31
USB-Laufwerke sperren
Hallo zusammen,
ich habe hier schon viele Fragen dazu gesehen und habe mir auch schon einige Lösungen angesehen aber nicht gefunden, wie ich die USB-Laufwerke mit Hilfe einer Batchdatei sperren kann.
Vielleicht suche ich falsch oder mir kann jemand helfen?
ich habe hier schon viele Fragen dazu gesehen und habe mir auch schon einige Lösungen angesehen aber nicht gefunden, wie ich die USB-Laufwerke mit Hilfe einer Batchdatei sperren kann.
Vielleicht suche ich falsch oder mir kann jemand helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 243241
Url: https://administrator.de/contentid/243241
Printed on: April 19, 2024 at 11:04 o'clock
31 Comments
Latest comment
Hi.
Ich habe vor wenigen Tagen etwas umgesetzt, was mit Events arbeitet.
Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Interesse? Wenn nicht, Beschreib genauer.
Ich habe vor wenigen Tagen etwas umgesetzt, was mit Events arbeitet.
Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Interesse? Wenn nicht, Beschreib genauer.
2
Hi @DerWoWusste,
ich würde mir das gern mal anschauen. Klingt gut.
Du lässt also nur Devices (egal ob USB-Stick etc.) zu, die in der Whitelist sind, korrekt?
Gruß
ich würde mir das gern mal anschauen. Klingt gut.
Du lässt also nur Devices (egal ob USB-Stick etc.) zu, die in der Whitelist sind, korrekt?
Gruß
Sehr großes Interesse 
Das funktioniert nicht zufällig auch für CD bzw. DVD Laufwerke?
würde mich auch Interessieren :D
Hi @DerWoWusste,
Gruß,
Dani
Ich habe vor wenigen Tagen etwas umgesetzt, was mit Events arbeitet.
Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Hört sich gut an... Bekunde Interesse!Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Gruß,
Dani
Ok...
nun erst mal Mittagspause, aber dann.
nun erst mal Mittagspause, aber dann.
2
will mehr ....
Du genießt es richtig uns auf die Folter zu spannen, oder?
Grüße,
Philip
Das Gefühl teile ich :D
Zunächst zu killtecs Frage nach dem Ansatz: wir wollen hier nur bestimmte Sticks sehen und Smartphones komplett verbieten. Andere Geräte werden nicht eingeschränkt - ich hatte auch das mal versucht und kann nur sagen: Microsoft's GPO-Konzept dazu ist selbst mit 8.1/2012R2 erst halb gar. Ich will da aber nicht näher ins Detail gehen.
Realisiert ist es so: es wurden zwei geplante Tasks verteilt, einer "gegen" Smartphones und einer gegen USB-Sticks. Diese arbeiten mit der devcon.exe http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ... in der Version 6.1.7600.16385. Wichtig: eine Version pro Architektur, die 32er-Version läuft zwar auf 64-Bit, aber fehlerhaft!
Schritt 1: devcon.exe verteilen per GPO nach c:\windows
2: 2 Tasks (Phones und Sticks) per GPO verteilen.
--
Phones: Tasktrigger bei Event, und zwar:
Log: Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Aktion: lokale Batch mit
Executor: System
Edit: Nebenwirkungen und neuer Workaround siehe Sperrung von WPD Devices - Folge: IPhones nicht mehr über USB aufladbar
--
Sticks: Tasktrigger bei Event, und zwar: Log: Microsoft-Windows-Kernel-PnP/Device, Source: Kernel-PnP, EventID: 410
Aktion: lokale Batch mit
Executor: System
Das war's auch schon. In der allowlist.txt stehen bei uns bestimmte Klassen von Sticks (Hersteller: sandisk, Modell Cruzer Orbit) drin, man kann aber sogar Einzelgeräte bis zur Seriennummer damit verbieten, wenn man es weiter anpasst. Beispieleintrag: (Dies ist die Hardware-ID, erste Zeile).
Die Batches lasse ich auch per GPO nach c:\windows verteilen.
Limitierungen:
1 lokale Admins können Tasks abschalten, also solltet Ihr diese ggf. überwachen, ebenso die Batches und devcon, wenn es wasserdicht sein muss und ihr Leute mit Adminrechten ausstattet, denen nicht zu trauen ist
2 Card Reader sind damit noch nicht abgedeckt (war hier keine Anforderung)
Getestet auf win8.1 x64/x86
Realisiert ist es so: es wurden zwei geplante Tasks verteilt, einer "gegen" Smartphones und einer gegen USB-Sticks. Diese arbeiten mit der devcon.exe http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ... in der Version 6.1.7600.16385. Wichtig: eine Version pro Architektur, die 32er-Version läuft zwar auf 64-Bit, aber fehlerhaft!
Schritt 1: devcon.exe verteilen per GPO nach c:\windows
2: 2 Tasks (Phones und Sticks) per GPO verteilen.
--
Phones: Tasktrigger bei Event, und zwar:
Log: Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Aktion: lokale Batch mit
for /f "tokens=1 delims=:, " %%a in ('devcon listclass wpd') do devcon.exe remove "@%%a" Edit: Nebenwirkungen und neuer Workaround siehe Sperrung von WPD Devices - Folge: IPhones nicht mehr über USB aufladbar
--
Sticks: Tasktrigger bei Event, und zwar: Log: Microsoft-Windows-Kernel-PnP/Device, Source: Kernel-PnP, EventID: 410
Aktion: lokale Batch mit
xcopy \\server\share\allowlist.txt c:\windows\ /y
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt
devcon.exe findall * |findstr /c:"Generic Flash Disk USB Device" >>%temp%\usb.txt
del %temp%\usb2.txt
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb2.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c" Das war's auch schon. In der allowlist.txt stehen bei uns bestimmte Klassen von Sticks (Hersteller: sandisk, Modell Cruzer Orbit) drin, man kann aber sogar Einzelgeräte bis zur Seriennummer damit verbieten, wenn man es weiter anpasst. Beispieleintrag:
USBSTOR\DiskSanDisk_Cruzer_Orbit____1.26Die Batches lasse ich auch per GPO nach c:\windows verteilen.
Limitierungen:
1 lokale Admins können Tasks abschalten, also solltet Ihr diese ggf. überwachen, ebenso die Batches und devcon, wenn es wasserdicht sein muss und ihr Leute mit Adminrechten ausstattet, denen nicht zu trauen ist
2 Card Reader sind damit noch nicht abgedeckt (war hier keine Anforderung)
Getestet auf win8.1 x64/x86
4
Wow, echt bemerkenswert.
Ich muss dir aber leider sagen, dass ich keine Ahnung habe, wie ich das realisiere
Ich muss dir aber leider sagen, dass ich keine Ahnung habe, wie ich das realisiere
Anna, Du kannst ja gerne fragen, es steht schon alles da. Welcher Schritt ist unklar?
Ich weiß schon gar nicht wie ich devcon.exe per GPO nach c:\windows verteile
Ok, dann fehlen Dir aber echte Grundlagen von GPOs und in dem Fall ist diese Aufgabe vielleicht auch zu groß für Dich. Verteilen kannst Du mittels group policy preferences http://technet.microsoft.com/en-us/library/cc772536.aspx - Auch Tasks verteilt man damit.
Vielen Dank würde ich sagen, das sollte für meine Zwecke in Zukunft ausreichen;)
Cardreader wäre schön gewesen , aber die werden dan einfach Ausgebaut :D
Cardreader wäre schön gewesen , aber die werden dan einfach Ausgebaut :D
Wg. Cardreader: hatte ich auch kurz versucht, scheitere daran, dass die Dinger generic-Treiber nehmen und es mir nicht gelang, diese eindeutig zu identifizieren, also in die Whitelist/allowlist.txt aufzunehmen.
1
Vielen Dank für deine Arbeit
Grüße,
Philip
Grüße,
Philip
Hi!
Die Frage ist doch, ob Du GPOs in deinem Falle überhaupt brauchst? GPOs werden nur im Netzwerk verwendet. Handelt es sich um einen einzelnen Rechner oder nur um eine kleine Arbeitsgruppe, kannst Du das Thema GPOs gleich mal abhaken und dann den Rat von Kollege @aqui beherzigen und alles manuell (also von Hand) machen....
Dann ist noch wichtig, wie es der Kollege DWW ja schon schreibt, ob auf dem Rechner die Benutzerrechte eingeschränkt sind. Denn wenn alle User Adminrechte haben, kannst Du dir das Thema komplett sparen. Ein User mit Adminrechten darf alles, auch Batchdateien löschen, die, wie in dem Fall, fürs deinstallieren von USB-Sticks eingerichtet wurden. Ist die Batchdatei weg, ist auch die "Sperre" weg. Du musst also erst mal den oder die PCs so einrichten, dass die User nicht mehr alles machen dürfen, ansonsten wäre dein Thema "USB Sticks sperren" gleich komplett gegessen, zumindest per Batch...
mrtux
Die Frage ist doch, ob Du GPOs in deinem Falle überhaupt brauchst? GPOs werden nur im Netzwerk verwendet. Handelt es sich um einen einzelnen Rechner oder nur um eine kleine Arbeitsgruppe, kannst Du das Thema GPOs gleich mal abhaken und dann den Rat von Kollege @aqui beherzigen und alles manuell (also von Hand) machen....
Dann ist noch wichtig, wie es der Kollege DWW ja schon schreibt, ob auf dem Rechner die Benutzerrechte eingeschränkt sind. Denn wenn alle User Adminrechte haben, kannst Du dir das Thema komplett sparen. Ein User mit Adminrechten darf alles, auch Batchdateien löschen, die, wie in dem Fall, fürs deinstallieren von USB-Sticks eingerichtet wurden. Ist die Batchdatei weg, ist auch die "Sperre" weg. Du musst also erst mal den oder die PCs so einrichten, dass die User nicht mehr alles machen dürfen, ansonsten wäre dein Thema "USB Sticks sperren" gleich komplett gegessen, zumindest per Batch...
mrtux
Ich weiß schon gar nicht wie ich devcon.exe per GPO nach c:\windows verteile
Sprich, man kann es ganz einfach und simpel dahinkopieren...Der Rest ist ja nur einfach abtippen und das sollte jeder können ?!
Die Lösung ist wirklich pfiffig !
Wir setzen DriveLock (kein Gefummel und Support) kostet halt auch Geld...
...und MS eigenes devcon kost nix außer ein bischen Code einzutippen
Und wenn es mal nicht funktioniert oder es Probleme gibt steht man alleine da...
Zudem kann DriveLock mehr und ist sehr durchdacht...
z.B. Zeitbegrenzte Freigabe von geblockten Anschlüssen/Laufwerken per Klick (für Rechner die sich im Netz befinden) oder per Freischaltcode (für Rechner die unterwegs sind).
Erstellen von verschlüsselten USB-Sticks...
Usw....
Zudem kann DriveLock mehr und ist sehr durchdacht...
z.B. Zeitbegrenzte Freigabe von geblockten Anschlüssen/Laufwerken per Klick (für Rechner die sich im Netz befinden) oder per Freischaltcode (für Rechner die unterwegs sind).
Erstellen von verschlüsselten USB-Sticks...
Usw....
Wieso stehst Du alleine da, keinen Support von MS?
Jeder wie er mag. Meine Meinung ist "je weniger 3rd party, desto besser".
Jeder wie er mag. Meine Meinung ist "je weniger 3rd party, desto besser".
1
Stößt bei mir ebenfalls auf großes Interesse!
Besten Gruß
Besten Gruß
Achtung: an alle, die evtl. mein Skript mochten und einsetzen... mir ist gerade eine Unschönheit aufgefallen, die durchaus ein Problem darstellt.
Ich habe nun im zweiten Codeblock Zeile 3 hinzugefügt: del %temp%\usb2.txt
Ohne diese Zeile wächst die usb2.txt stetig an... und irgendwann ist die Performance so schlecht, dass die Löschung des angesteckten Sticks (und damit das Deaktivieren des selbigen) nicht mehr sofort, sondern erst nach einigen Sekunden erfolgt... das wollen wir nicht
Ich habe nun im zweiten Codeblock Zeile 3 hinzugefügt: del %temp%\usb2.txt
Ohne diese Zeile wächst die usb2.txt stetig an... und irgendwann ist die Performance so schlecht, dass die Löschung des angesteckten Sticks (und damit das Deaktivieren des selbigen) nicht mehr sofort, sondern erst nach einigen Sekunden erfolgt... das wollen wir nicht
Guten Tag, ich bin ganz neu hier, ich fürchte, mir ist ein Fehler bei der Positionierung meiner Frage passiert. Hab sie irrtümlich bei der Reiter WISSEN gestellt. Bitte um Korrektur und die Annahme meiner Entschuldigung.
Zu meiner Frage:
Diese Umsetzung und Idee findet ich höchst interessant. Ich versuche diese Schritte nachzuvollziehen, mit dem Ziel, event-triggering in anderen Situationen einzusetzen. Hab mich schon durch einige Artikel gelesen und kann der Logik des Aufbaus prinzipiell folgen. Nur:
ich scheitere bisher an den Triggern: z.B. Trigger: Tasktrigger bei Event und zwar Log: Microsoft-Windows-Kernel-PnP/Device Configuration, Source: Kernel-PnP, Event ID:410.
Oder:
Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Ich kann diese Logeinträge nicht finden. Ich habe dann versucht, in den Logs die eventIDs von connect/disconnect eines USB devices zu finden. Ebenfalls ohne Erfolg, scheinen für Win 7 professional keine eindeutigen Events zu sein.
Wenn man (ihr) mir hier ein klein wenig auf die Sprünge helfen würdest, wär das sehr fein. Ich hoff, die Frage ist nicht allzu blöd.
grüsse
micmac
Zu meiner Frage:
Diese Umsetzung und Idee findet ich höchst interessant. Ich versuche diese Schritte nachzuvollziehen, mit dem Ziel, event-triggering in anderen Situationen einzusetzen. Hab mich schon durch einige Artikel gelesen und kann der Logik des Aufbaus prinzipiell folgen. Nur:
ich scheitere bisher an den Triggern: z.B. Trigger: Tasktrigger bei Event und zwar Log: Microsoft-Windows-Kernel-PnP/Device Configuration, Source: Kernel-PnP, Event ID:410.
Oder:
Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Ich kann diese Logeinträge nicht finden. Ich habe dann versucht, in den Logs die eventIDs von connect/disconnect eines USB devices zu finden. Ebenfalls ohne Erfolg, scheinen für Win 7 professional keine eindeutigen Events zu sein.
Wenn man (ihr
) mir hier ein klein wenig auf die Sprünge helfen würdest, wär das sehr fein. Ich hoff, die Frage ist nicht allzu blöd.grüsse
micmac
Siehe heutige Antwort hier: Bad-USB geskriptet abwehren (ab Windows 8)
Hab sie irrtümlich bei der Reiter WISSEN gestellt. Bitte um Korrektur und die Annahme meiner Entschuldigung.
Das kannst du als TO SELBER machen wenn du am Thread auf "Bearbeiten" klickst !!Einfach mal die FAQs lesen....
Edit 13.09.2016
Skript ergänzt um Zeile
Somit werden auch Sticks erwischt, die Windows mit dem generic Treiber installiert (kam in Tests nie vor, hat sich jedoch jetzt hier und da mal ereignet).
Skript ergänzt um Zeile
devcon.exe findall * |findstr /c:"Generic Flash Disk USB Device" >>%temp%\usb.txt 
