zensbert
Goto Top

USB Rechte einschränken per Batch

Hallo..
Ein Kunde von mir hat ca. 50-60 PCs, meist XP (versch. Service Pack Versionen) aber auch Win 2000 darunter (beides natürl. Professional). Der Kunde hat keinen Domänencontroller und wünscht sich nun von mir eine Batch die an jedem PC ausgeführt wird und danach sollen eingeschränkte User keine USB-Sticks mehr nutzen können, Administratoren hingegen schon. Wenn ich aber nun Zugriffsrechte auf die USBstor.sys setze muss ich ja die Berechtigung vom "System" wegnehmen damit ich die Stick-Funktionalität deaktiviere, jedoch kann ich dass dann auch als Administrator vergessen einen Zugriff auf Sticks zu haben.

Hat sich schonmal jemand an sowas versucht?

Gruß,
Thomas

Content-ID: 126069

Url: https://administrator.de/contentid/126069

Ausgedruckt am: 24.11.2024 um 13:11 Uhr

dog
dog 29.09.2009 um 21:06:05 Uhr
Goto Top
Das Thema wurde nun (auch hier im Forum) schon so oft durchgekaut..

http://www.petri.co.il/disable_usb_disks_with_gpo.htm
2hard4you
2hard4you 29.09.2009 um 21:17:11 Uhr
Goto Top
Moin,


falls ich sarkastisch sein darf, würde ich sagen...

kauf Dir neue Turnschuhe, Du hast nen Auftrag bis fast ans Lebensende....

ganz im Ernst - verklickere dem Kunden bitte

egal wie *zu und verriegelt* ein PC ist - wer an dem sitzt, kann sich eigentlich immer ein *Tor in den PC* schaffen

Unterbinden kann man das nur, wenn der PC in eine zentralisierte Sicherheitsstruktur eingebunden ist, das beginnt mit nem AD und kann enden, wenn der PC nur über RIS gestartet werden kann (darf)

also sollte Dein Kunde mal überlegen, ob Du ne Lebenstellung bekommst - 0der ob er mal für die Umsetzung des Auftrags 4 ... 5 k inne Hand nehmen will.....

Gruß


24
2hard4you
2hard4you 29.09.2009 um 21:18:34 Uhr
Goto Top
Zitat von @dog:
Das Thema wurde nun (auch hier im Forum) schon so oft durchgekaut..

http://www.petri.co.il/disable_usb_disks_with_gpo.htm

hast ja recht, die haben aber keine GPO ohne DC..

24
oagkbln
oagkbln 29.09.2009 um 23:02:25 Uhr
Goto Top
hallo,

in die richtung geht und sehr viel eingesetzt wird auch usbsecure....ursprünglich wohl ein ct-projekt.

schaust du mal hier -> http://www.simplescripts.de/usb-port-security-tool.htm

und hier -> http://www.henningmueller.com/index.php?option=com_content&view=art ...

ist aber etwas konfigurationsarbeit und für die automatisierte installition auf den clients müßtest du dir noch einiges scripten......

gruß

o.
Dani
Dani 30.09.2009 um 08:06:32 Uhr
Goto Top
Moin,
wenn du es bequem haben möchtest und in Zukunft auch andere Schnittstellen überwachen möchtest, empfehle ich dir DriveLock. Dann kannst du sowohl USB-Schnittstellen, CD-Laufwerke, Serielle Schnittstelle, Parallele Schnittstelle, etc... überwachen und entsprechend konfigurieren (Whitelist, Blacklist). Du kannst verschiedenen Benuzer / Gruppen verschiedene Konfigurationen über GPO zuweisen.

Unterstützt werden im Moment Windows 2000, WindowsXP, Windows Server 2003 und Windows Vista.


Grüße,
Dani
zensbert
zensbert 30.09.2009 um 08:27:39 Uhr
Goto Top
Dann muss ich den Kunden wohl anweisen "USB Disabler Pro" von Intelliadmin zu nehmen.. Das kommt von der angeforderten Funktionalität und vom Preis sowie Konfigurations aufwand wohl am billigsten.
Danke trotzdem.
83016
83016 30.09.2009 um 10:29:43 Uhr
Goto Top
Es soll sogar Firmen geben, die zum deaktivieren von USB-Ports auch mal zur Heißklebepistole gegriffen haben... oO *nach Amerika schau*