transporter2
Goto Top

Usb Ports sperren auf mehreren Computern gleichzeitig

Hallo,

Kann man über ein Windows 2000 Serverbetriebssystem alle Usb Ports die an
einen Clientrechner angeschlossen sind sperren?

Es sollen nur Usbsticks gesperrt sein.

Content-ID: 29171

Url: https://administrator.de/forum/usb-ports-sperren-auf-mehreren-computern-gleichzeitig-29171.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

murphy100
murphy100 28.03.2006 um 17:51:05 Uhr
Goto Top
Hallo, vielleicht könnte das etwas für dich sein:

DriveLook
http://www.centertools.de/
Diese flexible Konfiguration kann zentral vorgenommen werden. Zur Verteilung der Konfigurationsdaten wird dabei eine ActiveDirectory Group Policy benutzt. Der Aufbau einer zusätzlichen Infrastruktur ist also nicht erforderlich.

Oder USBSecure http://www.henningmueller.com/ dabei ist auch ein nettes PDF zum Thema

Ansonsten http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
it-2
it-2 28.03.2006 um 17:55:04 Uhr
Goto Top
Hallo,

du kannst das ohne Zusatztools machen.
Einfach per Gruppenrichtlinie (oder Anmeldescript) diesen Registrykey importieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

Jetzt werden USB Massenspeicher nicht mehr erkannt.
Allerdings betrifft das auch z.B. Digitalkameras. Macht aber auch Sinn, da man auch auf denen Daten rein- oder rausschmuggeln kann.

Nikolas
stpe
stpe 28.03.2006 um 18:32:53 Uhr
Goto Top
Bei uns im Unternehmen wird der USBGuard von Krüger eingesetzt: https://www.thkrueger.de/index.php?id=34

Wir sind eigentlich sehr zufrieden damit.

Gruss
Stefan
RibbelRabbel
RibbelRabbel 29.03.2006 um 07:51:59 Uhr
Goto Top
Wenn's kostenlos und von Microsoft sein soll:
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324

Einfach das Template kopieren, im Editor einfügen und als adm-file abspeichern. Dann erstellst du eine neue GPO und importierst dieses adm Template (bei der Computerkonfiguration unter Administrative Vorlagen). Kleines Manko: Um die Einstellungen zu sehen musst du Administrative Vorlagen markieren, dann auf Ansicht und bei der Filterung das Häkchen bei "Nur vollständig verwaltbare...." entfernen. Danach kannst du über GPO USB, CD-ROM, Floppy und L-120 Laufwerke deaktivieren.
Wir nutzen das hier und es funtkioniert einwandfrei.

Gruß

[Edit]: Macht im Prinzip nix anderes wie bereits it-2 beschrieben hat. Ist halt etwas anwenderfreundlicher.
transporter2
transporter2 29.03.2006 um 16:46:23 Uhr
Goto Top
noch eine andere frage wenn man per Gruppenrichtlinienobjekt bei windows 2000 server
die client usbports sperrt, kann mann ausnahmen machen das bestimmte benutzer oder
computer nicht gesppert werden?
stpe
stpe 29.03.2006 um 20:27:52 Uhr
Goto Top
Die müssen halt in einer OU liegen, die nicht von dieser Richtlinie betroffen ist. Also in einer Unter-OU mit Aufhebung der Einstellungen oder in einer OU neben der, auf der die Gruppenrichtlinie angewendet wird.

Es gibt auch die Möglichkeit, auf bestimmte Benutzer die Richlinien nicht zu verwenden (Eigenschaften der Richlinie, Aktenreiter Sicherheit), das macht imho das ganze AD-Gefüge aber sehr unübersichtlich und somit schwer wartbar.

Gruss
Stefan
RibbelRabbel
RibbelRabbel 30.03.2006 um 07:56:15 Uhr
Goto Top
Ausnahmen in dem Sinne brauchst du eigentlich nicht, wenn du es z.B. mit diesem adm File machst. Du hast dann eine Richtlinie (z.B. USB sperren). Diese Richtlinie greift nur auf Computer. D.h. wenn du bei der Sicherheitsfilterung in der Gruppenrichtlinienmanagementkonsole (was für ein Wort) z.B Authentifizierte User oder etwas ähnliches nimmst passiert rein gar nichts. Du musst als Objekte die Rechner nehmen. Du kannst dir ja im AD eine Gruppe anlegen und dort sämtliche Computer reinpacken die USB gesperrt haben sollen. Diese Gruppe trägst du dann in der Sicheheitsfilterung ein. Ganz einfach und vollkommen übersichtlich.
Ich bin kein Freund davon, für jede Richtlinie 2 OU's anzulegen, jeweils dafür ob die Richtlinie nun greifen soll oder nicht. Das widerspricht auch dem Gedanken von MS bei den Gruppenstrategien alá A G DL P usw.
Wir haben hier z.B. 10 OU's (Außenbezirke), einige davon mit 2-4 Untergeordneten OU's. In jeder OU sind mind. 10 Richtlinien. Wenn ich jetzt für jede Richtlinie 2 OU's nehme, kannst du dir ja ausrechnen und vorstellen wie die Konsole bald ausehen würde. Bei anderen machst das vielleicht Sinn, ich will da keinem reinreden. Jeder muss das wohl für sich und seine Anforderungen entscheiden.

Noch was zur Richtline. Mit dieser Richtlinie wird ja z.B. USB gesperrt. Wenn nun ein PC doch wieder USB benötigt brauchst du die gleiche Richtlinie nochmals. Dort musst du dann die Deaktivierung von USB deaktivieren. Hört sich seltsam an, aber wenn man die Richtlinie sieht versteht man es schon. Ist nur etwas ungewohnt.

Gruß
Berlineradm
Berlineradm 13.06.2006 um 16:20:13 Uhr
Goto Top
Hallo erstmal.

Bin neu hier und mich interessiert dieses Thema auch sehr. Ich habe folgendes Problem.

Ich lege ein logon script fest.
Der User loggt sich auf den client ein. Das logon script schaut nach ob in der Registry der Eintrag für:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

steht. Wenn nicht, soll der Wert 4 gesetzt werden. Gibt es eine Möglichkeit diesen Wert zu setzen? Als Benutzer hat er ja nicht die Rechte in die HKLM zu schreiben.
Über Gruppenrichtlinie kann ich das auch nicht machen, weil ich auch die Machinen abfrage über ihre Mac adresse und dann entscheide ob der Schlüssel gesetzt werden muss oder nicht. Der Benutzer meldet sich nämlich mal an einem Rechner an, wo er Zugriff haben muss und an einem anderen Rechner an welchem der USB Port gesperrt werden muss für diesen.

Hoffe ich habe es nicht allzu konfus geschrieben und es hat jemand eine Möglichkeit.

Gruß Marco
RibbelRabbel
RibbelRabbel 14.06.2006 um 07:37:01 Uhr
Goto Top
Vielleicht geht es mit runas. Evtl. kannst du ja ein zweites Script damit aufrufen um die Werte zu setzen.
it-2
it-2 14.06.2006 um 22:23:10 Uhr
Goto Top
Hallo,

würde eine Gruppenrichtlinie ür Maschinen gehen?
Oder soll das weder an einem Rechner noch an einem User festgemacht werden, sondern nur wenn ein bestimmter User an einem bestimmten Rechner sitzt?

Dann müsstest du das über ein relativ kompliziertes Anmeldescript machen, in dem du den Rechnernamen und den Usernamen ausliest und nur bei passender Kombination den Schlüssel richtig setzt.

Nikolas
damaster
damaster 09.08.2007 um 19:48:56 Uhr
Goto Top
Hey,

vielleicht komm ich bisschen zu spät.

Aber ich hab die Lösung gefunden... Das ganze nennt sich devicepro 2007.
Unter devicepro.de findet Ihr nen Download von der Vollversion. 5 Lizenzen sind kostenlos.
ManUnited
ManUnited 11.06.2008 um 14:03:22 Uhr
Goto Top
Wir haben den Nachfolger devicepro 2008 im Einsatz. Der Hammer!
Ich bin nunmehr seit 8Jahre Administrator bei einem Mittelständischen Unternehmen in Süddeutschland und devicepro ist die erste Lösung, die ich ohne Schulung oder Lehrgang installieren, implementieren und administrieren kann.
Besonders gefällt mir die Oberfläche, die wie Outlook 2003 aussieht, das Ticketsystem und die Protokollierung.
Sogar unser sehr strenger Betriebsrat hat die Protokollierung frei gegeben ... naja liegt auch daran, dass er jedesmal sein PW eingeben muss, wenn ich etwas nachschauen will face-smile

Grüße aus dem Süden
Berlineradm
Berlineradm 11.06.2008 um 14:16:02 Uhr
Goto Top
Hallo folks,

Ich freue mich über die Antworten hier im Forum. Na ja.. ManUnited..
Wie du sicherlich auch weißt, will der Kunde nie etwas ausgeben, denn es soll ja kostenlos gehen.
Wir haben bis jetzt noch nicht wirklich etwas gefunden, wie wir das am besten lösen können.
Es soll Benutzerabhängig sein. Also 1 Benutzer darf USB-Sticks benutzen und ein anderer darf es nicht. Dies soll mit Boardmitteln realisiert werden.

Na ja... aber vielen Dank für die zahlreichen Antworten. face-smile

lg
Marco
mike25478
mike25478 07.08.2009 um 11:14:58 Uhr
Goto Top
Schau dir mal den USB Bouner an:

http://www.usb-security.org
damaster
damaster 24.05.2010 um 16:39:40 Uhr
Goto Top
Wir haben bei uns auch DevicePro seit 3 Jahren im Einsatz.
Echt einfach und kann ne Menge. Hatte mir auch aus Interesse andere Lösungen von Zeit zu Zeit angeschaut. Da bin ich immer noch der Meinung das richtige gewählt zu haben...
Herstellerinfo's dazu gibts unter http://cynapspro.com/DE/products/devicepro
freakness
freakness 10.04.2013 um 14:33:45 Uhr
Goto Top
@damaster: Wir setzen die DevicePro Software auch schon ne Weile ein und haben gerade auf den Nachfolger EgoSecure Endpoint (http://egosecure.com) ) geupgradet. Kann das Upgrade nur empfehlen!!!

Läuft wie gehabt stabil und jetzt haben wir noch kostenlos einen Datenshredder, zentrale Bitlocker Verwaltung und Firewall Verwaltung dabei.

Überlegen auch noch das AntiVirus von denen zu beziehen...