USB-Port sperren z. B. bei Memory Stick im LAN

#31 Mal ein anderer Vorschlag:

Bei den beiden Dateien:
C:/Windows/system32/drivers/USBSTOR.SYS
C:/Windows/inf/USBSTOR.INF

EIGENSCHAFTEN -> SICHERHEITSSTELLUNGEN alle Häkchen auf VERWEIGERT setzen

#32 in Win200 oder XP kann man das laden von gerätetreibern für
den normalen Benutzer verbieten.

per default ist das laden und entfernen von gerätertreibern
der gruppe administratoren erlaubt.


Programme -> Verwaltung -> lokale Sicherheitsrichtlinie ->
lokale Richtlinien -> Zuweisen von Benutzerrechten

Richtlinie:
Laden und Entfernen von Gerätetreibern
nun den Administrator hinzufügen und die alle anderen Gruppen löschen
oder deakvivieren.

net.works

#33 Schaut mal hier!
Funktioniert unter W2k und XP

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732

#34 Wenn Du USB- Schnittstellen vernünftig kontrollieren willst, sprich definieren nach Gruppen und Devicetyp, gibts ein super Tool (Drivelock), der Firma Centertools. Das Ganze kann dann auch über Grouppolicies zentral verwaltet werden.

Informationen zu Drivelock: http://www.centertools.de

Haben es für unser Umfeld angeschafft und sind super zufrieden

#35 Dies ist mein erster Beitrag und hoffentlich was hilfreiches. Es gab mal in der CT' ein nettes VB-Script zum Sperren von USB-Ports. Ich hab es etwas abgeändert. Alle Änderungen sind in dem Dokumentation beschrieben. Hoffentlich gefällt es.

www.henningmueller.com

Guckt bei USBsecure

#36 Moin moin leut,

wenn bereits ein USB-Gerät installiert worden ist funktioniert folgendes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

"start" "type" auf Hexdecimal 4 setzen.

vorher Backup der registry machen.

Ansonsten wie hier schon richtig beschrieben
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
Sicherheitsberechtigungen für alle Benutzer & System verweigern.

Funktioniert hier wunderbar.


Auch zu finden unter
http://support.microsoft.com/default.aspx?scid=kb;en-us;823732

#37 Guter Tip Warrabit!
Es reicht schon aus, wenn man einen Registryeintrag verändert. Hab dafür eine ADM-Datei erstellt:

CLASS MACHINE
CATEGORY "USB Massenspeicher"
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
POLICY "USB Massenspeicher de/aktivieren"
Part "Pfad:" EDITTEXT
VALUENAME "ImagePath"
DEFAULT "System32\DRIVERS\USBSTOR.SYS"
END Part
Part "Veränderungen am Pfad führen dazu,"Text End Part
Part "dass USB Massenspeicher nicht geladen werden können."Text End Part
Part "Zum Aktivieren den Originalpfad eintragen:"Text End Part
Part "System32\DRIVERS\USBSTOR.SYS"Text End Part
END POLICY
END CATEGORY

Gute und billige Lösung, wenn man das Problem computerbezogen lösen will.
Wenn man das benutzerbezogen machen will, würde ich die Rechte auf die USBSTOR.SYS und USBSTOR.INF verändern. Ist allerdings etwas aufwendiger, da dass an jedem Arbeitsplatz gemacht werden muß.
Das Geld für die TEUREN Tools kann man sich echt sparen!!!!!

Timon

Zitat

Warrabbit postete
Also wir haben das Sicherheitsproblem in unserem Netz gelöst.
Man braucht KEINE teuren Programme und kann andere USB Geräte
weiterhin benutzen.
Leider muss man die Registry verändern, was zur Folge hat, das man
lokale Adminrechte braucht.
Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.

Die Veränderungen:
- zwei lokale Dateien löschen
- Registryeinträge verändern

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.


Auszug der Batch:

del %systemroot%\inf\usbstor.inf
del %systemroot%\inf\usbstor.pnf
%systemroot%\regedit /s schluessel.reg


Auszug aus der schluessel.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000


Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.
aktivieren.


Um die Registryveränderungen wieder rückgängig zu machen:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Für Schäden oder evtl. Störungen wird keine Haftung übernommen

Einfach mal testen.

#38 hi, wo bzw was muss ich in der regedt32 genau einstellen bzw wie stelle ich das ein, dass nur ein bestimmter user die rechte dafür hat um usb stick zu installieren?

#39 Wenn sich in Zukunft hier mal jemand hin verirren sollte.

Das Programm USBsecure ist nun erweitert. Unter meiner Homepage könnt ihr es euch downloaden. Wer Anregungen oder Fragen hat, kann diese gerne über das Gästebuch machen.

#40 Hallo,

entschuldigt bitte, dass ich diesen uralten Thread wieder herauskrame, aber ich glaube, ich habe eine interessante Ergänzung zu diesem Thema!

Es gibt da eine Software namens HdGaurd. Mit der kann man auch USB-Ports sperren. Das funktioniert aufgrund eines Bugs auch mit der kostenlosen Demoversion ohne zeitliche Beschränkung (!!!). Einfach die Demoversion installieren, und in der Config den USB-Schutz aktivieren. Wenn nach 30 Tagen die Testphase abgelaufen ist, bleibt der USB-Schutz trotzdem aktiv! Wer den Schutz wieder ausschalten will, muss das Programm allerdings dann deinstallieren, weil sich die Konfiguration nicht mehr öffnen lässt.

Vorteile gegenüber der normalen Registry-Lösung: es funktioniert bei allen USB-Geräten! Auch bei solchen, die kein neues Laufwerk mounten (Handys, Bluetooth-Adapter etc. benutzen gerne einen Explorernamespace statt eines Laufwerks). Man kann das Tool außerdem so konfigurieren, dass der USB-Stick des Admins trotz des Schutzes noch benutzt werden kann.

Der Hersteller weiß von dem Bug, scheint ihm aber ziemlich egal zu sein, weil der USB-Schutz nicht das Hauptfeature ist. Insofern denke ich mal, kann man das ruhig hier posten.

Grüße, Archos

#41 geht alles viiieel viel einfacher

hab grad die lösung gefunden

auszug von http://support.microsoft.com/?kbid=823732


Wenn bereits ein USB-Speichergerät auf dem Computer installiert ist:

Wenn bereits ein USB-Speichergerät auf dem Computer installiert ist, setzen Sie den Wert Start in folgendem Registrierungsschlüssel auf 4:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Dies hat zur Folge, dass das USB-Speichergerät nicht funktioniert, wenn der Benutzer das Gerät an den Computer anschließt.

Gehen Sie folgendermaßen vor, um den Wert Start festzulegen:

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie in das Feld Öffnen den Dateinamen regedit ein, und klicken Sie auf OK.
3. Klicken Sie auf den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
4. Doppelklicken Sie im rechten Fensterbereich auf Start.
5. Geben Sie im Feld Wert den Wert 4 ein, klicken Sie auf Hexadezimal (sofern diese Option nicht bereits ausgewählt ist), und klicken Sie anschließend auf OK.
6. Beenden Sie den Registrierungs-Editor.


habs grad getestet und funkt einwandfrei
gruß

#42 Hallo @ll,

wir setzen bei uns nach dem wir einige Lösungen getestet haben DevicePro 2006 von Softbroker ein. Muss sagen, dass es die einzigste und effektivste Lösung ist, die einfach zu bedienen ist. Achso, damit kann sämtliche externe Devices die es auf dem Markt gibt sperren. Also nicht nur USB.

Link: www.devicepro.de

Ciao
Klumpp

#43 Servus,
das Thema ist vielleicht schon ein wenig älter, wollte aber auch mal meinen Senf dazu geben, denn wir setzten auch devicepro in einer Windows Umgebung mit 3000 Benutzern ein.
Der Support ist einsame Spitze, egal ob Fragen bzgl. Anwendung der Software, wobei die sich extrem gut in unsere Geschäftsprozesse eingliedert, wurde mir immer ohne wenn und aber kompetent geholfen.

www.cynapspro.com ist die neue homepage, soweit ich weiss...


Grüße
iSeek

#44

Zitat

iSeekApps postete
das Thema ist vielleicht schon ein wenig älter, wollte aber auch mal meinen Senf dazu geben,

Das Thema ist nicht nur schon älter, es ist steinalt

Zitat

iSeekApps postete
Der Support ist einsame Spitze, egal ob Fragen bzgl. Anwendung der Software, wobei die sich extrem gut in unsere Geschäftsprozesse eingliedert, wurde mir immer ohne wenn und aber kompetent geholfen.
www.cynapspro.com ist die neue homepage, soweit ich weiss...

Das betrachte ich eigentlich als unerlaubte Werbung

Die absolut sichere Variante:
- BIOS-Zugriff per PW absichern
- USB im BIOS abschalten

Felix
__________
Keine Anfragen per E-Mail und PN!

#45 Hallo Leute,

der Beitrag ist zwar schon ziemlich alt, wird aber gut in den Suchmaschinen gefunden.
Daher möchte ich trotzdem den Beitrag veröffentlichen, da er sicherlich für viele hilfreich ist.

Es gibt da ein Freewareprogramm das sich USB Bouncer nennt:

USB Security Tool - USB Bouncer

Mit diesem Tool ist es einfach möglich USB Massenspeicher zu definieren, die funktionieren und der Rest wird geblockt. (nach dem Whitelisting Verfahren)
Ebenso enthält das Programm einen Geräterekennungsassisten,Netzwerkverwaltung,..

Lg Mike