Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Usb Stick sperren

Mitglied: Gerry
die benutzer nehmen den Usb Stick um Dateien zu übertragen
ich will das aber unterbinden (Viren)
Hatt jemand einen Tip.
Danke schon in voraus.

Content-Key: 3196

Url: https://administrator.de/contentid/3196

Ausgedruckt am: 22.10.2021 um 18:10 Uhr

Mitglied: kriebgui
kriebgui 13.10.2004 um 21:59:09 Uhr
Goto Top
Hi,

Möglichkeit Nummer 1:

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732

Möglichkeit Nummer 2:

http://www.centertools.de

Gruß
G
Mitglied: AndreasDepping
AndreasDepping 14.10.2004 um 09:51:25 Uhr
Goto Top
wie wäre es mit einem vernünftigen Virenscanner - der natürlich auch regelmäßig (am besten automatisch) aktualisert wird :-) face-smile ???
Mitglied: kriebgui
kriebgui 14.10.2004 um 10:14:29 Uhr
Goto Top
Was hat den ein Virenscanner mit dem Sperren eines Datenspeichers (USB-Stick) zu tuhen?

Das Sperren eines USB-Sticks sorgt dafür das Mitarbeiter keine Daten rein oder raus bekommen. Es gibt nicht nur Virenschutz sondern auch Datenschutz im Sinne der Betriebsspionage.

Gruß
G.
Mitglied: BartSimpson
BartSimpson 14.10.2004 um 10:56:49 Uhr
Goto Top
Möglichkeit 1 ist nur berschrenkt sinnvoll. Denn da binge ich mir einfach die inf dateien von zu hause mit. Das einzige was wirklich hilft, ist das deaktivieren der USB's Ports.
Wenn diese jedoch gebraucht werde, http://www.centertools.de könnte gehen. Kannst ja mal die Testversion versuchen.
Mitglied: AndreasDepping
AndreasDepping 14.10.2004 um 11:06:06 Uhr
Goto Top
Sorry, hatte ich anders verstanden:-) face-smile Aber wir wär es, wenn Du die USB-Ports über das Bios ausschaltest???
Mitglied: N899FGG
N899FGG 14.10.2004 um 11:51:37 Uhr
Goto Top
Hallo Gery,
Datenschutz, Deviceschutz, Virenschutz sind drei Aufgaben die der Netzwerk Security Engineer lösen kann. Auf hardware Ebenen aber auch auf Software Ebene. Auf der Software Ebene ist die Flexibilität am groessten. Benutzer ist auch gut. Wieviele im Netzwerk?. Bei 8000 sollte man
Peripherie Unlock Gruppen anlegen mit FLOPPYUNLock, CDRomUNLOCK,USBUnlock,CardLock, ... Diese sollten neben den .. Gruppen angelegt werden.
AP-Gruppen Applikationes Gruppen
DA-Gruppen Data Gruppen
DO-Domain Gruppen
IA-Internet Gruppen
LO- Lokation Gruppen
PO-SEC Policies Gruppen
SE-Security Gruppen
TO-Top Tools Gruppen
WE- Webmaster Gruppen
http://www.centertools.de/ ist solide.
Virenschutz ist möglich via EPO Orchestrator von McAfee. Läuft im Netzwerk und aktualisiert ich permanent.
marc
Mitglied: kriebgui
kriebgui 14.10.2004 um 12:20:22 Uhr
Goto Top
Und was ist dann mit der USB Maus?
Der von mir gegeben Link über die USBStore.inf Geschichte bezieht sich ausschliesslich auf USB Massenspeichergeräte.

Gruß
Guido
Mitglied: kriebgui
kriebgui 14.10.2004 um 12:21:38 Uhr
Goto Top
Die USBStore.inf muss im Ordner INF liegen. Wenn Sie dort nur von Admin geschrieben/gelesen werden kann, kann auch keiner mit einer von Zuhause aus mitgebrachten Datei arbeiten.
Mitglied: BartSimpson
BartSimpson 14.10.2004 um 14:42:02 Uhr
Goto Top
Das ist mit windows echt blöd. Mit Linux wäre die Sache echt einfacher. Einfach eine ACL auf das Modul setzten.
Mitglied: kriebgui
kriebgui 14.10.2004 um 15:02:52 Uhr
Goto Top
JaJa das Böse Windows. Windows kannte aber schon USB da kannte Linux sich selbst nicht mal. BlaBlaBla. ;-) face-wink)))

Spass bei Seite, Windows hat auch ACL's um die USB Geräte zu sperren. Leider jedoch nicht gut Dokumentiert und es gibt nur Kommerzielle Programme (die Bösen, die wollen doch nur Geld verdienen) die ACL's für USB Nutzen.

Gruß
Guido
Mitglied: aleksandar
aleksandar 27.10.2004 um 13:14:50 Uhr
Goto Top
Hi

also ich habe was im Internet gelesen. Es kann man auch den USB Stick mit Gruppenrichtlinien sperren. Auf der Seite http://www.gruppenrichtlinien.de unter How To stehts beschrieben.
Hab´s selber ausprobiert hat nicht geklappt, konnte die ADM nicht einfügen.
Wenn einer schaft sag mir bitte wie??

Grüß Aleksandar
Mitglied: 5479
5479 29.10.2004 um 12:01:03 Uhr
Goto Top
hmmm ich hab ne ziemlich gute VBS datei mit meinem Chef programmiert !
Die checkt alle x Sekunden (frei wählbar) die registrierung ob nen neues USB gerät erkannt wurde und wenn dies geschieht gibts ne Meldung an uns Admins und der user wird aufgefordert die Admins zu kontaktieren , und wird ausgeloggt !

Frisst nicht viel Performance und ist völlig kostenlos !
Mitglied: 5479
5479 29.10.2004 um 12:04:45 Uhr
Goto Top
Ah ja Hinzuzugügen ist :

Es muss erst 'ne Datei angelegt werden wo drin steht welche USB Devices erlaubt sind ...
haben es mit einer Vorlage von c't programmiert.


Er checkt alle 5 Sec die Registrierung und vergleicht eine Datei wo die erlaubten USB Devices drin sind mit dem Regschlüssel .
Sprich wenn der PC schon ne Maus und nen Scanner kennt dann passiert nix , aber sobald das Programm mal eine ungleichheit findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und SRVANY einstellung) und kann nur abgeschaltet werden indem man von aussen (also als Admin) auf die Lokale platte geht und in der Config Datei (wo die Devices stehen) eindeutig ein "AUS" reinschreibt ...

Wenn erste Zeile ein "EIN" ist dann läuft der Dienst , bei "AUS" geht der Dienst aus !

Wenn Interesse besteht dann geb ich euch ggf. das Programm weiter !


MfG

Markus
Mitglied: 6035
6035 29.10.2004 um 13:19:15 Uhr
Goto Top
HEUREKA es Klappt...

Habs gerade selbst versucht mit Gruppenrichtlinien den Stick zu Sperren...

In den Sicherheitseinstellungen des Computerkontos bei der Registrierung den schlüssel

HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.

Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen

Im Moment hab ich es an Server 2000 Versucht mit Klients Windows 2000 mit SP4
Mitglied: aleksandar
aleksandar 29.10.2004 um 13:50:31 Uhr
Goto Top
Hallo Praktikant

aber da muss man auf jeden Rechner persönlich drauf um die Berechtigungen zu setzen.
Bei 150 Rechner ist dies bischen aufwendig oder? :) face-smile
Kann man das nicht automatisieren?

Grüß Aleksandar
Mitglied: 5479
5479 29.10.2004 um 13:57:03 Uhr
Goto Top
Doch man kann doch per REGEDT32 auf fremde rechner zugreifen , man könnte es per VBS Script (oder mit nema nderem Script) automatisieren indem es sich in die Registrierung des clients einträgt und ebenso die Files umändert auf der fremden maschiene !
Mitglied: 6035
6035 29.10.2004 um 13:57:50 Uhr
Goto Top
es läuft über eine Gruppenrichtlinie für die Organisationseinheit daher ist es bereits automatisiert ich habs für 16 Klienten so geregelt also warum sollte das nicht für deine 150 klappen?
Mitglied: aleksandar
aleksandar 29.10.2004 um 14:04:05 Uhr
Goto Top
Hi

schuldigung habs schlecht gefragt.
Wollte wissen wie du es über Gruppenrichtlinien eingereichtet hast.
Habe aber selber glaube ich rausgekriet wie du es gemeint hast.

Grüß Alex
Mitglied: 6035
6035 03.11.2004 um 17:21:16 Uhr
Goto Top
und... Klappt es?
Mitglied: 5479
5479 03.11.2004 um 18:25:01 Uhr
Goto Top
scheinbar ja ... ;)
Mitglied: 4you
4you 15.11.2004 um 15:01:11 Uhr
Goto Top
Hallo,

ich bin am freitag, 12.11. fündig geworden.

Siehe http://www.netinfoline.de/usb_blocker/usb_blocker_info.asp

Gruß
4you
Mitglied: Tribun84
Tribun84 29.11.2004 um 09:05:12 Uhr
Goto Top
Hallo,

wir haben Win XP Pro SP 2. Kurz zur Erklärung: Wir wollen bestimmten Nutzern die Rechte geben, USB-Sticks zu verwenden. Momentan ist es für alle verboten, außer Administratoren.

In die Sicherheitseinstellungen komme ich über 'gpedit.msc'. Allerdings finde ich dort nichts, was mit Registrierung zu tun hat. Und wie füge ich Schlüssel hinzu?
Über den regedit kann ich dem System Vollzugriff geben. Es funktioniert aber dennoch nicht.
Meldung:
"Neue Hardware gefunden: Sie müssen Mitglied der Administratorengruppe sein, um diese Hardwarekomponente installieren zu können ..."

" Und bei dem Dateisystem hinzufügen:" Was ist damit gemeint?

Gruß
Tobias
Mitglied: weltkaiser
weltkaiser 05.12.2004 um 13:42:41 Uhr
Goto Top
Ah ja Hinzuzugügen ist :

Es muss erst 'ne Datei angelegt werden wo
drin steht welche USB Devices erlaubt sind
...
haben es mit einer Vorlage von c't
programmiert.


Er checkt alle 5 Sec die Registrierung und
vergleicht eine Datei wo die erlaubten USB
Devices drin sind mit dem Regschlüssel
.
Sprich wenn der PC schon ne Maus und nen
Scanner kennt dann passiert nix , aber
sobald das Programm mal eine ungleichheit
findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und
SRVANY einstellung) und kann nur
abgeschaltet werden indem man von aussen
(also als Admin) auf die Lokale platte geht
und in der Config Datei (wo die Devices
stehen) eindeutig ein "AUS"
reinschreibt ...

Wenn erste Zeile ein "EIN" ist
dann läuft der Dienst , bei
"AUS" geht der Dienst aus !

Wenn Interesse besteht dann geb ich euch
ggf. das Programm weiter !


MfG

Markus


Hallo Markus,

könntest du mir Dein Programm zur Verfügung stellen.
Wir sperren derzeit die Usb - Schnittstelle per Gruppenrichtlinie.
Deine Methode hört sich allerding auch nicht schlecht an.

Mfg
Oliver
Mitglied: nachbarheinz
nachbarheinz 04.05.2005 um 08:01:37 Uhr
Goto Top
Wer hat denn nun diesen ominösen Script zum USB überwachen? Funktioniert die Sache?
Mitglied: Monochrome
Monochrome 04.05.2005 um 16:18:18 Uhr
Goto Top
Kann folgendes kommerzielle Tool empfehlen: http://www.usb-protector.de

Arbeitet nach einem Whitelist-Verfahren, d.h. man legt die USB-Profile bzw. -Geräte (Hardware-ID) fest, die erlaubt sind, und alles andere wird gesperrt. Über die Hardware-ID kann z.B. der Stick der Admins freigeschaltet werden, aber alle anderen USB Mass Storage Devices bleiben gesperrt. Arbeitet über AD-Richtlinien, d.h. der Installer wird darüber verteilt und dann silent installiert (kein Reboot nötig). Der Client ist dann sofort aktiv und kann nur mit Adminrechten UND Passwort (Hash-Wert) deinstalliert werden. Management geht über ein MMC-Snap-In. Das Ding ist klein, einfach und unüberwindbar. Es arbeitet so hardwarenah, dass sogar ein Crash des OS den Client nicht deaktiviert->läuft sogar im abgesicherten Modus!

Kostet zwar 20?/Client, aber wer sich die o.g. Beiträge zu Gemüte führt, wird feststellen dass es keine freie Lösung gibt, die man nicht austricksen kann (die eine leichter, die andere schwerer). USB deaktivieren kommt für mein Unternehmen nicht in Frage, da wir mit USB-Scannern arbeiten und die Sache von MS mit den .inf-Files klingt auch nicht wirklich überzeugend.

Gruß M.
Mitglied: tornoraner
tornoraner 10.05.2005 um 10:03:32 Uhr
Goto Top
moin, ich soll gerad ein Schülerkabinet ausstatten und hab da das selbe Problem wie Ihr hattet! Dein Tool klingt interessant, kannst du mir das mal via Mail zuschicken, oder mir sagen, wo ich das Tool finde?!
Ich danke!
Mitglied: NEULINGER
NEULINGER 09.09.2005 um 11:46:33 Uhr
Goto Top
Vielleicht etwas spät aber besser als nie :-) face-smile
Ich habe auf der Seite http://www.henningmueller.com die erweiterte Version der c't gefunden. Funktioniert sehr gut und ist kostenlos.
Bis zu einer gewissen Anzahl von Arbeitsplätzen auch gut händelbar.
Mitglied: N899FGG
N899FGG 09.09.2005 um 11:57:01 Uhr
Goto Top
Hallo Neulinger,
es ist nie zu spät. Es gibt sehr viele gute Ideen, Fragen ,Kommentar und je mehr je besser. Viel Administrtoren, IT Network Security Engineers , Operators, Help Desk Supporter, Call Center Supporter, Network Administratoren, SPOC (Side Point of Contakt) Personen suchen Rat und Tips. Die Datenbank ist wieder flott und gross. Einfach reinsetzen und warten. Kommt Zeit kommt Rat.
Mitglied: tigerbase
tigerbase 09.09.2005 um 12:58:42 Uhr
Goto Top
anfrage zum thema kannst du mir die VBS datei per mail mal zukommen lassen?

danke könnte mir weiterhelfen da ich mit 2 mitarbeitern diesbezüglich ziehmlich probleme habe

danke

tigerbase
Mitglied: Gebauer
Gebauer 20.12.2005 um 09:47:04 Uhr
Goto Top
Hallo miteinander.

Der von der Fa. Institut für System - Management entwickelte USB Blocker ist nun weiter entwickelt worden.
Er sperrt nun nicht nur externe, sondern auch interen geräte, wie z. B. Disketten - Laufwerke, Brenner, Festplatten usw.....

Und das ganze über Gruppenrichtlinien im ADS und im Novell Directories.

Eine 30 Tage Testversion gibt es unter http://secu-sys.de

Viel Spass beim testen,
Gruß,
J. Gebauer
Mitglied: ChristianFfm
ChristianFfm 17.01.2007 um 20:18:05 Uhr
Goto Top
Hallo, zum Thema:

HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.

Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen

...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
Mitglied: ChristianFfm
ChristianFfm 17.01.2007 um 20:21:15 Uhr
Goto Top
Hallo, zum Thema:

HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.

Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen

...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
Mitglied: diskformat
diskformat 10.03.2007 um 22:09:09 Uhr
Goto Top
wo liest du das mit den 20, ich lese nur etwas von 5 Lizenzen
Mitglied: Matthias-1982
Matthias-1982 19.04.2007 um 16:09:46 Uhr
Goto Top
Ich sah auch nur 5 Lizenzen. Ist vermutlich in der zwischenzeit geändert worden, die Beiträge sind ja schon alt.

Gruss
Mitglied: FaBMiN
FaBMiN 19.11.2007 um 13:10:53 Uhr
Goto Top
Mitglied: ManUnited
ManUnited 11.06.2008 um 14:06:49 Uhr
Goto Top
wir haben auch devicepro mit 2500 Benutzern.
super support, auch wenn ich Ihn bis jetzt nur einmal in Anspruch nehmen musste und da hatte ich es verbockt, und total einfach zu Bedienen.

Die Firma bietet jetzt auch Zertifikate für die Lösung an - mein Chef wird sich freuen ;)
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 21 StundenFrageSicherheit15 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 20 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 1 TagFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...