USB-Port sperren z. B. bei Memory Stick im LAN |
||
---|---|---|
#0
| ||
07.03.2003, 15:22
Ehrenmitglied
Beiträge: 2283 |
||
|
||
11.03.2003, 20:01
...neu hier
Beiträge: 5 |
#17
Es gibt da 'ne "3rd Party-Software" (nähere Info's wenn gewünscht morgen) ....
Heisst "Secure NT" (oder so ähnlich) .... ist administrierbar über die MMC und macht TATSÄCHLICH genau das ...... die haben geknackt, wie man die Rechte auf Wechseldatenträger u.a. vergibt ...... habe mir die Demo mal heruntergeladen und getestet -> das funzt !!! Allerdings hat die Sache einen Haken -> die wollen für ein Netz unerer Grösse ( ca. 400 Clients, AD-Domain) "mal eben" ca. 11 k€ haben ..... Gruss Tribunx71 |
|
|
||
11.03.2003, 20:21
Ehrenmitglied
Beiträge: 2283 |
#18
Also in einem Windows 2000 Netz geht das mit Grouppolicies zu realisiern - ganz umsonst. Zumindest was den Zugriff auf Laufwerke angeht - USB kann ich aufgrund des Mangels entsprechender Hardware nicht testen.
Ich zieh morgen in der Firma ein kleines Testnetz hoch - werde das mal anhand einer USB Festplatte untersuchen. Robert __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
17.06.2003, 14:52
...neu hier
Beiträge: 1 |
#19
Zitat Robert postete Schön - leider werden diverse Laufwerke im Netzwerk aber gebraucht, außerdem brauchen wir die Möglichkeit, mal ein Laufwerk absichtlich anschließen zu können... Das Mounten des Laufwerks und Laden des Treibers macht offensichtlich nicht der User, sondern das System - es ist völlig witzlos, dem Rechte entziehen zu wollen, das Laufwerk wird auf jeden Fall aktiviert. Mein Problem ist (genau wie das des Initiators dieses Threads), daß wir verhindern wollen, daß jemand beliebige USB-Geräte anstöpseln kann, aber trotzdem der USB-Port nutzbar bleiben muß. Die Systemadministration sollte die Möglichkeit haben, Geräte anzuschließen, die sie vorher definieren kann. Wenn wir Geld hätten, um sowas wie das angesprochene "Secure NT" oder das Tool "Info USB Protect" des italienischen Bildschirmherstellers Infotronic zu kaufen, bräuchten wir hier nicht nach alternativen Lösungen suchen... Es ist einfach unseren Chefs nicht beizubringen, für 2000 Clients mal eben 70k€ lockerzumachen, nur um etwas abzusichern, was heute unter NT gar nicht nutzbar ist! Andererseits wird uns unser Außendienst meucheln, wenn wir ihnen sagen "Ätsch, stimmt gar nicht, der USB bleibt aus!"... |
|
|
||
17.06.2003, 18:33
Member
Beiträge: 3306 |
#20
http://board.protecus.de/t4546.htm
Suuuche, ding, ding, ding. Ich kann auch nochmal den Artikel dazu uploaden falls ihn wer braucht. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
17.07.2003, 15:58
...neu hier
Beiträge: 2 |
#21
Also wir haben das Sicherheitsproblem in unserem Netz gelöst.
Man braucht KEINE teuren Programme und kann andere USB Geräte weiterhin benutzen. Leider muss man die Registry verändern, was zur Folge hat, das man lokale Adminrechte braucht. Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an. Die Veränderungen: - zwei lokale Dateien löschen - Registryeinträge verändern BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN. Auszug der Batch: del %systemroot%\inf\usbstor.inf del %systemroot%\inf\usbstor.pnf %systemroot%\regedit /s schluessel.reg Auszug aus der schluessel.reg Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB-Massenspeichertreiber" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] "Count"=dword:00000000 "NextInstance"=dword:00000000 Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw. aktivieren. Um die Registryveränderungen wieder rückgängig zu machen: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB-Massenspeichertreiber" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\ 00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\ 00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] "0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791" "Count"=dword:00000001 "NextInstance"=dword:00000001 Für Schäden oder evtl. Störungen wird keine Haftung übernommen Einfach mal testen. Dieser Beitrag wurde am 17.07.2003 um 16:02 Uhr von Warrabbit editiert.
|
|
|
||
19.01.2004, 10:44
...neu hier
Beiträge: 5 |
#22
Was mach ich denn bloß wenn ich win xp hab??????
Es gibt kein.. %systemroot%\inf\usbstor.inf %systemroot%\inf\usbstor.pnf ..zum löschen!! HILFE!! |
|
|
||
20.01.2004, 02:29
Member
Beiträge: 5291 |
#23
Warum eigentlich so umständlich?
Jedes Gerät brauch einen Treiber auch der usb stick kann man diesen nicht irgendwie löschen? Also ich hatte mal son perverses uralt cdrom auf nen win98 Rechner installiert damit das ging musste ich nen Treiber manuell einspielen also einfach eine Datei in ein Verzeichnis kopieren. Irgendwo bei win müssen sich doch die Treiber auch verstecken. @Glabber %systemroot% ist gleich C:\windows (normalerweise) __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.01.2004, 08:47
...neu hier
Beiträge: 5 |
#24
@Xeper
Danke mal.. aber %systemroot% hab ich schon gefunden.. mein Problem ist allerdings, daß es bei xp kein Verzeichnis inf gibt.. dementsprechend fällts mir schwer dieses zu löschen.. und xp hat die "geniale" Gabe, daß du keine Treiber brauchst.. xp schreit bei fast jedem Gerät, daß ich hier zum testen hab:"HURRA,.. neue hardware!!" Verzweifel.. vielleicht noch nen anderen Tipp???? *Hoffnung* |
|
|
||
20.01.2004, 13:04
Member
Beiträge: 5291 |
#25
@Glabber
Das ist falsch - es hat die Treiber bereits implementiert jede Hardware benötigt einen Treiber auch deine CPU - einfach alles. Deswegen kann der Treiber auch irgendwo lokalisiert werden. Manche standardgemäßen Treiber werden vielleicht schon im kernel implementiert sein aber da NT ein mikrokernel ist denke ich das die meisten Treiber auswärts zu finden sind. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.01.2004, 14:00
...neu hier
Beiträge: 5 |
#26
allright danke.. ich werd mich mal auf die suche begeben..
schönen tag noch.. |
|
|
||
21.02.2004, 19:32
...neu hier
Beiträge: 2 |
#27
@Glabber
Warum hat dein Windows XP kein Verzeichnis inf? Das kann eigentlich nicht sein, wenn es das nicht hat, würde es auch nicht laufen, da es keine Treiber finden würde. ;-) Bei mir jedenfalls ist dieses Verzeichns vorhanden, aber mit dem Attribut "Versteckt" versehen. Blende doch mal alle Dateien ein, oder versuche es über die Kommandozeile. Ich habe zwar den Tipp von Warrabbit nicht getestet, aber er könnte meiner Meinung nach auch unter Windows XP funktionieren. Versuche es doch einfach mal - an besten zuvor die Registry und Daten sichern. |
|
|
||
23.02.2004, 07:47
...neu hier
Beiträge: 5 |
#28
@dug
danke für deine hilfe.. habs in der zwischenzeit auch kapiert, wo die treiber sind und wie das so funktioniert und wie du schon sagst, man könnte ja auch auf die idee kommen alle dateien anzeigen zu lassen bevor man sich beschwert, daß sie nicht da sind.. hab in zwischen einiges gelernt und mein problem gelöst... also nochmal ein großes danke an die leute hier, die sich auch mit solch unwissend leuten wie mir beschäftigen;-) |
|
|
||
23.02.2004, 22:01
...neu hier
Beiträge: 2 |
#29
Hallo Glabber,
keine Ursache. Sorry ich wollte dich nicht für dumm hinstellen. Das ist einfach meine Ausdrucksweise. Bitte nicht falschverstehen. Hast du das ganze schon mal getestet? Würde mich schon mal interessieren, ob das funktioniert. |
|
|
||
26.02.2004, 07:45
...neu hier
Beiträge: 5 |
#30
Hy Dug.. so war das nicht gemeint.. hatte bis vor n paar monaten noch kein blassen schimmer, was son rechner alles kann und überhaupt ist... also das war ernst gemeint bin teilweise echt unfähig*grins*
diese veränderung der schlüssel, wie oben von warrabit beschrieben funktioniert ganz gut bei uns.. allerdings noch nicht im einsatz.. da noch keine xp rechner verwendet werden;-) |
|
|
||
Verwaltung logischer Datenträger (engl.: Logical Disk Manager)Verwaltungsdienst für die Verwaltung logischer Datenträger
Beschreibung: http://www.different-thinking.de/windows_2000_dienste.php
Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...