Jump to content

USB Soll Usern nicht zugänglich sein


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

zu diesem Thema folgendes :

nicht, dass ich hier Werbung für jemandem machen

möchte, aber ich hatte vor einiger Zeit mal von der

Software "SecureNT" gesprochen. Die ist zwar nicht

ganz billig, aber seit dem ich mich intensiver dafür

interessiere, wird's seitens des Consultant auf einmal

immer billiger....... :-)

 

Folgendes :

unter http://www.securewave.com kann man sich eine Demo

laden, die aber nur lokal arbeitet.

 

Über http://www.ibvinfo.de bin ich (nachdem ich mein

ernsthaftes Interesse bekundet habe) an eine

Netzwerkdemo gelangt. Die haben mir dann ein

license-file zugemailt, welches nun noch einmal um weitere

30 Tage verlängert wurde ..... hab' halt was geschludert *g

......

Aber unter'm Strich kann man tatsächlich alle möglichen

Devices über's Netz auf den Arbeitsstationen userseitig

sperren/read-only/... usw.......

(unser Netz -> homogen W2K-ADS)

Also geil ist die SW definitiv.

 

Gruss

Tribun

Link zu diesem Kommentar
  • 2 Wochen später...
  • 3 Monate später...

:( waaaaaaaaaaaaaaah ich krieg ne Krise....ich hab die ganze Registry geändert und getan und gemacht, es funzt einfach nicht. Jedesmal wenn ich den Ultimativen Test mache, springen die Werte unter Count und NextInstance auf 1...er fragt sogar freundlich nach, ob er den Treiber installieren soll...*grml*....und er trägt sich direkt unter Hardware ein und hat nen eigenen Laufwerksbuchstaben

 

Die Progs sind auch nicht der Renner und das Heise Prog bringt mir nicht soviel, weil mir die Literatur dazu fehlt.

 

Wir wollen im Frühjahr auf XP umsteigen, ich teste das hier alles an einem Rechner, aber irgendwie ist es echt *&/%$%$&%$§§868* ;)

 

Den Unterschlüssel Enum musst ich sogar erst erstellen :suspect: ....Hiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiilfe.....hat noch jemand nen dollen Tipp?

Ich teste übrigens mit einer Digicam, müsste aber egal sein, weil USB ja generell blockiert werden soll.

 

Liebe Grüße

emma

Link zu diesem Kommentar

sodele ich schon wieder... ;)

Ich hab jetzt devcon.exe gesaugt und installed....dort den Befehl eingeben und fertig ist.

 

Das beste ist, dass man das ganze Scripten kann, aber

leider werden dabei alle Geräte blockiert, was evtl auch mal doof sein könnte, wenn noch ne andere Lösung da wäre, ich nehm die dankend an

 

Nur derjenige der Adminrechte hat, kann die Ports wieder deaktivieren, dann aber über die Systemsteuerung, der "normale" User nicht, er kann zwar auf den Gerätemanager zugreifen aber dort unter USB nichts ändern.

 

 

liebe grüße emma

Link zu diesem Kommentar
  • 2 Monate später...

Ich hab den Beitrag erst jetzt gelesen, weiß nicht ob das problem schon gelöst wurde.

 

Wir standen bei uns vor der gleichen Problematik. Wir wollten den USB-Port sperren, damit keine USB-Sticks oder Harddrives angeschlossen werden können. USB-Drucker oder -Scanner sollten aber funktionieren.

 

Die Lösung ist aber relativ einfach, das Problem ist nur, daß es an jeder Maschine lokal gemacht werden muß und daß an diesen Computern bereits einmal ein USB-Stick angeschlossen sein mußte. Bei Windows 2000 wird in diesem Fall wird im Verzeichnis \Winnt\inf\ die Datei usbstor.inf und im Verzeichnis \Winnt\System32\ oder \Winnt\System32\Drivers\ die Datei usbstor.sys angelegt. Für diese 2 Dateien einfach die Rechte beschränken (außer für den Admin)

 

Das Ergebnis ist, daß keine USB-Speichermedien, egal welcher Art, mehr funktionieren, aber USB-Scanner und -Drucker weiterhin funktionieren.

Link zu diesem Kommentar
  • 3 Wochen später...

Hi,

wenn es lediglich darum geht, Speichermedien (Storage Device) wie USB-Stick, Card-Reader und USB-Festplatten zu sperren, sie aber bei Bedarf für einzelne PC freigeben zu können, alle anderen Geräte ohne Nachfrage installieren zu können, hilft folgende Methode:

Im Verzeichnis windows\inf die Dateien ubstore.inf und ubstore.pnf nur für Admins freigeben, den Zugriff über System verweigern. Wird vom User ein USB-Speichermedium eingesteckt, öffnet sich ein Fenster, welches einen Adminaccount und das Password erfragt. Erst dann wird das Gerät (und nur diese Art von Gerät) installiert und ist ab sofort für jeden User an diesem Comp benutzbar. Jedes weitere Gerät muß wiederum auf die gleiche Weise installiert werden. Die Installation mehrerer Geräte ist möglich. Sie werden jeweils nach dem Einstecken in der Registry angezeigt.

 

Gruß

 

nethunter

Link zu diesem Kommentar
  • 4 Wochen später...

Wenn Du USB- Schnittstellen vernünftig kontrollieren willst, sprich definieren nach Gruppen und Devicetyp, gibts ein super Tool (Drivelock), der Firma Centertools. Das Ganze kann dann auch über Grouppolicies zentral verwaltet werden.

 

Informationen zu Drivelock: http://www.centertools.de

 

Haben es für unser Umfeld angeschafft und sind super zufrieden :)

Link zu diesem Kommentar

Hallo,

 

da wir uns in Zukunft ebenfalls nicht mehr gegen offene USB-Ports wehren können, suche ich ebenfalls nach einer Lösung.

 

Unser Szenario:

USB-Drucker sollen genutzt werden können.

Floppy, CDROM sind gesperrt.

USB-Floppy, USB-CDROM, USB-Stick, USB-HD sollen benutzerabhängig genutzt werden können.

Zusätzliche Schwierigkeit: Alle Treiber sind installiert.

 

Bisherige Vorschläge aus diesem Forum:

- Rechtevergabe auf Registry und Dateien (usbstor)...

führte nicht zur Sperrung der Wechsellaufwerke. Es scheint nur eine Installation des Treiber verhindert zu werden und der ist bereits vorhanden. Die USB-HD wird anscheinend auch nicht wie ein Wechselmedium (Floppy, Stick, CDROM) behandelt. Zudem ist der Vorgang relativ aufwendig und wenig transparent für nicht eingeweihte (Kollegen).

 

- devcon.exe disable *usb*...

schaltet ein wenig zuviel ab und ist nur bedingt benutzerabhängig.

 

- Policies für Laufwerksbuchstaben...

wäre nur bei einer restriktiven Positivliste sinnvoll.

 

- Rechtevergabe auf HKLM\System\MountedDevices ...

würde auch das erstellen von Netzwerklaufwerken verhindern, die stehen u.a. auch dort und eine Rechteadministration wäre ebenfalls sehr unübersichtlich

 

- Software ...

... ct (kostenlos). Das Pollen von Registrywerten ist sicherlich nicht empfehlenswert. Hoffentlich benutzen die kommerziellen SW-Pakete nicht einen ähnlichen Mechanismus.

... drivelock machte mir keinen professionellen Eindruck, aber das ist Geschmackssache und vielleicht muß ich meine Meinung noch ändern.

... SecureNT habe ich aufgrund des anzunehmenden Preises bisher nicht getestet

... http://www.devicelock.com scheint mit 1500,-- EUR / 200 Lizenzen noch der günstigste Anbieter zu sein und hat bisher unsere Anforderungen erfüllt. Das Handbuch war knapp aber informativ. Entgegen einer vorhergehenden Behauptung sichert er benutzerabhängig den USB-Port (Floppy, CDROM, Stick). Externe USB-Platten melden sich anscheinend nicht als Wechselmedien an. Bei installiertem Treiber scheint es hier immer noch eine Sicherheitslücke zu geben. Das System wird bisher nur gering belastet (CPU<<1%, RAM<5MB).

 

Mal sehen ob ich auch nach Abschluß des Tests noch zufrieden bin.

 

Alles Gute

Stephan

Link zu diesem Kommentar

Hallo Allerseits!

 

Warum versucht Ihr nicht einfach mal mit den Hardwareprofil von XP zu arbeiten? Dort kann man wenn nötig für jeden User extra ein Profil erstellen, welches ihm bestimmte Harware (z.B. USB)sperrt oder auch freigibt. Wenn man ein Profil erstellt, kann man einstellen ob der User unter mehreren Profilen auswählen kann oder explizit nur das von Euch zugewiesene nehmen muß.

Zu finden ist es unter Systemsteuerung---> System---> Hardware----> Hardwareprofil.

Der User kann die Einstellungen definitiv nicht ändern, solange er keine Administratorenrechte hat.

Vieleicht hilft es weiter.

Link zu diesem Kommentar

Hallo,

 

Devicelock arbeitet fast so wie es sollte und schützt den USB-Port zuverlässig und benutzerabhängig. Leider sind die Zugriffszeiten auf externe USB-Platten merkbar langsamer. Dieser Effekt ist bei langsameren Devices (Drucker, Stick,...) kaum spürbar. Den Einfluß auf eventuell vorhandene DVD-Brenner habe ich nicht untersucht. IDE-Platten sind hiervon nicht betroffen.

 

Mich würde interessieren, ob dieser Effekt bei den anderen Softwarelösungen (NTSecure, DriveLock) ebenfalls beobachtet werden kann.

 

Nebenbei:

- Die Verwaltungskonsole ist funktionell aber mäßig intuitiv.

- Das Programm kann gut über Softwareverteilungsmechanismen verteilt werden.

 

Gruß

Stephan

Link zu diesem Kommentar

Hab mir Devicelock kurz angeschaut und festgestellt, dass es schon nur vom Handling her nicht zu vergleichen ist mit Drivelock. Drivelock kann einfach über Grouppolicies verwaltet werden. Meiner Meinung ist nur schon aus diesem Grund Devicelock nicht verwendbar in grösseren Umgebungen. Aber ein nettes Tool für kleine Netzwerke allemal.

Die Aussage dass Drivelock keinen professionellen Eindruck macht kann ich nicht teilen.

Auch habe ich keine Performance- Einbussen festgestellt mit Drivelock, was ja mit Devicelock der Fall zu sein scheint.

 

Have fun

 

Mischa

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...