USB-Sticks als Admin temporär zulassen oder spezielle USB-Sticks erlauben
Hallo zusammen,
hab hier ein AD bei dem alle User keine Beschränkungen haben, was USB-Sticks etc. angeht.
Ich würde das gerne ändern und externe Datenträger per Gruppenrichtlinie blockieren. Der Wunsch in der Firma wäre aber, dass eine Passwortabfrage kommt, wenn ein USB-Stick eingesteckt wird und bestimmte Personen (z.B. Admin) dann den Zugriff zulassen können.
Im AD kenne ich das so nicht. Im AD kenne ich es nur so, dass für normale User eben komplett geblockt ist. Aber dass eine Abfrage aufploppt um das Verbot zu umgehen wäre mir neu.
Kennt ihr das?
Ich kenne es von manchen Virenprogrammen (z.B. Kaspersky - nein, nicht mehr im Einsatz), dass man da als Admin einen Hinweis bekommt, dass User XY den USB-Stick XY (Seriennummer) versucht hat einzulesen. Als Admin konnte ich dann sagen, dass der diesen speziellen USB-Stick grundsätzlich oder nur einmal nutzen darf.
hab hier ein AD bei dem alle User keine Beschränkungen haben, was USB-Sticks etc. angeht.
Ich würde das gerne ändern und externe Datenträger per Gruppenrichtlinie blockieren. Der Wunsch in der Firma wäre aber, dass eine Passwortabfrage kommt, wenn ein USB-Stick eingesteckt wird und bestimmte Personen (z.B. Admin) dann den Zugriff zulassen können.
Im AD kenne ich das so nicht. Im AD kenne ich es nur so, dass für normale User eben komplett geblockt ist. Aber dass eine Abfrage aufploppt um das Verbot zu umgehen wäre mir neu.
Kennt ihr das?
Ich kenne es von manchen Virenprogrammen (z.B. Kaspersky - nein, nicht mehr im Einsatz), dass man da als Admin einen Hinweis bekommt, dass User XY den USB-Stick XY (Seriennummer) versucht hat einzulesen. Als Admin konnte ich dann sagen, dass der diesen speziellen USB-Stick grundsätzlich oder nur einmal nutzen darf.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3438692657
Url: https://administrator.de/forum/usb-sticks-als-admin-temporaer-zulassen-oder-spezielle-usb-sticks-erlauben-3438692657.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
12 Kommentare
Neuester Kommentar
ich kenne das nur von anderen Virenscannern.
Empfehlenswert ist es auch drauf zu achten bei USB Sticks das diese eine individuelle Hardware ID haben.
dann kann man die beim virenscanner z.B. nur spezifischen usern erlauben, d.h. ist anderer user angemeldet bringt ihm der usb stick auch nix. und admins kann man dann generell das anstecken erlauben...
Sophos Endpoint Protection kann das z.b. handeln.
aber mit GPO usw... kannst das vergessen.
Mit Bordmitteln geht das nicht.
Geht nur mit 3rd Party Software.
Empfehlenswert ist es auch drauf zu achten bei USB Sticks das diese eine individuelle Hardware ID haben.
dann kann man die beim virenscanner z.B. nur spezifischen usern erlauben, d.h. ist anderer user angemeldet bringt ihm der usb stick auch nix. und admins kann man dann generell das anstecken erlauben...
Sophos Endpoint Protection kann das z.b. handeln.
aber mit GPO usw... kannst das vergessen.
Mit Bordmitteln geht das nicht.
Geht nur mit 3rd Party Software.
Hi,
denke ohne extra Software wirds nichts (weiß es aber nicht). Ich kann dir ja mal sagen wie wir das gemacht haben:
1. GPO Massenspeicher verboten für alle User
2. AD Gruppe erstellt und User reingeworfen die das dürfen
3. Wenn man nun als Admin zum User kommt, muss man 1x Reboot machen und dann kann man als Admin mit USB arbeiten
Geht natürlich vorbei an dem was deine Bosse haben wollen.
denke ohne extra Software wirds nichts (weiß es aber nicht). Ich kann dir ja mal sagen wie wir das gemacht haben:
1. GPO Massenspeicher verboten für alle User
2. AD Gruppe erstellt und User reingeworfen die das dürfen
3. Wenn man nun als Admin zum User kommt, muss man 1x Reboot machen und dann kann man als Admin mit USB arbeiten
Geht natürlich vorbei an dem was deine Bosse haben wollen.
Zitat von @mpanzi:
Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.
Es geht darum, dass kein User einfach einen USB-Stick an seinen PC anstöpseln kann.
Das behandelt der Beitrag ja ebenfalls 😉
Und auf andere, selbst mitgebrachte Sticks, kann er nichts schreiben, bevor sie nicht verschlüsselt wurden - und auch nur dann, wenn Ihr selbst sie verschlüsselt habt. Der Nutzer kann nicht von zu Hause mit eigens verschlüsselten Sticks anrücken, das kann die genannte Policy nämlich ebenfalls verhindern!
aber mit GPO usw... kannst das vergessen. Mit Bordmitteln geht das nicht. Geht nur mit 3rd Party Software.
3rd Party-Software nutzt die Bordmittel.Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
devcon.exe findall * |findstr /c:"Flash Disk USB Device" >>%temp%\usb.txt
del %temp%\usb2.txt
del %temp%\usb3.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "delims=:" %%a in (%temp%\usb2.txt) do echo %%a>>%temp%\usb3.txt
xcopy \\server\share\allowlist.txt c:\windows\ /y
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb3.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"
Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
Zitat von @DerWoWusste:
Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
Dies liest USB-Massenspeicher aus und entfernt diese, wenn deren IDs nicht auf der Firmenwhitelist stehen. getriggert wird dieser Task von jedem Reboot und von jedem Event des Typs
Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
aber mit GPO usw... kannst das vergessen. Mit Bordmitteln geht das nicht. Geht nur mit 3rd Party Software.
3rd Party-Software nutzt die Bordmittel.Mit Bordmitteln kann man, wenn man ohne Verschlüsselung vorgehen möchte (warum sollte man, USB-Sticks zu verschlüsseln ist doch fast immer sinnvoll?), das so machen (Syntaxbeispiel für einen geplanten Task):
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
devcon.exe findall * |findstr /c:"Flash Disk USB Device" >>%temp%\usb.txt
del %temp%\usb2.txt
del %temp%\usb3.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "delims=:" %%a in (%temp%\usb2.txt) do echo %%a>>%temp%\usb3.txt
xcopy \\server\share\allowlist.txt c:\windows\ /y
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb3.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"
Log: "Microsoft-Windows-Kernel-PnP/Configuration
Quelle: Microsoft-Windows-Kernel-PnP
ID: 410
Ausführendes Konto: system
(das Event kommt beim Anstecken eines Sticks unverzüglich)
Devcon.exe muss man dafür zunächst besorgen
ja damit kannst du den USB Stick generell erlauben oder nicht.
wie handelst du das, das nur user1 den benutzen kann, user2 aber nicht?
bedeutet der admin soll ihn egal wo nutzen können, aber user1 am gleichen pc nicht?
Bedeutet deine Lösung ist schon cool für umsonst, aber komfort ist auch was anderes.
Nur zur Info es geht auch ohne devcon, (alte OS < W10 ausgenommen).
bsp.
Get-PNPDevice -Class DiskDrive -PresentOnly | ? InstanceId -like '*USBSTOR*' | %{
pnputil /remove-device $_.InstanceId
}
Nur zur Info es geht auch ohne devcon, (alte OS < W10 ausgenommen).
Jein. pnputil kann das (deaktivieren und aktivieren) seit Version 2004 (aka 20H1) von Win10. Jedoch ist es nach meiner Erfahrung unzuverlässig. Ich hatte netzwerkweit eingestellt, dass virtuelle SmartCards bei Sperrung und Abmeldung deaktiviert werden und bei Anmeldung und Entsperrung wieder aktiviert werden. Das Aktivieren schlug in ca. 5% der Fälle ohne Grund fehl - bei devcon hingegen 0,0 Probleme.@ThePinky777
wie handelst du das, das nur user1 den benutzen kann, user2 aber nicht?
Das ist doch mit einer Codezeile gemacht:Am Anfang:
quser | findstr /i adminname && goto end