USB Sticks Domänenweit verbieten (nur Firmen Geräte)
Hallo zusammen ich bräuchte mal euren Rat oder eine kurze Anweisung wie ich USB STicks Domänenweit einschränken kann, im bestenfalle erstmal ohne zusatz Software.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672832
Url: https://administrator.de/forum/usb-sticks-domaenenweit-verbieten-nur-firmen-geraete-672832.html
Ausgedruckt am: 01.06.2025 um 20:06 Uhr
12 Kommentare
Neuester Kommentar
Moin,
alternativ kannst du USB-Ports mechanisch sperren, bspw. mit USB-Schloss (gibt auch viele andere Anbieter).
Das technische Unterbinden ist die eine Sache; es ist auch immer gut, wenn solche Vorgaben zudem organisatorisch (Verschriftlicht in den Sicherheitsrichtlinien, Umgang mit Dienstgeräten, o. ä.) umgesetzt sind.
Gruß
TA
alternativ kannst du USB-Ports mechanisch sperren, bspw. mit USB-Schloss (gibt auch viele andere Anbieter).
Das technische Unterbinden ist die eine Sache; es ist auch immer gut, wenn solche Vorgaben zudem organisatorisch (Verschriftlicht in den Sicherheitsrichtlinien, Umgang mit Dienstgeräten, o. ä.) umgesetzt sind.
Gruß
TA
Es heisst immer USB Sticks.. und was ist mit:
- Diskette (what ever)
- cd/dvd
- webcam
- Windows protable Devices
- Bluetooth
- Funktastaturen
etc.
- Diskette (what ever)
- cd/dvd
- webcam
- Windows protable Devices
- Bluetooth
- Funktastaturen
etc.
Zitat von @user217:
Es heisst immer USB Sticks.. und was ist mit:
- Diskette (what ever)
- cd/dvd
- webcam
- Windows protable Devices
- Bluetooth
- Funktastaturen
etc.
Es heisst immer USB Sticks.. und was ist mit:
- Diskette (what ever)
- cd/dvd
- webcam
- Windows protable Devices
- Bluetooth
- Funktastaturen
etc.
Was hat das eine mit dem anderen zu tun?
Bedeutet Eingabe Geräte blocken ist immer suboptimal...
Worst Case "Sie sind raus Schulz!"
Und welchen Security vorteil soll das haben?
Klar wenn du Atomkraftwerke baust (ja ich war in so ner Firma) da sind nur Kabel Gebundene
EIngabe Geräte erlaubt... aber ansonsten macht das nicht wirklich viel sinn Päbstlicher als der Pabst zu sein.
Dann CD/ROM erstmal welche Geräte haben sowas überhaupt noch, 2. die chance dir so nen virus zu holen ist ziemlich klein... klar nicht unmöglich aber dennoch gering bis kaum vorhanden.
Diskette? gleiche Frage wer ausser Admins hat heutzutage noch ein Diskdrive?
Disketten gibts ja glaub auch nicht mehr zu kaufen
Und Webcam... jeder ist selbst schuld wenn er seine Fresse der öffentlichkeit zur Show stellt... seh
da auch kein Security Problem
Klar wenn man interesse hätte die öffentlichkeit zu schützen... aber so weit wollen wir ja nicht gehen
Bleiben wirkliche ernste gefahren Datenträger die per USB dran kommen, ob HDD, SSD, oder Stick...
Ja das sollte man dann schon sperren...
Aber denke mit Bordmitteln wirds da auch schwerer aber bin mir nicht sicher, wir hatten dafür immer extra Software,
und wenn du solch eine hast kannste auch siehe oben gleich USB Disketten Drive oder CD ROM gleich mit sperren...
Willst du als Admin kein Bluetooth dreck, oder deaktiviers im BIOS... dann disable im Geräte Manager das Device und fertig.
Disketten gibts ja glaub auch nicht mehr zu kaufen face-smile
zu Hauf. Du glaubst nicht, wer bzw. was (kritis) noch via Diskette läuft.Werden sogar noch aktiv (dafür) produziert.
www.rnd.de/politik/bundeswehr-sucht-ersatz-fuer-floppy-disks-deutsche-marine-will-fregatten-umruesten-7AUDWQUN7BGZPDOCOS7N6G5LPQ.html
1Und welchen Security vorteil soll das haben?
Klar wenn du Atomkraftwerke baust (ja ich war in so ner Firma) da sind nur Kabel Gebundene
EIngabe Geräte erlaubt... aber ansonsten macht das nicht wirklich viel sinn Päbstlicher als der Pabst zu sein.
Klar wenn du Atomkraftwerke baust (ja ich war in so ner Firma) da sind nur Kabel Gebundene
EIngabe Geräte erlaubt... aber ansonsten macht das nicht wirklich viel sinn Päbstlicher als der Pabst zu sein.
Du nimmst das wohl mehr mit Jugedlichem Leichtsinn auf die leichte Schulter und machst es lächerlich.. hoffe du lachst noch länger ;) Ein Diskettenlaufwerk kann emuliert, Passwörter werden per BT/Funk Tastatur abgegriffen etc.
2
Ich habe wes mit der GPO Variante versucht es ist egal was man als Ausnahme einträgt leider klappt es nicht.
Kennt sich jemand damit aus oder benutzt dies in einer Produktivumgebung
Kennt sich jemand damit aus oder benutzt dies in einer Produktivumgebung
sowas per gpo umzusetzen ist schon alleine wegen der aktualität der config am client ein unding und bringt mehr ärger als nutzen.
Ein User ruft an, du sollst einen Datenträger freischalten, du wuselst durch die gpo (speziell für den pc!! = 1000gpos) und setzt die config. Der Client bootet x-mal durch bis die gpo übernommen wird.. Der Client ist offline von der domain und übernimmt gar nix..
Du brauchst für eine praktikable lösung die per splitdns auch extern ohne domain erreichbar ist.
Ein User ruft an, du sollst einen Datenträger freischalten, du wuselst durch die gpo (speziell für den pc!! = 1000gpos) und setzt die config. Der Client bootet x-mal durch bis die gpo übernommen wird.. Der Client ist offline von der domain und übernimmt gar nix..
Du brauchst für eine praktikable lösung die per splitdns auch extern ohne domain erreichbar ist.
Moin,
Unabhänging von deinen anderen Argumenten:
1 GPO, 1 Gruppe mit Ausnahmen, Deny auf GPO übernehmen. Keine 1000e GPOs notwendig
(speziell für den pc!! = 1000gpos)
Unabhänging von deinen anderen Argumenten:
1 GPO, 1 Gruppe mit Ausnahmen, Deny auf GPO übernehmen. Keine 1000e GPOs notwendig
kann man drehen und wenden, usability sieht anders aus!
gpo=uralterlangsamerscheiss der vom Hersteller dringend überholt werden solllte.
gpo=uralterlangsamerscheiss der vom Hersteller dringend überholt werden solllte.
