Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB Ports Sperren

Frage Microsoft Windows 8

Mitglied: Blindzerokiller

Blindzerokiller (Level 1) - Jetzt verbinden

16.02.2015 um 16:39 Uhr, 1510 Aufrufe, 26 Kommentare

Hallo leibes Administrator Forum,

suche eine Möglichkeit USB Ports zu Sperren ohne Externe Software.

Windows 8.1 und Server 2012 sind im Einsatz bei uns.


Die GPO wo man Wechseldatenträger verweigert erfüllt leider nicht ganz den Zweck da bei uns ein paar Arbeitsplätze lokale Dongel besitzen.


Am besten wäre es wenn ich sage:

Version 1:

Maus: ok
Tastatur: ok
und unsere 6 Dongel in eine Withelist nehme und sage ok:

Version 2:

oder kann man einem Rechner beibringen das PC-A 2 aktive USB Ports hat (da wären Maus Tastatur angeschlossen) PC-b hat 3 aktive (maus tastatur Dongel) und der rest der Ports deaktiviert.

(Könnte mir vorstellen das Version 2 Irgendwie mit Registry einträgen zu bewerkstelligen wäre =) oder? müss keine GPO sein kann dass auch als Turnschuh admin machen )


Ich hoffe meine Frage ist verständlich leider wird hier im Forum immer nur über drittsoftwareanbieter geredet hoffe es gibt auch einen Windows weg.


Mit freundlichen Grüßen

Blindzerokiller
26 Antworten
Mitglied: goscho
16.02.2015 um 17:27 Uhr
Hi Blindzerokiller,

mir ist keine Funktion in Windows bekannt, die deinen Wunsch erfüllt (Sperren von USB-Geräten mit Whitelist für bestimmte Geräte).

Wenn ihr jedoch eine Security-Lösung einsetzt, kann es durchaus sein, dass diese solche eine Funktion anbietet, bspw. Geräte- und Anwnedungskontrolle bei Symantec Endpointprotection.
Bitte warten ..
Mitglied: Blindzerokiller
17.02.2015 um 07:43 Uhr
#Webfuchs das hab ich mir leider schon angeschaut würde die GPO gerne benutzen wenn ich hier USB Dongels in eine Withelist eintragen könnte

#DerWoWusste danke das werd ich mal testen
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015, aktualisiert um 10:06 Uhr
Hey DerWoWusste,

ich habe das ganze mal getestet leider bringt es bei mir nicht den gewünschten erfolg wahrscheinlich ist noch eine Einstellung falsch.

Ich habe das ganze erstmal lokal an einem Rechner gemacht

Einfache Aufgabe erstellen:

Bei Protokollierung eines bestimmten Ereignisses

Protokoll: Microsoft-Windows-WPD-MTPClassDriver/Betriebsbereit
Quelle: WPD-MTPClassDriver
Ereignis-ID: 1000

-> Programm starten
Skript unter windows Phones.bat


Benutzer der es ausführt ist unser Domain\Administrator

Executer: System?

Meinst du damit den Benutzer System?

Mit Administrator läuft die aufgabe durch aber leider ist der Zugriff auf mein Iphone trotzdem möglich?

War vor der aufgabe dort schon installiert ist dies der Grund dafür?

Devcon und batch sind im Windowsordner

wo sieht man welche devcon version man benutzt

Windows Ordner ist aber nicht system32 darunter gemeint oder?



Ich teste gleich noch den Stick vill klappts da gleich auf anhieb

Mit freundlichen grüßen

Joey
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 10:08 Uhr
Mit Executor habe ich das ausführende Konto gemeint. Trag dort System ein, auf gar keinen Fall nutzt man hier den Domänenadmin.
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015, aktualisiert um 10:19 Uhr
Okay hab ich gemacht, danke schonmal für die schnelle Antwort.

Leider habe ich immernoch zugriff auf usb stick / usb festplatten (ich stecke die geräte immer ab bei einer änderung dann änder ich den task und danach steck ich Sie wieder an )

Mit höchsten Privilegien ausführen muss dies angehakt sein ?
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 10:29 Uhr
Mit höchsten Privilegien ausführen muss dies angehakt sein ?
Nein, nicht, wenn man System nutzt, denn dieses hat automatisch höchste Privilegien. Bei anderen Adminkonten müsste es angehakt sein.

Schau bitte mal, ob der Task überhaupt anläuft, bzw, was passiert, wenn Du ihn von Hand startest.
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015, aktualisiert um 10:59 Uhr
Ah okay danke für die Erklärung

Wenn ich ihn von Hand starte kommt

Wird ausgeführt:

Prozess für erstellte Aufgabe
die Aufgrabe wurde gestartet
die Aktion wurde gestartet
Die Aufgabe wurde vom Benutzer ausgelöst
Aktion abgeschlossen
Aufgabe abgeschlossen (erfolgreich fertiggestellt)

Wenn ich einen Stick anschließe kommt:

Die Aufgabe wurde durch ein Ereigniss ausgelöst (3 mal)
Prozess für erstellte Aufgabe
Die Aufgabe wurde gestartet
Die Aktion wurde gestartet
Warnung die Startanforderung wurde ignoriert. die Instanz wurd bereits ausgeführt.
-> Allgemein: die Aufgabenplaung hat die Aufgabe \Flashsticks nicht gestartet weil die Instanz "...." de gleichen Aufgabe bereits ausgeführt wird


Diese Warnung kommt noch 2 mal (denke mal weil er 3 mal gestartet hat warnt er 2 mal)


Aktion abgeschlossen
Aufgabe abgeschlossen
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 11:04 Uhr
Ja und? Läuft es nicht?
Die Diagnose ist doch ganz leicht. Wenn es nicht geht, startest Du eine cmd mit Systemrechten (psexec -s -i cmd) und lässt das Skript manuell laufen um zu sehen, was es tut/nicht tut.
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015, aktualisiert um 11:34 Uhr
xcopy \\TVD001\USB\allowlist.txt c:\windows\ /y
ok

(Erklärung: Admin trägt am Server neue Hardware IDS ein und diese Neue txt Datei wird auf den Client unter C Windows kopiert)

devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt

ok


for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt

%%a kann syntaktisch an dieser Stelle nicht verarbeitet werden.
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 11:36 Uhr
Wenn Du eine Batchzeile "manuell" abfeuerst, musst Du die %% durch % ersetzen.
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015 um 12:07 Uhr
devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt

USB\VID_04E8&PID_1F05\00000015E0931050055C : USB-Massenspeichergerät
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A : USB-Massenspeichergerät
USB\VID_18A5&PID_0300\07072B67F943E583 : USB-Massenspeichergerät
USB\VID_07AB&PID_FC86\152D203380B6 : USB-Massenspeichergerät
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB : USB-Massenspeichergerät
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC : USB-Massenspeichergerät
USB\VID_07AB&PID_FC9F\549428A450BDA668 : USB-Massenspeichergerät


for /f %a in (%temp%\usb.txt) do echo %a>>%temp%\usb2.txt

USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668
USB\VID_04E8&PID_1F05\00000015E0931050055C
USB\VID_0951&PID_1666\08606E6D3FEFBE4067092763
USB\VID_0951&PID_160F\0019E06B7127F9C047C40D3A
USB\VID_18A5&PID_0300\07072B67F943E583
USB\VID_07AB&PID_FC86\152D203380B6
USB\VID_0951&PID_160F\0019E06B58BDF9B177970CDB
USB\VID_0951&PID_1613\000FEAFB931CSK88100E00BC
USB\VID_07AB&PID_FC9F\549428A450BDA668


for /f "tokens=1,2,3 delims=\" %a in (%temp%\usb2.txt) do findstr "%a\%b" c:\windows\allowlist.txt || devcon.exe remove "@%a\%b\%c"

auf kommandozeile:

23 mal No device were removed




Windows Driver Kit Version 7.1.0 habe ich heruntergeladen ? wo sehe ich welche version die devcon ist

BS ist Windows 8.1 64 Bit in der Pro variate
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 13:00 Uhr
Und die Allowlist.txt ist ausgefüllt und auch unter c:\windows gespeichert?
Die Version von devcon ist welche? Ist es x64-devcon?
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015, aktualisiert um 13:20 Uhr
Ja die ist dort vorhanden. Aber bis jetzt steht noch nichts drin somit müsste er alle sperren oder habe ich dies flasch verstanden.

Hab jetzt mal eine Hardware ID hinzugefügt gleiches ergebnis



http://social.technet.microsoft.com/wiki/contents/articles/182.how-to-o ...

Diese Datei heruntergeladen

Windows Driver Kit Version 7.1.0
und dann nach C:\temp entpackt

Dort gab es dann unter

C:\Temp\WinDDK\7600.16385.win7_wdk.100208-1538\tools\devcon\amd64
devcon exe

Denke mal amd64 wird für die x64 Variante stehen
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015, aktualisiert um 13:36 Uhr
Ja, ist sie leer, sollte alles verboten sein. Und die Devon.exe sollte passen, hier ist es (auch auf 8.1 x64) die Dateiversion 6.1.7600.16385, genau wie von Dir angegeben. Du musst noch einen kleinen unbewussten Fehler machen.
Versuche bitte mal von Hand au der Systemkonto-Kommandozeile den Befehl
01.
devcon.exe remove "@USB\VID_04E8&PID_1F05\00000015E0931050055C"
Damit MUSS es schließlich gehen, sonst hast Du keine Systemrechte.

PS: ich habe mein Skript mit meinem damaligen Tipp verglichen: eine Änderung musste ich hinzufügen: im zweiten Codeblock kam eine neue Zeile hinzu, ich habe das editiert. Die Zeile
01.
del %temp%\usb2.txt
muss nach Zeile 2 hinzugefügt werden.
Bitte warten ..
Mitglied: exchange
18.02.2015 um 13:38 Uhr
Hallo,
schau Dir doch mal die folgende Möglichkeit an:
http://www.windowsecurity.com/articles-tutorials/authentication_and_enc ...

Die normale USB GPO geht nicht? Da gibt es ja die Regeln für Storage und auch eine für Custom USB Device oder so ähnlich. Unter die letzteren sollte eigentlich der Dongle fallen.

Gruß
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015 um 14:08 Uhr
Das entfernen klappt

1 device were removed


del %temp%\usb2.txt

hinzugefügt (hat dadurch auch nichtmehr so viele Einträge)



Willst dich mal per Teamviewer draufschalten und dir persönlich anschauen
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 14:13 Uhr
Wenn das klappt, muss das andere auch klappen... es ist das selbe nur manuell durchgeführt. Versuche bitte zunächst, es selbst zu finden, ich darf vom Büro aus keinen TeamV. nutzen.
Bitte warten ..
Mitglied: Blindzerokiller
18.02.2015, aktualisiert um 15:13 Uhr
Okay, Ich versuchs mal zu verstehen:

devcon.exe findall * |findstr "USB.Mass" >%temp%\usb.txt

Sagt das Alle USB.Mass (also USB Massenspeichergeräte) in die usb.txt geschrieben werden

del %temp%\usb2.txt

nur wichtig wenn schon ein usb2.txt da ist , damit die Eintrage nicht Uferlos weitergeführt werden

for /f %%a in (%temp%\usb.txt) do echo %%a>>%temp%\usb2.txt

alle zeilen von usb.txt in usb2.txt abspeichern?


for /f "tokens=1,2,3 delims=\" %%a in (%temp%\usb2.txt) do findstr "%%a\%%b" c:\windows\allowlist.txt || devcon.exe remove "@%%a\%%b\%%c"

hier soll er aus dem usb2.txt die zeilen auslesen und mit der allowlist vergleichen -> wenn er nicht drin ist soll er entfernt werden oder ?
Bitte warten ..
Mitglied: DerWoWusste
18.02.2015 um 15:11 Uhr
alle zeilen von usb.txt in usb2.txt abspeichern?
Fast. Gespeichert wird alles bis zum ersten Leerzeichen, deswegen.
-> wenn er nicht drin ist soll er entfernt werden oder ?
Ganz genau.
Bitte warten ..
Mitglied: Blindzerokiller
19.02.2015 um 10:07 Uhr
Ich denke ich weiß jetzt was das Problem an der Sache ist.

Beim auslesen der USB geräte werden die angesteckten USB geräte garnicht angezeigt sprich:

Ich habe USB.txt und USB2.txt ohne Sticks mir aufen Desktop gezogen

Batch aufgeführt mit Sticks dran: Ergebniss gleiche Einträge in beiden Dateien.
Bitte warten ..
Mitglied: DerWoWusste
19.02.2015 um 10:52 Uhr
Ich versteh' kein Wort.
Bitte warten ..
Mitglied: Blindzerokiller
19.02.2015 um 11:02 Uhr
Sorry ich machs mal als Beispiel:

Keine USB Stick angesteckt: (und Batch manuell gestartet)

usb.txt enthält 7 Zeilen

Diese Datei gesichert

Ich Stecke einen USB Stick an : (und Batch manuell gestartet)

Mit der gesicherten Datei verglichen

usb.txt enthält immernoch 7 Zeilen

Die Zeilen sind identisch in der USB.txt Datei




Heißt ja das er den USB Stick nicht mit ausließt -> kann er ihn auch nicht sperren
Bitte warten ..
Mitglied: DerWoWusste
19.02.2015, aktualisiert um 11:20 Uhr
Nein, das heißt es nicht. Der Stick steht da schon drin, weil er schon vorher dran war. Öffne zur Kontrolle den Gerätemanager, lies den Identifier des Sticks aus und Du wirst sehen, er steht da drin.
Bitte warten ..
Mitglied: Blindzerokiller
20.02.2015, aktualisiert um 13:47 Uhr
Jo stimmt stand drin ... hab den Fehler nicht gefunden aber eine alternative:

https://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx

So ist die Lösung jetzt schonmal gut.
PC mit Dongel : Dongel ist installiert und bleibt benutzbar
PC : Alle Massenspeichergeräte gesperrt

Fehlt nurnoch die Withelist für paar Admin-USB Sticks wo man schnell was drauf tun kann....

Sie sprechen hier von Geräte-ID aber irgendwie meinen Sie nicht die Hardware ID .. mal schauen vill find ichs mit tante google noch

Wenn die Withelist noch funkt wird gelöst makiert
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Datenschutz
USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Peripheriegeräte
Herzrate I Pollingrate I USB Ports I 256Hz und 1000Hz nutzen (2)

Frage von h0nti.der.neue zum Thema Peripheriegeräte ...

Windows 8
Alle USB Ports tot nach Ram Upgrade (11)

Frage von alix1q zum Thema Windows 8 ...

Windows Installation
Server 2016 UEFI Installation von USB (3)

Tipp von DerWoWusste zum Thema Windows Installation ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...