USB Sticks Passwort aufforderung

Mitglied: 17308

17308

08.02.2010 um 17:08 Uhr, 7917 Aufrufe, 10 Kommentare

Hallo zusammen

Wir möchten bei unseren Industriemaschinen das USB Stick einstecken indirekt verbieten
es sollte nicht möglich sein auf den Stick zuzugreifen ohne das man ein Passwort eingibt.

Oder noch besser wenn man ihn einsteckt sollte direkt eine passwort abfrage von windows kommen

gibt es sowas auf dem markt ?

Danke
Mitglied: 76109
76109 (Level 3)
08.02.2010 um 17:22 Uhr
Hallo remus25!

Also, bei meinem USB-Stick von Toshiba, war eine Bedienungsanleitung dabei, auf der sinngemäß steht:
Das Produkt arbeitet mit einer Sicherheitssoftware, die es erlaubt, dass gespeicherte Daten mit einem Passwort geschützt werden können. Die Sicherheitssoftware kann von der Toshiba Internetseite heruntergeladen werden.

Möglicherweise bietet der Hersteller Deines USB-Sticks auch sowas an.

Gruß Dieter
Bitte warten ..
Mitglied: 60730
60730 (Level 5)
08.02.2010 um 17:27 Uhr
Servus,

@Didi: eher nicht - denn damit schützt man ja geschütze USB Sticks - bzw. deren Daten, wenn die USB Sticks verloren gegangen sind.

Er wills ja andersherum haben - den Rechner vor jedem USB STICKschützen.

Das kann er nur mit z.B so einer Lösung bewerkstellen.

Gruß
Bitte warten ..
Mitglied: 76109
76109 (Level 3)
08.02.2010 um 17:36 Uhr
Hallo TimoBeil!

Dann habe ich möglicherweise was falsch verstanden? :-) face-smile

Gruß Dieter
Bitte warten ..
Mitglied: yaDur1
08.02.2010 um 17:42 Uhr
Hallo,

was bedeutet "Industriemaschinen"? Ich gehe mal davon aus, daß es sich um ganz normale DesktopPCs mit WinXP SP3 handelt.

Du hast m.W. folgende Möglichkeiten:

1. Je nach BIOS kannst du dort div. Einstellungen bzgl. USB vornehmen. Z.B. das über USB nicht gebootet werden kann (unbedingt BIOS-PW vergeben, sonst kann das jeder ändern!).
2. Es gibt div. Software auf dem Markt, mit deren Hilfe du die USB-Ports sperren und/oder überwachen kannst. Das läßt sich durch einen am PC angemeldeten User aber evt. umgehen (hab da so meine Erfahrungen) und ist m.E. keine besonders sichere Lösung. Ich laß mich aber gern eines Besseren belehren! :-) face-smile
3. Sofern die "normalen" User lediglich Benutzerrechte haben, kannst du als Admin via Gerätemanager einfach die entspr. USB-Root-Hubs deaktivieren. Damit sind die USB-Anschlüsse funktionslos und können von den Benutzern auch nicht reaktiviert werden. Nachteil: Nur der Admin kann USB-Sticks einlesen, bzw. wird vorab gebraucht, um die Hubs wieder zu aktivieren. Aber bitte vor der Deaktivierung unbedingt drauf achten, was an den einzelnen Hubs dranhängt - z.B. die interne HD.. ;)
4. Die von didi1954 geschilderte Methode funktioniert zwar (i.d.R. mehr schlecht als recht) mit dem jeweiligen USB-Stick, nutzt dir aber nichts, wenn jemand einen "normalen" unverschlüsselten USB-Stick einsteckt.

Ich hoffe, obiges hilft dir etwas weiter!

Ciao
yaDur
Bitte warten ..
Mitglied: TheDarkLord
09.02.2010 um 09:00 Uhr
Hallo :) face-smile

Der Link von TimoBeil ist denke ich genau das, was Du suchst.
Ich hatte mir gerade überlegt, wie man sich das (zugegeben etwas umständlich xD) selbst zusammenbasteln kann mit USBDLM, nem Batch-Script und am besten noch Bat-To-Exe (da kann man eine Passworteingabe vor ausführen der Bat einstellen) - aber ich hab mir dann mal den Link durchgelesen und das VB macht eigentlich das, was Du brauchst!
Gut, Du benötigst nen Fileserver mit Freigabe - das bräuchtest Du bei meiner Variante nicht und jemand, der USB-Sticks nutzen darf, braucht nur ein PW eingeben.
ALLERDINGS ist meine Idee auch nicht "unknackbar" - wenn jemand weiss, wo er schauen muss, könnte er das auch umgehen...

Hier mal meine Idee, nur als roter Faden zu betrachten:
  1. USBDLM installieren und zwei INIs einrichten: Einmal so, dass kein USB-Gerät ein Laufwerksbuchstaben bekommt (ausser explizit angegebene interne, yaDur xD) und einmal so, dass Buchstaben normal zugewiesen werden - die beiden INIs mit BACKUP-Prefix in das USBDLM-Verzeichnis packen. Ausserdem noch ein OnRemove-Event in der INI festlegen, dass wenn irgendein USB-Gerät entfernt wird, eine Batch ausgeführt wird, welche die USBDLM-INI mit der Blockier-INI überschreibt. Man muss mal testen, ob das schon reicht oder der Dienst neu gestartet werden muss (Batches dazu bei USBDLM vorhanden), aber das ist ja eine Kleinigkeit...
  2. Eine Batch basteln, welche durch Benutzerauswahl die originale INI entweder mit der einen oder der anderen BACKUP-INI überschreibt.
  3. Diese Batch mit Bat-To-Exe zu einer Exe konvertieren, dabei ein Passwort festlegen.
  4. Evtl. das USBDLM-Verzeichnis noch verstecken.
  5. Ggf. noch ein Shutdown-Script von Windows anlegen, welches die Blockier-INI-überscheib-Batch ausführt, damit bei einem Neustart auf jeden Fall alles an Plugin-USB-Geräten deaktiviert ist.

Die Funktion sollte dann so in der Art sein:
Der Rechner wird hochgefahren, da die Blockier-INI aktiv ist, wird keinem USB-Gerät was angesteckt wird, ein Laufwerksbuchstabe zugeordnet, d.h. kein USB-Gerät funktioniert. Kommt jetzt einer vorbei, der das aber darf und gerade braucht, führt dieser die Umschalt-Exe aus, gibt das Passwort ein (was natürlich nur der kennen sollte, der USB-Geräte nutzten können darf!) und steckt dann sein USB-Gerät ein. Dieses bekommt nun von USBDLM einen Laufwerksbuchstabe und er/sie kann es benutzen.
Wählt er nun Hardware sicher entfernen oder zieht das Gerät heraus, wird die Blockier-INI wieder zurück geschrieben und wenn er es erneut einsteckt, passiert wieder nichts, bis die EXE ausgeführt wird (mit Passwort)...

Könnte Dir sowas in der Art helfen?
Vorteil von meiner Variante: Man braucht sich nicht mit einem bestimmten Nutzer anmelden, um mal eben seinen USB-Stick zu benutzen. Das wäre gerade bei PCs im laufenden Betrieb unpraktisch. Man braucht auch keinen Fileserver wie bei dem VB aus Timos Link.
Nachteil ist eben: Wenn jemand weiss, dass es USBDLM gibt und explizit danach sucht und bemerkt, dass dieses aktiv ist, könnte er den Dienst stoppen ODER nach dem versteckten USBDLM-Verzeichnis suchen und die INI anpassen - aber das ist alles sehr unwahrscheinlich, es sei denn in Deiner Firma arbeiten CCC-Leute oder andere Nerds, die zu viel Freizeit haben und aus Langeweile versuchen, den PC auszutricksen :-p
Ich sage mal: für Otto-Normal-User ist es erstmal nicht möglich, seinen USB-Stick zum laufen zu bekommen...
Desweiteren möchte der Autor von USBDLM für gewerbliche Nutzung einen kleinen Obolus, aber der ist SEHR gering. Ausserdem ist er hier im Forum aktiv, könntest Ihn also einfach mal ansprechen, wie das aussieht für diesen Zweck hier - vielleicht lässt er (uwesieber) mit sich reden ;)

Gruß Dark
Bitte warten ..
Mitglied: 60730
60730 (Level 5)
09.02.2010 um 10:15 Uhr
Moin,

Man braucht auch keinen Fileserver wie bei dem VB aus Timos Link.

ähh braucht man nicht unbedingt - der "dient" nur dazu, dass man bei 100ten Systemen nur einmal eine Maus/Handscanner erlauben muß.
Die "Datenbank" - Textdatei was erlaubt/verboten ist gibts auch "lokal" auf der Kiste.

Ich dachte - ich hätte dem Script mal ein paar eigene Zeilen gewidmet, war aber nur ein Link bzw. ein Kommentar zu einer gestellten Frage.


Gruß
Bitte warten ..
Mitglied: TheDarkLord
09.02.2010 um 10:38 Uhr
Ahsoo ok :) face-smile
Ich hatte das Script nur kurz überflogen, dann sorry ^^

Gruß Dark
Bitte warten ..
Mitglied: 17308
17308 (Level 1)
09.02.2010 um 14:04 Uhr
Bitte warten ..
Mitglied: 60730
60730 (Level 5)
09.02.2010 um 14:11 Uhr
Zitat von @17308:
das was ich suchte http://www.everstrike.com/usbsecurity/

cool ;-) face-wink

Price: Start from $34.95 per copy
...und kann nix mehr - als die verlinkte scriptsammlung, außer einem klickibuntischirmchen ob mit oder ohne Chärmchen und Melönchen - sei mal dahingestellt
und ob ich tasächlich bei NTFS Laufwerken eine Oberfläche brauche, die eine Datei vorm editieren schützt - kann ich nicht beurteilen.
Bitte warten ..
Mitglied: uwesieber
25.03.2010 um 09:13 Uhr
Zitat von @17308:
Wir möchten bei unseren Industriemaschinen das USB Stick einstecken indirekt verbieten
es sollte nicht möglich sein auf den Stick zuzugreifen ohne das man ein Passwort eingibt.

Oder noch besser wenn man ihn einsteckt sollte direkt eine passwort abfrage von windows kommen

gibt es sowas auf dem markt ?

Ich habe das gerade in USBDLM eingebaut. Erstmal gibts eine Beta-Version:
http://www.uwe-sieber.de/usbdlm.html#download

Beispiel für den INI-Eintrag:

[Password1]
password=geheim

Das kann man auch abhangig vom eingeloggten Nutzer konfigurieren, oder auch bestimmte Geräte davon ausschließen.


Gruß Uwe
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage
bluescreenVor 1 TagFrageHardware17 Kommentare

Hallo zusammen, ich habe die letzten Stunden schon viel hier gelesen, stehe aber ein wenig auf dem Schlauch, wie und wo ich weiter suchen ...

Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 23 StundenFrageWindows 1015 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Windows Netzwerk
Telefone im Netzwerk bekannt machen
jannik0205Vor 1 TagFrageWindows Netzwerk13 Kommentare

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Netzwerkgrundlagen
Frage zu LWL Kabel
gelöst NominisVor 1 TagFrageNetzwerkgrundlagen6 Kommentare

Hallo, ich habe nur mal eine kurze Verständnisfrage. Es geht um die Verbindung bzw. Anbindung von Switches (Cisco 48Port 10/100/1000 MBit mit 2 SFP+ ...

Windows Netzwerk
WTS-Anmeldung per RDP am Wochenende verbieten?
MuM2810Vor 1 TagFrageWindows Netzwerk8 Kommentare

Hallo zusammen, wir haben bei uns Windows Server 2016 mit 2 Terminal Servern im Einsatz. Wie aus dem Titel schon ersichtlich ist, ist bei ...

Microsoft
Microsoft Teams - "bitte wenden Sie sich an (. . .) um Teams für "domäne" zu aktivieren" nur bei einem Benutzer
eastfrisianVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen! Wir haben bei uns Teams als Hybridversion eingeführt (Exchange on premise, AD-Sync in die Cloud) und nutzen Teams über das basic-Abonnement. Während ...

Netzwerke
Keine Versand von Mails von der Firmen zur Privaten E-Mailadresse möglich
blaub33r3Vor 1 TagFrageNetzwerke6 Kommentare

Hallo zusammen, wieso kommt der User keine Mails mehr? Der Sender wird als Spamer betrachtet? 1. Mailing an andere Privaten Adressen / Firmen Adressen ...

Netzwerke
Netzwerklaufwerk - Nur Lesen (Streamen)
CryexXVor 23 StundenFrageNetzwerke8 Kommentare

Hallo, ich hab mal ne Frage und hoffe auf Lösung. Mir schießt aktuell keine in den Kopf :( Ich möchte ein Netzlaufwerk freigeben. Auf ...