nutzen.
Blindzerokiller
Blindzerokiller 18.02.2015 aktualisiert um 15:13:01 Uhr
Goto Top
Okay, Ich versuchs mal zu verstehen:

devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt

Sagt das Alle USB.Mass (also USB Massenspeichergeräte) in die usb.txt geschrieben werden

del %temp%\usb2.txt

nur wichtig wenn schon ein usb2.txt da ist , damit die Eintrage nicht Uferlos weitergeführt werden

for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt

alle zeilen von usb.txt in usb2.txt abspeichern?



hier soll er aus dem usb2.txt die zeilen auslesen und mit der allowlist vergleichen -> wenn er nicht drin ist soll er entfernt werden oder ?
DerWoWusste
DerWoWusste 18.02.2015 um 15:11:33 Uhr
Goto Top
alle zeilen von usb.txt in usb2.txt abspeichern?
Fast. Gespeichert wird alles bis zum ersten Leerzeichen, deswegen.
-> wenn er nicht drin ist soll er entfernt werden oder ?
Ganz genau.
Blindzerokiller
Blindzerokiller 19.02.2015 um 10:07:27 Uhr
Goto Top
Ich denke ich weiß jetzt was das Problem an der Sache ist.

Beim auslesen der USB geräte werden die angesteckten USB geräte garnicht angezeigt sprich:

Ich habe USB.txt und USB2.txt ohne Sticks mir aufen Desktop gezogen

Batch aufgeführt mit Sticks dran: Ergebniss gleiche Einträge in beiden Dateien.
DerWoWusste
DerWoWusste 19.02.2015 um 10:52:35 Uhr
Goto Top
Ich versteh' kein Wort.
Blindzerokiller
Blindzerokiller 19.02.2015 um 11:02:28 Uhr
Goto Top
Sorry ich machs mal als Beispiel:

Keine USB Stick angesteckt: (und Batch manuell gestartet)

usb.txt enthält 7 Zeilen

Diese Datei gesichert

Ich Stecke einen USB Stick an : (und Batch manuell gestartet)

Mit der gesicherten Datei verglichen

usb.txt enthält immernoch 7 Zeilen

Die Zeilen sind identisch in der USB.txt Datei


Heißt ja das er den USB Stick nicht mit ausließt -> kann er ihn auch nicht sperren
DerWoWusste
DerWoWusste 19.02.2015 aktualisiert um 11:20:41 Uhr
Goto Top
Nein, das heißt es nicht. Der Stick steht da schon drin, weil er schon vorher dran war. Öffne zur Kontrolle den Gerätemanager, lies den Identifier des Sticks aus und Du wirst sehen, er steht da drin.
Blindzerokiller
Blindzerokiller 20.02.2015 aktualisiert um 13:47:26 Uhr
Goto Top
Jo stimmt stand drin ... hab den Fehler nicht gefunden aber eine alternative:

https://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx

So ist die Lösung jetzt schonmal gut.
PC mit Dongel : Dongel ist installiert und bleibt benutzbar
PC : Alle Massenspeichergeräte gesperrt

Fehlt nurnoch die Withelist für paar Admin-USB Sticks wo man schnell was drauf tun kann....

Sie sprechen hier von Geräte-ID aber irgendwie meinen Sie nicht die Hardware ID .. mal schauen vill find ichs mit tante google noch

Wenn die Withelist noch funkt wird gelöst makiert face-wink