Usb Ports sperren auf mehreren Computern gleichzeitig

Mitglied: transporter2

transporter2 (Level 1) - Jetzt verbinden

28.03.2006, aktualisiert 11.06.2008, 22906 Aufrufe, 16 Kommentare

Hallo,

Kann man über ein Windows 2000 Serverbetriebssystem alle Usb Ports die an
einen Clientrechner angeschlossen sind sperren?

Es sollen nur Usbsticks gesperrt sein.
Mitglied: murphy100
28.03.2006 um 17:51 Uhr
Hallo, vielleicht könnte das etwas für dich sein:

DriveLook
http://www.centertools.de/
Diese flexible Konfiguration kann zentral vorgenommen werden. Zur Verteilung der Konfigurationsdaten wird dabei eine ActiveDirectory Group Policy benutzt. Der Aufbau einer zusätzlichen Infrastruktur ist also nicht erforderlich.

Oder USBSecure http://www.henningmueller.com/ dabei ist auch ein nettes PDF zum Thema

Ansonsten http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Bitte warten ..
Mitglied: it-2
28.03.2006 um 17:55 Uhr
Hallo,

du kannst das ohne Zusatztools machen.
Einfach per Gruppenrichtlinie (oder Anmeldescript) diesen Registrykey importieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

Jetzt werden USB Massenspeicher nicht mehr erkannt.
Allerdings betrifft das auch z.B. Digitalkameras. Macht aber auch Sinn, da man auch auf denen Daten rein- oder rausschmuggeln kann.

Nikolas
Bitte warten ..
Mitglied: stpe
28.03.2006 um 18:32 Uhr
Bei uns im Unternehmen wird der USBGuard von Krüger eingesetzt: https://www.thkrueger.de/index.php?id=34

Wir sind eigentlich sehr zufrieden damit.

Gruss
Stefan
Bitte warten ..
Mitglied: RibbelRabbel
29.03.2006 um 07:51 Uhr
Wenn's kostenlos und von Microsoft sein soll:
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324

Einfach das Template kopieren, im Editor einfügen und als adm-file abspeichern. Dann erstellst du eine neue GPO und importierst dieses adm Template (bei der Computerkonfiguration unter Administrative Vorlagen). Kleines Manko: Um die Einstellungen zu sehen musst du Administrative Vorlagen markieren, dann auf Ansicht und bei der Filterung das Häkchen bei "Nur vollständig verwaltbare...." entfernen. Danach kannst du über GPO USB, CD-ROM, Floppy und L-120 Laufwerke deaktivieren.
Wir nutzen das hier und es funtkioniert einwandfrei.

Gruß

[Edit]: Macht im Prinzip nix anderes wie bereits it-2 beschrieben hat. Ist halt etwas anwenderfreundlicher.
Bitte warten ..
Mitglied: transporter2
29.03.2006 um 16:46 Uhr
noch eine andere frage wenn man per Gruppenrichtlinienobjekt bei windows 2000 server
die client usbports sperrt, kann mann ausnahmen machen das bestimmte benutzer oder
computer nicht gesppert werden?
Bitte warten ..
Mitglied: stpe
29.03.2006 um 20:27 Uhr
Die müssen halt in einer OU liegen, die nicht von dieser Richtlinie betroffen ist. Also in einer Unter-OU mit Aufhebung der Einstellungen oder in einer OU neben der, auf der die Gruppenrichtlinie angewendet wird.

Es gibt auch die Möglichkeit, auf bestimmte Benutzer die Richlinien nicht zu verwenden (Eigenschaften der Richlinie, Aktenreiter Sicherheit), das macht imho das ganze AD-Gefüge aber sehr unübersichtlich und somit schwer wartbar.

Gruss
Stefan
Bitte warten ..
Mitglied: RibbelRabbel
30.03.2006 um 07:56 Uhr
Ausnahmen in dem Sinne brauchst du eigentlich nicht, wenn du es z.B. mit diesem adm File machst. Du hast dann eine Richtlinie (z.B. USB sperren). Diese Richtlinie greift nur auf Computer. D.h. wenn du bei der Sicherheitsfilterung in der Gruppenrichtlinienmanagementkonsole (was für ein Wort) z.B Authentifizierte User oder etwas ähnliches nimmst passiert rein gar nichts. Du musst als Objekte die Rechner nehmen. Du kannst dir ja im AD eine Gruppe anlegen und dort sämtliche Computer reinpacken die USB gesperrt haben sollen. Diese Gruppe trägst du dann in der Sicheheitsfilterung ein. Ganz einfach und vollkommen übersichtlich.
Ich bin kein Freund davon, für jede Richtlinie 2 OU's anzulegen, jeweils dafür ob die Richtlinie nun greifen soll oder nicht. Das widerspricht auch dem Gedanken von MS bei den Gruppenstrategien alá A G DL P usw.
Wir haben hier z.B. 10 OU's (Außenbezirke), einige davon mit 2-4 Untergeordneten OU's. In jeder OU sind mind. 10 Richtlinien. Wenn ich jetzt für jede Richtlinie 2 OU's nehme, kannst du dir ja ausrechnen und vorstellen wie die Konsole bald ausehen würde. Bei anderen machst das vielleicht Sinn, ich will da keinem reinreden. Jeder muss das wohl für sich und seine Anforderungen entscheiden.

Noch was zur Richtline. Mit dieser Richtlinie wird ja z.B. USB gesperrt. Wenn nun ein PC doch wieder USB benötigt brauchst du die gleiche Richtlinie nochmals. Dort musst du dann die Deaktivierung von USB deaktivieren. Hört sich seltsam an, aber wenn man die Richtlinie sieht versteht man es schon. Ist nur etwas ungewohnt.

Gruß
Bitte warten ..
Mitglied: Berlineradm
13.06.2006 um 16:20 Uhr
Hallo erstmal.

Bin neu hier und mich interessiert dieses Thema auch sehr. Ich habe folgendes Problem.

Ich lege ein logon script fest.
Der User loggt sich auf den client ein. Das logon script schaut nach ob in der Registry der Eintrag für:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

steht. Wenn nicht, soll der Wert 4 gesetzt werden. Gibt es eine Möglichkeit diesen Wert zu setzen? Als Benutzer hat er ja nicht die Rechte in die HKLM zu schreiben.
Über Gruppenrichtlinie kann ich das auch nicht machen, weil ich auch die Machinen abfrage über ihre Mac adresse und dann entscheide ob der Schlüssel gesetzt werden muss oder nicht. Der Benutzer meldet sich nämlich mal an einem Rechner an, wo er Zugriff haben muss und an einem anderen Rechner an welchem der USB Port gesperrt werden muss für diesen.

Hoffe ich habe es nicht allzu konfus geschrieben und es hat jemand eine Möglichkeit.

Gruß Marco
Bitte warten ..
Mitglied: RibbelRabbel
14.06.2006 um 07:37 Uhr
Vielleicht geht es mit runas. Evtl. kannst du ja ein zweites Script damit aufrufen um die Werte zu setzen.
Bitte warten ..
Mitglied: it-2
14.06.2006 um 22:23 Uhr
Hallo,

würde eine Gruppenrichtlinie ür Maschinen gehen?
Oder soll das weder an einem Rechner noch an einem User festgemacht werden, sondern nur wenn ein bestimmter User an einem bestimmten Rechner sitzt?

Dann müsstest du das über ein relativ kompliziertes Anmeldescript machen, in dem du den Rechnernamen und den Usernamen ausliest und nur bei passender Kombination den Schlüssel richtig setzt.

Nikolas
Bitte warten ..
Mitglied: damaster
09.08.2007 um 19:48 Uhr
Hey,

vielleicht komm ich bisschen zu spät.

Aber ich hab die Lösung gefunden... Das ganze nennt sich devicepro 2007.
Unter devicepro.de findet Ihr nen Download von der Vollversion. 5 Lizenzen sind kostenlos.
Bitte warten ..
Mitglied: ManUnited
11.06.2008 um 14:03 Uhr
Wir haben den Nachfolger devicepro 2008 im Einsatz. Der Hammer!
Ich bin nunmehr seit 8Jahre Administrator bei einem Mittelständischen Unternehmen in Süddeutschland und devicepro ist die erste Lösung, die ich ohne Schulung oder Lehrgang installieren, implementieren und administrieren kann.
Besonders gefällt mir die Oberfläche, die wie Outlook 2003 aussieht, das Ticketsystem und die Protokollierung.
Sogar unser sehr strenger Betriebsrat hat die Protokollierung frei gegeben ... naja liegt auch daran, dass er jedesmal sein PW eingeben muss, wenn ich etwas nachschauen will :) face-smile

Grüße aus dem Süden
Bitte warten ..
Mitglied: Berlineradm
11.06.2008 um 14:16 Uhr
Hallo folks,

Ich freue mich über die Antworten hier im Forum. Na ja.. ManUnited..
Wie du sicherlich auch weißt, will der Kunde nie etwas ausgeben, denn es soll ja kostenlos gehen.
Wir haben bis jetzt noch nicht wirklich etwas gefunden, wie wir das am besten lösen können.
Es soll Benutzerabhängig sein. Also 1 Benutzer darf USB-Sticks benutzen und ein anderer darf es nicht. Dies soll mit Boardmitteln realisiert werden.

Na ja... aber vielen Dank für die zahlreichen Antworten. :) face-smile

lg
Marco
Bitte warten ..
Mitglied: mike25478
07.08.2009 um 11:14 Uhr
Schau dir mal den USB Bouner an:

http://www.usb-security.org
Bitte warten ..
Mitglied: damaster
24.05.2010 um 16:39 Uhr
Wir haben bei uns auch DevicePro seit 3 Jahren im Einsatz.
Echt einfach und kann ne Menge. Hatte mir auch aus Interesse andere Lösungen von Zeit zu Zeit angeschaut. Da bin ich immer noch der Meinung das richtige gewählt zu haben...
Herstellerinfo's dazu gibts unter http://cynapspro.com/DE/products/devicepro
Bitte warten ..
Mitglied: freakness
10.04.2013 um 14:33 Uhr
@damaster: Wir setzen die DevicePro Software auch schon ne Weile ein und haben gerade auf den Nachfolger EgoSecure Endpoint (http://egosecure.com) ) geupgradet. Kann das Upgrade nur empfehlen!!!

Läuft wie gehabt stabil und jetzt haben wir noch kostenlos einen Datenshredder, zentrale Bitlocker Verwaltung und Firewall Verwaltung dabei.

Überlegen auch noch das AntiVirus von denen zu beziehen...
Bitte warten ..
Heiß diskutierte Inhalte
Viren und Trojaner
Emotet angeblich unschädlich gemacht
DoskiasVor 1 TagInformationViren und Trojaner15 Kommentare

Hallo zusammen, kam grade rein. Wir werden sehen ob es stimmt: Eilmeldung Bundeskriminalamt: Weltweit gefährlichste Schadsoftware unschädlich gemacht Stand: 27.01.2021 13:18 Uhr Deutsche Ermittler ...

Router & Routing
Erklärung zu diesen Geräten
RoadmaxVor 1 TagFrageRouter & Routing7 Kommentare

Hallo Zusammen, bei uns war heute spontan das Internet weg und wir mussten die Carrier Geräte neu starten. Mir stellt sich die Frage, welches ...

Windows 10
System Backup als ISO-Datei(Image) erstellen
gelöst Ramin-sVor 1 TagFrageWindows 1016 Kommentare

Hallo zusammen, Wir haben eine Mitarbeiterin bei der Arbeit, die für die längere Zeit nach Ausland geht und wird von Ausland arbeiten. Ich bin ...

Windows Server
Benutzer und Postfach über AD erstellen
Igdirli76Vor 1 TagFrageWindows Server10 Kommentare

Hallo Leute, bitte erschießt mich nicht gleich wegen meiner frage. Ich habe einen Windows Server 2019 Datacenter installiert und wollte beim User erstellen, dass ...

LAN, WAN, Wireless
Cisco AIR LAP1142NEK9 LW zu AN
gelöst bySwiftVor 1 TagFrageLAN, WAN, Wireless18 Kommentare

Hallo Zusammen, Ich habe mir einen Cisco AIR-LAP1142N-E-K9 geholt der aktuell noch im Lightweight Mode läuft. Diesen möchte ich auf Autonomouse umstellen sodass ich ...

Windows Tools
QR Code lesen mit dem Desktop
NebellichtVor 1 TagFrageWindows Tools9 Kommentare

Hallo Gemeinde, es gibt ja die diversen Apps die QR Code lesen können fürs Smartphone, mittlerweile ist das auch fest implementiert im BS vom ...

Linux
Neuer Linux-SUDO-Fehler lässt lokale Benutzer Root-Rechte erlangen
ZeroTrustVor 1 TagInformationLinux7 Kommentare

Eine jetzt behobene Sudo-Schwachstelle ermöglichte es jedem lokalen Benutzer, auf Unix-ähnlichen Betriebssystemen Root-Rechte zu erlangen, ohne dass eine Authentifizierung erforderlich war. Sudo ist ein ...

Windows Server
Bootfähiger Installationsstick für Server 2019
f-LaM-e-O-f-UdUnVor 9 StundenFrageWindows Server10 Kommentare

Auf meinem Windows 10 System versuche ich die von Microsoft heruntergeladene Trial-Iso zunächst auf einen USB-Stick zu verlagern. Ziel ist es die Installation von ...