11
USB-Wechseldatenträger sperren aber nicht für alle
Guten Morgen.
Ich habe zwar sämtliche Foren durchgesucht aber noch keine Antwort auf meine Frage gefunden.
Ich möchte in einer Firma mit 250 Usern die USB-Wechseldatenträger über Gruppenrichtlinie sperrren.
Es gibt derzeit 2 Möglichkeiten. Es für den Computer komplett zu sperren oder nur bestimmten Benutzer den Zugriff sperren.
Ich möchte grundsätzlich alle Computer mit der Gruppenrichtlinie sperren lassen, aber es soll bestimmte User geben die doch USB-Datenträgern auf den Rechnern bekommen sollen.
Gibt es eine Möglichkeit trotz einer ausgerollten Computerrichtlinie bestimmten Usern es doch zu erlauben auf USB-Wechseldatenträger zuzugreifen?
Wenn ja, kann mir jemand verraten wir es umsetzbar wäre?
Ich möchte aber in dem Fall nicht auf die Sperre für alle Computer verzichten. Warum? Weil nur durch diese Gruppenrichtlinie ist es auch gewährleistet, dass auch lokale Accounts von der Sperre betroffen wären.
Ich habe zwar sämtliche Foren durchgesucht aber noch keine Antwort auf meine Frage gefunden.
Ich möchte in einer Firma mit 250 Usern die USB-Wechseldatenträger über Gruppenrichtlinie sperrren.
Es gibt derzeit 2 Möglichkeiten. Es für den Computer komplett zu sperren oder nur bestimmten Benutzer den Zugriff sperren.
Ich möchte grundsätzlich alle Computer mit der Gruppenrichtlinie sperren lassen, aber es soll bestimmte User geben die doch USB-Datenträgern auf den Rechnern bekommen sollen.
Gibt es eine Möglichkeit trotz einer ausgerollten Computerrichtlinie bestimmten Usern es doch zu erlauben auf USB-Wechseldatenträger zuzugreifen?
Wenn ja, kann mir jemand verraten wir es umsetzbar wäre?
Ich möchte aber in dem Fall nicht auf die Sperre für alle Computer verzichten. Warum? Weil nur durch diese Gruppenrichtlinie ist es auch gewährleistet, dass auch lokale Accounts von der Sperre betroffen wären.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33712601742
Url: https://administrator.de/contentid/33712601742
Printed on: April 30, 2024 at 22:04 o'clock
11 Comments
Latest comment
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
1
Moin,
mit Bordmitteln geht das leider nicht. Wenn am Computer die USB-Zugriffe gesperrt sind, dann sind sie gesperrt. Das einzige, was geht, sind ausgenommene Geräte. Du kannst also z. B. die Sticks der Admins von der Sperre ausnehmen. Dann kannst Du (und jeder andere) diese Sticks nutzen. Das ist ein recht hoher Aufwand.
https://learn.microsoft.com/de-de/mem/intune/configuration/administrativ ...
Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.
hth
Erik
mit Bordmitteln geht das leider nicht. Wenn am Computer die USB-Zugriffe gesperrt sind, dann sind sie gesperrt. Das einzige, was geht, sind ausgenommene Geräte. Du kannst also z. B. die Sticks der Admins von der Sperre ausnehmen. Dann kannst Du (und jeder andere) diese Sticks nutzen. Das ist ein recht hoher Aufwand.
https://learn.microsoft.com/de-de/mem/intune/configuration/administrativ ...
Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.
hth
Erik
Moin,
wenn du z.B. ESET im Einsatz hast, kannst du damit nach Benutzergruppen solche Blockierungen durchführen.
https://help.eset.com/ees/11/de-DE/?idh_config_devmon_rule_edit_dlg.html ...
VG
wenn du z.B. ESET im Einsatz hast, kannst du damit nach Benutzergruppen solche Blockierungen durchführen.
https://help.eset.com/ees/11/de-DE/?idh_config_devmon_rule_edit_dlg.html ...
VG
Zitat von @kreuzberger:
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..
Zitat von @MarcoKer:
Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..
Zitat von @kreuzberger:
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..
Interessant! Muss ich bei uns schauen, wie das gemacht wurde.
Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.
Wir verwenden keine externe Lösung, es soll alles mit Bordmitteln durchgeführt werden
Zitat von @MarcoKer:
Wir verwenden keine externe Lösung, es soll alles mit Bordmitteln durchgeführt werden
Es gibt Drittanbietersoftware, die das besser kann. Welche FW ist vorhanden? Habt Ihr eine Endpoint Protection? Dann solltest Du da mal schauen, was das bietet.
Wir verwenden keine externe Lösung, es soll alles mit Bordmitteln durchgeführt werden
Keine Endpoint-Protection ... Naja. Dann bleibt Dir nur der Weg über das generelle Verbieten und das Freischalten einzelner Geräte, die die Admins nutzen.
Ist auch mit Boardmitteln möglich, jahrelang so gemacht.
GPO in der du den Reg key auf 4 setzt.
Dann auf alle PCs anwenden.
Dann eine Gruppe "Darf USB" dort alle reinschmeißen die USB nutzen dürfen und von der GPO ausnehmen.
Neustarten muss man dann am Client trotzdem, damit er sich das zieht. (Also wenn vorher ein User daran gearbeitet hat der es nicht darf)
GPO in der du den Reg key auf 4 setzt.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\
DWORD "start" value=4 Dann auf alle PCs anwenden.
Dann eine Gruppe "Darf USB" dort alle reinschmeißen die USB nutzen dürfen und von der GPO ausnehmen.
Neustarten muss man dann am Client trotzdem, damit er sich das zieht. (Also wenn vorher ein User daran gearbeitet hat der es nicht darf)
Zitat von @MarcoKer:
Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..
Zitat von @kreuzberger:
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
Moin @MarcoKer,
di Lösung hast du ja schon selbst beschrieben: eine Gruppenrichtlinie, die sich nicht auf Computer, sondern User(gruppen) bezieht.
Kreuzberger
Das mit den Usergruppen ist zwar die Lösung, aber es verhindert leider nicht den Zugriff über lokale Accounts..
lokale Accounts? Sowas gibts heute noch? ;) die musst du tot machen würde ich sagen ;)
lokale Accounts? Sowas gibts heute noch? ;) die musst du tot machen würde ich sagen ;)
naja es gibt ja nicht nur normale User (Stichwort: Entwickler)
Im Ernst? Du machst dir Sorgen über die Sicherheit von USB Sticks, aber hast keine Sorgen über die Sicherheit wegen lokalen Accounts? In einer Firma mit einer Größenordnung von 250 Usern?
Wie steuerst du die Sicherheitsrichtlinien für lokale Accounts? Habt ihr überhaupt Sicherheitsrichtlinien?
Bei uns arbeiten auch alle Entwickler mit Domänenaccounts.
Wie steuerst du die Sicherheitsrichtlinien für lokale Accounts? Habt ihr überhaupt Sicherheitsrichtlinien?
Bei uns arbeiten auch alle Entwickler mit Domänenaccounts.
1
