Sicherheit von Notebooks - teilweise oder vollständig USB-Ports und CD-Laufwerke unter Windows 7 sperren
Ich habe mich als Neuling in dem Gebiet in den letzten Tagen ziemlich abgemüht, herauszufinden, wie bei Notebooks für externe Mitarbeiter diverse Dinge gesperrt werden können wie z.B. USB-Ports oder CD-Laufwerke. Im Internet gibt es größtenteils nur andeutungsweise Anleitungen und deshalb möchte ich die Ergebnisse meiner Recherchen hier kurz zusammenfassen.
Im Internet habe ich einige Tools gefunden, die aber entweder Geld kosten oder leider nicht funktionierten.
Also habe ich mich eingehender mit den Gruppenrichtlinien beschäftigt (sich aufrufen m. H. v. "Ausführen" und dem Befehl "gpedit.msc") und bin in folgenden Schritten vorgegangen:
1) Unter "Computer-Konfiguration" > "Administrative Vorlagen" > "System" > "Wechselmedienzugriff" lässt sich einstellen, wofür der User welche Zugriffsrechte haben soll: CD & DVD, Wechseldatenträgern und WPD-Geräten kann der Zugriff hier in verschiedenen Stufen verweigert werden.
2) Unter "Computer-Konfiguration" > "Administrative Vorlagen" > "System" > "Geräteinstallation" > "Einschränkungen bei der Geräteinstallation" lässt sich einstellen, dass Treiber für Wechselgeräte gar nicht erst installiert werden können.
Aber Achtung: Das gilt auch für Mäuse!
Aus diesem Grund sollte als erstes die Option " Installation von Geräten mit diesen Geräte-IDs zulassen" aktiviert und hier alle wichtigen IDs hinterlegt werden (zu finden unter Rechtsklick auf das Gerät im Explorer oder Geräte-Manager > "Eigenschaften" > "Details" > "Hardware-IDs").
Im Zweiten Schritt sollte dann die Option "Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind" aktiviert werden.
Wenn UMTS-Sticks benutzt werden, sollte deren Installation VOR der Einrichtung der oben genannten Einschränkungen vorgenommen werden. Sie werden durch die Gruppenrichtlinien nicht in ihrer Funktion beeinträchtigt (zumindest die Sticks, die ich getestet habe: O2 + T-Mobile).
Was ich in den Gruppenrichtlinien bisher nicht gefunden habe, ist die Einstellung für das Sperren des CMD-Befehls, damit die User die Einschränkungen nicht umgehen können. Dafür gibt es aber unter folgendem Link eine Anleitung, die gut funktioniert:
http://www.windowspage.de/frame.php?http://www.windowspage.de/tipps/022 ...
Um es nur für den current_user einzurichten, der eingeschränkt werden soll, muss man auch als dieser angemeldet sein und kurzzeitig admin-Rechte besitzen.
Anregungen, Ergänzungen und Kritik zu dieser Anleitung sind sehr willkommen.
Im Internet habe ich einige Tools gefunden, die aber entweder Geld kosten oder leider nicht funktionierten.
Also habe ich mich eingehender mit den Gruppenrichtlinien beschäftigt (sich aufrufen m. H. v. "Ausführen" und dem Befehl "gpedit.msc") und bin in folgenden Schritten vorgegangen:
1) Unter "Computer-Konfiguration" > "Administrative Vorlagen" > "System" > "Wechselmedienzugriff" lässt sich einstellen, wofür der User welche Zugriffsrechte haben soll: CD & DVD, Wechseldatenträgern und WPD-Geräten kann der Zugriff hier in verschiedenen Stufen verweigert werden.
2) Unter "Computer-Konfiguration" > "Administrative Vorlagen" > "System" > "Geräteinstallation" > "Einschränkungen bei der Geräteinstallation" lässt sich einstellen, dass Treiber für Wechselgeräte gar nicht erst installiert werden können.
Aber Achtung: Das gilt auch für Mäuse!
Aus diesem Grund sollte als erstes die Option " Installation von Geräten mit diesen Geräte-IDs zulassen" aktiviert und hier alle wichtigen IDs hinterlegt werden (zu finden unter Rechtsklick auf das Gerät im Explorer oder Geräte-Manager > "Eigenschaften" > "Details" > "Hardware-IDs").
Im Zweiten Schritt sollte dann die Option "Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind" aktiviert werden.
Wenn UMTS-Sticks benutzt werden, sollte deren Installation VOR der Einrichtung der oben genannten Einschränkungen vorgenommen werden. Sie werden durch die Gruppenrichtlinien nicht in ihrer Funktion beeinträchtigt (zumindest die Sticks, die ich getestet habe: O2 + T-Mobile).
Was ich in den Gruppenrichtlinien bisher nicht gefunden habe, ist die Einstellung für das Sperren des CMD-Befehls, damit die User die Einschränkungen nicht umgehen können. Dafür gibt es aber unter folgendem Link eine Anleitung, die gut funktioniert:
http://www.windowspage.de/frame.php?http://www.windowspage.de/tipps/022 ...
Um es nur für den current_user einzurichten, der eingeschränkt werden soll, muss man auch als dieser angemeldet sein und kurzzeitig admin-Rechte besitzen.
Anregungen, Ergänzungen und Kritik zu dieser Anleitung sind sehr willkommen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148298
Url: https://administrator.de/tutorial/sicherheit-von-notebooks-teilweise-oder-vollstaendig-usb-ports-und-cd-laufwerke-unter-windows-7-sperren-148298.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo anne,
ich finde es gut, wenn hier Anleitungen eingestellt werden.
Für genau deinen Fall jedoch gibt es Spezialsoftware, die das BS-übergreifend lösen kann. So ist man nicht auf W7 als Notebook-BS eingeschränkt.
Ich habe solche Konfigurationen mit der Device- and Application Control von SEP eingerichtet. Hier können Devices viel besser unterschieden werden.
Das alles richtet man sehr schön in einer Admin-Console ein. Der Clou war, ich konnte über Netzwerkerkennungsregeln sogar festlegen, dass das Schreibverbot auf USB-Stick nur gilt, wenn die NBs nicht im internen LAN sind.
ich finde es gut, wenn hier Anleitungen eingestellt werden.
Für genau deinen Fall jedoch gibt es Spezialsoftware, die das BS-übergreifend lösen kann. So ist man nicht auf W7 als Notebook-BS eingeschränkt.
Ich habe solche Konfigurationen mit der Device- and Application Control von SEP eingerichtet. Hier können Devices viel besser unterschieden werden.
Das alles richtet man sehr schön in einer Admin-Console ein. Der Clou war, ich konnte über Netzwerkerkennungsregeln sogar festlegen, dass das Schreibverbot auf USB-Stick nur gilt, wenn die NBs nicht im internen LAN sind.
Oder schaut auch mal hier: USB-Speichermedien im Unternehmen Zertifizieren... aber wie?
Allerdings mit Vorsicht anzupacken: man kann sich schnell damit die Tür vor der Nase zuschlagen und gerade bei Aussendienst-PC's böse (weil nicht physisch schnell greifbar)
Generell doktore ich grad an einer eigenen ADM-File (also ein GPO-Template) herum welche ich dann verwenden will. Wenn fertig poste ich die hier. Wird aber aus Zeitmangel denk ich erst Ende September.
Allerdings mit Vorsicht anzupacken: man kann sich schnell damit die Tür vor der Nase zuschlagen und gerade bei Aussendienst-PC's böse (weil nicht physisch schnell greifbar)
Generell doktore ich grad an einer eigenen ADM-File (also ein GPO-Template) herum welche ich dann verwenden will. Wenn fertig poste ich die hier. Wird aber aus Zeitmangel denk ich erst Ende September.
Moin,
also ich finde auch es ist eine schöne Anleitung. Allerdings EINE Einschränkung: Man muss sich immer überlegen wie man die Sperre denn auch mal "schnell" wieder rausbekommt. Wenn z.B. der Vertriebsmensch nämlich beim Kunden sitzt und die 50-MB-Präsentation da bleiben soll dann muss er ja eine Möglichkeit haben die an den Kunden zu geben... Sicherheit ist dann gut und schön - aber wenn dafür Aufträge verloren gehen dann bringt das wenig (was bringt das sicherste Netzwerk wenn die Firma kurz später mangels Aufträge in den Konkurs geht?).
Von daher würde ich den Punkt immer mit bedenken...
also ich finde auch es ist eine schöne Anleitung. Allerdings EINE Einschränkung: Man muss sich immer überlegen wie man die Sperre denn auch mal "schnell" wieder rausbekommt. Wenn z.B. der Vertriebsmensch nämlich beim Kunden sitzt und die 50-MB-Präsentation da bleiben soll dann muss er ja eine Möglichkeit haben die an den Kunden zu geben... Sicherheit ist dann gut und schön - aber wenn dafür Aufträge verloren gehen dann bringt das wenig (was bringt das sicherste Netzwerk wenn die Firma kurz später mangels Aufträge in den Konkurs geht?).
Von daher würde ich den Punkt immer mit bedenken...
Salü,
zuerst mal vielen Dank für die Anleitung
Und dann (leider) das Achtung...Ergänzung - keine Kritik
Dein Tipp mit der cmd hat einen ganz gravierenden und bereits in anderem Zusammenhang genannten Nachteil Man kann sich da (kurzfristig) ganz schnell die Türe zu hauen.
[OT]
Bei vielen Aussendienstlern kann sich eine Firmenlizenz von z.B Teamviewer "bezahlt" machen - wenn man die Kosten eines VPN Tunnels nicht in der GL durchkriegt.
Heutzutage muß man Aussendienstler Väter und nicht stiefmütterlich behandeln. (Und falls der Gleichberechtigungsexperte mitliesst - oder andersherum - Jacke wie Hose)
[/OT]
Gruß
zuerst mal vielen Dank für die Anleitung
Und dann (leider) das Achtung...Ergänzung - keine Kritik
Dein Tipp mit der cmd hat einen ganz gravierenden und bereits in anderem Zusammenhang genannten Nachteil Man kann sich da (kurzfristig) ganz schnell die Türe zu hauen.
0 ist klar - ist ja std.
1 ist klar - das viele Loginscripte in CMD geschrieben werden und das auch die dann nicht mehr laufen.
2 ist klar - das man damit nur Poweruser & Daus abhält was zu machen, was die nicht machen sollen - Kiddys in der Schule lächeln milde drüber.
1 ist klar - das viele Loginscripte in CMD geschrieben werden und das auch die dann nicht mehr laufen.
2 ist klar - das man damit nur Poweruser & Daus abhält was zu machen, was die nicht machen sollen - Kiddys in der Schule lächeln milde drüber.
[OT]
Bei vielen Aussendienstlern kann sich eine Firmenlizenz von z.B Teamviewer "bezahlt" machen - wenn man die Kosten eines VPN Tunnels nicht in der GL durchkriegt.
Heutzutage muß man Aussendienstler Väter und nicht stiefmütterlich behandeln. (Und falls der Gleichberechtigungsexperte mitliesst - oder andersherum - Jacke wie Hose)
[/OT]
Gruß
Salü,
machen wirs doch so:
Stell deine Frage - als Frage nochmal neu - mit Verweis auf diese Anleitung - denn sonst kommt das, was ich an Anleitungen nicht mag - ein kreuz und quer.
Später editiere ich dann diesen Beitrag / und du deinen und wir schreiben stattdessen hier auf, wie das Problem gelöst wurde.
Einzelne Beiträge kann ja wieder nur ein Mod löschen....
Deal?
Gruß
machen wirs doch so:
Stell deine Frage - als Frage nochmal neu - mit Verweis auf diese Anleitung - denn sonst kommt das, was ich an Anleitungen nicht mag - ein kreuz und quer.
Später editiere ich dann diesen Beitrag / und du deinen und wir schreiben stattdessen hier auf, wie das Problem gelöst wurde.
Einzelne Beiträge kann ja wieder nur ein Mod löschen....
Deal?
Gruß