Jump to content

USB Speichersticks im Netzwerk


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Leider haben sich die USB Speichersticks mittlerweile soweit verbreitet, dass einige Nutzer diese mittlerweile mit zu Arbeit bringen.

 

Daher stellt sich für mich die brennende aufgabe die Nutzung dieser zu verhindern.

 

Das deaktivieren des USB im Bios ist etwas umständlich. Daher suche ich noch einen Weg dieses über eine GPO zu machen.

 

Sämtliche versuche dieses mittels Registry manipuierung zu machen schlugen bisjetzt fehl.

 

Bin auch für jeden Denkansatz dankbar.

 

:confused::confused::confused::confused:

Link zu diesem Kommentar

Hallo so einfach stellt sich das Problem leider nicht da.

 

1. Der Nutzer brauch keine rechte zur Geräteinstallation,

da keine Treiber installiert werden (zumindest bei den Meisten.)

 

2. Das Ausblenden der Laufwerksbuchstaben nützt nichts, da bestimmte nutzer auch zugriff auf die Commandozeile haben müssen (leider) und gerade hier natürlich die größten "Spielkinder" sitzen.

 

 

MFG

 

Andre Jakob

Link zu diesem Kommentar

Cool Danke,

 

man könnte mittels GPO alle nicht benötigten Laufwerke ausblenden. Und mittels Anmeldescript alle freien Laufwerksbuchstaben mittels Script auf irgendeinen Ordner mappen. Jetzt müsste man nur noch schauen wie das System beim Start reagiert. Die Hardware wird leider früher erkannt als die Scripts ausgeführt werden. Jetzt ist die Frage was stärker ist ein net use * \\127.0.0.1\c$ /persitent:no oder die neue Hardware.

 

 

Aber das ist schonmal ein sehr guter Ansatz, Danke

Link zu diesem Kommentar

Den USB brauche ich auf jeden Fall. Es gibt schon zuviele Scanner und Drucker (die liesen sich ja noch umstellen) etc..

 

die net befehle habe ich für die user mit kommandozeile eh schon deaktiviert. Die Lösung ist zwar irgendwie unschön aber bis jetzt die beste.

:rolleyes:

 

Bin für besseres Jederzeit gerne zu haben.

 

 

Andre Jakob

Link zu diesem Kommentar
  • 7 Monate später...

Also wir haben das Sicherheitsproblem in unserem Netz gelöst.

Man braucht KEINE teuren Programme und kann andere USB Geräte

weiterhin benutzen.

Leider muss man die Registry verändern, was zur Folge hat, das man

lokale Adminrechte braucht.

Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.

 

Die Veränderungen:

- zwei lokale Dateien löschen

- Registryeinträge verändern

 

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.

 

 

Auszug der Batch:

 

del %systemroot%\inf\usbstor.inf

del %systemroot%\inf\usbstor.pnf

%systemroot%\regedit /s schluessel.reg

 

 

Auszug aus der schluessel.reg

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB-Massenspeichertreiber"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\

20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\

00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\

00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\

00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

"Count"=dword:00000000

"NextInstance"=dword:00000000

 

 

Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.

aktivieren.

 

 

Um die Registryveränderungen wieder rückgängig zu machen:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\

00,52,00,2e,00,53,00,59,00,53,00,00,00

"DisplayName"="USB-Massenspeichertreiber"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\

20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\

00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\

00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\

00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

"0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Für Schäden oder evtl. Störungen wird keine Haftung übernommen

 

Einfach mal testen.

Link zu diesem Kommentar

Hallo..

 

mittlerweile bin ich noch auf eine Andere Sache gekommen.

 

Wir haben für unsere einzelnen Abteilungen per Script alle benötigten Laufwerksbuchstaben angelegt. hierbei haben wir erst ab o: angefangen. Alle zuvor verfügbaren Laufwerksbuchstaben haben wir ausgeblendet und den zugriff auf die komangozeile verboten.

 

Resultat. nutzt ein User einen USB Stick. so wird dieser noch erkannt. Aber es gibt keine Möglichkeit auf diese zuzugreifen.

 

Für weiter Ideen bin ich immer danbar..

 

MFG

 

a.jakob

Link zu diesem Kommentar
Original geschrieben von Warrabbit

.....

 

Die Veränderungen:

- zwei lokale Dateien löschen

- Registryeinträge verändern

 

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.

 

 

Auszug der Batch:

 

del %systemroot%\inf\usbstor.inf

del %systemroot%\inf\usbstor.pnf

%systemroot%\regedit /s schluessel.reg

 

....

 

Also ich hab das mal bei uns in der Arbeit unter XP probiert.

 

es funktioniert ohne probs. (das einzige ist, das alle user die auf diesem computer zugriff haben keinen USB-Stick verwenden können, nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu)

 

Das einzige was ich noch wissen wollte ist, warum man denn die zwei dateien löschen muss, denn wenn ich sie nicht lösche, funktioniert es genauso.

 

Original geschrieben von grizzly999

Warum eigentlich nicht einfach der Benutzergruppe jegliche Berechtigung auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR entziehen (also nur noch admins und System Zugriffsberechtigung)? Müsste IMHO alles weitere verhindern?

 

grizzly999

 

Das Habe ich auch mal probiert, aber es funktioniert leider nicht, wenn man dem benutzer(oder der Benutzergruppe) die rechte auf den Schlüssel nimmt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...