USB Rechte einschränken per Batch
Hallo..
Ein Kunde von mir hat ca. 50-60 PCs, meist XP (versch. Service Pack Versionen) aber auch Win 2000 darunter (beides natürl. Professional). Der Kunde hat keinen Domänencontroller und wünscht sich nun von mir eine Batch die an jedem PC ausgeführt wird und danach sollen eingeschränkte User keine USB-Sticks mehr nutzen können, Administratoren hingegen schon. Wenn ich aber nun Zugriffsrechte auf die USBstor.sys setze muss ich ja die Berechtigung vom "System" wegnehmen damit ich die Stick-Funktionalität deaktiviere, jedoch kann ich dass dann auch als Administrator vergessen einen Zugriff auf Sticks zu haben.
Hat sich schonmal jemand an sowas versucht?
Gruß,
Thomas
Ein Kunde von mir hat ca. 50-60 PCs, meist XP (versch. Service Pack Versionen) aber auch Win 2000 darunter (beides natürl. Professional). Der Kunde hat keinen Domänencontroller und wünscht sich nun von mir eine Batch die an jedem PC ausgeführt wird und danach sollen eingeschränkte User keine USB-Sticks mehr nutzen können, Administratoren hingegen schon. Wenn ich aber nun Zugriffsrechte auf die USBstor.sys setze muss ich ja die Berechtigung vom "System" wegnehmen damit ich die Stick-Funktionalität deaktiviere, jedoch kann ich dass dann auch als Administrator vergessen einen Zugriff auf Sticks zu haben.
Hat sich schonmal jemand an sowas versucht?
Gruß,
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126069
Url: https://administrator.de/contentid/126069
Ausgedruckt am: 05.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
Das Thema wurde nun (auch hier im Forum) schon so oft durchgekaut..
http://www.petri.co.il/disable_usb_disks_with_gpo.htm
http://www.petri.co.il/disable_usb_disks_with_gpo.htm
Moin,
falls ich sarkastisch sein darf, würde ich sagen...
kauf Dir neue Turnschuhe, Du hast nen Auftrag bis fast ans Lebensende....
ganz im Ernst - verklickere dem Kunden bitte
egal wie *zu und verriegelt* ein PC ist - wer an dem sitzt, kann sich eigentlich immer ein *Tor in den PC* schaffen
Unterbinden kann man das nur, wenn der PC in eine zentralisierte Sicherheitsstruktur eingebunden ist, das beginnt mit nem AD und kann enden, wenn der PC nur über RIS gestartet werden kann (darf)
also sollte Dein Kunde mal überlegen, ob Du ne Lebenstellung bekommst - 0der ob er mal für die Umsetzung des Auftrags 4 ... 5 k inne Hand nehmen will.....
Gruß
24
falls ich sarkastisch sein darf, würde ich sagen...
kauf Dir neue Turnschuhe, Du hast nen Auftrag bis fast ans Lebensende....
ganz im Ernst - verklickere dem Kunden bitte
egal wie *zu und verriegelt* ein PC ist - wer an dem sitzt, kann sich eigentlich immer ein *Tor in den PC* schaffen
Unterbinden kann man das nur, wenn der PC in eine zentralisierte Sicherheitsstruktur eingebunden ist, das beginnt mit nem AD und kann enden, wenn der PC nur über RIS gestartet werden kann (darf)
also sollte Dein Kunde mal überlegen, ob Du ne Lebenstellung bekommst - 0der ob er mal für die Umsetzung des Auftrags 4 ... 5 k inne Hand nehmen will.....
Gruß
24
Zitat von @dog:
Das Thema wurde nun (auch hier im Forum) schon so oft durchgekaut..
http://www.petri.co.il/disable_usb_disks_with_gpo.htm
Das Thema wurde nun (auch hier im Forum) schon so oft durchgekaut..
http://www.petri.co.il/disable_usb_disks_with_gpo.htm
hast ja recht, die haben aber keine GPO ohne DC..
24
hallo,
in die richtung geht und sehr viel eingesetzt wird auch usbsecure....ursprünglich wohl ein ct-projekt.
schaust du mal hier -> http://www.simplescripts.de/usb-port-security-tool.htm
und hier -> http://www.henningmueller.com/index.php?option=com_content&view=art ...
ist aber etwas konfigurationsarbeit und für die automatisierte installition auf den clients müßtest du dir noch einiges scripten......
gruß
o.
in die richtung geht und sehr viel eingesetzt wird auch usbsecure....ursprünglich wohl ein ct-projekt.
schaust du mal hier -> http://www.simplescripts.de/usb-port-security-tool.htm
und hier -> http://www.henningmueller.com/index.php?option=com_content&view=art ...
ist aber etwas konfigurationsarbeit und für die automatisierte installition auf den clients müßtest du dir noch einiges scripten......
gruß
o.
Moin,
wenn du es bequem haben möchtest und in Zukunft auch andere Schnittstellen überwachen möchtest, empfehle ich dir DriveLock. Dann kannst du sowohl USB-Schnittstellen, CD-Laufwerke, Serielle Schnittstelle, Parallele Schnittstelle, etc... überwachen und entsprechend konfigurieren (Whitelist, Blacklist). Du kannst verschiedenen Benuzer / Gruppen verschiedene Konfigurationen über GPO zuweisen.
Unterstützt werden im Moment Windows 2000, WindowsXP, Windows Server 2003 und Windows Vista.
Grüße,
Dani
wenn du es bequem haben möchtest und in Zukunft auch andere Schnittstellen überwachen möchtest, empfehle ich dir DriveLock. Dann kannst du sowohl USB-Schnittstellen, CD-Laufwerke, Serielle Schnittstelle, Parallele Schnittstelle, etc... überwachen und entsprechend konfigurieren (Whitelist, Blacklist). Du kannst verschiedenen Benuzer / Gruppen verschiedene Konfigurationen über GPO zuweisen.
Unterstützt werden im Moment Windows 2000, WindowsXP, Windows Server 2003 und Windows Vista.
Grüße,
Dani
Es soll sogar Firmen geben, die zum deaktivieren von USB-Ports auch mal zur Heißklebepistole gegriffen haben... oO *nach Amerika schau*