Warrabbit

Die Einträge bewirken, dass die Verfügbarkeit verhindert wird und der Pfad zu den Dateien geändert wird. Habe ich deswegen gemacht, weil der Nutzer kann sich ja die gelöschten Dateien von daheim mitbringen und wieder einspielen und somit wäre der Schutz ja wieder umgangen. Und die Registry darf ein normaler Netz-User nicht ändern.

Ich weiß, daß es noch teurere gibt. Spitzenreiter war 17000€. Das Problem ist ja nicht alle Ports abzuschalten, sondern nur den Bereich USB Stick/Festplatten zu deaktivieren. Drucker und Scanner sollten ja weiterlaufen. Bei uns im Netz sind ca. 700 Leute. Ich werde nicht rumrennen und überall Programme installieren oder alle USB-Ports übers Bios lokal sperren. Es muß eine zentrale Verwaltung sein. Wir haben unser Script(als EXE umgewandelt: 150KB) per Softwareverteilung verteilt. Sollte einer USB benötigen, einfach ins Netz anmelden USB per Script wieder aktivieren und fertig. Wir setzen Netware ein und haben kein Windowsnetz(zum Glück). Windows läuft nur sekundär. Somit fällt eine zentrale Policies weg und AD setzen wir auch nicht ein. Es läuft also auf ´ne lokale "Manipulation" hinaus. Der einzigste Bereich wo USB noch aktiv ist, ist der Pressebereich,da die USB-Cams haben. Ansonsten sehe ich keine Notwendigkeit USB-Sticks in einem Netzwerk zu benutzen.

Hi, bei diesem Problem würde ich mir mal das Script von Heise anschauen. c't Link: http://www.heise.de/ct/ftp/03/08/190/ In dem Script kann man unterschiedliche USB-Ports/Geräte zulassen bzw. verbieten. Läuft leider es permanent im Hintergrund. Vielleicht hilft es.

Hab das ja auch für W2k gemacht. Laut den Postings läuft es ja auch unter XP. Tja, das dachten wir auch, aber bei USB wird alles über den Haufen geworfen. Der normale Nutzer(ohne Rechte), kann ohne Probs die Treiber für den USB-Support installieren. Leider muß man ja zu diesen Hilfsmitteln greifen, da selbst Microsoft kein Tool bzw. keine Hilfe anbietet. Und das ist schließlich ein Sicherheitsproblem in einem Netzwerk.

Wenn man die Postings verfolgt hat, kann man darin lesen, daß das C`t Script alle 10 Sec. die Ports überprüft und permanent im Hintergrund läuft. Diese Variante finde ich auch nicht sehr glücklich gelöst. Unser Script bzw. Batch läuft NICHT im Hintergrund. Es verändert lediglich nur die Registry und legt einen Pfad um und das nur einmal und dann nicht wieder.

@Jim di Griz Toller Beitrag !! Warum ??? @PoisenSpider Leider läuft das Script permanent im Hintergrund. Es überprüft alle 10 Sek. die Ports. Und die Konfiguration ist etwas schwierig bei Netzclients. @madbull Das Löschen der Dateien habe ich drinngelassen, weil es während unser Testphase irgendwann doch mal lief. Es tut ja nicht weh, wenn die weg sind, oder ? Das war ja auch der Zweck der Übung. Der Admin sollte schon die Dateien und die Regeinträge irgendwo haben. Aber uns ging es primär darum, unser Netz vor USB-Sticks sicher zu machen. Und für die Verteilung von Dateien im Netz brauchen wir keine Hardware. Also ich habe noch keinen USB-Stick bei uns gebraucht.

@tedwipe Hab mir das Tool mal angschaut. Nachteil: Es kostet Geld. Die Lizenz kostet(für uns) 4500 $. Und das nur um die USB Sticks und Festplatten zu sperren.

@madbull Das Löschen der Dateien habe ich drinngelassen, weil es während unser Testphase irgendwann doch mal lief. Es tut ja nicht weh, wenn die weg sind, oder ? Zitat: Original geschrieben von madbull ...das einzige ist, das alle user die auf diesem computer zugriff haben keinen USB-Stick verwenden können, nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu. Das war ja auch der Zweck der Übung. Der Admin sollte schon die Dateien und die Regeinträge irgendwo haben. Aber uns ging es primär darum, unser Netz vor USB-Sticks sicher zu machen. Und für die Verteilung von Dateien im Netz brauchen wir keine Hardware. Also ich habe noch keinen USB-Stick bei uns gebraucht. Hinweis: Habe auch mal das VBS-Script der C`t ausprobiert, leider werden da permanent die USB Ports überprüft und die Konfiguration bezieht sich auf alle lokalen Ports. Wir bleiben bei unserer Lösung.

Hallo, schaut mal hier nach: http://www.mcseboard.de/showthread.php?s=&postid=59106#post59106 haben das zwar für W2k gemacht, aber vielleicht klappt das ja auch unter XP.

Also wir haben das Sicherheitsproblem in unserem Netz gelöst. Man braucht KEINE teuren Programme und kann andere USB Geräte weiterhin benutzen. Leider muss man die Registry verändern, was zur Folge hat, das man lokale Adminrechte braucht. Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an. Die Veränderungen: - zwei lokale Dateien löschen - Registryeinträge verändern BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN. Auszug der Batch: del %systemroot%\inf\usbstor.inf del %systemroot%\inf\usbstor.pnf %systemroot%\regedit /s schluessel.reg Auszug aus der schluessel.reg Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB-Massenspeichertreiber" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] "Count"=dword:00000000 "NextInstance"=dword:00000000 Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw. aktivieren. Um die Registryveränderungen wieder rückgängig zu machen: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB-Massenspeichertreiber" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] "0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791" "Count"=dword:00000001 "NextInstance"=dword:00000001 Für Schäden oder evtl. Störungen wird keine Haftung übernommen Einfach mal testen.