Warrabbit

10. September 2003

Die Einträge bewirken, dass die Verfügbarkeit verhindert wird

und der Pfad zu den Dateien geändert wird.

Habe ich deswegen gemacht, weil der Nutzer kann sich ja

die gelöschten Dateien von daheim mitbringen und wieder

einspielen und somit wäre der Schutz ja wieder umgangen.

Und die Registry darf ein normaler Netz-User nicht ändern.

30. Juli 2003

Ich weiß, daß es noch teurere gibt. Spitzenreiter war 17000€.

Das Problem ist ja nicht alle Ports abzuschalten, sondern nur

den Bereich USB Stick/Festplatten zu deaktivieren.

Drucker und Scanner sollten ja weiterlaufen.

Bei uns im Netz sind ca. 700 Leute. Ich werde nicht

rumrennen und überall Programme installieren oder alle

USB-Ports übers Bios lokal sperren.

Es muß eine zentrale Verwaltung sein.

Wir haben unser Script(als EXE umgewandelt: 150KB) per Softwareverteilung verteilt.

Sollte einer USB benötigen, einfach ins Netz anmelden

USB per Script wieder aktivieren und fertig.

Wir setzen Netware ein und haben kein Windowsnetz(zum Glück).

Windows läuft nur sekundär. Somit fällt eine zentrale Policies weg

und AD setzen wir auch nicht ein.

Es läuft also auf ´ne lokale "Manipulation" hinaus.

Der einzigste Bereich wo USB noch aktiv ist, ist der Pressebereich,da die USB-Cams haben. Ansonsten sehe ich

keine Notwendigkeit USB-Sticks in einem Netzwerk zu benutzen.

30. Juli 2003

Hi,

bei diesem Problem würde ich mir mal

das Script von Heise anschauen.

c't Link: http://www.heise.de/ct/ftp/03/08/190/

In dem Script kann man unterschiedliche USB-Ports/Geräte

zulassen bzw. verbieten.

Läuft leider es permanent im Hintergrund.

Vielleicht hilft es.

29. Juli 2003

Original geschrieben von Jim di Griz
hi, ich haette ehrlich gesagt gedacht, das es reicht, wechselmedien zu sperren und den usern das installieren von treibern zu verbieten.....

aus Support-Erfahrung weiss ich wie schnell ein freier USB-Port ein "Statussymbol" wird ;-) ...war einfach erstaunt was fuer interessante Tricks hier auftauchten

hab allerdings eher mit 2000 zu tun

Hab das ja auch für W2k gemacht. Laut den Postings

läuft es ja auch unter XP.

Tja, das dachten wir auch, aber bei USB wird alles über den

Haufen geworfen. Der normale Nutzer(ohne Rechte), kann

ohne Probs die Treiber für den USB-Support installieren.

Leider muß man ja zu diesen Hilfsmitteln greifen, da selbst

Microsoft kein Tool bzw. keine Hilfe anbietet.

Und das ist schließlich ein Sicherheitsproblem in einem Netzwerk.

29. Juli 2003

Original geschrieben von Jim di Griz
weil dinge wie scripts, die alle 10 secs die registry durchsuchen und dinge, die hardwareresourcen im Betrieb aendern meist erst funktionieren, bis dann Update XY der Firmensoftware ZA-13 ploetzlich probleme macht und keiner weiss warum......

nicht mehr aber auch nicht weniger

Wenn man die Postings verfolgt hat, kann man darin lesen, daß

das C`t Script alle 10 Sec. die Ports überprüft und permanent

im Hintergrund läuft. Diese Variante finde ich auch nicht sehr

glücklich gelöst.

Unser Script bzw. Batch läuft NICHT im Hintergrund.

Es verändert lediglich nur die Registry und legt einen Pfad um

und das nur einmal und dann nicht wieder.

29. Juli 2003

@Jim di Griz

Toller Beitrag !!

Warum ???

@PoisenSpider

Leider läuft das Script permanent im Hintergrund.

Es überprüft alle 10 Sek. die Ports.

Und die Konfiguration ist etwas schwierig bei Netzclients.

@madbull

Das Löschen der Dateien habe ich drinngelassen, weil

es während unser Testphase irgendwann doch mal lief.

Es tut ja nicht weh, wenn die weg sind, oder ?

Original geschrieben von madbull
...das einzige ist, das alle user die auf diesem computer

zugriff haben keinen USB-Stick verwenden können,

nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu.

Das war ja auch der Zweck der Übung. Der Admin sollte schon

die Dateien und die Regeinträge irgendwo haben.

Aber uns ging es primär darum, unser Netz vor USB-Sticks sicher

zu machen.

Und für die Verteilung von Dateien im Netz brauchen wir keine

Hardware.

Also ich habe noch keinen USB-Stick bei uns gebraucht.

29. Juli 2003

@tedwipe

Hab mir das Tool mal angschaut.

Nachteil: Es kostet Geld. Die Lizenz kostet(für uns) 4500 $.

Und das nur um die USB Sticks und Festplatten zu sperren.

29. Juli 2003

@madbull

Das Löschen der Dateien habe ich drinngelassen, weil

es während unser Testphase irgendwann doch mal lief.

Es tut ja nicht weh, wenn die weg sind, oder ?

Zitat:

Original geschrieben von madbull

...das einzige ist, das alle user die auf diesem computer

zugriff haben keinen USB-Stick verwenden können,

nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu.

Das war ja auch der Zweck der Übung. Der Admin sollte schon

die Dateien und die Regeinträge irgendwo haben.

Aber uns ging es primär darum, unser Netz vor USB-Sticks sicher

zu machen.

Und für die Verteilung von Dateien im Netz brauchen wir keine

Hardware.

Also ich habe noch keinen USB-Stick bei uns gebraucht.

Hinweis:

Habe auch mal das VBS-Script der C`t ausprobiert, leider

werden da permanent die USB Ports überprüft und die Konfiguration

bezieht sich auf alle lokalen Ports.

Wir bleiben bei unserer Lösung.

18. Juli 2003

Hallo,

schaut mal hier nach:

http://www.mcseboard.de/showthread.php?s=&postid=59106#post59106

haben das zwar für W2k gemacht, aber vielleicht klappt

das ja auch unter XP.

18. Juli 2003

Also wir haben das Sicherheitsproblem in unserem Netz gelöst.

Man braucht KEINE teuren Programme und kann andere USB Geräte

weiterhin benutzen.

Leider muss man die Registry verändern, was zur Folge hat, das man

lokale Adminrechte braucht.

Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.

Die Veränderungen:

- zwei lokale Dateien löschen

- Registryeinträge verändern

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.

Auszug der Batch:

del %systemroot%\inf\usbstor.inf

del %systemroot%\inf\usbstor.pnf

%systemroot%\regedit /s schluessel.reg

Auszug aus der schluessel.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\

20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\

00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\

00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\

00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

"Count"=dword:00000000

"NextInstance"=dword:00000000

Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.

aktivieren.

Um die Registryveränderungen wieder rückgängig zu machen: