tribun71 10 Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Hallo zusammen, zu diesem Thema folgendes : nicht, dass ich hier Werbung für jemandem machen möchte, aber ich hatte vor einiger Zeit mal von der Software "SecureNT" gesprochen. Die ist zwar nicht ganz billig, aber seit dem ich mich intensiver dafür interessiere, wird's seitens des Consultant auf einmal immer billiger....... :-) Folgendes : unter http://www.securewave.com kann man sich eine Demo laden, die aber nur lokal arbeitet. Über http://www.ibvinfo.de bin ich (nachdem ich mein ernsthaftes Interesse bekundet habe) an eine Netzwerkdemo gelangt. Die haben mir dann ein license-file zugemailt, welches nun noch einmal um weitere 30 Tage verlängert wurde ..... hab' halt was geschludert *g ...... Aber unter'm Strich kann man tatsächlich alle möglichen Devices über's Netz auf den Arbeitsstationen userseitig sperren/read-only/... usw....... (unser Netz -> homogen W2K-ADS) Also geil ist die SW definitiv. Gruss Tribun Zitieren Link zu diesem Kommentar
nightowl 10 Geschrieben 15. August 2003 Melden Teilen Geschrieben 15. August 2003 All open or all close? deaktiviert wird bei uns mit devcon.exe (von Microsoft) z.b. "devcon.exe disable *usb*" Zitieren Link zu diesem Kommentar
emma 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 :( waaaaaaaaaaaaaaah ich krieg ne Krise....ich hab die ganze Registry geändert und getan und gemacht, es funzt einfach nicht. Jedesmal wenn ich den Ultimativen Test mache, springen die Werte unter Count und NextInstance auf 1...er fragt sogar freundlich nach, ob er den Treiber installieren soll...*grml*....und er trägt sich direkt unter Hardware ein und hat nen eigenen Laufwerksbuchstaben Die Progs sind auch nicht der Renner und das Heise Prog bringt mir nicht soviel, weil mir die Literatur dazu fehlt. Wir wollen im Frühjahr auf XP umsteigen, ich teste das hier alles an einem Rechner, aber irgendwie ist es echt *&/%$%$&%$§§868* ;) Den Unterschlüssel Enum musst ich sogar erst erstellen :suspect: ....Hiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiilfe.....hat noch jemand nen dollen Tipp? Ich teste übrigens mit einer Digicam, müsste aber egal sein, weil USB ja generell blockiert werden soll. Liebe Grüße emma Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Hallo, willst Du USB komplett (Drucker,...) abschalten oder nur den Zugriff auf "Speichermedien"? Gruß Ralf Zitieren Link zu diesem Kommentar
emma 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Alles...Drucker und alles andere laufen nicht über USB. gruß emma.... *hoffnung heg das ne passende Antwort kommt*.. :wink2: Zitieren Link zu diesem Kommentar
emma 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 sodele ich schon wieder... ;) Ich hab jetzt devcon.exe gesaugt und installed....dort den Befehl eingeben und fertig ist. Das beste ist, dass man das ganze Scripten kann, aber leider werden dabei alle Geräte blockiert, was evtl auch mal doof sein könnte, wenn noch ne andere Lösung da wäre, ich nehm die dankend an Nur derjenige der Adminrechte hat, kann die Ports wieder deaktivieren, dann aber über die Systemsteuerung, der "normale" User nicht, er kann zwar auf den Gerätemanager zugreifen aber dort unter USB nichts ändern. liebe grüße emma Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 13. Februar 2004 Melden Teilen Geschrieben 13. Februar 2004 Ich hab den Beitrag erst jetzt gelesen, weiß nicht ob das problem schon gelöst wurde. Wir standen bei uns vor der gleichen Problematik. Wir wollten den USB-Port sperren, damit keine USB-Sticks oder Harddrives angeschlossen werden können. USB-Drucker oder -Scanner sollten aber funktionieren. Die Lösung ist aber relativ einfach, das Problem ist nur, daß es an jeder Maschine lokal gemacht werden muß und daß an diesen Computern bereits einmal ein USB-Stick angeschlossen sein mußte. Bei Windows 2000 wird in diesem Fall wird im Verzeichnis \Winnt\inf\ die Datei usbstor.inf und im Verzeichnis \Winnt\System32\ oder \Winnt\System32\Drivers\ die Datei usbstor.sys angelegt. Für diese 2 Dateien einfach die Rechte beschränken (außer für den Admin) Das Ergebnis ist, daß keine USB-Speichermedien, egal welcher Art, mehr funktionieren, aber USB-Scanner und -Drucker weiterhin funktionieren. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. Februar 2004 Melden Teilen Geschrieben 13. Februar 2004 Die Lösung ist aber relativ einfach, das Problem ist nur, daß es an jeder Maschine lokal gemacht werden muß Das kann man in einer Domäne aber auch bequem per Gruppenrichtlinie in den Sicherheitseinstellungen/Dateisystem machen grizzly999 Zitieren Link zu diesem Kommentar
nethunter 10 Geschrieben 3. März 2004 Melden Teilen Geschrieben 3. März 2004 Hi, wenn es lediglich darum geht, Speichermedien (Storage Device) wie USB-Stick, Card-Reader und USB-Festplatten zu sperren, sie aber bei Bedarf für einzelne PC freigeben zu können, alle anderen Geräte ohne Nachfrage installieren zu können, hilft folgende Methode: Im Verzeichnis windows\inf die Dateien ubstore.inf und ubstore.pnf nur für Admins freigeben, den Zugriff über System verweigern. Wird vom User ein USB-Speichermedium eingesteckt, öffnet sich ein Fenster, welches einen Adminaccount und das Password erfragt. Erst dann wird das Gerät (und nur diese Art von Gerät) installiert und ist ab sofort für jeden User an diesem Comp benutzbar. Jedes weitere Gerät muß wiederum auf die gleiche Weise installiert werden. Die Installation mehrerer Geräte ist möglich. Sie werden jeweils nach dem Einstecken in der Registry angezeigt. Gruß nethunter Zitieren Link zu diesem Kommentar
nethunter 10 Geschrieben 3. März 2004 Melden Teilen Geschrieben 3. März 2004 Sorry, die beiden Dateien heissen natürlich: usbstor.pnf und usbstor.pnf. Die beiden erzeugen eine usbstor.sys im Verzeichnis windows\system32\drivers, an deren Rechten jedoch nichts geändert werden darf. Gruß nethunter Zitieren Link zu diesem Kommentar
Mischa 10 Geschrieben 29. März 2004 Melden Teilen Geschrieben 29. März 2004 Wenn Du USB- Schnittstellen vernünftig kontrollieren willst, sprich definieren nach Gruppen und Devicetyp, gibts ein super Tool (Drivelock), der Firma Centertools. Das Ganze kann dann auch über Grouppolicies zentral verwaltet werden. Informationen zu Drivelock: http://www.centertools.de Haben es für unser Umfeld angeschafft und sind super zufrieden :) Zitieren Link zu diesem Kommentar
Stephan_U 10 Geschrieben 1. April 2004 Melden Teilen Geschrieben 1. April 2004 Hallo, da wir uns in Zukunft ebenfalls nicht mehr gegen offene USB-Ports wehren können, suche ich ebenfalls nach einer Lösung. Unser Szenario: USB-Drucker sollen genutzt werden können. Floppy, CDROM sind gesperrt. USB-Floppy, USB-CDROM, USB-Stick, USB-HD sollen benutzerabhängig genutzt werden können. Zusätzliche Schwierigkeit: Alle Treiber sind installiert. Bisherige Vorschläge aus diesem Forum: - Rechtevergabe auf Registry und Dateien (usbstor)... führte nicht zur Sperrung der Wechsellaufwerke. Es scheint nur eine Installation des Treiber verhindert zu werden und der ist bereits vorhanden. Die USB-HD wird anscheinend auch nicht wie ein Wechselmedium (Floppy, Stick, CDROM) behandelt. Zudem ist der Vorgang relativ aufwendig und wenig transparent für nicht eingeweihte (Kollegen). - devcon.exe disable *usb*... schaltet ein wenig zuviel ab und ist nur bedingt benutzerabhängig. - Policies für Laufwerksbuchstaben... wäre nur bei einer restriktiven Positivliste sinnvoll. - Rechtevergabe auf HKLM\System\MountedDevices ... würde auch das erstellen von Netzwerklaufwerken verhindern, die stehen u.a. auch dort und eine Rechteadministration wäre ebenfalls sehr unübersichtlich - Software ... ... ct (kostenlos). Das Pollen von Registrywerten ist sicherlich nicht empfehlenswert. Hoffentlich benutzen die kommerziellen SW-Pakete nicht einen ähnlichen Mechanismus. ... drivelock machte mir keinen professionellen Eindruck, aber das ist Geschmackssache und vielleicht muß ich meine Meinung noch ändern. ... SecureNT habe ich aufgrund des anzunehmenden Preises bisher nicht getestet ... http://www.devicelock.com scheint mit 1500,-- EUR / 200 Lizenzen noch der günstigste Anbieter zu sein und hat bisher unsere Anforderungen erfüllt. Das Handbuch war knapp aber informativ. Entgegen einer vorhergehenden Behauptung sichert er benutzerabhängig den USB-Port (Floppy, CDROM, Stick). Externe USB-Platten melden sich anscheinend nicht als Wechselmedien an. Bei installiertem Treiber scheint es hier immer noch eine Sicherheitslücke zu geben. Das System wird bisher nur gering belastet (CPU<<1%, RAM<5MB). Mal sehen ob ich auch nach Abschluß des Tests noch zufrieden bin. Alles Gute Stephan Zitieren Link zu diesem Kommentar
Buddman 10 Geschrieben 1. April 2004 Melden Teilen Geschrieben 1. April 2004 Hallo Allerseits! Warum versucht Ihr nicht einfach mal mit den Hardwareprofil von XP zu arbeiten? Dort kann man wenn nötig für jeden User extra ein Profil erstellen, welches ihm bestimmte Harware (z.B. USB)sperrt oder auch freigibt. Wenn man ein Profil erstellt, kann man einstellen ob der User unter mehreren Profilen auswählen kann oder explizit nur das von Euch zugewiesene nehmen muß. Zu finden ist es unter Systemsteuerung---> System---> Hardware----> Hardwareprofil. Der User kann die Einstellungen definitiv nicht ändern, solange er keine Administratorenrechte hat. Vieleicht hilft es weiter. Zitieren Link zu diesem Kommentar
Stephan_U 10 Geschrieben 2. April 2004 Melden Teilen Geschrieben 2. April 2004 Hallo, Devicelock arbeitet fast so wie es sollte und schützt den USB-Port zuverlässig und benutzerabhängig. Leider sind die Zugriffszeiten auf externe USB-Platten merkbar langsamer. Dieser Effekt ist bei langsameren Devices (Drucker, Stick,...) kaum spürbar. Den Einfluß auf eventuell vorhandene DVD-Brenner habe ich nicht untersucht. IDE-Platten sind hiervon nicht betroffen. Mich würde interessieren, ob dieser Effekt bei den anderen Softwarelösungen (NTSecure, DriveLock) ebenfalls beobachtet werden kann. Nebenbei: - Die Verwaltungskonsole ist funktionell aber mäßig intuitiv. - Das Programm kann gut über Softwareverteilungsmechanismen verteilt werden. Gruß Stephan Zitieren Link zu diesem Kommentar
Mischa 10 Geschrieben 2. April 2004 Melden Teilen Geschrieben 2. April 2004 Hab mir Devicelock kurz angeschaut und festgestellt, dass es schon nur vom Handling her nicht zu vergleichen ist mit Drivelock. Drivelock kann einfach über Grouppolicies verwaltet werden. Meiner Meinung ist nur schon aus diesem Grund Devicelock nicht verwendbar in grösseren Umgebungen. Aber ein nettes Tool für kleine Netzwerke allemal. Die Aussage dass Drivelock keinen professionellen Eindruck macht kann ich nicht teilen. Auch habe ich keine Performance- Einbussen festgestellt mit Drivelock, was ja mit Devicelock der Fall zu sein scheint. Have fun Mischa Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.