marcoker
Goto Top

USB-Wechseldatenträger sperren aber nicht für alle

Guten Morgen.

Ich habe zwar sämtliche Foren durchgesucht aber noch keine Antwort auf meine Frage gefunden.
Ich möchte in einer Firma mit 250 Usern die USB-Wechseldatenträger über Gruppenrichtlinie sperrren.
Es gibt derzeit 2 Möglichkeiten. Es für den Computer komplett zu sperren oder nur bestimmten Benutzer den Zugriff sperren.

Ich möchte grundsätzlich alle Computer mit der Gruppenrichtlinie sperren lassen, aber es soll bestimmte User geben die doch USB-Datenträgern auf den Rechnern bekommen sollen.
Gibt es eine Möglichkeit trotz einer ausgerollten Computerrichtlinie bestimmten Usern es doch zu erlauben auf USB-Wechseldatenträger zuzugreifen?

Wenn ja, kann mir jemand verraten wir es umsetzbar wäre?

Ich möchte aber in dem Fall nicht auf die Sperre für alle Computer verzichten. Warum? Weil nur durch diese Gruppenrichtlinie ist es auch gewährleistet, dass auch lokale Accounts von der Sperre betroffen wären.

Content-ID: 33712601742

Url: https://administrator.de/contentid/33712601742

Printed on: December 7, 2024 at 08:12 o'clock

kreuzberger
kreuzberger Apr 18, 2024 at 07:39:15 (UTC)
Goto Top
Moin @MarcoKer,

di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.

Kreuzberger
erikro
erikro Apr 18, 2024 at 08:03:16 (UTC)
Goto Top
Moin,

mit Bordmitteln geht das leider nicht. Wenn am Computer die USB-Zugriffe gesperrt sind, dann sind sie gesperrt. Das einzige, was geht, sind ausgenommene Geräte. Du kannst also z. B. die Sticks der Admins von der Sperre ausnehmen. Dann kannst Du (und jeder andere) diese Sticks nutzen. Das ist ein recht hoher Aufwand.
https://learn.microsoft.com/de-de/mem/intune/configuration/administrativ ...

Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.

hth

Erik
Tezzla
Tezzla Apr 18, 2024 at 08:10:39 (UTC)
Goto Top
Moin,

wenn du z.B. ESET im Einsatz hast, kannst du damit nach Benutzergruppen solche Blockierungen durchführen.
https://help.eset.com/ees/11/de-DE/?idh_config_devmon_rule_edit_dlg.html ...

VG
MarcoKer
MarcoKer Apr 18, 2024 at 08:23:53 (UTC)
Goto Top
Zitat von @kreuzberger:

Moin @MarcoKer,

di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.

Kreuzberger

Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..
Dirmhirn
Dirmhirn Apr 18, 2024 at 08:28:29 (UTC)
Goto Top
Zitat von @MarcoKer:

Zitat von @kreuzberger:

Moin @MarcoKer,

di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.

Kreuzberger

Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..

Interessant! Muss ich bei uns schauen, wie das gemacht wurde.
MarcoKer
MarcoKer Apr 18, 2024 at 09:44:35 (UTC)
Goto Top
Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.

Wir verwenden keine externe Lösung, es soll alles mit Bordmitteln durchgeführt werden
erikro
erikro Apr 18, 2024 at 11:05:45 (UTC)
Goto Top
Zitat von @MarcoKer:

Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.

Wir verwenden keine externe Lösung, es soll alles mit Bordmitteln durchgeführt werden

Keine Endpoint-Protection ... Naja. Dann bleibt Dir nur der Weg über das generelle Verbieten und das Freischalten einzelner Geräte, die die Admins nutzen.
cse
cse Apr 18, 2024 at 12:17:27 (UTC)
Goto Top
Ist auch mit Boardmitteln möglich, jahrelang so gemacht.

GPO in der du den Reg key auf 4 setzt.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\
DWORD "start" value=4  

Dann auf alle PCs anwenden.

Dann eine Gruppe "Darf USB" dort alle reinschmeißen die USB nutzen dürfen und von der GPO ausnehmen.
Neustarten muss man dann am Client trotzdem, damit er sich das zieht. (Also wenn vorher ein User daran gearbeitet hat der es nicht darf)
cse
cse Apr 18, 2024 at 12:18:40 (UTC)
Goto Top
Zitat von @MarcoKer:

Zitat von @kreuzberger:

Moin @MarcoKer,

di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.

Kreuzberger

Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..

lokale Accounts? Sowas gibts heute noch? ;) die musst du tot machen würde ich sagen ;)
MarcoKer
MarcoKer Apr 18, 2024 at 12:37:47 (UTC)
Goto Top
lokale Accounts? Sowas gibts heute noch? ;) die musst du tot machen würde ich sagen ;)

naja es gibt ja nicht nur normale User (Stichwort: Entwickler)
NordicMike
NordicMike Apr 19, 2024 at 05:38:15 (UTC)
Goto Top
Im Ernst? Du machst dir Sorgen über die Sicherheit von USB Sticks, aber hast keine Sorgen über die Sicherheit wegen lokalen Accounts? In einer Firma mit einer Größenordnung von 250 Usern?

Wie steuerst du die Sicherheitsrichtlinien für lokale Accounts? Habt ihr überhaupt Sicherheitsrichtlinien?

Bei uns arbeiten auch alle Entwickler mit Domänenaccounts.