Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Usb Ports sperren auf mehreren Computern gleichzeitig

Frage Microsoft

Mitglied: transporter2

transporter2 (Level 1) - Jetzt verbinden

28.03.2006, aktualisiert 11.06.2008, 22323 Aufrufe, 16 Kommentare

Hallo,

Kann man über ein Windows 2000 Serverbetriebssystem alle Usb Ports die an
einen Clientrechner angeschlossen sind sperren?

Es sollen nur Usbsticks gesperrt sein.
Mitglied: murphy100
28.03.2006 um 17:51 Uhr
Hallo, vielleicht könnte das etwas für dich sein:

DriveLook
http://www.centertools.de/
Diese flexible Konfiguration kann zentral vorgenommen werden. Zur Verteilung der Konfigurationsdaten wird dabei eine ActiveDirectory Group Policy benutzt. Der Aufbau einer zusätzlichen Infrastruktur ist also nicht erforderlich.

Oder USBSecure http://www.henningmueller.com/ dabei ist auch ein nettes PDF zum Thema

Ansonsten http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Bitte warten ..
Mitglied: it-2
28.03.2006 um 17:55 Uhr
Hallo,

du kannst das ohne Zusatztools machen.
Einfach per Gruppenrichtlinie (oder Anmeldescript) diesen Registrykey importieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

Jetzt werden USB Massenspeicher nicht mehr erkannt.
Allerdings betrifft das auch z.B. Digitalkameras. Macht aber auch Sinn, da man auch auf denen Daten rein- oder rausschmuggeln kann.

Nikolas
Bitte warten ..
Mitglied: stpe
28.03.2006 um 18:32 Uhr
Bei uns im Unternehmen wird der USBGuard von Krüger eingesetzt: https://www.thkrueger.de/index.php?id=34

Wir sind eigentlich sehr zufrieden damit.

Gruss
Stefan
Bitte warten ..
Mitglied: RibbelRabbel
29.03.2006 um 07:51 Uhr
Wenn's kostenlos und von Microsoft sein soll:
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324

Einfach das Template kopieren, im Editor einfügen und als adm-file abspeichern. Dann erstellst du eine neue GPO und importierst dieses adm Template (bei der Computerkonfiguration unter Administrative Vorlagen). Kleines Manko: Um die Einstellungen zu sehen musst du Administrative Vorlagen markieren, dann auf Ansicht und bei der Filterung das Häkchen bei "Nur vollständig verwaltbare...." entfernen. Danach kannst du über GPO USB, CD-ROM, Floppy und L-120 Laufwerke deaktivieren.
Wir nutzen das hier und es funtkioniert einwandfrei.

Gruß

[Edit]: Macht im Prinzip nix anderes wie bereits it-2 beschrieben hat. Ist halt etwas anwenderfreundlicher.
Bitte warten ..
Mitglied: transporter2
29.03.2006 um 16:46 Uhr
noch eine andere frage wenn man per Gruppenrichtlinienobjekt bei windows 2000 server
die client usbports sperrt, kann mann ausnahmen machen das bestimmte benutzer oder
computer nicht gesppert werden?
Bitte warten ..
Mitglied: stpe
29.03.2006 um 20:27 Uhr
Die müssen halt in einer OU liegen, die nicht von dieser Richtlinie betroffen ist. Also in einer Unter-OU mit Aufhebung der Einstellungen oder in einer OU neben der, auf der die Gruppenrichtlinie angewendet wird.

Es gibt auch die Möglichkeit, auf bestimmte Benutzer die Richlinien nicht zu verwenden (Eigenschaften der Richlinie, Aktenreiter Sicherheit), das macht imho das ganze AD-Gefüge aber sehr unübersichtlich und somit schwer wartbar.

Gruss
Stefan
Bitte warten ..
Mitglied: RibbelRabbel
30.03.2006 um 07:56 Uhr
Ausnahmen in dem Sinne brauchst du eigentlich nicht, wenn du es z.B. mit diesem adm File machst. Du hast dann eine Richtlinie (z.B. USB sperren). Diese Richtlinie greift nur auf Computer. D.h. wenn du bei der Sicherheitsfilterung in der Gruppenrichtlinienmanagementkonsole (was für ein Wort) z.B Authentifizierte User oder etwas ähnliches nimmst passiert rein gar nichts. Du musst als Objekte die Rechner nehmen. Du kannst dir ja im AD eine Gruppe anlegen und dort sämtliche Computer reinpacken die USB gesperrt haben sollen. Diese Gruppe trägst du dann in der Sicheheitsfilterung ein. Ganz einfach und vollkommen übersichtlich.
Ich bin kein Freund davon, für jede Richtlinie 2 OU's anzulegen, jeweils dafür ob die Richtlinie nun greifen soll oder nicht. Das widerspricht auch dem Gedanken von MS bei den Gruppenstrategien alá A G DL P usw.
Wir haben hier z.B. 10 OU's (Außenbezirke), einige davon mit 2-4 Untergeordneten OU's. In jeder OU sind mind. 10 Richtlinien. Wenn ich jetzt für jede Richtlinie 2 OU's nehme, kannst du dir ja ausrechnen und vorstellen wie die Konsole bald ausehen würde. Bei anderen machst das vielleicht Sinn, ich will da keinem reinreden. Jeder muss das wohl für sich und seine Anforderungen entscheiden.

Noch was zur Richtline. Mit dieser Richtlinie wird ja z.B. USB gesperrt. Wenn nun ein PC doch wieder USB benötigt brauchst du die gleiche Richtlinie nochmals. Dort musst du dann die Deaktivierung von USB deaktivieren. Hört sich seltsam an, aber wenn man die Richtlinie sieht versteht man es schon. Ist nur etwas ungewohnt.

Gruß
Bitte warten ..
Mitglied: Berlineradm
13.06.2006 um 16:20 Uhr
Hallo erstmal.

Bin neu hier und mich interessiert dieses Thema auch sehr. Ich habe folgendes Problem.

Ich lege ein logon script fest.
Der User loggt sich auf den client ein. Das logon script schaut nach ob in der Registry der Eintrag für:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

steht. Wenn nicht, soll der Wert 4 gesetzt werden. Gibt es eine Möglichkeit diesen Wert zu setzen? Als Benutzer hat er ja nicht die Rechte in die HKLM zu schreiben.
Über Gruppenrichtlinie kann ich das auch nicht machen, weil ich auch die Machinen abfrage über ihre Mac adresse und dann entscheide ob der Schlüssel gesetzt werden muss oder nicht. Der Benutzer meldet sich nämlich mal an einem Rechner an, wo er Zugriff haben muss und an einem anderen Rechner an welchem der USB Port gesperrt werden muss für diesen.

Hoffe ich habe es nicht allzu konfus geschrieben und es hat jemand eine Möglichkeit.

Gruß Marco
Bitte warten ..
Mitglied: RibbelRabbel
14.06.2006 um 07:37 Uhr
Vielleicht geht es mit runas. Evtl. kannst du ja ein zweites Script damit aufrufen um die Werte zu setzen.
Bitte warten ..
Mitglied: it-2
14.06.2006 um 22:23 Uhr
Hallo,

würde eine Gruppenrichtlinie ür Maschinen gehen?
Oder soll das weder an einem Rechner noch an einem User festgemacht werden, sondern nur wenn ein bestimmter User an einem bestimmten Rechner sitzt?

Dann müsstest du das über ein relativ kompliziertes Anmeldescript machen, in dem du den Rechnernamen und den Usernamen ausliest und nur bei passender Kombination den Schlüssel richtig setzt.

Nikolas
Bitte warten ..
Mitglied: damaster
09.08.2007 um 19:48 Uhr
Hey,

vielleicht komm ich bisschen zu spät.

Aber ich hab die Lösung gefunden... Das ganze nennt sich devicepro 2007.
Unter devicepro.de findet Ihr nen Download von der Vollversion. 5 Lizenzen sind kostenlos.
Bitte warten ..
Mitglied: ManUnited
11.06.2008 um 14:03 Uhr
Wir haben den Nachfolger devicepro 2008 im Einsatz. Der Hammer!
Ich bin nunmehr seit 8Jahre Administrator bei einem Mittelständischen Unternehmen in Süddeutschland und devicepro ist die erste Lösung, die ich ohne Schulung oder Lehrgang installieren, implementieren und administrieren kann.
Besonders gefällt mir die Oberfläche, die wie Outlook 2003 aussieht, das Ticketsystem und die Protokollierung.
Sogar unser sehr strenger Betriebsrat hat die Protokollierung frei gegeben ... naja liegt auch daran, dass er jedesmal sein PW eingeben muss, wenn ich etwas nachschauen will

Grüße aus dem Süden
Bitte warten ..
Mitglied: Berlineradm
11.06.2008 um 14:16 Uhr
Hallo folks,

Ich freue mich über die Antworten hier im Forum. Na ja.. ManUnited..
Wie du sicherlich auch weißt, will der Kunde nie etwas ausgeben, denn es soll ja kostenlos gehen.
Wir haben bis jetzt noch nicht wirklich etwas gefunden, wie wir das am besten lösen können.
Es soll Benutzerabhängig sein. Also 1 Benutzer darf USB-Sticks benutzen und ein anderer darf es nicht. Dies soll mit Boardmitteln realisiert werden.

Na ja... aber vielen Dank für die zahlreichen Antworten.

lg
Marco
Bitte warten ..
Mitglied: mike25478
07.08.2009 um 11:14 Uhr
Schau dir mal den USB Bouner an:

http://www.usb-security.org
Bitte warten ..
Mitglied: damaster
24.05.2010 um 16:39 Uhr
Wir haben bei uns auch DevicePro seit 3 Jahren im Einsatz.
Echt einfach und kann ne Menge. Hatte mir auch aus Interesse andere Lösungen von Zeit zu Zeit angeschaut. Da bin ich immer noch der Meinung das richtige gewählt zu haben...
Herstellerinfo's dazu gibts unter http://cynapspro.com/DE/products/devicepro
Bitte warten ..
Mitglied: freakness
10.04.2013 um 14:33 Uhr
@damaster: Wir setzen die DevicePro Software auch schon ne Weile ein und haben gerade auf den Nachfolger EgoSecure Endpoint (http://egosecure.com ) geupgradet. Kann das Upgrade nur empfehlen!!!

Läuft wie gehabt stabil und jetzt haben wir noch kostenlos einen Datenshredder, zentrale Bitlocker Verwaltung und Firewall Verwaltung dabei.

Überlegen auch noch das AntiVirus von denen zu beziehen...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Peripheriegeräte
Herzrate I Pollingrate I USB Ports I 256Hz und 1000Hz nutzen (2)

Frage von h0nti.der.neue zum Thema Peripheriegeräte ...

Windows 8
Alle USB Ports tot nach Ram Upgrade (11)

Frage von alix1q zum Thema Windows 8 ...

Humor (lol)
Der Unterschied zwischen USA und USB

Link von BirdyB zum Thema Humor (lol) ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...