Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst USB-Ports sperren mit Software

Mitglied: trabajador

trabajador (Level 1) - Jetzt verbinden

31.05.2020 um 09:55 Uhr, 1007 Aufrufe, 20 Kommentare

Hallo,
gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird als Betriebssystem Windows Server 2016 bzw. für die Client-PCs Windows 10.
Eine Antivirensoftware ist nicht installiert bzw. Windows Defender ist deaktiviert, da die Rechner niemals an das Internet oder Firmennetzwerk angeschlossen werden. Die Rechner sind lediglich in einem Produktionsnetzwerk angeschlossen. Der normale Nutzer auf einem Client-PC mit Windows 10 kommt aufgrund der laufenden Anwendersoftware nicht auf den Desktop, jedoch wenn der Netzwerkstecker gezogen wird, dann erfolgt eine automatische Windowsanmeldung sowie auch automatische Aktivierung der Anwendersoftware. Für einige Sekunden erscheint der Desktop, und es ist möglich Eingriffe vorzunehmen, besonders da das Benutzerkonto Administratorenrechte hat. Bei den Servern mit Windows Server 2016 ist es unkritischer, weil eine Anmeldung notwendig ist und die Server in gesicherten Räumen stehen, aber Boot-Sticks können auch Schaden verursachen.
Könnt Ihr eine solche Software empfehlen?
Mitglied: cykes
31.05.2020, aktualisiert um 10:20 Uhr
Moin,

für die Clients würde ich anstatt Software eher auf eine physische Sperre der Ports setzen. Entweder den PC inkl. der Ports in eine abgeschlossene "Umverpackung" stecken (Schrank o.ä.) oder USB-Locks verwenden (bspw. SmartKeeper - gibt's aber von vielen anderen Herstellern (Inline, Logilink, Lindy etc.), einfach mal suchen). Der Admin hat dann den passenden Schlüssel dafür. Software kann man immer auch manipulieren, wenn man Zugriff auf die Kiste hat. Außerdem natürlich Arbeitsanweisung: Keine Manipulationen am Client-PC.

Für den/die Server ist es da schon etwas schwieriger. Sollte wirklich ein Angreifer unbeobachtet/-kontrolliert in den Serverraum gelangen und genügend Zeit haben, den Server neu zu starten mit eingestecktem USB-Stick, dann stimmt mit eurem Sicherheitskonzept etwas nicht und die USB-Ports sind das geringste Problem. Dann ist es vielleicht besser, wenn der ganze Raum alarmgesichert ist. Zusätzlich die Schränke mit ordentlichem Schloss abschließbar machen usw.

Gruß

cykes
Bitte warten ..
Mitglied: trabajador
31.05.2020 um 10:33 Uhr
Hallo cykes,

vielen Dank für Deinen Beitrag und die Mitteilung von USB-Lock Herstellern.
Ja sehr wahrscheinlich werden die USB-Locks auch angeschafft werden. Ich würde zudem wissen wollen, was es für eine geeignete Software gibt, welche die USB-Ports blockieren, jedoch spezifische USB-Sticks sowie Maus und Tastatur auslassen.

Grüße
Bitte warten ..
Mitglied: NetzwerkDude
31.05.2020 um 10:52 Uhr
DriveLock, ist sogar von einer deutschen Softwareschmiede.

Ist vielleicht zuviel des guten, da die Software noch andere Sachen kann (Software Whitelisting u.a.)
Bitte warten ..
Mitglied: DocuSnap-Dude
31.05.2020, aktualisiert um 11:30 Uhr
Hallo,

da würde ich dir tatsächlich EGOsecure empfehlen. Kenne ich und mache ich beruflich, lohnt aber nur in Unternehmensnetzwerken. Die Software ist genau auf das ausgerichtet, was du machen möchtest.

Bei Interesse sende mir mal eine PN, dann tauschen wir Kontaktdaten.

Gruß F.

P.S.: Egosecure ist jetzt mit Matirx42 verbunden, jedoch nach wie vor ein Einzelprodukt (nennt sich jetzt "Matrix42 Endpoint Security")
Bitte warten ..
Mitglied: radiogugu
31.05.2020 um 11:21 Uhr
Hallo.

Ich werfe noch DeviceLock ins Rennen.

Wir setzen die Software seit 15 Jahren ein und sind mehr als zufrieden mit der Leistung und dem Preisgefüge.
Auch der Vertrieb und Support in Deutschland sind erste Sahne.

Gruß
Radiogugu
Bitte warten ..
Mitglied: tech-flare
31.05.2020 um 11:24 Uhr
Bei ESET Security ist das auch mit dabei und lässt sich über Richtlinien per PC oder User lösen
Bitte warten ..
Mitglied: DocuSnap-Dude
31.05.2020, aktualisiert um 11:30 Uhr
Zitat von tech-flare:

Bei ESET Security ist das auch mit dabei und lässt sich über Richtlinien per PC oder User lösen

Mittlerweile können das fast alle AV-Anbieter (Sophos z.B. auch). Aber da hast du meist das Problem, das es keiner so richtig macht. Da sind die Spezialisten (Egosecure, Devicelock, Drivelock etc.) einen deut besser unterwegs. Letztlich alles eine Sache des Gesamtanspruches des Kunden/Nutzers.

Gruß
F.

P.S.: Egosecure ist jetzt mit Matirx42 verbunden, jedoch nach wie vor ein Einzelprodukt (nennt sich jetzt "Matrix42 Endpoint Security")
Bitte warten ..
Mitglied: DerWoWusste
31.05.2020 um 11:59 Uhr
Du kannst das über MLGPOs regeln in ca. einer Minute.
mlgpo - Klicke auf das Bild, um es zu vergrößern
Dies ist eine MLGPO, eine lokale GPO, die nur auf Nicht-Admins wirkt.
Beschrieben zum Beispiel hier: https://www.tenforums.com/tutorials/80043-apply-local-group-policy-speci ...
Bitte warten ..
Mitglied: Mr-Limon
31.05.2020 um 15:00 Uhr
Vielleicht mal schauen, was das BIOS/UEFI so kann. Zumindest USB-Boot sollte deaktivierbar sein. Und bei manchen kann man auch die USB-Ports auf Eingabegeräte beschränken. Müsste man dann halt deaktivieren, wenn für Administrationszwecke ein USB-Stick benötigt wird.
Bitte warten ..
Mitglied: trabajador
02.06.2020 um 23:38 Uhr
Hallo Forum,
vielmals vielen Dank für Eure sehr informativen Antworten.
Die Tipps mit USB-Locks und Deaktivierung der USB-Ports im Bios werden auch angewendet.
Die Softwaretipps werden von meinem Kollegen und mir gemeinsam auswerten.
Den Beitrag mit "MLGPO" habe ich nicht verstanden. Lediglich ein nicht im Bios abgeschalteter USB-Port soll so verifiziert werden, dass nur Maus, Tastatur und spezifischer USB-Stick anerkannt werden.
Wir hatten gehofft eine kostenlose Software würde diesbezüglich auch von Euch empfohlen werden.
Auf jeden Fall habt Ihr uns weiter helfen können.
Bitte warten ..
Mitglied: DerWoWusste
03.06.2020, aktualisiert um 00:32 Uhr
Die englische Anleitung hast du gelesen? https://www.gruppenrichtlinien.de/artikel/gpeditmsc-multi-lokale-richtli ..., falls du eine deutsche brauchst. Es ist genau passend und kostenlos.
Bitte warten ..
Mitglied: trabajador
03.06.2020 um 01:04 Uhr
Hallo DerWoWusste,
auch nach Lesung der deutschen Version ist es mir nicht verständlich.
Auf dem Server bzw. Client wird der User "Administrator" mit Administratorenrechten" und spezifischen Passwort verwendet.
Der Client hat kein eigenes Projekt, sondern holt sich die Informationen von dem Serverprojekt, welches auch auf dem Server gespeichert ist. Also muss hier auch Leserechte verfügbar sein. Wahrscheinlich sind auch Schreibrechte notwendig, denn es werden auch Eingaben bei der Anwendersoftware, wie z.B. Anmeldung vorgenommen.
Wenn Du etwas Zeit hast, kannst Du mir den Lösungsansatz doch etwas ausführlicher erläutern mit "gpedit.msc".
Ich hatte eher an so etwas, wie ID-Erkennung, für einen spezifischen USB-Stick gedacht.
Danke für Deine Unterstützung.
Bitte warten ..
Mitglied: radiogugu
03.06.2020 um 09:14 Uhr
Zitat von trabajador:
Ich hatte eher an so etwas, wie ID-Erkennung, für einen spezifischen USB-Stick gedacht.

Mit Signaturen für Datenträger wirst Du um eine Software nicht herumkommen.

Oben stehen jede Menge Kandidaten. Diese Programme sind allesamt nicht wirklich teuer im Vergleich zu dem Mehrwert an Sicherheit der sich aus deren Implementierung ergibt.

Gruß
Radiogugu
Bitte warten ..
Mitglied: DerWoWusste
03.06.2020 um 09:23 Uhr
auch nach Lesung der deutschen Version ist es mir nicht verständlich.
Ok, was ist daran unverständlich?

Die abgebildete GPO (mein Screenshot oben) kannst Du jetzt mal testhalber setzen über gpedit.msc. Danach wird kein neu angesteckter Stick mehr lesbar sein. Was MLGPO zusätzlich macht, ist, diese GPO nur auf Nichtadmins anzuwenden, also: für Nichtadmins funktionieren Sticks nicht (keiner), für Admins funtionieren weiterhin alle Sticks.

Dein ursprünglicher Gedanke, einzelne IDs freizugeben, ist hierbei nicht nötig.
Bitte warten ..
Mitglied: trabajador
04.06.2020 um 00:09 Uhr
Hallo DerWoWusste,

danke für Deine heutige Erläuterung. Ich werde Deinen Vorschlag umsetzen und die abgebildete GPO, wahrscheinlich morgen setzen, wenn Mouse, Tastatur und ein spezifischer USB-Stick gesteckt sind. Danach werde ich einen weiteren USB-Stick einstecken und dieser sollte dann nicht lesbar sein.
Das wäre dann eine super Lösung. Naja erst einmal testen.


"Was MLGPO zusätzlich macht, ist, diese GPO nur auf Nichtadmins anzuwenden, also: für Nichtadmins funktionieren Sticks nicht (keiner), für Admins funktionieren weiterhin alle Sticks."
Dies ist mir nicht richtig verständlich. An Server und Client Computer gibt es nur Benutzerkonten mit Administratorenrechte. Der Client-PC fährt sogar mit automatischer Windowsanmeldung hoch und die Anwendungssoftware startet automatisch, nachdem der Client-PC hochgefahren ist.
In diesem Fall würden, dann alle eingesteckten USB-Sticks erkannt werden, weil Adminrechte zugrunde liegen??? Dann wäre die Lösung doch nicht ganz optimal.
Danke für die Unterstützung.



Die abgebildete GPO (mein Screenshot oben) kannst Du jetzt mal testhalber setzen über gpedit.msc. Danach wird kein neu angesteckter Stick mehr lesbar sein. Was MLGPO zusätzlich macht, ist, diese GPO nur auf Nichtadmins anzuwenden, also: für Nichtadmins funktionieren Sticks nicht (keiner), für Admins funtionieren weiterhin alle Sticks.
Bitte warten ..
Mitglied: DerWoWusste
04.06.2020 um 07:06 Uhr
Man kann Admins nicht einschränken. Ich habe es in deinem Text wohl übersehen, da ich nicht darauf kommen würde, dass es jemand versucht.
Bitte warten ..
Mitglied: cykes
04.06.2020 um 07:38 Uhr
Also bei den Vorbedingungen halte ich nach wie vor die mechanische Lösung für die einzig wahre.
Je nachdem um welche Art Produktionsbetrieb es sich sich handelt, könnte vielleicht eine CNC-Maschine sogar passende Bleche schneiden, um die Ports auf der Rückseite abzudecken. Front-USB Ports einfach entweder mit den eingangs erwähnten Schlössern schützen oder einfach das Kabel zum Mainbaord abziehen.
Eine kostenlose und den Anforderungen entsprechende Softwarelösung wird es nicht geben und einen 100%-Manipulationsschutz ebenfalls nicht, man kann den Einbruch in das System genau wie bei der eigenen Wohnung nur erschweren, wenn einer wirklich einbrechen will, kommt er auch rein.
Bitte warten ..
Mitglied: radiogugu
10.06.2020, aktualisiert um 17:39 Uhr
Zitat von trabajador:
An Server und Client Computer gibt es nur Benutzerkonten mit Administratorenrechte. Der Client-PC fährt sogar mit automatischer Windowsanmeldung hoch und die Anwendungssoftware startet automatisch, nachdem der Client-PC hochgefahren ist.

Es steht zwar schon im Eröffnungspost, aber: WTF?!?!?

Sind das CAD PC oder wofür brauchen die Admin-Rechte? Das ist völlig an jeglichem Sicherheitskonzept vorbei. Fast alles, was Du probieren wirst scheitert dann an dem Konten-Typ.

In diesem Fall würden, dann alle eingesteckten USB-Sticks erkannt werden, weil Adminrechte zugrunde liegen??? Dann wäre die Lösung doch nicht ganz optimal.

Korrekt. Nimm einen der Software-Vorschläge aus den oberen Beiträgen. Damit hast Du zentrale Verwaltung aller Peripherie und eine saubere Lösung ohne Gefummel.

Gruß
Radiogugu
Bitte warten ..
Mitglied: trabajador
15.06.2020 um 09:46 Uhr
Danke für alle Kommentare,

wir haben jetzt mechanische USB-Locks gekauft und alle USB-Anschlüsse, bis auf Maus und Tastatur, werden mit den USB-Locks verschlossen. Wir nehmen damit in Kauf über die USB-Anschlüsse von Maus und Tastatur kann schädliche Software installiert werden.
Die Anwendersoftware, welche Administratorrechte verlangt ist von Siemens.
Bitte warten ..
Ähnliche Inhalte
Peripheriegeräte
Vernünftiger 8-Port USB-Hub?
gelöst Frage von keine-ahnungPeripheriegeräte10 Kommentare

Moin an alle, bestimmt gibt hier user, die sich mit Peripherie-Gerassel deutlich besser auskennen als ich. Ich suche USB-Hubs ...

Windows 10
Virtueller Com Port von USB Gerät
Frage von Jan1986Windows 108 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit USB Geräte(in meinem Fall 3 Handscanner) über einen USB Hub(da ich nur ...

Peripheriegeräte

USB 3.0 Stick wird nur an USB 2.0 Port erkannt

Frage von IllusionFACTORYPeripheriegeräte6 Kommentare

Hallo, zusammen, auf mehreren Rechnern (Win7) wird ein USB3.0-Stick nur an einem USB2.0 Port erkannt (und funktioniert dort korrekt). ...

Microsoft Office

USB Port durch Office 2019 Update gesperrt

gelöst Frage von StevevomKundensupportMicrosoft Office1 Kommentar

Hallo Sysadmin, Gestern haben wir angefangen Office 2013 nach Office 2019 zu updaten (keine Vorwürfe ich weis wir hängen ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 22 StundenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 1 TagOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 2 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Windows Netzwerk
Unsichtbare DHCP Leases finden und löschen
Anleitung von binBash86 vor 2 TagenWindows Netzwerk

Wir hatten häufiger das Problem, dass ein Windows DHCP Server scheinbar keine Leases mehr frei hat, wenn man aber ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Server -VS- NAS ?
Frage von Mann-000SAN, NAS, DAS26 Kommentare

Hallo zusammen, ich habe einige Seite durchgelesen (viel altes Zeug von 2011 etc. gefunden) und frage mich immer noch, ...

Hyper-V
VHDX löschen (Datei wird verwendet)
gelöst Frage von 72-dpijunkieHyper-V21 Kommentare

Guten Morgen zusammen, ich habe ein Problemchen und weiß nicht mehr weiter. Vielleicht kann mir jemand von euch helfen? ...

Windows 10
W10 Netzlaufwerk alter SAMBA Server funktioniert nicht mehr seit Update 2004
Frage von leon123Windows 1016 Kommentare

Hallo zusammen, ich habe bei allen Windows 10 mit Update 2004 das Problem, dass Verbundene Netzlaufwerke eines älteren SAMBA ...

Windows Server
Powershell Dateien archivieren und im LogSpeichern
gelöst Frage von HAinsaneWindows Server15 Kommentare

Hallo zusammen, bei uns werden auf einem Fileserver automatisch Ergebnisse der Produktion in verschiedenen Files abgelegt. Die entsprechenden Verzeichnisse ...