USB Ports in einer Domäne sperren

[Iceman75 10]

Hi,

 

wir haben eine Windows 2000 Domäne und nun sollen alle USB Ports für USB Sticks und andere Speichergeräte gesperrt werden. Wie kann man das am einfachsten und schnellsten realisieren???

 

 

Mfg

 

Ice

[NorbertFe 2.112]

Hi,

 

wir haben eine Windows 2000 Domäne und nun sollen alle USB Ports für USB Sticks und andere Speichergeräte gesperrt werden. Wie kann man das am einfachsten und schnellsten realisieren???

 

 

Mfg

 

Ice

 

Man benutzt eine Suchmaschine seiner Wahl und landet bspw. hier:

USB Sticks deaktivieren

oder hier:

http://www.faq-o-matic.net/2003/07/15/wie-kann-ich-per-gpo-den-zugriff-auf-usb-sticks-oder-andere-devices-sperren/

 

Nach dem Lesen kommt man dann zum Schluß, dass einzig Punkt 5 der Richtige sein kann.

 

HTH

Norbert

[Iceman75 10]

Was meinst Du mit Punkt 5??????

 

Habe auch schon viel gesucht und gefunden jedoch wollte ich mich hier nocheinmal umhören um eine praktikabel Lösung zu finden.

 

Also Mäuse und Tastaturen sollen weiter funzen. Nur keine Speichermedien.....

[NorbertFe 2.112]

Ich dachte ich schrieb nach dem Lesen <--- damit meine ich die obigen von mir geposteten Links

 

5. Sanctuary Device Control (ehemals SecureNT)

Kostenpflichtige Lösung von SecureWave SecureWave, Worldwide leader provider of Endpoint Security Solutions

heissen aber schon wieder mal anders ;)

http://www.lumension.com/data-protection/usb-security-protection.jsp?rpLangCode=1&rpMenuId=150824

 

Bye

Norbert

[vmorbit 10]

Hallo,

 

ich kann nur dies hier vollstens empfehlen:

DeviceLock: USB Security, Device Control, Endpoint Security, Port Control and Device Management solution

 

Settings per GPO definierbar, alles wird zentral auf einem Server erfasst (Auditing und shadowing), USB-Device-Whitelisting....alles möglich.

[tpk 10]

Nur zur Info, habe mich mit dem Thema auch vor 1-2 Monaten auseinandergesetzt und es geht auch (in gewissen grenzen) ohne 3rd Party Software:

 

Für USB Massenspeicher (Stick, HDD etc..) ist die Datei USBStore.inf notwendig, wenn man hier den normalen Usern die Rechte auf diese Datei verweigert so können diese ebenfalls keinen Stick mehr in Gebrauch nehmen.

 

Natürlich muss aber erst die rechte setzen, wir haben das mittels Kix gemacht..

 

lg

[kwakS 10]

Wir nutzen momentan das kostenlose Tool.USB Secure

Der Vorteil ist, dass man es relativ einfach anpassen kann.

Ich bin mir aber sicher, dass produkte z.B. von Utimaco mehr können.

[goscho 11]

Ich empfehle den Einsatz von Symantec Endpoint Protection.

Das ist zwar eine ausgewachsene Sicherheitslösung, inkl. Antivirus, Firewall und Anwendungssteuerung, hat aber auch einen 1a zu konfigurierenden Devicemanager. Hier können sogar Unterschiede gemacht und bspw. bestimmte USB-Sticks erlaubt werden (z.B. gesicherte Firmensticks).

[NorbertFe 2.112]

Nur zur Info, habe mich mit dem Thema auch vor 1-2 Monaten auseinandergesetzt und es geht auch (in gewissen grenzen) ohne 3rd Party Software:

 

Für USB Massenspeicher (Stick, HDD etc..) ist die Datei USBStore.inf notwendig, wenn man hier den normalen Usern die Rechte auf diese Datei verweigert so können diese ebenfalls keinen Stick mehr in Gebrauch nehmen.

 

Natürlich muss aber erst die rechte setzen, wir haben das mittels Kix gemacht..

 

lg

 

Hat ja niemand behauptet, dass es in gewissen Grenzen nicht ohne 3rd Party möglich ist. Steht übrigens alles in den von mir geposteten Links ;)

 

Bye

Norbert

[Sunny61 812]

Für USB Massenspeicher (Stick, HDD etc..) ist die Datei USBStore.inf notwendig, wenn man hier den normalen Usern die Rechte auf diese Datei verweigert so können diese ebenfalls keinen Stick mehr in Gebrauch nehmen.

 

Und einen ganz grossen Zettel an die Wand hängen. Spätestens wenn das nächste SP installiert werden soll knallts. Und wieder mal ist MS Schuld.

[jaksa 10]

Die einzigste zuverlässige Methode, die ich kenne lautet: Epoxidharz

[NorbertFe 2.112]

Die einzigste zuverlässige Methode, die ich kenne lautet: Epoxidharz

 

Die ist aber nicht steuerbar und verhindert zuverlässig die Verwendung von Maus und Tastatur. ;)

 

Bye

Norbert

[marka 587]

Die ist aber nicht steuerbar und verhindert zuverlässig die Verwendung von Maus und Tastatur. ;)

 

Widerspruch: Nicht, wenn Du das Harz nach dem Einstöpseln von Maus und Tastatur verwendest... :D

 

Back2Topic:

 

Mir wurde die Tage eine Sicherheitslösung vorgestellt, die recht vielversprechend aussieht.

Die Lösung heißt SecuSurf.

Eine Appliance hängt im Netz und steuert das ganze.

Es wird verhindert, dass unbekannte Prozesse zur Ausführung kommen. Identifiziert werden die Prozesse über den MD5 Hash.

Da jedes Device (Also auch Maus, Tastatu und Sticks) einen md5-Hash besitzen, ist hierüber eine gute Kontrolle möglich.

Die Appliance verfolgt das Prinzip "Was nicht exoplizit genehmigt ist, wird verboten." oder einfach: "Dich kenn' ich nicht, mit Dir spiel' ich nicht!"

 

Die Demo war sehr interessant und überzeugend, wir warten noch auf ein Angebot.

 

Hier der Link zum Produkt: http://www.4ss.de/produkte/SecuSurf/index.htm

[gelöscht 0]

Hallo,

 

meine Empfehlung hierzu würde lauten: Flucht nach vorne und Windows Vista/7 ausrollen. Dann können über eine banale GPO die entsprechenden Geräteklassen gesperrt werden ;)

 

ASR

[vmorbit 10]

@ASR:

 

Würdest du in deinem Netz für die Clients eine Beta eines OS ausrollen?

Ein Upgrade des OS wegen der Anforderung den USB-Port zu sperren, halt ich für übertrieben.