USB-Port sperren z. B. bei Memory Stick im LAN

#1 Hallo,

habe da mal ne Frage.

Gibt es eine Möglichkeit den Gebrauch von Massenspeichern (Memory Stick,
Kamera ..) am USB Anschluß zu verhindern ?

Zur näheren Erläuterung meiner Fragestellung: Momentan könnte sich theoretisch ein User in einem LAN an einem PC anmelden und hat wenn er einen Memorystick anschliesst ein neues Laufwerk ohne Adminrechte auf dem er Daten aus dem LAN abspeichern oder sie hereinstellen kann. Das Laufwerk erscheint ohne Abfrage und benötigt keine Treiber (schöne bunte einfache aber nicht gerade sichere Windowswelt).

Das ist ein recht grosses Sicherheitsloch, meiner Meinung nach?

Wie kann man das möglichst einfach unterbinden ohne teuere Softwarelösungen?

#2 Du kannst den USB Controller im Gerätemanager deaktivieren bzw. deinstallieren.
Im BIOS kannst du USB auch deaktivieren, kommt aber auf deine BIOS Version an.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Drizz,

ich weiß nicht ob Du Windows da den Vorwurf machen kannst. IMHO ist es mit normalen Benutzerrechten nicht möglich neue Hardware an einen Windows 2000/XP Rechner anzuschließen.

Sollte dies doch gehen, so hat jemand an den Einstellungen gespielt. Über die Grouppolicies sollte man dann den Riegel vorschieben.

Sollten es Windows 98/M§ Clients sein, so kann ich nur sagen - die haben doch GAR NICHTS in einem Netz zu suchen

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Danke erstmal für die Antworten!

Ich wollte im Netz, den USB-Port eigentlich nicht komplett sperren, es sollte aber nicht möglich sein das irgendjemand sich so nen kleinen Memory-Stick anklemmt und dann munter Daten aus dem Netz transportiert, ist glaube ich verständlich.

Das leidvolle aber das Win2000 keinen Treiber benötigt und ohne Rechtehinterfragung das neue Massenspeichermedium einbindet.

Das sollte keine generelle Kritik an Win2000 sein, nur empfinde ich es als Sicherheitsmanko.

Gruss
Drizz

#5 Ich kann mir Vorstellen das jemand mit einem Bootbaren Memory Stick ein Linux startet und dann auf die NTFS Partition zugreifen kann.

Die Wiederherstellungskonsole ist auch ganz interessant oder das Tool von OO Blucon.

#6 Für Netzwerke ein dickes Problem!
Auf W2K-Client werden die Sticks problemlos nutzbar gemacht, nur reinstecken!
Da das selektierte Aussperren die einzig sinnvolle Lösung ist, suche ich mir
bereits seit einiger Zeit 'einen Wolf'...

Meine Idee, den 'Plug and Play'-dienst per Admin-PSW zu deaktivieren/aktivieren, scheiterte daran, dass dann die Anmelde-Prozedur hakt.
Hat jemand eine sonstige Idee oder gar Lösung?
Ciao, FB

#7

Zitat

Drizz postete
Hallo,

habe da mal ne Frage.

Gibt es eine Möglichkeit den Gebrauch von Massenspeichern (Memory Stick,
Kamera ..) am USB Anschluß zu verhindern ?

Zur näheren Erläuterung meiner Fragestellung: Momentan könnte sich theoretisch ein User in einem LAN an einem PC anmelden und hat wenn er einen Memorystick anschliesst ein neues Laufwerk ohne Adminrechte auf dem er Daten aus dem LAN abspeichern oder sie hereinstellen kann. Das Laufwerk erscheint ohne Abfrage und benötigt keine Treiber (schöne bunte einfache aber nicht gerade sichere Windowswelt).

Das ist ein recht grosses Sicherheitsloch, meiner Meinung nach?

Wie kann man das möglichst einfach unterbinden ohne teuere Softwarelösungen?

#8 Die Funktion für die USB Berechtigung kann man in der regedt32 einstellung.

#9 HI Drizz

Bin zur Zeit in der Arbeit, sobald ich daheim bin schicke ich dir die LÖSUNG.

Entschuldigt bitte mein vielen Einträge

TIGGER

#10 Bitte Lösung hier posten

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#11 USB Soll Usern nicht zugänglich sein


USB Geräte erzeugen einen Eintrag HKLM\System\MountedDevices, den man mit Regedt32 nur für Admins berechtigt.

Ich hoffe ich konnte euch damit Helfen


TIGGER

#12 Ermöglicht dem Computer, Hardwareänderungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilität beeinträchtigen.

Das zu Plug and Play

Sollte das Mounten von Volumen nicht sowieso nur für Admins erlaubt sein?
Zumindestens hab ich als Benutzer keine schreib berechtigung in den oben
angegebenen Reg key
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#13 Den Dienst nicht deaktivieren, sondern über die Regedt32, Berechtigungen für die einzelnen Benutzer vergeben.

Unter win XP gibt es Regedt32 nicht, wenn du bei win 2000 regedt32 eingibst. Kann man die Berechtigungen vergeben.

TIGGER

#14 HI Drizz


Hat es so funktioniert ?

TIGGER

#15 Ich habe hier auch ein Problem. Ich habe hier einen USB Stick (256mb). wenn ich den im USB port versenke, wird automatisch der usb storage installiert. durch abschalten der plug and play funktion geht win2k nicht mehr. wenn man es auf manuell schaltet, geht trotzdem. auch wenn ich wie oben beschrieben in der registry die berechtigung des user / gruppe wegnehme, d.h. vollzugriff verweigere ändert sich gar nix. Es bleibt weiterhin möglich den USB Stick zu stecken und diesen dann auch zu benutzen.

Es MUSS doch irgendwie möglich sein USB autoerkennung oder usb stick autmounting auszustellen ?

das mit der registry hört sich ja gut an, nur es funtzt nicht.

wäre kewl wenn ihr mir helfen könntet, ich sitze hier an einem behörden projekt und muss bei 600 Rechner verhindern, das sich die lehrer nen usb stick nutbar machen können.

Danke im vorraus