Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

USB-Laufwerke sperren

Frage Hardware Multimedia & Zubehör

Mitglied: Anna2701

Anna2701 (Level 1) - Jetzt verbinden

10.07.2014 um 11:25 Uhr, 4810 Aufrufe, 31 Kommentare, 7 Danke

Hallo zusammen,

ich habe hier schon viele Fragen dazu gesehen und habe mir auch schon einige Lösungen angesehen aber nicht gefunden, wie ich die USB-Laufwerke mit Hilfe einer Batchdatei sperren kann.

Vielleicht suche ich falsch oder mir kann jemand helfen?
31 Antworten
Mitglied: DerWoWusste
LÖSUNG 10.07.2014, aktualisiert 19.08.2014
Hi.

Ich habe vor wenigen Tagen etwas umgesetzt, was mit Events arbeitet.
Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.

Interesse? Wenn nicht, Beschreib genauer.
Bitte warten ..
Mitglied: killtec
10.07.2014 um 11:37 Uhr
Hi @DerWoWusste,
ich würde mir das gern mal anschauen. Klingt gut.
Du lässt also nur Devices (egal ob USB-Stick etc.) zu, die in der Whitelist sind, korrekt?

Gruß
Bitte warten ..
Mitglied: Anna2701
10.07.2014 um 11:40 Uhr
Sehr großes Interesse
Bitte warten ..
Mitglied: Anna2701
10.07.2014 um 11:40 Uhr
Das funktioniert nicht zufällig auch für CD bzw. DVD Laufwerke?
Bitte warten ..
Mitglied: Vidan011
10.07.2014 um 11:41 Uhr
würde mich auch Interessieren :D
Bitte warten ..
Mitglied: Dani
10.07.2014, aktualisiert um 11:49 Uhr
Hi @DerWoWusste,
Ich habe vor wenigen Tagen etwas umgesetzt, was mit Events arbeitet.
Jemand schließt einen Stick an ->Event wird generiert ->Triggert eine Batch, die die ID des Gerätes gegen eine Whitelist prüft->nicht drin ->deinstallation.
Hört sich gut an... Bekunde Interesse!


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
10.07.2014 um 11:53 Uhr
Ok...
nun erst mal Mittagspause, aber dann.
Bitte warten ..
Mitglied: MS6800
10.07.2014 um 12:14 Uhr
will mehr ....
Bitte warten ..
Mitglied: psannz
10.07.2014, aktualisiert um 12:55 Uhr
Zitat von DerWoWusste:

Ok...
nun erst mal Mittagspause, aber dann.

Du genießt es richtig uns auf die Folter zu spannen, oder?

Grüße,
Philip
Bitte warten ..
Mitglied: Anna2701
10.07.2014 um 12:56 Uhr
Das Gefühl teile ich :D
Bitte warten ..
Mitglied: DerWoWusste
10.07.2014, aktualisiert 13.09.2016
Zunächst zu killtecs Frage nach dem Ansatz: wir wollen hier nur bestimmte Sticks sehen und Smartphones komplett verbieten. Andere Geräte werden nicht eingeschränkt - ich hatte auch das mal versucht und kann nur sagen: Microsoft's GPO-Konzept dazu ist selbst mit 8.1/2012R2 erst halb gar. Ich will da aber nicht näher ins Detail gehen.

Realisiert ist es so: es wurden zwei geplante Tasks verteilt, einer "gegen" Smartphones und einer gegen USB-Sticks. Diese arbeiten mit der devcon.exe http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ... in der Version 6.1.7600.16385. Wichtig: eine Version pro Architektur, die 32er-Version läuft zwar auf 64-Bit, aber fehlerhaft!
Schritt 1: devcon.exe verteilen per GPO nach c:\windows
2: 2 Tasks (Phones und Sticks) per GPO verteilen.
--
Phones: Tasktrigger bei Event, und zwar:
Log: Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000
Aktion: lokale Batch mit
01.
for /f "tokens=1 delims=:, " %%a in ('devcon listclass wpd') do devcon.exe remove "@%%a"
Executor: System
Edit: Nebenwirkungen und neuer Workaround siehe https://www.administrator.de/content/detail.php?id=287984&token=810# ...
--
Sticks: Tasktrigger bei Event, und zwar: Log: Microsoft-Windows-Kernel-PnP/Device, Source: Kernel-PnP, EventID: 410
Aktion: lokale Batch mit
01.
xcopy \\server\share\allowlist.txt c:\windows\ /y 
02.
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt 
03.
devcon.exe findall * |findstr /c:"Generic Flash Disk USB Device" >>%temp%\usb.txt 
04.
del %temp%\usb2.txt 
05.
for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt 
06.
for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb2.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"
Executor: System

Das war's auch schon. In der allowlist.txt stehen bei uns bestimmte Klassen von Sticks (Hersteller: sandisk, Modell Cruzer Orbit) drin, man kann aber sogar Einzelgeräte bis zur Seriennummer damit verbieten, wenn man es weiter anpasst. Beispieleintrag:
01.
USBSTOR\DiskSanDisk_Cruzer_Orbit____1.26
(Dies ist die Hardware-ID, erste Zeile).
Die Batches lasse ich auch per GPO nach c:\windows verteilen.

Limitierungen:
1 lokale Admins können Tasks abschalten, also solltet Ihr diese ggf. überwachen, ebenso die Batches und devcon, wenn es wasserdicht sein muss und ihr Leute mit Adminrechten ausstattet, denen nicht zu trauen ist
2 Card Reader sind damit noch nicht abgedeckt (war hier keine Anforderung)

Getestet auf win8.1 x64/x86
Bitte warten ..
Mitglied: Anna2701
10.07.2014 um 13:06 Uhr
Wow, echt bemerkenswert.
Ich muss dir aber leider sagen, dass ich keine Ahnung habe, wie ich das realisiere
Bitte warten ..
Mitglied: DerWoWusste
10.07.2014 um 13:08 Uhr
Anna, Du kannst ja gerne fragen, es steht schon alles da. Welcher Schritt ist unklar?
Bitte warten ..
Mitglied: Anna2701
10.07.2014 um 13:11 Uhr
Ich weiß schon gar nicht wie ich devcon.exe per GPO nach c:\windows verteile
Bitte warten ..
Mitglied: DerWoWusste
10.07.2014, aktualisiert um 13:33 Uhr
Ok, dann fehlen Dir aber echte Grundlagen von GPOs und in dem Fall ist diese Aufgabe vielleicht auch zu groß für Dich. Verteilen kannst Du mittels group policy preferences http://technet.microsoft.com/en-us/library/cc772536.aspx - Auch Tasks verteilt man damit.
Bitte warten ..
Mitglied: Vidan011
10.07.2014 um 13:36 Uhr
Vielen Dank würde ich sagen, das sollte für meine Zwecke in Zukunft ausreichen;)

Cardreader wäre schön gewesen , aber die werden dan einfach Ausgebaut :D
Bitte warten ..
Mitglied: DerWoWusste
10.07.2014 um 13:38 Uhr
Wg. Cardreader: hatte ich auch kurz versucht, scheitere daran, dass die Dinger generic-Treiber nehmen und es mir nicht gelang, diese eindeutig zu identifizieren, also in die Whitelist/allowlist.txt aufzunehmen.
Bitte warten ..
Mitglied: killtec
10.07.2014 um 13:46 Uhr
HI @DerWoWusste,
werde das mal testen, sieht gut aus
Frohes Schaffen noch.

Gruß
Bitte warten ..
Mitglied: psannz
10.07.2014 um 15:05 Uhr
Vielen Dank für deine Arbeit

Grüße,
Philip
Bitte warten ..
Mitglied: mrtux
10.07.2014, aktualisiert um 19:11 Uhr
Hi!

Zitat von Anna2701:
Ich weiß schon gar nicht wie ich devcon.exe per GPO nach c:\windows verteile

Die Frage ist doch, ob Du GPOs in deinem Falle überhaupt brauchst? GPOs werden nur im Netzwerk verwendet. Handelt es sich um einen einzelnen Rechner oder nur um eine kleine Arbeitsgruppe, kannst Du das Thema GPOs gleich mal abhaken und dann den Rat von Kollege @aqui beherzigen und alles manuell (also von Hand) machen....

Dann ist noch wichtig, wie es der Kollege DWW ja schon schreibt, ob auf dem Rechner die Benutzerrechte eingeschränkt sind. Denn wenn alle User Adminrechte haben, kannst Du dir das Thema komplett sparen. Ein User mit Adminrechten darf alles, auch Batchdateien löschen, die, wie in dem Fall, fürs deinstallieren von USB-Sticks eingerichtet wurden. Ist die Batchdatei weg, ist auch die "Sperre" weg. Du musst also erst mal den oder die PCs so einrichten, dass die User nicht mehr alles machen dürfen, ansonsten wäre dein Thema "USB Sticks sperren" gleich komplett gegessen, zumindest per Batch...

mrtux
Bitte warten ..
Mitglied: aqui
10.07.2014 um 18:37 Uhr
Ich weiß schon gar nicht wie ich devcon.exe per GPO nach c:\windows verteile
Sprich, man kann es ganz einfach und simpel dahinkopieren...
Der Rest ist ja nur einfach abtippen und das sollte jeder können ?!

Die Lösung ist wirklich pfiffig !
Bitte warten ..
Mitglied: RamboJay
11.07.2014 um 18:42 Uhr
Wir setzen DriveLock (kein Gefummel und Support) kostet halt auch Geld...
Bitte warten ..
Mitglied: aqui
11.07.2014, aktualisiert um 21:05 Uhr
...und MS eigenes devcon kost nix außer ein bischen Code einzutippen
Bitte warten ..
Mitglied: RamboJay
11.07.2014 um 22:35 Uhr
Und wenn es mal nicht funktioniert oder es Probleme gibt steht man alleine da...

Zudem kann DriveLock mehr und ist sehr durchdacht...

z.B. Zeitbegrenzte Freigabe von geblockten Anschlüssen/Laufwerken per Klick (für Rechner die sich im Netz befinden) oder per Freischaltcode (für Rechner die unterwegs sind).

Erstellen von verschlüsselten USB-Sticks...

Usw....
Bitte warten ..
Mitglied: DerWoWusste
11.07.2014, aktualisiert um 23:28 Uhr
Wieso stehst Du alleine da, keinen Support von MS?
Jeder wie er mag. Meine Meinung ist "je weniger 3rd party, desto besser".
Bitte warten ..
Mitglied: goalix
12.07.2014 um 00:18 Uhr
Stößt bei mir ebenfalls auf großes Interesse!

Besten Gruß
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 13:05 Uhr
Achtung: an alle, die evtl. mein Skript mochten und einsetzen... mir ist gerade eine Unschönheit aufgefallen, die durchaus ein Problem darstellt.
Ich habe nun im zweiten Codeblock Zeile 3 hinzugefügt: del %temp%\usb2.txt
Ohne diese Zeile wächst die usb2.txt stetig an... und irgendwann ist die Performance so schlecht, dass die Löschung des angesteckten Sticks (und damit das Deaktivieren des selbigen) nicht mehr sofort, sondern erst nach einigen Sekunden erfolgt... das wollen wir nicht
Bitte warten ..
Mitglied: micmac
22.04.2015 um 12:56 Uhr
Guten Tag, ich bin ganz neu hier, ich fürchte, mir ist ein Fehler bei der Positionierung meiner Frage passiert. Hab sie irrtümlich bei der Reiter WISSEN gestellt. Bitte um Korrektur und die Annahme meiner Entschuldigung.
Zu meiner Frage:

Diese Umsetzung und Idee findet ich höchst interessant. Ich versuche diese Schritte nachzuvollziehen, mit dem Ziel, event-triggering in anderen Situationen einzusetzen. Hab mich schon durch einige Artikel gelesen und kann der Logik des Aufbaus prinzipiell folgen. Nur:

ich scheitere bisher an den Triggern: z.B. Trigger: Tasktrigger bei Event und zwar Log: Microsoft-Windows-Kernel-PnP/Device Configuration, Source: Kernel-PnP, Event ID:410.
Oder:
Microsoft-Windows-WPD-MTPClassDriver/Operational | Source: WPD-MTPClassDriver | EventID:1000

Ich kann diese Logeinträge nicht finden. Ich habe dann versucht, in den Logs die eventIDs von connect/disconnect eines USB devices zu finden. Ebenfalls ohne Erfolg, scheinen für Win 7 professional keine eindeutigen Events zu sein.

Wenn man (ihr ) mir hier ein klein wenig auf die Sprünge helfen würdest, wär das sehr fein. Ich hoff, die Frage ist nicht allzu blöd.

grüsse

micmac
Bitte warten ..
Mitglied: aqui
22.04.2015 um 13:41 Uhr
Hab sie irrtümlich bei der Reiter WISSEN gestellt. Bitte um Korrektur und die Annahme meiner Entschuldigung.
Das kannst du als TO SELBER machen wenn du am Thread auf "Bearbeiten" klickst !!
Einfach mal die FAQs lesen....
Bitte warten ..
Mitglied: DerWoWusste
13.09.2016 um 10:46 Uhr
Edit 13.09.2016
Skript ergänzt um Zeile
01.
devcon.exe findall * |findstr /c:"Generic Flash Disk USB Device" >>%temp%\usb.txt
Somit werden auch Sticks erwischt, die Windows mit dem generic Treiber installiert (kam in Tests nie vor, hat sich jedoch jetzt hier und da mal ereignet).
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Humor (lol)
Der Unterschied zwischen USA und USB

Link von BirdyB zum Thema Humor (lol) ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Speicherkarten
Tool zum neuformatieren eines USB-Sticks (6)

Frage von flyingKangaroo zum Thema Speicherkarten ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...