12
USB-Sticks als Admin temporär zulassen oder spezielle USB-Sticks erlauben
Hallo zusammen,
hab hier ein AD bei dem alle User keine Beschränkungen haben, was USB-Sticks etc. angeht.
Ich würde das gerne ändern und externe Datenträger per Gruppenrichtlinie blockieren. Der Wunsch in der Firma wäre aber, dass eine Passwortabfrage kommt, wenn ein USB-Stick eingesteckt wird und bestimmte Personen (z.B. Admin) dann den Zugriff zulassen können.
Im AD kenne ich das so nicht. Im AD kenne ich es nur so, dass für normale User eben komplett geblockt ist. Aber dass eine Abfrage aufploppt um das Verbot zu umgehen wäre mir neu.
Kennt ihr das?
Ich kenne es von manchen Virenprogrammen (z.B. Kaspersky - nein, nicht mehr im Einsatz), dass man da als Admin einen Hinweis bekommt, dass User XY den USB-Stick XY (Seriennummer) versucht hat einzulesen. Als Admin konnte ich dann sagen, dass der diesen speziellen USB-Stick grundsätzlich oder nur einmal nutzen darf.
hab hier ein AD bei dem alle User keine Beschränkungen haben, was USB-Sticks etc. angeht.
Ich würde das gerne ändern und externe Datenträger per Gruppenrichtlinie blockieren. Der Wunsch in der Firma wäre aber, dass eine Passwortabfrage kommt, wenn ein USB-Stick eingesteckt wird und bestimmte Personen (z.B. Admin) dann den Zugriff zulassen können.
Im AD kenne ich das so nicht. Im AD kenne ich es nur so, dass für normale User eben komplett geblockt ist. Aber dass eine Abfrage aufploppt um das Verbot zu umgehen wäre mir neu.
Kennt ihr das?
Ich kenne es von manchen Virenprogrammen (z.B. Kaspersky - nein, nicht mehr im Einsatz), dass man da als Admin einen Hinweis bekommt, dass User XY den USB-Stick XY (Seriennummer) versucht hat einzulesen. Als Admin konnte ich dann sagen, dass der diesen speziellen USB-Stick grundsätzlich oder nur einmal nutzen darf.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3438692657
Url: https://administrator.de/contentid/3438692657
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
12 Kommentare
Neuester Kommentar
ich kenne das nur von anderen Virenscannern.
Empfehlenswert ist es auch drauf zu achten bei USB Sticks das diese eine individuelle Hardware ID haben.
dann kann man die beim virenscanner z.B. nur spezifischen usern erlauben, d.h. ist anderer user angemeldet bringt ihm der usb stick auch nix. und admins kann man dann generell das anstecken erlauben...
Sophos Endpoint Protection kann das z.b. handeln.
aber mit GPO usw... kannst das vergessen.
Mit Bordmitteln geht das nicht.
Geht nur mit 3rd Party Software.
Empfehlenswert ist es auch drauf zu achten bei USB Sticks das diese eine individuelle Hardware ID haben.
dann kann man die beim virenscanner z.B. nur spezifischen usern erlauben, d.h. ist anderer user angemeldet bringt ihm der usb stick auch nix. und admins kann man dann generell das anstecken erlauben...
Sophos Endpoint Protection kann das z.b. handeln.
aber mit GPO usw... kannst das vergessen.
Mit Bordmitteln geht das nicht.
Geht nur mit 3rd Party Software.
1
Hi,
denke ohne extra Software wirds nichts (weiß es aber nicht). Ich kann dir ja mal sagen wie wir das gemacht haben:
1. GPO Massenspeicher verboten für alle User
2. AD Gruppe erstellt und User reingeworfen die das dürfen
3. Wenn man nun als Admin zum User kommt, muss man 1x Reboot machen und dann kann man als Admin mit USB arbeiten
Geht natürlich vorbei an dem was deine Bosse haben wollen.
denke ohne extra Software wirds nichts (weiß es aber nicht). Ich kann dir ja mal sagen wie wir das gemacht haben:
1. GPO Massenspeicher verboten für alle User
2. AD Gruppe erstellt und User reingeworfen die das dürfen
3. Wenn man nun als Admin zum User kommt, muss man 1x Reboot machen und dann kann man als Admin mit USB arbeiten
Geht natürlich vorbei an dem was deine Bosse haben wollen.
Jepp, danke. Das wollte ich eigentlich nur kurz bestätigt haben. Ich kenne es - wie schon geschrieben - auch nur so, dass es entweder gar nicht oder immer geht.
Oder eben per Virenscanner.
Danke euch.
Oder eben per Virenscanner.
Danke euch.
Es geht ja nicht darum, USB-Sticks zu verschlüsseln. Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.
Zitat von @mpanzi:
Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.
Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.
Das behandelt der Beitrag ja ebenfalls 😉
Und auf andere, selbst mitgebrachte Sticks, kann er nichts schreiben, bevor sie nicht verschlüsselt wurden - und auch nur dann, wenn Ihr selbst sie verschlüsselt habt. Der Nutzer kann nicht von zu Hause mit eigens verschlüsselten Sticks anrücken, das kann die genannte Policy nämlich ebenfalls verhindern!
2
aber mit GPO usw... kannst das vergessen. Mit Bordmitteln geht das nicht. Geht nur mit 3rd Party Software.
3rd Party-Software nutzt die Bordmittel.Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
devcon.exe findall * |findstr /c:"Flash Disk USB Device" >>%temp%\usb.txt
del %temp%\usb2.txt
del %temp%\usb3.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "delims=:" %%a in (%temp%\usb2.txt) do echo %%a>>%temp%\usb3.txt
xcopy \\server\share\allowlist.txt c:\windows\ /y
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb3.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c" Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
1Zitat von @DerWoWusste:
Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
Dies liest USB-Massenspeicher aus und entfernt diese, wenn deren IDs nicht auf der Firmenwhitelist stehen. getriggert wird dieser Task von jedem Reboot und von jedem Event des Typs
Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
aber mit GPO usw... kannst das vergessen. Mit Bordmitteln geht das nicht. Geht nur mit 3rd Party Software.
3rd Party-Software nutzt die Bordmittel.Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
devcon.exe findall * |findstr /c:"Flash Disk USB Device" >>%temp%\usb.txt
del %temp%\usb2.txt
del %temp%\usb3.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "delims=:" %%a in (%temp%\usb2.txt) do echo %%a>>%temp%\usb3.txt
xcopy \\server\share\allowlist.txt c:\windows\ /y
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb3.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c" Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
ja damit kannst du den USB Stick generell erlauben oder nicht.
wie handelst du das, das nur user1 den benutzen kann, user2 aber nicht?
bedeutet der admin soll ihn egal wo nutzen können, aber user1 am gleichen pc nicht?
Bedeutet deine Lösung ist schon cool für umsonst, aber komfort ist auch was anderes.
Nur zur Info es geht auch ohne devcon, (alte OS < W10 ausgenommen).
bsp.
Get-PNPDevice -Class DiskDrive -PresentOnly | ? InstanceId -like '*USBSTOR*' | %{
pnputil /remove-device $_.InstanceId
}
Hallo zusammen,
naja ganz einfach. Nur der Admin hat den freigebeben USB-Stick.
naja ganz einfach. Nur der Admin hat den freigebeben USB-Stick.
Der Admin braucht keinen USB-Stick - wofür auch. Ich denke, dass USB-Sticks eigentlich überhaupt keine Rolle spielen. Aber für den Fall der Fälle soll das eben sein, dass es möglich ist - oder sagen wir, dass das ein Wunsch wäre. Hab schon gesagt, dass das so nicht funktioniert - jedenfalls nicht ohne zusätzliche Software.
Bei der Gelegenheit: Nur den Admin zu befähigen einen USB-Stick zu verwenden, das ginge ja mit GPO ohne größeren Aufwand. Der Admin ist ja sowieso in einer anderen OU als die User.
Drittanbieter-Software muss übrigens nicht die OnBoardmittel nehmen. Beim Kaspersky war es so, dass der Virenscanner das verwaltet hat. Von Windows aus durften die USB-Sticks eingesteckt werden - aber Kaspersky hat die dann geblockt. Und da konnte man in der Admin-Konsole genau steuern, wer, welchen USB-Stick wo und wie oft nutzen durfte. Und da man als User den Virenscanner nicht ausschalten kann, war das schon recht gut. Klar, vielleicht im abgesicherten Modus, ohne Kaspersky, starten oder so, das mag vielleicht möglich sein um die Sperre zu umgehen.
Bei der Gelegenheit: Nur den Admin zu befähigen einen USB-Stick zu verwenden, das ginge ja mit GPO ohne größeren Aufwand. Der Admin ist ja sowieso in einer anderen OU als die User.
Drittanbieter-Software muss übrigens nicht die OnBoardmittel nehmen. Beim Kaspersky war es so, dass der Virenscanner das verwaltet hat. Von Windows aus durften die USB-Sticks eingesteckt werden - aber Kaspersky hat die dann geblockt. Und da konnte man in der Admin-Konsole genau steuern, wer, welchen USB-Stick wo und wie oft nutzen durfte. Und da man als User den Virenscanner nicht ausschalten kann, war das schon recht gut. Klar, vielleicht im abgesicherten Modus, ohne Kaspersky, starten oder so, das mag vielleicht möglich sein um die Sperre zu umgehen.
Nur zur Info es geht auch ohne devcon, (alte OS < W10 ausgenommen).
Jein. pnputil kann das (deaktivieren und aktivieren) seit Version 2004 (aka 20H1) von Win10. Jedoch ist es nach meiner Erfahrung unzuverlässig. Ich hatte netzwerkweit eingestellt, dass virtuelle SmartCards bei Sperrung und Abmeldung deaktiviert werden und bei Anmeldung und Entsperrung wieder aktiviert werden. Das Aktivieren schlug in ca. 5% der Fälle ohne Grund fehl - bei devcon hingegen 0,0 Probleme.@ThePinky777
wie handelst du das, das nur user1 den benutzen kann, user2 aber nicht?
Das ist doch mit einer Codezeile gemacht:Am Anfang:
quser | findstr /i adminname && goto end
