gerry
Goto Top

Usb Stick sperren

die benutzer nehmen den Usb Stick um Dateien zu übertragen
ich will das aber unterbinden (Viren)
Hatt jemand einen Tip.
Danke schon in voraus.

Content-ID: 3196

Url: https://administrator.de/contentid/3196

Ausgedruckt am: 05.11.2024 um 13:11 Uhr

kriebgui
kriebgui 13.10.2004 um 21:59:09 Uhr
Goto Top
AndreasDepping
AndreasDepping 14.10.2004 um 09:51:25 Uhr
Goto Top
wie wäre es mit einem vernünftigen Virenscanner - der natürlich auch regelmäßig (am besten automatisch) aktualisert wird face-smile ???
kriebgui
kriebgui 14.10.2004 um 10:14:29 Uhr
Goto Top
Was hat den ein Virenscanner mit dem Sperren eines Datenspeichers (USB-Stick) zu tuhen?

Das Sperren eines USB-Sticks sorgt dafür das Mitarbeiter keine Daten rein oder raus bekommen. Es gibt nicht nur Virenschutz sondern auch Datenschutz im Sinne der Betriebsspionage.

Gruß
G.
BartSimpson
BartSimpson 14.10.2004 um 10:56:49 Uhr
Goto Top
Möglichkeit 1 ist nur berschrenkt sinnvoll. Denn da binge ich mir einfach die inf dateien von zu hause mit. Das einzige was wirklich hilft, ist das deaktivieren der USB's Ports.
Wenn diese jedoch gebraucht werde, http://www.centertools.de könnte gehen. Kannst ja mal die Testversion versuchen.
AndreasDepping
AndreasDepping 14.10.2004 um 11:06:06 Uhr
Goto Top
Sorry, hatte ich anders verstandenface-smile Aber wir wär es, wenn Du die USB-Ports über das Bios ausschaltest???
N899FGG
N899FGG 14.10.2004 um 11:51:37 Uhr
Goto Top
Hallo Gery,
Datenschutz, Deviceschutz, Virenschutz sind drei Aufgaben die der Netzwerk Security Engineer lösen kann. Auf hardware Ebenen aber auch auf Software Ebene. Auf der Software Ebene ist die Flexibilität am groessten. Benutzer ist auch gut. Wieviele im Netzwerk?. Bei 8000 sollte man
Peripherie Unlock Gruppen anlegen mit FLOPPYUNLock, CDRomUNLOCK,USBUnlock,CardLock, ... Diese sollten neben den .. Gruppen angelegt werden.
AP-Gruppen Applikationes Gruppen
DA-Gruppen Data Gruppen
DO-Domain Gruppen
IA-Internet Gruppen
LO- Lokation Gruppen
PO-SEC Policies Gruppen
SE-Security Gruppen
TO-Top Tools Gruppen
WE- Webmaster Gruppen
http://www.centertools.de/ ist solide.
Virenschutz ist möglich via EPO Orchestrator von McAfee. Läuft im Netzwerk und aktualisiert ich permanent.
marc
kriebgui
kriebgui 14.10.2004 um 12:20:22 Uhr
Goto Top
Und was ist dann mit der USB Maus?
Der von mir gegeben Link über die USBStore.inf Geschichte bezieht sich ausschliesslich auf USB Massenspeichergeräte.

Gruß
Guido
kriebgui
kriebgui 14.10.2004 um 12:21:38 Uhr
Goto Top
Die USBStore.inf muss im Ordner INF liegen. Wenn Sie dort nur von Admin geschrieben/gelesen werden kann, kann auch keiner mit einer von Zuhause aus mitgebrachten Datei arbeiten.
BartSimpson
BartSimpson 14.10.2004 um 14:42:02 Uhr
Goto Top
Das ist mit windows echt blöd. Mit Linux wäre die Sache echt einfacher. Einfach eine ACL auf das Modul setzten.
kriebgui
kriebgui 14.10.2004 um 15:02:52 Uhr
Goto Top
JaJa das Böse Windows. Windows kannte aber schon USB da kannte Linux sich selbst nicht mal. BlaBlaBla. face-wink)))

Spass bei Seite, Windows hat auch ACL's um die USB Geräte zu sperren. Leider jedoch nicht gut Dokumentiert und es gibt nur Kommerzielle Programme (die Bösen, die wollen doch nur Geld verdienen) die ACL's für USB Nutzen.

Gruß
Guido
aleksandar
aleksandar 27.10.2004 um 13:14:50 Uhr
Goto Top
Hi

also ich habe was im Internet gelesen. Es kann man auch den USB Stick mit Gruppenrichtlinien sperren. Auf der Seite http://www.gruppenrichtlinien.de unter How To stehts beschrieben.
Hab´s selber ausprobiert hat nicht geklappt, konnte die ADM nicht einfügen.
Wenn einer schaft sag mir bitte wie??

Grüß Aleksandar
5479
5479 29.10.2004 um 12:01:03 Uhr
Goto Top
hmmm ich hab ne ziemlich gute VBS datei mit meinem Chef programmiert !
Die checkt alle x Sekunden (frei wählbar) die registrierung ob nen neues USB gerät erkannt wurde und wenn dies geschieht gibts ne Meldung an uns Admins und der user wird aufgefordert die Admins zu kontaktieren , und wird ausgeloggt !

Frisst nicht viel Performance und ist völlig kostenlos !
5479
5479 29.10.2004 um 12:04:45 Uhr
Goto Top
Ah ja Hinzuzugügen ist :

Es muss erst 'ne Datei angelegt werden wo drin steht welche USB Devices erlaubt sind ...
haben es mit einer Vorlage von c't programmiert.


Er checkt alle 5 Sec die Registrierung und vergleicht eine Datei wo die erlaubten USB Devices drin sind mit dem Regschlüssel .
Sprich wenn der PC schon ne Maus und nen Scanner kennt dann passiert nix , aber sobald das Programm mal eine ungleichheit findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und SRVANY einstellung) und kann nur abgeschaltet werden indem man von aussen (also als Admin) auf die Lokale platte geht und in der Config Datei (wo die Devices stehen) eindeutig ein "AUS" reinschreibt ...

Wenn erste Zeile ein "EIN" ist dann läuft der Dienst , bei "AUS" geht der Dienst aus !

Wenn Interesse besteht dann geb ich euch ggf. das Programm weiter !


MfG

Markus
6035
6035 29.10.2004 um 13:19:15 Uhr
Goto Top
HEUREKA es Klappt...

Habs gerade selbst versucht mit Gruppenrichtlinien den Stick zu Sperren...

In den Sicherheitseinstellungen des Computerkontos bei der Registrierung den schlüssel

HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.

Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen

Im Moment hab ich es an Server 2000 Versucht mit Klients Windows 2000 mit SP4
aleksandar
aleksandar 29.10.2004 um 13:50:31 Uhr
Goto Top
Hallo Praktikant

aber da muss man auf jeden Rechner persönlich drauf um die Berechtigungen zu setzen.
Bei 150 Rechner ist dies bischen aufwendig oder? face-smile
Kann man das nicht automatisieren?

Grüß Aleksandar
5479
5479 29.10.2004 um 13:57:03 Uhr
Goto Top
Doch man kann doch per REGEDT32 auf fremde rechner zugreifen , man könnte es per VBS Script (oder mit nema nderem Script) automatisieren indem es sich in die Registrierung des clients einträgt und ebenso die Files umändert auf der fremden maschiene !
6035
6035 29.10.2004 um 13:57:50 Uhr
Goto Top
es läuft über eine Gruppenrichtlinie für die Organisationseinheit daher ist es bereits automatisiert ich habs für 16 Klienten so geregelt also warum sollte das nicht für deine 150 klappen?
aleksandar
aleksandar 29.10.2004 um 14:04:05 Uhr
Goto Top
Hi

schuldigung habs schlecht gefragt.
Wollte wissen wie du es über Gruppenrichtlinien eingereichtet hast.
Habe aber selber glaube ich rausgekriet wie du es gemeint hast.

Grüß Alex
6035
6035 03.11.2004 um 17:21:16 Uhr
Goto Top
und... Klappt es?
5479
5479 03.11.2004 um 18:25:01 Uhr
Goto Top
scheinbar ja ... ;)
4you
4you 15.11.2004 um 15:01:11 Uhr
Goto Top
Hallo,

ich bin am freitag, 12.11. fündig geworden.

Siehe http://www.netinfoline.de/usb_blocker/usb_blocker_info.asp

Gruß
4you
Tribun84
Tribun84 29.11.2004 um 09:05:12 Uhr
Goto Top
Hallo,

wir haben Win XP Pro SP 2. Kurz zur Erklärung: Wir wollen bestimmten Nutzern die Rechte geben, USB-Sticks zu verwenden. Momentan ist es für alle verboten, außer Administratoren.

In die Sicherheitseinstellungen komme ich über 'gpedit.msc'. Allerdings finde ich dort nichts, was mit Registrierung zu tun hat. Und wie füge ich Schlüssel hinzu?
Über den regedit kann ich dem System Vollzugriff geben. Es funktioniert aber dennoch nicht.
Meldung:
"Neue Hardware gefunden: Sie müssen Mitglied der Administratorengruppe sein, um diese Hardwarekomponente installieren zu können ..."

" Und bei dem Dateisystem hinzufügen:" Was ist damit gemeint?

Gruß
Tobias
weltkaiser
weltkaiser 05.12.2004 um 13:42:41 Uhr
Goto Top
Ah ja Hinzuzugügen ist :

Es muss erst 'ne Datei angelegt werden wo
drin steht welche USB Devices erlaubt sind
...
haben es mit einer Vorlage von c't
programmiert.


Er checkt alle 5 Sec die Registrierung und
vergleicht eine Datei wo die erlaubten USB
Devices drin sind mit dem Regschlüssel
.
Sprich wenn der PC schon ne Maus und nen
Scanner kennt dann passiert nix , aber
sobald das Programm mal eine ungleichheit
findet wird user ausgeloggt.
Das ganze läuft als Dienst (InstSRV und
SRVANY einstellung) und kann nur
abgeschaltet werden indem man von aussen
(also als Admin) auf die Lokale platte geht
und in der Config Datei (wo die Devices
stehen) eindeutig ein "AUS"
reinschreibt ...

Wenn erste Zeile ein "EIN" ist
dann läuft der Dienst , bei
"AUS" geht der Dienst aus !

Wenn Interesse besteht dann geb ich euch
ggf. das Programm weiter !


MfG

Markus


Hallo Markus,

könntest du mir Dein Programm zur Verfügung stellen.
Wir sperren derzeit die Usb - Schnittstelle per Gruppenrichtlinie.
Deine Methode hört sich allerding auch nicht schlecht an.

Mfg
Oliver
nachbarheinz
nachbarheinz 04.05.2005 um 08:01:37 Uhr
Goto Top
Wer hat denn nun diesen ominösen Script zum USB überwachen? Funktioniert die Sache?
Monochrome
Monochrome 04.05.2005 um 16:18:18 Uhr
Goto Top
Kann folgendes kommerzielle Tool empfehlen: http://www.usb-protector.de

Arbeitet nach einem Whitelist-Verfahren, d.h. man legt die USB-Profile bzw. -Geräte (Hardware-ID) fest, die erlaubt sind, und alles andere wird gesperrt. Über die Hardware-ID kann z.B. der Stick der Admins freigeschaltet werden, aber alle anderen USB Mass Storage Devices bleiben gesperrt. Arbeitet über AD-Richtlinien, d.h. der Installer wird darüber verteilt und dann silent installiert (kein Reboot nötig). Der Client ist dann sofort aktiv und kann nur mit Adminrechten UND Passwort (Hash-Wert) deinstalliert werden. Management geht über ein MMC-Snap-In. Das Ding ist klein, einfach und unüberwindbar. Es arbeitet so hardwarenah, dass sogar ein Crash des OS den Client nicht deaktiviert->läuft sogar im abgesicherten Modus!

Kostet zwar 20?/Client, aber wer sich die o.g. Beiträge zu Gemüte führt, wird feststellen dass es keine freie Lösung gibt, die man nicht austricksen kann (die eine leichter, die andere schwerer). USB deaktivieren kommt für mein Unternehmen nicht in Frage, da wir mit USB-Scannern arbeiten und die Sache von MS mit den .inf-Files klingt auch nicht wirklich überzeugend.

Gruß M.
tornoraner
tornoraner 10.05.2005 um 10:03:32 Uhr
Goto Top
moin, ich soll gerad ein Schülerkabinet ausstatten und hab da das selbe Problem wie Ihr hattet! Dein Tool klingt interessant, kannst du mir das mal via Mail zuschicken, oder mir sagen, wo ich das Tool finde?!
Ich danke!
NEULINGER
NEULINGER 09.09.2005 um 11:46:33 Uhr
Goto Top
Vielleicht etwas spät aber besser als nie face-smile
Ich habe auf der Seite http://www.henningmueller.com die erweiterte Version der c't gefunden. Funktioniert sehr gut und ist kostenlos.
Bis zu einer gewissen Anzahl von Arbeitsplätzen auch gut händelbar.
N899FGG
N899FGG 09.09.2005 um 11:57:01 Uhr
Goto Top
Hallo Neulinger,
es ist nie zu spät. Es gibt sehr viele gute Ideen, Fragen ,Kommentar und je mehr je besser. Viel Administrtoren, IT Network Security Engineers , Operators, Help Desk Supporter, Call Center Supporter, Network Administratoren, SPOC (Side Point of Contakt) Personen suchen Rat und Tips. Die Datenbank ist wieder flott und gross. Einfach reinsetzen und warten. Kommt Zeit kommt Rat.
tigerbase
tigerbase 09.09.2005 um 12:58:42 Uhr
Goto Top
anfrage zum thema kannst du mir die VBS datei per mail mal zukommen lassen?

danke könnte mir weiterhelfen da ich mit 2 mitarbeitern diesbezüglich ziehmlich probleme habe

danke

tigerbase
Gebauer
Gebauer 20.12.2005 um 09:47:04 Uhr
Goto Top
Hallo miteinander.

Der von der Fa. Institut für System - Management entwickelte USB Blocker ist nun weiter entwickelt worden.
Er sperrt nun nicht nur externe, sondern auch interen geräte, wie z. B. Disketten - Laufwerke, Brenner, Festplatten usw.....

Und das ganze über Gruppenrichtlinien im ADS und im Novell Directories.

Eine 30 Tage Testversion gibt es unter http://secu-sys.de

Viel Spass beim testen,
Gruß,
J. Gebauer
ChristianFfm
ChristianFfm 17.01.2007 um 20:18:05 Uhr
Goto Top
Hallo, zum Thema:

HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.

Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen

...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
ChristianFfm
ChristianFfm 17.01.2007 um 20:21:15 Uhr
Goto Top
Hallo, zum Thema:

HotKeyLocalMachine/systems/CurrentControl/Services/USBstor hinzufügen und dem SYSTEM den Vollzugriff verweigern.

Und bei dem Dateisystem hinzufügen: %systemroot%/inf/usbstor.inf und die usbstor.pnf,
dem SYSTEM den Zugriff verweigern, einmal neu starten und der Rechner hat keine berechtigung ein USB-Massenspeichergerät mehr zu installieren. Mäuse sind kein Problem die Funktionieren noch, obs allerdings auch klappt, wenn da schon ein USB-Stick angeschlossen war, kann ich nicht sagen

...bei schon bereits installierten Treibern funktioniert das nicht. Die Lösung verhindert nur, das neue Treiber installiert werden!
diskformat
diskformat 10.03.2007 um 22:09:09 Uhr
Goto Top
wo liest du das mit den 20, ich lese nur etwas von 5 Lizenzen
Matthias-1982
Matthias-1982 19.04.2007 um 16:09:46 Uhr
Goto Top
Ich sah auch nur 5 Lizenzen. Ist vermutlich in der zwischenzeit geändert worden, die Beiträge sind ja schon alt.

Gruss
FaBMiN
FaBMiN 19.11.2007 um 13:10:53 Uhr
Goto Top
ManUnited
ManUnited 11.06.2008 um 14:06:49 Uhr
Goto Top
wir haben auch devicepro mit 2500 Benutzern.
super support, auch wenn ich Ihn bis jetzt nur einmal in Anspruch nehmen musste und da hatte ich es verbockt, und total einfach zu Bedienen.

Die Firma bietet jetzt auch Zertifikate für die Lösung an - mein Chef wird sich freuen ;)