Warrabbit 10 Geschrieben 29. Juli 2003 Melden Teilen Geschrieben 29. Juli 2003 @madbull Das Löschen der Dateien habe ich drinngelassen, weil es während unser Testphase irgendwann doch mal lief. Es tut ja nicht weh, wenn die weg sind, oder ? Zitat: Original geschrieben von madbull ...das einzige ist, das alle user die auf diesem computer zugriff haben keinen USB-Stick verwenden können, nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu. Das war ja auch der Zweck der Übung. Der Admin sollte schon die Dateien und die Regeinträge irgendwo haben. Aber uns ging es primär darum, unser Netz vor USB-Sticks sicher zu machen. Und für die Verteilung von Dateien im Netz brauchen wir keine Hardware. Also ich habe noch keinen USB-Stick bei uns gebraucht. Hinweis: Habe auch mal das VBS-Script der C`t ausprobiert, leider werden da permanent die USB Ports überprüft und die Konfiguration bezieht sich auf alle lokalen Ports. Wir bleiben bei unserer Lösung. Zitieren Link zu diesem Kommentar
Warrabbit 10 Geschrieben 29. Juli 2003 Melden Teilen Geschrieben 29. Juli 2003 @tedwipe Hab mir das Tool mal angschaut. Nachteil: Es kostet Geld. Die Lizenz kostet(für uns) 4500 $. Und das nur um die USB Sticks und Festplatten zu sperren. Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 29. Juli 2003 Melden Teilen Geschrieben 29. Juli 2003 Hi, so bis hier hin war der Thread ja schon ganz gut. Das mit dem Treibelöschen ein netter Ansatz. Jetzt mal für die Pro´s unter euch: In einer Bildstelle wurde eine Digicam gekauft. Die wird halt von einigen Nutzern gebraucht und lässt sich via USB anschließen. Leider hat die Kamera die Wahnsinns Eigenschaft sich dem System wie ein USB-Stick zu präsentieren. Ist also auch ein Laufwerk. Na gut. Das jemand über die Kamera Daten in System bekommt muss ich wohl akzeptieren. (Ohne Zusatztools) Kann ich einschränken indem ich die Kamera unter verschluss halte. Dumm ist nur, das jetzt auch wieder USB-Sticks von zuhause mitgebracht werden können. Jemand ne Idee, wie ich nur bestimmte USB-Geräte zulasse ?? Gruß, Roi Danton Zitieren Link zu diesem Kommentar
Warrabbit 10 Geschrieben 30. Juli 2003 Melden Teilen Geschrieben 30. Juli 2003 Hi, bei diesem Problem würde ich mir mal das Script von Heise anschauen. c't Link: http://www.heise.de/ct/ftp/03/08/190/ In dem Script kann man unterschiedliche USB-Ports/Geräte zulassen bzw. verbieten. Läuft leider es permanent im Hintergrund. Vielleicht hilft es. Zitieren Link zu diesem Kommentar
tedwipe 10 Geschrieben 30. Juli 2003 Melden Teilen Geschrieben 30. Juli 2003 @Warrabbit Wieso um "nur die Sticks und Festplatten zu sperren"?? Es geht ja nicht darum diese Sachen einfach zu sperren sondern zu verwalten, schnell wieder entsperren falls das Notebook oder PC das irgendwann darf usw. Das Heise-Script guck ich mir mal an, hört interessant an. Nur kannste halt bei ca. 2000 Maschinen nicht von Rechner zu Rechner rennen...............daher dieses "teure" Tool. (gibt noch weit aus teurere) Angeblich soll es auch über Policies gehen, allerdings kann mir keine sagen wie genau, ohne die lokale Reg zu manipulieren. Hatte das selbe Problem mit Notebooks.......................bis wir es aufgegeben haben und die USB-Ports generell abgeschaltet haben. ;-) Gruß Ted Zitieren Link zu diesem Kommentar
Warrabbit 10 Geschrieben 30. Juli 2003 Melden Teilen Geschrieben 30. Juli 2003 Ich weiß, daß es noch teurere gibt. Spitzenreiter war 17000€. Das Problem ist ja nicht alle Ports abzuschalten, sondern nur den Bereich USB Stick/Festplatten zu deaktivieren. Drucker und Scanner sollten ja weiterlaufen. Bei uns im Netz sind ca. 700 Leute. Ich werde nicht rumrennen und überall Programme installieren oder alle USB-Ports übers Bios lokal sperren. Es muß eine zentrale Verwaltung sein. Wir haben unser Script(als EXE umgewandelt: 150KB) per Softwareverteilung verteilt. Sollte einer USB benötigen, einfach ins Netz anmelden USB per Script wieder aktivieren und fertig. Wir setzen Netware ein und haben kein Windowsnetz(zum Glück). Windows läuft nur sekundär. Somit fällt eine zentrale Policies weg und AD setzen wir auch nicht ein. Es läuft also auf ´ne lokale "Manipulation" hinaus. Der einzigste Bereich wo USB noch aktiv ist, ist der Pressebereich,da die USB-Cams haben. Ansonsten sehe ich keine Notwendigkeit USB-Sticks in einem Netzwerk zu benutzen. Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 4. September 2003 Melden Teilen Geschrieben 4. September 2003 Hallo, ich hätte da mal die Frage, was der Registrypatch soll anstellt. Funktionieren tut er jedenfalls, aber was zum Geier ändert dieser? Danke. Ralf Zitieren Link zu diesem Kommentar
Warrabbit 10 Geschrieben 10. September 2003 Melden Teilen Geschrieben 10. September 2003 Die Einträge bewirken, dass die Verfügbarkeit verhindert wird und der Pfad zu den Dateien geändert wird. Habe ich deswegen gemacht, weil der Nutzer kann sich ja die gelöschten Dateien von daheim mitbringen und wieder einspielen und somit wäre der Schutz ja wieder umgangen. Und die Registry darf ein normaler Netz-User nicht ändern. Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 10. September 2003 Melden Teilen Geschrieben 10. September 2003 Hallo, Danke für die Antwort. Meine Frage war so gemeint, daß die Änderungen aus meiner Sicht nachvollziehbar sein sollten. In der KB von mit dem Artikel 823732 ist eine ähnliche Methode beschrieben, die nur einen Key ändert: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004 Das funktioniert dann auch und ist beispielweise dergleiche Wert, den das System zum Deaktivieren von Diensten setzt. Wenn es Dir nichts ausmacht, dann erläutere doch nochmal bitte die Werte, welche Du in den Unterschlüsseln .\Security und .\Enum gesetzt hast, denn hier versteh ich Deinen Weg nicht. Gibt es dazu weitergehende Infos? Gruß Ralf Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 26. September 2003 Melden Teilen Geschrieben 26. September 2003 @ Warrabbit: Hi, kannst Du bitte auf meine Frage im letzten Beitrag nochmals eingehen!? Gruß Ralf Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 26. September 2003 Melden Teilen Geschrieben 26. September 2003 Hi. Wir haben das CT-Script, das hier ein paar Postings weiter erwähnt wird, bei uns auf ca. 70 Notebooks im Aussendienst im Einsatz. Das Script checkt mittels einer Konfigurationsdatei, in der die Schlüssel der Geräte stehen die per USB angeschlossen sein dürfen, die Registryeinträge der USB-Ports. Stößt es auf Einträge die nicht in der Konfigurationsdatei stehen, etwa von USB-Sticks oder Sonstigem, meldet das System den User sofort ab. So ist kein weiteres Arbeiten für den Benutzer möglich und er muß den Support anrufen. Wir entfernen dann via Fernwartung den "verbotenen" Eintrag in der Registry. Das funktioniert leider nicht automatisch, wenn das "verbotene" Gerät wieder von der Schnittstelle entfernt wurde. Der Registryeintrag bleibt bestehen, bis er manuell gelöscht wird. Alles in Allem eine recht drastische Maßnahme, die uns allerdings vor einer Menge Ärger durch irgendwelche Spielereien schützt. Ausserdem haben wir die Kontrolle darüber, was die User versuchen mit Ihren Dienstrechnern noch so anzustellen. :cool: Das Script werden wir in Zukunft auch in unserem LAN einsetzen. Gruß, Gerry Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 16. Oktober 2003 Melden Teilen Geschrieben 16. Oktober 2003 Hallo an alle, bei den Desktops hatte ich gedacht, daß das Speicherproblem mit dem Dichtmachen der USB-Ports vorbei ist. Und nun, da nehme ich meinen Adapter für die Digicam, siehe da, erkannt und als Laufwerk im Explorer bereitgestellt. Werde nunmehr doch wieder prüfen, wie man auch die weiteren Dinge wie PCMCIA und dann auch Firewire dichtmachen kann. Wenn jemand mehr weiß, dann meldet Euch. Gruß Ralf Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 17. Oktober 2003 Melden Teilen Geschrieben 17. Oktober 2003 Das Thema ist ja fast so alt wie.... Gibt ja noch viiiiiiel mehr Geräte. Stellt sich die Frage wie vertraue ich meinen Mitarbeitern. Gibt bestimmt auch System mit SCSI. Die meisten haben einen externen Anschluss. Hindert auch nix da was anderes anzuschließen. Oder das öffnen des PC´s und dann da ein neues IDE oder sonst ein Gerät anzuhängen... Wenn man soooo auf Sicherheit bedacht ist, empfiehlt sich doch der Einsatz von Thinclients. Da hat man diese Probleme nicht. Gruß, Roi Danton Zitieren Link zu diesem Kommentar
trueshanti 10 Geschrieben 18. September 2004 Melden Teilen Geschrieben 18. September 2004 warum gleich deaktivieren .. gibt es unter Windows2000 oder XP denn keine Möglichkeit die USB-Storages generell readonly zu mounten .. das würde schon genug security bringen ... any ideas ? Zitieren Link zu diesem Kommentar
Roi Danton 10 Geschrieben 18. September 2004 Melden Teilen Geschrieben 18. September 2004 Original geschrieben von trueshanti warum gleich deaktivieren .. gibt es unter Windows2000 oder XP denn keine Möglichkeit die USB-Storages generell readonly zu mounten .. das würde schon genug security bringen ... any ideas ? ehm es geht da mehr um zu verhindern, das was rein geschleppt wird, als ums rausschleppen :) Das ist wieder ne andere Geschichte :) Gruß, Roi Danton Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.