Usb Stick sperren
die benutzer nehmen den Usb Stick um Dateien zu übertragen
ich will das aber unterbinden (Viren)
Hatt jemand einen Tip.
Danke schon in voraus.
ich will das aber unterbinden (Viren)
Hatt jemand einen Tip.
Danke schon in voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3196
Url: https://administrator.de/forum/usb-stick-sperren-3196.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
36 Kommentare
Neuester Kommentar
Hi,
Möglichkeit Nummer 1:
http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Möglichkeit Nummer 2:
http://www.centertools.de
Gruß
G
Möglichkeit Nummer 1:
http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Möglichkeit Nummer 2:
http://www.centertools.de
Gruß
G
Möglichkeit 1 ist nur berschrenkt sinnvoll. Denn da binge ich mir einfach die inf dateien von zu hause mit. Das einzige was wirklich hilft, ist das deaktivieren der USB's Ports.
Wenn diese jedoch gebraucht werde, http://www.centertools.de könnte gehen. Kannst ja mal die Testversion versuchen.
Wenn diese jedoch gebraucht werde, http://www.centertools.de könnte gehen. Kannst ja mal die Testversion versuchen.
Hallo Gery,
Datenschutz, Deviceschutz, Virenschutz sind drei Aufgaben die der Netzwerk Security Engineer lösen kann. Auf hardware Ebenen aber auch auf Software Ebene. Auf der Software Ebene ist die Flexibilität am groessten. Benutzer ist auch gut. Wieviele im Netzwerk?. Bei 8000 sollte man
Peripherie Unlock Gruppen anlegen mit FLOPPYUNLock, CDRomUNLOCK,USBUnlock,CardLock, ... Diese sollten neben den .. Gruppen angelegt werden.
AP-Gruppen Applikationes Gruppen
DA-Gruppen Data Gruppen
DO-Domain Gruppen
IA-Internet Gruppen
LO- Lokation Gruppen
PO-SEC Policies Gruppen
SE-Security Gruppen
TO-Top Tools Gruppen
WE- Webmaster Gruppen
http://www.centertools.de/ ist solide.
Virenschutz ist möglich via EPO Orchestrator von McAfee. Läuft im Netzwerk und aktualisiert ich permanent.
marc
Datenschutz, Deviceschutz, Virenschutz sind drei Aufgaben die der Netzwerk Security Engineer lösen kann. Auf hardware Ebenen aber auch auf Software Ebene. Auf der Software Ebene ist die Flexibilität am groessten. Benutzer ist auch gut. Wieviele im Netzwerk?. Bei 8000 sollte man
Peripherie Unlock Gruppen anlegen mit FLOPPYUNLock, CDRomUNLOCK,USBUnlock,CardLock, ... Diese sollten neben den .. Gruppen angelegt werden.
AP-Gruppen Applikationes Gruppen
DA-Gruppen Data Gruppen
DO-Domain Gruppen
IA-Internet Gruppen
LO- Lokation Gruppen
PO-SEC Policies Gruppen
SE-Security Gruppen
TO-Top Tools Gruppen
WE- Webmaster Gruppen
http://www.centertools.de/ ist solide.
Virenschutz ist möglich via EPO Orchestrator von McAfee. Läuft im Netzwerk und aktualisiert ich permanent.
marc
JaJa das Böse Windows. Windows kannte aber schon USB da kannte Linux sich selbst nicht mal. BlaBlaBla. )))
Spass bei Seite, Windows hat auch ACL's um die USB Geräte zu sperren. Leider jedoch nicht gut Dokumentiert und es gibt nur Kommerzielle Programme (die Bösen, die wollen doch nur Geld verdienen) die ACL's für USB Nutzen.
Gruß
Guido
Spass bei Seite, Windows hat auch ACL's um die USB Geräte zu sperren. Leider jedoch nicht gut Dokumentiert und es gibt nur Kommerzielle Programme (die Bösen, die wollen doch nur Geld verdienen) die ACL's für USB Nutzen.
Gruß
Guido
Hi
also ich habe was im Internet gelesen. Es kann man auch den USB Stick mit Gruppenrichtlinien sperren. Auf der Seite http://www.gruppenrichtlinien.de unter How To stehts beschrieben.
Hab´s selber ausprobiert hat nicht geklappt, konnte die ADM nicht einfügen.
Wenn einer schaft sag mir bitte wie??
Grüß Aleksandar
also ich habe was im Internet gelesen. Es kann man auch den USB Stick mit Gruppenrichtlinien sperren. Auf der Seite http://www.gruppenrichtlinien.de unter How To stehts beschrieben.
Hab´s selber ausprobiert hat nicht geklappt, konnte die ADM nicht einfügen.
Wenn einer schaft sag mir bitte wie??
Grüß Aleksandar
hmmm ich hab ne ziemlich gute VBS datei mit meinem Chef programmiert !
Die checkt alle x Sekunden (frei wählbar) die registrierung ob nen neues USB gerät erkannt wurde und wenn dies geschieht gibts ne Meldung an uns Admins und der user wird aufgefordert die Admins zu kontaktieren , und wird ausgeloggt !
Frisst nicht viel Performance und ist völlig kostenlos !
Die checkt alle x Sekunden (frei wählbar) die registrierung ob nen neues USB gerät erkannt wurde und wenn dies geschieht gibts ne Meldung an uns Admins und der user wird aufgefordert die Admins zu kontaktieren , und wird ausgeloggt !
Frisst nicht viel Performance und ist völlig kostenlos !
Ah ja Hinzuzugügen ist :
Es muss erst 'ne Datei angelegt werden wo drin steht welche USB Devices erlaubt sind ...
haben es mit einer Vorlage von c't programmiert.
Er checkt alle 5 Sec die Registrierung und vergleicht eine Datei wo die erlaubten USB Devices drin sind mit dem Regschlüssel .
Sprich wenn der PC schon ne Maus und nen Scanner kennt dann passiert nix , aber sobald das Programm mal eine ungleichheit findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und SRVANY einstellung) und kann nur abgeschaltet werden indem man von aussen (also als Admin) auf die Lokale platte geht und in der Config Datei (wo die Devices stehen) eindeutig ein "AUS" reinschreibt ...
Wenn erste Zeile ein "EIN" ist dann läuft der Dienst , bei "AUS" geht der Dienst aus !
Wenn Interesse besteht dann geb ich euch ggf. das Programm weiter !
MfG
Markus
Es muss erst 'ne Datei angelegt werden wo drin steht welche USB Devices erlaubt sind ...
haben es mit einer Vorlage von c't programmiert.
Er checkt alle 5 Sec die Registrierung und vergleicht eine Datei wo die erlaubten USB Devices drin sind mit dem Regschlüssel .
Sprich wenn der PC schon ne Maus und nen Scanner kennt dann passiert nix , aber sobald das Programm mal eine ungleichheit findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und SRVANY einstellung) und kann nur abgeschaltet werden indem man von aussen (also als Admin) auf die Lokale platte geht und in der Config Datei (wo die Devices stehen) eindeutig ein "AUS" reinschreibt ...
Wenn erste Zeile ein "EIN" ist dann läuft der Dienst , bei "AUS" geht der Dienst aus !
Wenn Interesse besteht dann geb ich euch ggf. das Programm weiter !
MfG
Markus
HEUREKA es Klappt...
Habs gerade selbst versucht mit Gruppenrichtlinien den Stick zu Sperren...
In den Sicherheitseinstellungen des Computerkontos bei der Registrierung den schlüssel
HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.
Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen
Im Moment hab ich es an Server 2000 Versucht mit Klients Windows 2000 mit SP4
Habs gerade selbst versucht mit Gruppenrichtlinien den Stick zu Sperren...
In den Sicherheitseinstellungen des Computerkontos bei der Registrierung den schlüssel
HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.
Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen
Im Moment hab ich es an Server 2000 Versucht mit Klients Windows 2000 mit SP4
Doch man kann doch per REGEDT32 auf fremde rechner zugreifen , man könnte es per VBS Script (oder mit nema nderem Script) automatisieren indem es sich in die Registrierung des clients einträgt und ebenso die Files umändert auf der fremden maschiene !
es läuft über eine Gruppenrichtlinie für die Organisationseinheit daher ist es bereits automatisiert ich habs für 16 Klienten so geregelt also warum sollte das nicht für deine 150 klappen?
und... Klappt es?
scheinbar ja ... ;)
Hallo,
ich bin am freitag, 12.11. fündig geworden.
Siehe http://www.netinfoline.de/usb_blocker/usb_blocker_info.asp
Gruß
4you
ich bin am freitag, 12.11. fündig geworden.
Siehe http://www.netinfoline.de/usb_blocker/usb_blocker_info.asp
Gruß
4you
Hallo,
wir haben Win XP Pro SP 2. Kurz zur Erklärung: Wir wollen bestimmten Nutzern die Rechte geben, USB-Sticks zu verwenden. Momentan ist es für alle verboten, außer Administratoren.
In die Sicherheitseinstellungen komme ich über 'gpedit.msc'. Allerdings finde ich dort nichts, was mit Registrierung zu tun hat. Und wie füge ich Schlüssel hinzu?
Über den regedit kann ich dem System Vollzugriff geben. Es funktioniert aber dennoch nicht.
Meldung:
"Neue Hardware gefunden: Sie müssen Mitglied der Administratorengruppe sein, um diese Hardwarekomponente installieren zu können ..."
" Und bei dem Dateisystem hinzufügen:" Was ist damit gemeint?
Gruß
Tobias
wir haben Win XP Pro SP 2. Kurz zur Erklärung: Wir wollen bestimmten Nutzern die Rechte geben, USB-Sticks zu verwenden. Momentan ist es für alle verboten, außer Administratoren.
In die Sicherheitseinstellungen komme ich über 'gpedit.msc'. Allerdings finde ich dort nichts, was mit Registrierung zu tun hat. Und wie füge ich Schlüssel hinzu?
Über den regedit kann ich dem System Vollzugriff geben. Es funktioniert aber dennoch nicht.
Meldung:
"Neue Hardware gefunden: Sie müssen Mitglied der Administratorengruppe sein, um diese Hardwarekomponente installieren zu können ..."
" Und bei dem Dateisystem hinzufügen:" Was ist damit gemeint?
Gruß
Tobias
Ah ja Hinzuzugügen ist :
Es muss erst 'ne Datei angelegt werden wo
drin steht welche USB Devices erlaubt sind
...
haben es mit einer Vorlage von c't
programmiert.
Er checkt alle 5 Sec die Registrierung und
vergleicht eine Datei wo die erlaubten USB
Devices drin sind mit dem Regschlüssel
.
Sprich wenn der PC schon ne Maus und nen
Scanner kennt dann passiert nix , aber
sobald das Programm mal eine ungleichheit
findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und
SRVANY einstellung) und kann nur
abgeschaltet werden indem man von aussen
(also als Admin) auf die Lokale platte geht
und in der Config Datei (wo die Devices
stehen) eindeutig ein "AUS"
reinschreibt ...
Wenn erste Zeile ein "EIN" ist
dann läuft der Dienst , bei
"AUS" geht der Dienst aus !
Wenn Interesse besteht dann geb ich euch
ggf. das Programm weiter !
MfG
Markus
Es muss erst 'ne Datei angelegt werden wo
drin steht welche USB Devices erlaubt sind
...
haben es mit einer Vorlage von c't
programmiert.
Er checkt alle 5 Sec die Registrierung und
vergleicht eine Datei wo die erlaubten USB
Devices drin sind mit dem Regschlüssel
.
Sprich wenn der PC schon ne Maus und nen
Scanner kennt dann passiert nix , aber
sobald das Programm mal eine ungleichheit
findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und
SRVANY einstellung) und kann nur
abgeschaltet werden indem man von aussen
(also als Admin) auf die Lokale platte geht
und in der Config Datei (wo die Devices
stehen) eindeutig ein "AUS"
reinschreibt ...
Wenn erste Zeile ein "EIN" ist
dann läuft der Dienst , bei
"AUS" geht der Dienst aus !
Wenn Interesse besteht dann geb ich euch
ggf. das Programm weiter !
MfG
Markus
Hallo Markus,
könntest du mir Dein Programm zur Verfügung stellen.
Wir sperren derzeit die Usb - Schnittstelle per Gruppenrichtlinie.
Deine Methode hört sich allerding auch nicht schlecht an.
Mfg
Oliver
Kann folgendes kommerzielle Tool empfehlen: http://www.usb-protector.de
Arbeitet nach einem Whitelist-Verfahren, d.h. man legt die USB-Profile bzw. -Geräte (Hardware-ID) fest, die erlaubt sind, und alles andere wird gesperrt. Über die Hardware-ID kann z.B. der Stick der Admins freigeschaltet werden, aber alle anderen USB Mass Storage Devices bleiben gesperrt. Arbeitet über AD-Richtlinien, d.h. der Installer wird darüber verteilt und dann silent installiert (kein Reboot nötig). Der Client ist dann sofort aktiv und kann nur mit Adminrechten UND Passwort (Hash-Wert) deinstalliert werden. Management geht über ein MMC-Snap-In. Das Ding ist klein, einfach und unüberwindbar. Es arbeitet so hardwarenah, dass sogar ein Crash des OS den Client nicht deaktiviert->läuft sogar im abgesicherten Modus!
Kostet zwar 20?/Client, aber wer sich die o.g. Beiträge zu Gemüte führt, wird feststellen dass es keine freie Lösung gibt, die man nicht austricksen kann (die eine leichter, die andere schwerer). USB deaktivieren kommt für mein Unternehmen nicht in Frage, da wir mit USB-Scannern arbeiten und die Sache von MS mit den .inf-Files klingt auch nicht wirklich überzeugend.
Gruß M.
Arbeitet nach einem Whitelist-Verfahren, d.h. man legt die USB-Profile bzw. -Geräte (Hardware-ID) fest, die erlaubt sind, und alles andere wird gesperrt. Über die Hardware-ID kann z.B. der Stick der Admins freigeschaltet werden, aber alle anderen USB Mass Storage Devices bleiben gesperrt. Arbeitet über AD-Richtlinien, d.h. der Installer wird darüber verteilt und dann silent installiert (kein Reboot nötig). Der Client ist dann sofort aktiv und kann nur mit Adminrechten UND Passwort (Hash-Wert) deinstalliert werden. Management geht über ein MMC-Snap-In. Das Ding ist klein, einfach und unüberwindbar. Es arbeitet so hardwarenah, dass sogar ein Crash des OS den Client nicht deaktiviert->läuft sogar im abgesicherten Modus!
Kostet zwar 20?/Client, aber wer sich die o.g. Beiträge zu Gemüte führt, wird feststellen dass es keine freie Lösung gibt, die man nicht austricksen kann (die eine leichter, die andere schwerer). USB deaktivieren kommt für mein Unternehmen nicht in Frage, da wir mit USB-Scannern arbeiten und die Sache von MS mit den .inf-Files klingt auch nicht wirklich überzeugend.
Gruß M.
Vielleicht etwas spät aber besser als nie
Ich habe auf der Seite http://www.henningmueller.com die erweiterte Version der c't gefunden. Funktioniert sehr gut und ist kostenlos.
Bis zu einer gewissen Anzahl von Arbeitsplätzen auch gut händelbar.
Ich habe auf der Seite http://www.henningmueller.com die erweiterte Version der c't gefunden. Funktioniert sehr gut und ist kostenlos.
Bis zu einer gewissen Anzahl von Arbeitsplätzen auch gut händelbar.
Hallo Neulinger,
es ist nie zu spät. Es gibt sehr viele gute Ideen, Fragen ,Kommentar und je mehr je besser. Viel Administrtoren, IT Network Security Engineers , Operators, Help Desk Supporter, Call Center Supporter, Network Administratoren, SPOC (Side Point of Contakt) Personen suchen Rat und Tips. Die Datenbank ist wieder flott und gross. Einfach reinsetzen und warten. Kommt Zeit kommt Rat.
es ist nie zu spät. Es gibt sehr viele gute Ideen, Fragen ,Kommentar und je mehr je besser. Viel Administrtoren, IT Network Security Engineers , Operators, Help Desk Supporter, Call Center Supporter, Network Administratoren, SPOC (Side Point of Contakt) Personen suchen Rat und Tips. Die Datenbank ist wieder flott und gross. Einfach reinsetzen und warten. Kommt Zeit kommt Rat.
Hallo miteinander.
Der von der Fa. Institut für System - Management entwickelte USB Blocker ist nun weiter entwickelt worden.
Er sperrt nun nicht nur externe, sondern auch interen geräte, wie z. B. Disketten - Laufwerke, Brenner, Festplatten usw.....
Und das ganze über Gruppenrichtlinien im ADS und im Novell Directories.
Eine 30 Tage Testversion gibt es unter http://secu-sys.de
Viel Spass beim testen,
Gruß,
J. Gebauer
Der von der Fa. Institut für System - Management entwickelte USB Blocker ist nun weiter entwickelt worden.
Er sperrt nun nicht nur externe, sondern auch interen geräte, wie z. B. Disketten - Laufwerke, Brenner, Festplatten usw.....
Und das ganze über Gruppenrichtlinien im ADS und im Novell Directories.
Eine 30 Tage Testversion gibt es unter http://secu-sys.de
Viel Spass beim testen,
Gruß,
J. Gebauer
Hallo, zum Thema:
HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.
Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen
...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.
Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen
...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
Hallo, zum Thema:
HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.
Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen
...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.
Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen
...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!