Jump to content
Sign in to follow this  
a.jakob

USB Speichersticks im Netzwerk

Recommended Posts

Hallo,

 

Leider haben sich die USB Speichersticks mittlerweile soweit verbreitet, dass einige Nutzer diese mittlerweile mit zu Arbeit bringen.

 

Daher stellt sich für mich die brennende aufgabe die Nutzung dieser zu verhindern.

 

Das deaktivieren des USB im Bios ist etwas umständlich. Daher suche ich noch einen Weg dieses über eine GPO zu machen.

 

Sämtliche versuche dieses mittels Registry manipuierung zu machen schlugen bisjetzt fehl.

 

Bin auch für jeden Denkansatz dankbar.

 

:confused::confused::confused::confused:

Share this post


Link to post
Share on other sites

Hi,

ich weiß jetzt nicht genau, wie diese USP-Sticks vom BS gehandelt werden, aber normalerweise müßte das ein neues Gerät sein. Hast Du das Recht "Neue Geräte hinzufügen" gesperrt ?

 

zuschauer

Share this post


Link to post
Share on other sites

Ein paar von unseren Teilnehmern haben die auch... sie werden als Festplatte erkannt...

 

Vielleicht sollte man versuchen per GPO zu unterdrücken, dass neue Laufwerksbuchstaben vergeben werden. Kein Laufwerksbuchstabe, kein Zugriff...

Share this post


Link to post
Share on other sites

Hallo so einfach stellt sich das Problem leider nicht da.

 

1. Der Nutzer brauch keine rechte zur Geräteinstallation,

da keine Treiber installiert werden (zumindest bei den Meisten.)

 

2. Das Ausblenden der Laufwerksbuchstaben nützt nichts, da bestimmte nutzer auch zugriff auf die Commandozeile haben müssen (leider) und gerade hier natürlich die größten "Spielkinder" sitzen.

 

 

MFG

 

Andre Jakob

Share this post


Link to post
Share on other sites

Hab ja auch nicht gesagt, dass es "einfach" ist.

 

Meinte nicht das Ausblenden aller Laufwerksbuchstaben sondern eher, dass keine neuen mehr vergeben werden können.

 

Die Sticks bekommen ja beim Einstecken den nächsten freien Buchstaben... vielleicht kann man das irgendwie unterbinden...

Share this post


Link to post
Share on other sites

Cool Danke,

 

man könnte mittels GPO alle nicht benötigten Laufwerke ausblenden. Und mittels Anmeldescript alle freien Laufwerksbuchstaben mittels Script auf irgendeinen Ordner mappen. Jetzt müsste man nur noch schauen wie das System beim Start reagiert. Die Hardware wird leider früher erkannt als die Scripts ausgeführt werden. Jetzt ist die Frage was stärker ist ein net use * \\127.0.0.1\c$ /persitent:no oder die neue Hardware.

 

 

Aber das ist schonmal ein sehr guter Ansatz, Danke

Share this post


Link to post
Share on other sites

Mmh,

naja, den net use /delete kennen Deine "Spielekinder" mit Commandozeile dann aber auch ... :(

 

Brauchst Du den USB-Port, bzw. der User ? Ansonsten disable ihn doch.

Share this post


Link to post
Share on other sites

Den USB brauche ich auf jeden Fall. Es gibt schon zuviele Scanner und Drucker (die liesen sich ja noch umstellen) etc..

 

die net befehle habe ich für die user mit kommandozeile eh schon deaktiviert. Die Lösung ist zwar irgendwie unschön aber bis jetzt die beste.

:rolleyes:

 

Bin für besseres Jederzeit gerne zu haben.

 

 

Andre Jakob

Share this post


Link to post
Share on other sites

Also wir haben das Sicherheitsproblem in unserem Netz gelöst.

Man braucht KEINE teuren Programme und kann andere USB Geräte

weiterhin benutzen.

Leider muss man die Registry verändern, was zur Folge hat, das man

lokale Adminrechte braucht.

Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.

 

Die Veränderungen:

- zwei lokale Dateien löschen

- Registryeinträge verändern

 

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.

 

 

Auszug der Batch:

 

del %systemroot%\inf\usbstor.inf

del %systemroot%\inf\usbstor.pnf

%systemroot%\regedit /s schluessel.reg

 

 

Auszug aus der schluessel.reg

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB-Massenspeichertreiber"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\

20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\

00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\

00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\

00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

"Count"=dword:00000000

"NextInstance"=dword:00000000

 

 

Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.

aktivieren.

 

 

Um die Registryveränderungen wieder rückgängig zu machen:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB-Massenspeichertreiber"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\

20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\

00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\

00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\

00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

"0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Für Schäden oder evtl. Störungen wird keine Haftung übernommen

 

Einfach mal testen.

Share this post


Link to post
Share on other sites

Hallo..

 

mittlerweile bin ich noch auf eine Andere Sache gekommen.

 

Wir haben für unsere einzelnen Abteilungen per Script alle benötigten Laufwerksbuchstaben angelegt. hierbei haben wir erst ab o: angefangen. Alle zuvor verfügbaren Laufwerksbuchstaben haben wir ausgeblendet und den zugriff auf die komangozeile verboten.

 

Resultat. nutzt ein User einen USB Stick. so wird dieser noch erkannt. Aber es gibt keine Möglichkeit auf diese zuzugreifen.

 

Für weiter Ideen bin ich immer danbar..

 

MFG

 

a.jakob

Share this post


Link to post
Share on other sites

Warum eigentlich nicht einfach der Benutzergruppe jegliche Berechtigung auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR entziehen (also nur noch admins und System Zugriffsberechtigung)? Müsste IMHO alles weitere verhindern?

 

grizzly999

Share this post


Link to post
Share on other sites
Original geschrieben von Warrabbit

.....

 

Die Veränderungen:

- zwei lokale Dateien löschen

- Registryeinträge verändern

 

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.

 

 

Auszug der Batch:

 

del %systemroot%\inf\usbstor.inf

del %systemroot%\inf\usbstor.pnf

%systemroot%\regedit /s schluessel.reg

 

....

 

Also ich hab das mal bei uns in der Arbeit unter XP probiert.

 

es funktioniert ohne probs. (das einzige ist, das alle user die auf diesem computer zugriff haben keinen USB-Stick verwenden können, nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu)

 

Das einzige was ich noch wissen wollte ist, warum man denn die zwei dateien löschen muss, denn wenn ich sie nicht lösche, funktioniert es genauso.

 

Original geschrieben von grizzly999

Warum eigentlich nicht einfach der Benutzergruppe jegliche Berechtigung auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR entziehen (also nur noch admins und System Zugriffsberechtigung)? Müsste IMHO alles weitere verhindern?

 

grizzly999

 

Das Habe ich auch mal probiert, aber es funktioniert leider nicht, wenn man dem benutzer(oder der Benutzergruppe) die rechte auf den Schlüssel nimmt.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

Werbepartner:



×
×
  • Create New...