USB-Port sperren z. B. bei Memory Stick im LAN

#16 Spiel mal mit den beiden Diensten:

Verwaltung logischer Datenträger (engl.: Logical Disk Manager)Verwaltungsdienst für die Verwaltung logischer Datenträger

Beschreibung: http://www.different-thinking.de/windows_2000_dienste.php

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#17 Es gibt da 'ne "3rd Party-Software" (nähere Info's wenn gewünscht morgen) ....

Heisst "Secure NT" (oder so ähnlich) .... ist administrierbar über die MMC und macht TATSÄCHLICH genau das ...... die haben geknackt, wie man die Rechte auf Wechseldatenträger u.a. vergibt ...... habe mir die Demo mal heruntergeladen und getestet -> das funzt !!!

Allerdings hat die Sache einen Haken -> die wollen für ein Netz unerer Grösse ( ca. 400 Clients, AD-Domain) "mal eben" ca. 11 k€ haben .....

Gruss
Tribunx71

#18 Also in einem Windows 2000 Netz geht das mit Grouppolicies zu realisiern - ganz umsonst. Zumindest was den Zugriff auf Laufwerke angeht - USB kann ich aufgrund des Mangels entsprechender Hardware nicht testen.

Ich zieh morgen in der Firma ein kleines Testnetz hoch - werde das mal anhand einer USB Festplatte untersuchen.


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#19

Zitat

Robert postete
Also in einem Windows 2000 Netz geht das mit Grouppolicies zu realisiern - ganz umsonst. Zumindest was den Zugriff auf Laufwerke angeht - USB kann ich aufgrund des Mangels entsprechender Hardware nicht testen.

Schön - leider werden diverse Laufwerke im Netzwerk aber gebraucht, außerdem brauchen wir die Möglichkeit, mal ein Laufwerk absichtlich anschließen zu können...
Das Mounten des Laufwerks und Laden des Treibers macht offensichtlich nicht der User, sondern das System - es ist völlig witzlos, dem Rechte entziehen zu wollen, das Laufwerk wird auf jeden Fall aktiviert.

Mein Problem ist (genau wie das des Initiators dieses Threads), daß wir verhindern wollen, daß jemand beliebige USB-Geräte anstöpseln kann, aber trotzdem der USB-Port nutzbar bleiben muß. Die Systemadministration sollte die Möglichkeit haben, Geräte anzuschließen, die sie vorher definieren kann.
Wenn wir Geld hätten, um sowas wie das angesprochene "Secure NT" oder das Tool "Info USB Protect" des italienischen Bildschirmherstellers Infotronic zu kaufen, bräuchten wir hier nicht nach alternativen Lösungen suchen...

Es ist einfach unseren Chefs nicht beizubringen, für 2000 Clients mal eben 70k€ lockerzumachen, nur um etwas abzusichern, was heute unter NT gar nicht nutzbar ist! Andererseits wird uns unser Außendienst meucheln, wenn wir ihnen sagen "Ätsch, stimmt gar nicht, der USB bleibt aus!"...

#20 http://board.protecus.de/t4546.htm
Suuuche, ding, ding, ding.
Ich kann auch nochmal den Artikel dazu uploaden falls ihn wer braucht.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#21 Also wir haben das Sicherheitsproblem in unserem Netz gelöst.
Man braucht KEINE teuren Programme und kann andere USB Geräte
weiterhin benutzen.
Leider muss man die Registry verändern, was zur Folge hat, das man
lokale Adminrechte braucht.
Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.

Die Veränderungen:
- zwei lokale Dateien löschen
- Registryeinträge verändern

BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.


Auszug der Batch:

del %systemroot%\inf\usbstor.inf
del %systemroot%\inf\usbstor.pnf
%systemroot%\regedit /s schluessel.reg


Auszug aus der schluessel.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000


Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.
aktivieren.


Um die Registryveränderungen wieder rückgängig zu machen:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Für Schäden oder evtl. Störungen wird keine Haftung übernommen

Einfach mal testen.

#22 Was mach ich denn bloß wenn ich win xp hab??????
Es gibt kein..
%systemroot%\inf\usbstor.inf
%systemroot%\inf\usbstor.pnf
..zum löschen!!
HILFE!!

#23 Warum eigentlich so umständlich?
Jedes Gerät brauch einen Treiber auch der usb stick kann man diesen nicht irgendwie löschen? Also ich hatte mal son perverses uralt cdrom auf nen win98 Rechner installiert damit das ging musste ich nen Treiber manuell einspielen also einfach eine Datei in ein Verzeichnis kopieren. Irgendwo bei win müssen sich doch die Treiber auch verstecken.

@Glabber

%systemroot% ist gleich C:\windows (normalerweise)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#24 @Xeper

Danke mal.. aber %systemroot% hab ich schon gefunden.. mein Problem ist allerdings, daß es bei xp kein Verzeichnis inf gibt.. dementsprechend fällts mir schwer dieses zu löschen.. und xp hat die "geniale" Gabe, daß du keine Treiber brauchst.. xp schreit bei fast jedem Gerät, daß ich hier zum testen hab:"HURRA,.. neue hardware!!"

Verzweifel.. vielleicht noch nen anderen Tipp????
*Hoffnung*

#25 @Glabber

Das ist falsch - es hat die Treiber bereits implementiert jede Hardware benötigt einen Treiber auch deine CPU - einfach alles. Deswegen kann der Treiber auch irgendwo lokalisiert werden. Manche standardgemäßen Treiber werden vielleicht schon im kernel implementiert sein aber da NT ein mikrokernel ist denke ich das die meisten Treiber auswärts zu finden sind.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#26 allright danke.. ich werd mich mal auf die suche begeben..
schönen tag noch..

#27 @Glabber
Warum hat dein Windows XP kein Verzeichnis inf? Das kann eigentlich nicht sein, wenn es das nicht hat, würde es auch nicht laufen, da es keine Treiber finden würde. ;-)
Bei mir jedenfalls ist dieses Verzeichns vorhanden, aber mit dem Attribut "Versteckt" versehen. Blende doch mal alle Dateien ein, oder versuche es über die Kommandozeile.
Ich habe zwar den Tipp von Warrabbit nicht getestet, aber er könnte meiner Meinung nach auch unter Windows XP funktionieren.
Versuche es doch einfach mal - an besten zuvor die Registry und Daten sichern.

#28 @dug
danke für deine hilfe.. habs in der zwischenzeit auch kapiert, wo die treiber sind und wie das so funktioniert und wie du schon sagst, man könnte ja auch auf die idee kommen alle dateien anzeigen zu lassen bevor man sich beschwert, daß sie nicht da sind.. hab in zwischen einiges gelernt und mein problem gelöst...
also nochmal ein großes danke an die leute hier, die sich auch mit solch unwissend leuten wie mir beschäftigen;-)

#29 Hallo Glabber,
keine Ursache. Sorry ich wollte dich nicht für dumm hinstellen. Das ist einfach meine Ausdrucksweise. Bitte nicht falschverstehen.
Hast du das ganze schon mal getestet? Würde mich schon mal interessieren, ob das funktioniert.

#30 Hy Dug.. so war das nicht gemeint.. hatte bis vor n paar monaten noch kein blassen schimmer, was son rechner alles kann und überhaupt ist... also das war ernst gemeint bin teilweise echt unfähig*grins*
diese veränderung der schlüssel, wie oben von warrabit beschrieben funktioniert ganz gut bei uns.. allerdings noch nicht im einsatz.. da noch keine xp rechner verwendet werden;-)