mpanzi
Goto Top

USB-Sticks als Admin temporär zulassen oder spezielle USB-Sticks erlauben

Hallo zusammen,

hab hier ein AD bei dem alle User keine Beschränkungen haben, was USB-Sticks etc. angeht.

Ich würde das gerne ändern und externe Datenträger per Gruppenrichtlinie blockieren. Der Wunsch in der Firma wäre aber, dass eine Passwortabfrage kommt, wenn ein USB-Stick eingesteckt wird und bestimmte Personen (z.B. Admin) dann den Zugriff zulassen können.

Im AD kenne ich das so nicht. Im AD kenne ich es nur so, dass für normale User eben komplett geblockt ist. Aber dass eine Abfrage aufploppt um das Verbot zu umgehen wäre mir neu.

Kennt ihr das?

Ich kenne es von manchen Virenprogrammen (z.B. Kaspersky - nein, nicht mehr im Einsatz), dass man da als Admin einen Hinweis bekommt, dass User XY den USB-Stick XY (Seriennummer) versucht hat einzulesen. Als Admin konnte ich dann sagen, dass der diesen speziellen USB-Stick grundsätzlich oder nur einmal nutzen darf.

Content-ID: 3438692657

Url: https://administrator.de/forum/usb-sticks-als-admin-temporaer-zulassen-oder-spezielle-usb-sticks-erlauben-3438692657.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

ThePinky777
Lösung ThePinky777 11.07.2024 um 09:56:40 Uhr
Goto Top
ich kenne das nur von anderen Virenscannern.
Empfehlenswert ist es auch drauf zu achten bei USB Sticks das diese eine individuelle Hardware ID haben.
dann kann man die beim virenscanner z.B. nur spezifischen usern erlauben, d.h. ist anderer user angemeldet bringt ihm der usb stick auch nix. und admins kann man dann generell das anstecken erlauben...
Sophos Endpoint Protection kann das z.b. handeln.

aber mit GPO usw... kannst das vergessen.
Mit Bordmitteln geht das nicht.
Geht nur mit 3rd Party Software.
cse
cse 11.07.2024 um 09:56:47 Uhr
Goto Top
Hi,

denke ohne extra Software wirds nichts (weiß es aber nicht). Ich kann dir ja mal sagen wie wir das gemacht haben:

1. GPO Massenspeicher verboten für alle User
2. AD Gruppe erstellt und User reingeworfen die das dürfen
3. Wenn man nun als Admin zum User kommt, muss man 1x Reboot machen und dann kann man als Admin mit USB arbeiten

Geht natürlich vorbei an dem was deine Bosse haben wollen.
mpanzi
mpanzi 11.07.2024 um 10:01:31 Uhr
Goto Top
Jepp, danke. Das wollte ich eigentlich nur kurz bestätigt haben. Ich kenne es - wie schon geschrieben - auch nur so, dass es entweder gar nicht oder immer geht.

Oder eben per Virenscanner.

Danke euch.
aqui
aqui 11.07.2024 um 10:04:49 Uhr
Goto Top
mpanzi
mpanzi 11.07.2024 um 10:20:33 Uhr
Goto Top
Es geht ja nicht darum, USB-Sticks zu verschlüsseln. Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.
13676056485
13676056485 11.07.2024 aktualisiert um 10:35:30 Uhr
Goto Top
Zitat von @mpanzi:

Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.

Das behandelt der Beitrag ja ebenfalls 😉

Und auf andere, selbst mitgebrachte Sticks, kann er nichts schreiben, bevor sie nicht verschlüsselt wurden - und auch nur dann, wenn Ihr selbst sie verschlüsselt habt. Der Nutzer kann nicht von zu Hause mit eigens verschlüsselten Sticks anrücken, das kann die genannte Policy nämlich ebenfalls verhindern!
DerWoWusste
DerWoWusste 11.07.2024 aktualisiert um 11:10:27 Uhr
Goto Top
aber mit GPO usw... kannst das vergessen. Mit Bordmitteln geht das nicht. Geht nur mit 3rd Party Software.
3rd Party-Software nutzt die Bordmittel.
Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt  
devcon.exe findall * |findstr /c:"Flash Disk USB Device" >>%temp%\usb.txt  
del %temp%\usb2.txt
del %temp%\usb3.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "delims=:" %%a in (%temp%\usb2.txt) do echo %%a>>%temp%\usb3.txt  
xcopy \\server\share\allowlist.txt c:\windows\ /y
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb3.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"  
Dies liest USB-Massenspeicher aus und entfernt diese, wenn deren IDs nicht auf der Firmenwhitelist stehen. getriggert wird dieser Task von jedem Reboot und von jedem Event des Typs
Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
ThePinky777
ThePinky777 11.07.2024 um 13:07:19 Uhr
Goto Top
Zitat von @DerWoWusste:

aber mit GPO usw... kannst das vergessen. Mit Bordmitteln geht das nicht. Geht nur mit 3rd Party Software.
3rd Party-Software nutzt die Bordmittel.
Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt  
devcon.exe findall * |findstr /c:"Flash Disk USB Device" >>%temp%\usb.txt  
del %temp%\usb2.txt
del %temp%\usb3.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "delims=:" %%a in (%temp%\usb2.txt) do echo %%a>>%temp%\usb3.txt  
xcopy \\server\share\allowlist.txt c:\windows\ /y
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb3.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"  
Dies liest USB-Massenspeicher aus und entfernt diese, wenn deren IDs nicht auf der Firmenwhitelist stehen. getriggert wird dieser Task von jedem Reboot und von jedem Event des Typs
Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen

ja damit kannst du den USB Stick generell erlauben oder nicht.
wie handelst du das, das nur user1 den benutzen kann, user2 aber nicht?
bedeutet der admin soll ihn egal wo nutzen können, aber user1 am gleichen pc nicht?

Bedeutet deine Lösung ist schon cool für umsonst, aber komfort ist auch was anderes.
13676056485
13676056485 11.07.2024 aktualisiert um 13:10:28 Uhr
Goto Top

Nur zur Info es geht auch ohne devcon, (alte OS < W10 ausgenommen).

bsp.
Get-PNPDevice -Class DiskDrive -PresentOnly | ? InstanceId -like '*USBSTOR*' | %{  
    pnputil /remove-device $_.InstanceId
}
floriletterman
floriletterman 11.07.2024 um 13:08:37 Uhr
Goto Top
Hallo zusammen,

naja ganz einfach. Nur der Admin hat den freigebeben USB-Stick.
mpanzi
mpanzi 11.07.2024 um 14:44:27 Uhr
Goto Top
Der Admin braucht keinen USB-Stick - wofür auch. Ich denke, dass USB-Sticks eigentlich überhaupt keine Rolle spielen. Aber für den Fall der Fälle soll das eben sein, dass es möglich ist - oder sagen wir, dass das ein Wunsch wäre. Hab schon gesagt, dass das so nicht funktioniert - jedenfalls nicht ohne zusätzliche Software.

Bei der Gelegenheit: Nur den Admin zu befähigen einen USB-Stick zu verwenden, das ginge ja mit GPO ohne größeren Aufwand. Der Admin ist ja sowieso in einer anderen OU als die User.

Drittanbieter-Software muss übrigens nicht die OnBoardmittel nehmen. Beim Kaspersky war es so, dass der Virenscanner das verwaltet hat. Von Windows aus durften die USB-Sticks eingesteckt werden - aber Kaspersky hat die dann geblockt. Und da konnte man in der Admin-Konsole genau steuern, wer, welchen USB-Stick wo und wie oft nutzen durfte. Und da man als User den Virenscanner nicht ausschalten kann, war das schon recht gut. Klar, vielleicht im abgesicherten Modus, ohne Kaspersky, starten oder so, das mag vielleicht möglich sein um die Sperre zu umgehen.
DerWoWusste
DerWoWusste 11.07.2024 um 15:00:56 Uhr
Goto Top
Nur zur Info es geht auch ohne devcon, (alte OS < W10 ausgenommen).
Jein. pnputil kann das (deaktivieren und aktivieren) seit Version 2004 (aka 20H1) von Win10. Jedoch ist es nach meiner Erfahrung unzuverlässig. Ich hatte netzwerkweit eingestellt, dass virtuelle SmartCards bei Sperrung und Abmeldung deaktiviert werden und bei Anmeldung und Entsperrung wieder aktiviert werden. Das Aktivieren schlug in ca. 5% der Fälle ohne Grund fehl - bei devcon hingegen 0,0 Probleme.

@ThePinky777
wie handelst du das, das nur user1 den benutzen kann, user2 aber nicht?
Das ist doch mit einer Codezeile gemacht:
Am Anfang:
quser | findstr /i adminname && goto end