a.jakob 10 Geschrieben 10. Dezember 2002 Melden Teilen Geschrieben 10. Dezember 2002 Hallo, Leider haben sich die USB Speichersticks mittlerweile soweit verbreitet, dass einige Nutzer diese mittlerweile mit zu Arbeit bringen. Daher stellt sich für mich die brennende aufgabe die Nutzung dieser zu verhindern. Das deaktivieren des USB im Bios ist etwas umständlich. Daher suche ich noch einen Weg dieses über eine GPO zu machen. Sämtliche versuche dieses mittels Registry manipuierung zu machen schlugen bisjetzt fehl. Bin auch für jeden Denkansatz dankbar. Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 10. Dezember 2002 Melden Teilen Geschrieben 10. Dezember 2002 Hi, ich weiß jetzt nicht genau, wie diese USP-Sticks vom BS gehandelt werden, aber normalerweise müßte das ein neues Gerät sein. Hast Du das Recht "Neue Geräte hinzufügen" gesperrt ? zuschauer Zitieren Link zu diesem Kommentar
Nic 10 Geschrieben 10. Dezember 2002 Melden Teilen Geschrieben 10. Dezember 2002 Ein paar von unseren Teilnehmern haben die auch... sie werden als Festplatte erkannt... Vielleicht sollte man versuchen per GPO zu unterdrücken, dass neue Laufwerksbuchstaben vergeben werden. Kein Laufwerksbuchstabe, kein Zugriff... Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 10. Dezember 2002 Autor Melden Teilen Geschrieben 10. Dezember 2002 Hallo so einfach stellt sich das Problem leider nicht da. 1. Der Nutzer brauch keine rechte zur Geräteinstallation, da keine Treiber installiert werden (zumindest bei den Meisten.) 2. Das Ausblenden der Laufwerksbuchstaben nützt nichts, da bestimmte nutzer auch zugriff auf die Commandozeile haben müssen (leider) und gerade hier natürlich die größten "Spielkinder" sitzen. MFG Andre Jakob Zitieren Link zu diesem Kommentar
Nic 10 Geschrieben 10. Dezember 2002 Melden Teilen Geschrieben 10. Dezember 2002 Hab ja auch nicht gesagt, dass es "einfach" ist. Meinte nicht das Ausblenden aller Laufwerksbuchstaben sondern eher, dass keine neuen mehr vergeben werden können. Die Sticks bekommen ja beim Einstecken den nächsten freien Buchstaben... vielleicht kann man das irgendwie unterbinden... Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 10. Dezember 2002 Autor Melden Teilen Geschrieben 10. Dezember 2002 Cool Danke, man könnte mittels GPO alle nicht benötigten Laufwerke ausblenden. Und mittels Anmeldescript alle freien Laufwerksbuchstaben mittels Script auf irgendeinen Ordner mappen. Jetzt müsste man nur noch schauen wie das System beim Start reagiert. Die Hardware wird leider früher erkannt als die Scripts ausgeführt werden. Jetzt ist die Frage was stärker ist ein net use * \\127.0.0.1\c$ /persitent:no oder die neue Hardware. Aber das ist schonmal ein sehr guter Ansatz, Danke Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 10. Dezember 2002 Autor Melden Teilen Geschrieben 10. Dezember 2002 Im obigen Beitrag habe ich mich vertippt. Ich meinte net use * \\127.0.0.1\c$ /persistent:yes Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 10. Dezember 2002 Melden Teilen Geschrieben 10. Dezember 2002 Mmh, naja, den net use /delete kennen Deine "Spielekinder" mit Commandozeile dann aber auch ... :( Brauchst Du den USB-Port, bzw. der User ? Ansonsten disable ihn doch. Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 10. Dezember 2002 Autor Melden Teilen Geschrieben 10. Dezember 2002 Den USB brauche ich auf jeden Fall. Es gibt schon zuviele Scanner und Drucker (die liesen sich ja noch umstellen) etc.. die net befehle habe ich für die user mit kommandozeile eh schon deaktiviert. Die Lösung ist zwar irgendwie unschön aber bis jetzt die beste. :rolleyes: Bin für besseres Jederzeit gerne zu haben. Andre Jakob Zitieren Link zu diesem Kommentar
Warrabbit 10 Geschrieben 18. Juli 2003 Melden Teilen Geschrieben 18. Juli 2003 Also wir haben das Sicherheitsproblem in unserem Netz gelöst. Man braucht KEINE teuren Programme und kann andere USB Geräte weiterhin benutzen. Leider muss man die Registry verändern, was zur Folge hat, das man lokale Adminrechte braucht. Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an. Die Veränderungen: - zwei lokale Dateien löschen - Registryeinträge verändern BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN. Auszug der Batch: del %systemroot%\inf\usbstor.inf del %systemroot%\inf\usbstor.pnf %systemroot%\regedit /s schluessel.reg Auszug aus der schluessel.reg Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB-Massenspeichertreiber" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] "Count"=dword:00000000 "NextInstance"=dword:00000000 Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw. aktivieren. Um die Registryveränderungen wieder rückgängig zu machen: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB-Massenspeichertreiber" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] "0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791" "Count"=dword:00000001 "NextInstance"=dword:00000001 Für Schäden oder evtl. Störungen wird keine Haftung übernommen Einfach mal testen. Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 21. Juli 2003 Autor Melden Teilen Geschrieben 21. Juli 2003 Hallo.. mittlerweile bin ich noch auf eine Andere Sache gekommen. Wir haben für unsere einzelnen Abteilungen per Script alle benötigten Laufwerksbuchstaben angelegt. hierbei haben wir erst ab o: angefangen. Alle zuvor verfügbaren Laufwerksbuchstaben haben wir ausgeblendet und den zugriff auf die komangozeile verboten. Resultat. nutzt ein User einen USB Stick. so wird dieser noch erkannt. Aber es gibt keine Möglichkeit auf diese zuzugreifen. Für weiter Ideen bin ich immer danbar.. MFG a.jakob Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 21. Juli 2003 Melden Teilen Geschrieben 21. Juli 2003 Warum eigentlich nicht einfach der Benutzergruppe jegliche Berechtigung auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR entziehen (also nur noch admins und System Zugriffsberechtigung)? Müsste IMHO alles weitere verhindern? grizzly999 Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 21. Juli 2003 Autor Melden Teilen Geschrieben 21. Juli 2003 hört sich interresant an.. ich werde es mal testen.. und berichten MFG a.jakob Zitieren Link zu diesem Kommentar
madbull 10 Geschrieben 28. Juli 2003 Melden Teilen Geschrieben 28. Juli 2003 Original geschrieben von Warrabbit ..... Die Veränderungen: - zwei lokale Dateien löschen - Registryeinträge verändern BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN. Auszug der Batch: del %systemroot%\inf\usbstor.inf del %systemroot%\inf\usbstor.pnf %systemroot%\regedit /s schluessel.reg .... Also ich hab das mal bei uns in der Arbeit unter XP probiert. es funktioniert ohne probs. (das einzige ist, das alle user die auf diesem computer zugriff haben keinen USB-Stick verwenden können, nicht mal der Admin, ausser er fügt die alte reg-Datei wieder hinzu) Das einzige was ich noch wissen wollte ist, warum man denn die zwei dateien löschen muss, denn wenn ich sie nicht lösche, funktioniert es genauso. Original geschrieben von grizzly999 Warum eigentlich nicht einfach der Benutzergruppe jegliche Berechtigung auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR entziehen (also nur noch admins und System Zugriffsberechtigung)? Müsste IMHO alles weitere verhindern? grizzly999 Das Habe ich auch mal probiert, aber es funktioniert leider nicht, wenn man dem benutzer(oder der Benutzergruppe) die rechte auf den Schlüssel nimmt. Zitieren Link zu diesem Kommentar
tedwipe 10 Geschrieben 28. Juli 2003 Melden Teilen Geschrieben 28. Juli 2003 Hi, für das alles gibt es auch ein schönes Tool: http://www.protect-me.com/dl/ Viel Spaß! Gruß Ted Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.