Jump to content

USB Speichersticks im Netzwerk


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@madbull

 

Das Löschen der Dateien habe ich drinngelassen, weil

es während unser Testphase irgendwann doch mal lief.

Es tut ja nicht weh, wenn die weg sind, oder ?

 

Zitat:

Original geschrieben von madbull

...das einzige ist, das alle user die auf diesem computer

zugriff haben keinen USB-Stick verwenden können,

nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu.

 

Das war ja auch der Zweck der Übung. Der Admin sollte schon

die Dateien und die Regeinträge irgendwo haben.

Aber uns ging es primär darum, unser Netz vor USB-Sticks sicher

zu machen.

Und für die Verteilung von Dateien im Netz brauchen wir keine

Hardware.

Also ich habe noch keinen USB-Stick bei uns gebraucht.

 

Hinweis:

Habe auch mal das VBS-Script der C`t ausprobiert, leider

werden da permanent die USB Ports überprüft und die Konfiguration

bezieht sich auf alle lokalen Ports.

 

Wir bleiben bei unserer Lösung.

Link zu diesem Kommentar

Hi,

 

so bis hier hin war der Thread ja schon ganz gut.

Das mit dem Treibelöschen ein netter Ansatz.

Jetzt mal für die Pro´s unter euch:

 

In einer Bildstelle wurde eine Digicam gekauft.

Die wird halt von einigen Nutzern gebraucht und lässt sich via USB anschließen.

Leider hat die Kamera die Wahnsinns Eigenschaft sich dem System wie ein USB-Stick zu präsentieren.

Ist also auch ein Laufwerk.

 

Na gut. Das jemand über die Kamera Daten in System bekommt muss ich wohl akzeptieren. (Ohne Zusatztools)

Kann ich einschränken indem ich die Kamera unter verschluss halte.

Dumm ist nur, das jetzt auch wieder USB-Sticks von zuhause mitgebracht werden können.

 

Jemand ne Idee, wie ich nur bestimmte USB-Geräte zulasse ??

 

Gruß,

 

Roi Danton

Link zu diesem Kommentar

@Warrabbit

 

Wieso um "nur die Sticks und Festplatten zu sperren"?? Es geht ja nicht darum diese Sachen einfach zu sperren sondern zu verwalten, schnell wieder entsperren falls das Notebook oder PC das irgendwann darf usw.

 

Das Heise-Script guck ich mir mal an, hört interessant an. Nur kannste halt bei ca. 2000 Maschinen nicht von Rechner zu Rechner rennen...............daher dieses "teure" Tool. (gibt noch weit aus teurere)

 

Angeblich soll es auch über Policies gehen, allerdings kann mir keine sagen wie genau, ohne die lokale Reg zu manipulieren.

 

Hatte das selbe Problem mit Notebooks.......................bis wir es aufgegeben haben und die USB-Ports generell abgeschaltet haben. ;-)

 

Gruß

Ted

Link zu diesem Kommentar

Ich weiß, daß es noch teurere gibt. Spitzenreiter war 17000€.

Das Problem ist ja nicht alle Ports abzuschalten, sondern nur

den Bereich USB Stick/Festplatten zu deaktivieren.

Drucker und Scanner sollten ja weiterlaufen.

 

Bei uns im Netz sind ca. 700 Leute. Ich werde nicht

rumrennen und überall Programme installieren oder alle

USB-Ports übers Bios lokal sperren.

Es muß eine zentrale Verwaltung sein.

Wir haben unser Script(als EXE umgewandelt: 150KB) per Softwareverteilung verteilt.

Sollte einer USB benötigen, einfach ins Netz anmelden

USB per Script wieder aktivieren und fertig.

 

Wir setzen Netware ein und haben kein Windowsnetz(zum Glück).

Windows läuft nur sekundär. Somit fällt eine zentrale Policies weg

und AD setzen wir auch nicht ein.

Es läuft also auf ´ne lokale "Manipulation" hinaus.

Der einzigste Bereich wo USB noch aktiv ist, ist der Pressebereich,da die USB-Cams haben. Ansonsten sehe ich

keine Notwendigkeit USB-Sticks in einem Netzwerk zu benutzen.

Link zu diesem Kommentar
  • 1 Monat später...

Die Einträge bewirken, dass die Verfügbarkeit verhindert wird

und der Pfad zu den Dateien geändert wird.

Habe ich deswegen gemacht, weil der Nutzer kann sich ja

die gelöschten Dateien von daheim mitbringen und wieder

einspielen und somit wäre der Schutz ja wieder umgangen.

 

Und die Registry darf ein normaler Netz-User nicht ändern.

Link zu diesem Kommentar

Hallo,

 

Danke für die Antwort.

Meine Frage war so gemeint, daß die Änderungen aus meiner Sicht nachvollziehbar sein sollten.

 

In der KB von mit dem Artikel 823732 ist eine ähnliche Methode beschrieben, die nur einen Key ändert:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000004

 

Das funktioniert dann auch und ist beispielweise dergleiche Wert, den das System zum Deaktivieren von Diensten setzt.

 

Wenn es Dir nichts ausmacht, dann erläutere doch nochmal bitte die Werte, welche Du in den Unterschlüsseln .\Security und .\Enum gesetzt hast, denn hier versteh ich Deinen Weg nicht.

 

Gibt es dazu weitergehende Infos?

 

Gruß

 

Ralf

Link zu diesem Kommentar
  • 3 Wochen später...

Hi.

Wir haben das CT-Script, das hier ein paar Postings weiter erwähnt wird, bei uns auf ca. 70 Notebooks im Aussendienst im Einsatz.

Das Script checkt mittels einer Konfigurationsdatei, in der die Schlüssel der Geräte stehen die per USB angeschlossen sein dürfen, die Registryeinträge der USB-Ports. Stößt es auf Einträge die nicht in der Konfigurationsdatei stehen, etwa von USB-Sticks oder Sonstigem, meldet das System den User sofort ab. So ist kein weiteres Arbeiten für den Benutzer möglich und er muß den Support anrufen. Wir entfernen dann via Fernwartung den "verbotenen" Eintrag in der Registry. Das funktioniert leider nicht automatisch, wenn das "verbotene" Gerät wieder von der Schnittstelle entfernt wurde. Der Registryeintrag bleibt bestehen, bis er manuell gelöscht wird.

 

Alles in Allem eine recht drastische Maßnahme, die uns allerdings vor einer Menge Ärger durch irgendwelche Spielereien schützt. Ausserdem haben wir die Kontrolle darüber, was die User versuchen mit Ihren Dienstrechnern noch so anzustellen. :cool:

 

Das Script werden wir in Zukunft auch in unserem LAN einsetzen.

 

Gruß,

Gerry

Link zu diesem Kommentar
  • 3 Wochen später...

Hallo an alle,

 

bei den Desktops hatte ich gedacht, daß das Speicherproblem mit dem Dichtmachen der USB-Ports vorbei ist.

Und nun, da nehme ich meinen Adapter für die Digicam, siehe da, erkannt und als Laufwerk im Explorer bereitgestellt.

 

Werde nunmehr doch wieder prüfen, wie man auch die weiteren Dinge wie PCMCIA und dann auch Firewire dichtmachen kann.

 

Wenn jemand mehr weiß, dann meldet Euch.

 

Gruß

 

Ralf

Link zu diesem Kommentar

Das Thema ist ja fast so alt wie....

 

Gibt ja noch viiiiiiel mehr Geräte.

Stellt sich die Frage wie vertraue ich meinen Mitarbeitern.

Gibt bestimmt auch System mit SCSI.

Die meisten haben einen externen Anschluss.

Hindert auch nix da was anderes anzuschließen.

 

Oder das öffnen des PC´s und dann da ein neues IDE oder sonst ein Gerät anzuhängen...

 

Wenn man soooo auf Sicherheit bedacht ist, empfiehlt sich doch der Einsatz von Thinclients.

Da hat man diese Probleme nicht.

 

Gruß,

 

Roi Danton

Link zu diesem Kommentar
  • 11 Monate später...
Original geschrieben von trueshanti

warum gleich deaktivieren .. gibt es unter Windows2000 oder XP denn keine Möglichkeit die USB-Storages generell readonly zu mounten .. das würde schon genug security bringen ... any ideas ?

 

ehm es geht da mehr um zu verhindern, das was rein geschleppt wird, als ums rausschleppen :)

Das ist wieder ne andere Geschichte :)

 

Gruß,

 

Roi Danton

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...