Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB-Datenträger via Gruppenrichtlinie blockieren?

Frage Microsoft Windows Userverwaltung

Mitglied: -BassT-

-BassT- (Level 1) - Jetzt verbinden

13.05.2011 um 13:21 Uhr, 6789 Aufrufe, 11 Kommentare

Hallo,

ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:

Ich muss in der Firma, deren Rechner ich administriere, die Nutzung von USB-Datenträgern unterbinden.
Und zwar soll das Ganze Benutzer-spezifisch ablaufen, also dass ich nur bestimmte Nutzer für USB-Datenträger freischalten kann, dies bei allen anderen Nutzern aber blockiert wird.

Tools wie USB-Wächter sind mir bekannt, hier muss aber jeder Rechner einzeln konfiguriert werden und hier funktionieren USB-EIngeräte manchmal nicht.

Habe nun schon den passenden Registry-Eintrag für Wechselmedien gefunden (Wechselmedien können gern generell blockiert werden),
hier meine entsprechenden ADM-Inhalte:

01.
CLASS USER 
02.
 
03.
CATEGORY "Dienste und Gerätetreiber"  
04.
CATEGORY "USB"  
05.
    POLICY "USB-Massenspeichertreiber"  
06.
    KEYNAME "System\CurrentControlSet\Services\usbstor"  
07.
     PART "Startzeitpunkt" DROPDOWNLIST  
08.
       VALUENAME "Start"  
09.
           ITEMLIST  
10.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0  
11.
           NAME "Systemstart"   VALUE NUMERIC 1  
12.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT  
13.
           NAME "Manuell"       VALUE NUMERIC 3  
14.
           NAME "Deaktiviert"   VALUE NUMERIC 4  
15.
           END ITEMLIST  
16.
     END PART 
17.
	EXPLAIN "USB-Treiber aktivieren oder deaktivieren" 
18.
    END POLICY  
19.
 
20.
    POLICY "USB schreibschützen"  
21.
    KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies 
22.
        VALUENAME WriteProtect  
23.
        VALUEON 1 VALUEOFF 0  
24.
	EXPLAIN "USB-Schreibschutz an/ausschalten" 
25.
    END POLICY  
26.
 
27.
    POLICY "Wechselmedien-Dienst"  
28.
    KEYNAME "System\CurrentControlSet\Services\NtmsSvc"  
29.
     PART "Startzeitpunkt" DROPDOWNLIST  
30.
       VALUENAME "Start"  
31.
           ITEMLIST  
32.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0  
33.
           NAME "Systemstart"   VALUE NUMERIC 1  
34.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT  
35.
           NAME "Manuell"       VALUE NUMERIC 3  
36.
           NAME "Deaktiviert"   VALUE NUMERIC 4  
37.
           END ITEMLIST  
38.
     END PART 
39.
	EXPLAIN "Nutzung von Wechselmedien blockieren (Nötigen Dienst deaktivieren)" 
40.
    END POLICY 
41.
END CATEGORY  
42.
END CATEGORY 
Angezeigt wird's auch, jedoch wird die Einstellung auch nach "gpupdate /force" nicht übernommen.

Was mich auch wundert ist, dass die 3 oben genannten Einstellungen nur angezeigt werden, wenn ich unter Ansicht > Filterung das Häkchen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entferne, ansonsten ist die Kategorie leer.

Vielen Dank für eure Hilfe

Sebastian
Mitglied: LordXearo
13.05.2011 um 13:30 Uhr
Hallo,

von welchem BS reden wir hier 2003/2008 ? In den GPO Templates gibt es schon die Einstellungen für "Massenspeicher blockieren". Und dann könntest du eine Gruppe erstellen, bei welchen usern das alles blockiert wird. Und nur bei dieser Gruppe, soll die GPO angewendet werden.


Mfg

Xearo
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 13:36 Uhr
Clients sind Windows XP - Rechner,
Server ist Windows Server 2003.

Wo finde ich diese Einstellungen?
Habe noch nichts dergleichen gefunden

Viele Grüße und Danke schonmal

Sebastian
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 15:38 Uhr
Hallo!

für XP gibt es die oben beschriebene Gruppenrichtlinie noch nicht...

aber:
es gäbe einen workaround, in dem Du
a) die Laufwerksbuchstaben (dh, alle ausser c: und dem für das DVD-LW) ausblendest und
b) die Verwendung der command-shell über den hash-wert verbietest.

siehe hier-> http://www.schulnetz.info/wie-gestalte-ich-eine-prufung-unter-verwendun ...

der Wert, der die entsprechenden Buchstaben ausblendet, lässt sich mit diesem Tool errechnen:
http://www.wisdombay.com/hidedrive/index.php

hier noch etwas:
http://www.winxperts4all.at/index.php?option=com_content&view=artic ...

lg
edi
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 16:16 Uhr
Das Problem ist, dass wir unterschiedliche Rechner mit einer unterschiedlichen Laufwerksanzahl haben.
Manche haben c-e, manche nur c:\

Dazu werden noch Netzlaufwerke beim Start über Logonscript eingebunden...

Gehts denn über "meine" Variante nicht?
Hab da wohl irgendwo einen Fehler drin...oder geht das generell nicht?
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 16:20 Uhr
noch eine Anmerkung für Nachkommende:

Und zwar soll das Ganze Benutzer-spezifisch ablaufen...
und
01.
    PART "Startzeitpunkt" DROPDOWNLIST   
02.
08. 
03.
       VALUENAME "Start"   
04.
09. 
05.
           ITEMLIST   
06.
10. 
07.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0   
08.
11. 
09.
           NAME "Systemstart"   VALUE NUMERIC 1   
10.
12. 
11.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT   
12.
13. 
13.
           NAME "Manuell"       VALUE NUMERIC 3   
14.
14. 
15.
           NAME "Deaktiviert"   VALUE NUMERIC 4
sind 2 Dinge, die nicht zusammenpassen...
wenn der Startzeitpunkt zb auf "systemstart" stehen soll, dann muss dieser LAAANGE vor der Anmeldung des jeweiligen Benutzers gelegen haben

dh, dieses ADM - so es funktioniert - kannst du bestenfalls als ADM bei der Computerkonfiguration zum Einsatz bringen...
(so nebenbei...)
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 16:32 Uhr
Das heißt, die Dienste laufen quasi immer unabhängig wer angemeldet ist?
Dachte, das könnte man dadurch beeinflussen...
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 22:45 Uhr
hallo!
du kannst per Logonscript natürlich einzelne Dienste Starten bzw. Stoppen...
aber: das Problem dabei ist, dass der jeweilige User, der sich anmeldet, dafür über Administratorenrechte verfügen muss...
und wenn er die hat (weil Du ihn in die Gruppe der lokalen Admins steckst), dann kann er sich natürlich danach den Dienst wieder aktivieren...

also, für meine bescheidenen Kenntnisse würde ich meinen:
nein, Dein Lösungsweg funktioniert so leider nicht....

was die unterschiedlichen Rechner angeht:

mach einfach für jedes Modell eine eigene Gruppenrichtlinie...

damit du die verschiedenen Gruppenrichtlinien zuweisen kannst, musst Du
a) die jeweiligen Modelle in eine eigene Unter-OU schieben
b) über einen WMI-Filter die Gruppenrichtlinie aufrufen...
(zu b) hab ich heute vormittag zufällig einen Artikel auf meinem Blog geschrieben...
das Script wmi_computerinfos_in_txt.vbs sollte Dir die Infos über die unterschiedlichen Clients liefern...
danach filterst Du und gut ists...)

würde mich freuen, wenn Du uns wissen lassen würdest, ob dieser Ansatz Dein Problem beseitigen konnte (damit Nachfolgende sich leichter tun...

gutes Gelingen
lg
Bitte warten ..
Mitglied: -BassT-
16.05.2011 um 08:38 Uhr
Hallo!

Die Nutzer haben natürlich keine Admin-Rechte, daher fällt der Weg via Logonscript sowieso weg.
Wir haben > 30 Rechner und noch mehr Konfigurationen, da wird das mit den unterschiedlichen Gruppen doch sehr schwierig...

Schade, dachte ich könnte es einfach über die oben beschriebene Gruppenrichtlinie lösen, wäre natürlich der einfachste Weg...

Naja, muss schauen und werd dann Rückmeldung geben.

Gruß

Sebastian
Bitte warten ..
Mitglied: -BassT-
31.05.2012 um 11:51 Uhr
Möchte nach über einem Jahr doch mal Rückmeldung geben:

Am Ende hat das Rumspielen mit Gruppenrichtlinien oder so nichts gebracht,
ich habe an jedem Rechner das Tool "USB Wächter" (http://www.trinit-soft.de/usb-waechter/) installiert,
damit gings dann...

Viele Grüße

Sebastian
Bitte warten ..
Mitglied: Edi.Pfisterer
31.05.2012 um 11:55 Uhr
Hallo!
eine kleine Erweiterung hätte ich auch noch:

Ab Windows Vista gäbe es auch
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

lg
Bitte warten ..
Mitglied: -BassT-
31.05.2012 um 12:00 Uhr
Danke, da nun die ersten Windows 7 - Rechner eintrudeln, könnte man dort ja hoffentlich auf das Tool verzichten
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Brutal Kangaroo: CIA-Werkzeug infiziert Rechner per USB-Stick (4)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

TK-Netze & Geräte
Externes USB Modem zum Faxen (7)

Frage von tsunami zum Thema TK-Netze & Geräte ...

Peripheriegeräte
gelöst Suche USB Platine zum Anschluss von Schaltern und Tastern (2)

Frage von predator66 zum Thema Peripheriegeräte ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (10)

Frage von sysbone zum Thema Zusammenarbeit ...