17308
Feb 08, 2010
8676
10
1
USB Sticks Passwort aufforderung
Hallo zusammen
Wir möchten bei unseren Industriemaschinen das USB Stick einstecken indirekt verbieten
es sollte nicht möglich sein auf den Stick zuzugreifen ohne das man ein Passwort eingibt.
Oder noch besser wenn man ihn einsteckt sollte direkt eine passwort abfrage von windows kommen
gibt es sowas auf dem markt ?
Danke
Wir möchten bei unseren Industriemaschinen das USB Stick einstecken indirekt verbieten
es sollte nicht möglich sein auf den Stick zuzugreifen ohne das man ein Passwort eingibt.
Oder noch besser wenn man ihn einsteckt sollte direkt eine passwort abfrage von windows kommen
gibt es sowas auf dem markt ?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135471
Url: https://administrator.de/contentid/135471
Printed on: April 24, 2024 at 08:04 o'clock
10 Comments
Latest comment
Hallo remus25!
Also, bei meinem USB-Stick von Toshiba, war eine Bedienungsanleitung dabei, auf der sinngemäß steht:
Das Produkt arbeitet mit einer Sicherheitssoftware, die es erlaubt, dass gespeicherte Daten mit einem Passwort geschützt werden können. Die Sicherheitssoftware kann von der Toshiba Internetseite heruntergeladen werden.
Möglicherweise bietet der Hersteller Deines USB-Sticks auch sowas an.
Gruß Dieter
Also, bei meinem USB-Stick von Toshiba, war eine Bedienungsanleitung dabei, auf der sinngemäß steht:
Das Produkt arbeitet mit einer Sicherheitssoftware, die es erlaubt, dass gespeicherte Daten mit einem Passwort geschützt werden können. Die Sicherheitssoftware kann von der Toshiba Internetseite heruntergeladen werden.
Möglicherweise bietet der Hersteller Deines USB-Sticks auch sowas an.
Gruß Dieter
Servus,
@Didi: eher nicht - denn damit schützt man ja geschütze USB Sticks - bzw. deren Daten, wenn die USB Sticks verloren gegangen sind.
Er wills ja andersherum haben - den Rechner vor jedem USB STICKschützen.
Das kann er nur mit z.B so einer Lösung bewerkstellen.
Gruß
@Didi: eher nicht - denn damit schützt man ja geschütze USB Sticks - bzw. deren Daten, wenn die USB Sticks verloren gegangen sind.
Er wills ja andersherum haben - den Rechner vor jedem USB STICKschützen.
Das kann er nur mit z.B so einer Lösung bewerkstellen.
Gruß
Hallo TimoBeil!
Dann habe ich möglicherweise was falsch verstanden?
Gruß Dieter
Dann habe ich möglicherweise was falsch verstanden?
Gruß Dieter
Hallo,
was bedeutet "Industriemaschinen"? Ich gehe mal davon aus, daß es sich um ganz normale DesktopPCs mit WinXP SP3 handelt.
Du hast m.W. folgende Möglichkeiten:
1. Je nach BIOS kannst du dort div. Einstellungen bzgl. USB vornehmen. Z.B. das über USB nicht gebootet werden kann (unbedingt BIOS-PW vergeben, sonst kann das jeder ändern!).
2. Es gibt div. Software auf dem Markt, mit deren Hilfe du die USB-Ports sperren und/oder überwachen kannst. Das läßt sich durch einen am PC angemeldeten User aber evt. umgehen (hab da so meine Erfahrungen) und ist m.E. keine besonders sichere Lösung. Ich laß mich aber gern eines Besseren belehren!
3. Sofern die "normalen" User lediglich Benutzerrechte haben, kannst du als Admin via Gerätemanager einfach die entspr. USB-Root-Hubs deaktivieren. Damit sind die USB-Anschlüsse funktionslos und können von den Benutzern auch nicht reaktiviert werden. Nachteil: Nur der Admin kann USB-Sticks einlesen, bzw. wird vorab gebraucht, um die Hubs wieder zu aktivieren. Aber bitte vor der Deaktivierung unbedingt drauf achten, was an den einzelnen Hubs dranhängt - z.B. die interne HD.. ;)
4. Die von didi1954 geschilderte Methode funktioniert zwar (i.d.R. mehr schlecht als recht) mit dem jeweiligen USB-Stick, nutzt dir aber nichts, wenn jemand einen "normalen" unverschlüsselten USB-Stick einsteckt.
Ich hoffe, obiges hilft dir etwas weiter!
Ciao
yaDur
was bedeutet "Industriemaschinen"? Ich gehe mal davon aus, daß es sich um ganz normale DesktopPCs mit WinXP SP3 handelt.
Du hast m.W. folgende Möglichkeiten:
1. Je nach BIOS kannst du dort div. Einstellungen bzgl. USB vornehmen. Z.B. das über USB nicht gebootet werden kann (unbedingt BIOS-PW vergeben, sonst kann das jeder ändern!).
2. Es gibt div. Software auf dem Markt, mit deren Hilfe du die USB-Ports sperren und/oder überwachen kannst. Das läßt sich durch einen am PC angemeldeten User aber evt. umgehen (hab da so meine Erfahrungen) und ist m.E. keine besonders sichere Lösung. Ich laß mich aber gern eines Besseren belehren!
3. Sofern die "normalen" User lediglich Benutzerrechte haben, kannst du als Admin via Gerätemanager einfach die entspr. USB-Root-Hubs deaktivieren. Damit sind die USB-Anschlüsse funktionslos und können von den Benutzern auch nicht reaktiviert werden. Nachteil: Nur der Admin kann USB-Sticks einlesen, bzw. wird vorab gebraucht, um die Hubs wieder zu aktivieren. Aber bitte vor der Deaktivierung unbedingt drauf achten, was an den einzelnen Hubs dranhängt - z.B. die interne HD.. ;)
4. Die von didi1954 geschilderte Methode funktioniert zwar (i.d.R. mehr schlecht als recht) mit dem jeweiligen USB-Stick, nutzt dir aber nichts, wenn jemand einen "normalen" unverschlüsselten USB-Stick einsteckt.
Ich hoffe, obiges hilft dir etwas weiter!
Ciao
yaDur
Hallo
Der Link von TimoBeil ist denke ich genau das, was Du suchst.
Ich hatte mir gerade überlegt, wie man sich das (zugegeben etwas umständlich xD) selbst zusammenbasteln kann mit USBDLM, nem Batch-Script und am besten noch Bat-To-Exe (da kann man eine Passworteingabe vor ausführen der Bat einstellen) - aber ich hab mir dann mal den Link durchgelesen und das VB macht eigentlich das, was Du brauchst!
Gut, Du benötigst nen Fileserver mit Freigabe - das bräuchtest Du bei meiner Variante nicht und jemand, der USB-Sticks nutzen darf, braucht nur ein PW eingeben.
ALLERDINGS ist meine Idee auch nicht "unknackbar" - wenn jemand weiss, wo er schauen muss, könnte er das auch umgehen...
Hier mal meine Idee, nur als roter Faden zu betrachten:
Die Funktion sollte dann so in der Art sein:
Der Rechner wird hochgefahren, da die Blockier-INI aktiv ist, wird keinem USB-Gerät was angesteckt wird, ein Laufwerksbuchstabe zugeordnet, d.h. kein USB-Gerät funktioniert. Kommt jetzt einer vorbei, der das aber darf und gerade braucht, führt dieser die Umschalt-Exe aus, gibt das Passwort ein (was natürlich nur der kennen sollte, der USB-Geräte nutzten können darf!) und steckt dann sein USB-Gerät ein. Dieses bekommt nun von USBDLM einen Laufwerksbuchstabe und er/sie kann es benutzen.
Wählt er nun Hardware sicher entfernen oder zieht das Gerät heraus, wird die Blockier-INI wieder zurück geschrieben und wenn er es erneut einsteckt, passiert wieder nichts, bis die EXE ausgeführt wird (mit Passwort)...
Könnte Dir sowas in der Art helfen?
Vorteil von meiner Variante: Man braucht sich nicht mit einem bestimmten Nutzer anmelden, um mal eben seinen USB-Stick zu benutzen. Das wäre gerade bei PCs im laufenden Betrieb unpraktisch. Man braucht auch keinen Fileserver wie bei dem VB aus Timos Link.
Nachteil ist eben: Wenn jemand weiss, dass es USBDLM gibt und explizit danach sucht und bemerkt, dass dieses aktiv ist, könnte er den Dienst stoppen ODER nach dem versteckten USBDLM-Verzeichnis suchen und die INI anpassen - aber das ist alles sehr unwahrscheinlich, es sei denn in Deiner Firma arbeiten CCC-Leute oder andere Nerds, die zu viel Freizeit haben und aus Langeweile versuchen, den PC auszutricksen :-p
Ich sage mal: für Otto-Normal-User ist es erstmal nicht möglich, seinen USB-Stick zum laufen zu bekommen...
Desweiteren möchte der Autor von USBDLM für gewerbliche Nutzung einen kleinen Obolus, aber der ist SEHR gering. Ausserdem ist er hier im Forum aktiv, könntest Ihn also einfach mal ansprechen, wie das aussieht für diesen Zweck hier - vielleicht lässt er (uwesieber) mit sich reden ;)
Gruß Dark
Der Link von TimoBeil ist denke ich genau das, was Du suchst.
Ich hatte mir gerade überlegt, wie man sich das (zugegeben etwas umständlich xD) selbst zusammenbasteln kann mit USBDLM, nem Batch-Script und am besten noch Bat-To-Exe (da kann man eine Passworteingabe vor ausführen der Bat einstellen) - aber ich hab mir dann mal den Link durchgelesen und das VB macht eigentlich das, was Du brauchst!
Gut, Du benötigst nen Fileserver mit Freigabe - das bräuchtest Du bei meiner Variante nicht und jemand, der USB-Sticks nutzen darf, braucht nur ein PW eingeben.
ALLERDINGS ist meine Idee auch nicht "unknackbar" - wenn jemand weiss, wo er schauen muss, könnte er das auch umgehen...
Hier mal meine Idee, nur als roter Faden zu betrachten:
- USBDLM installieren und zwei INIs einrichten: Einmal so, dass kein USB-Gerät ein Laufwerksbuchstaben bekommt (ausser explizit angegebene interne, yaDur xD) und einmal so, dass Buchstaben normal zugewiesen werden - die beiden INIs mit BACKUP-Prefix in das USBDLM-Verzeichnis packen. Ausserdem noch ein OnRemove-Event in der INI festlegen, dass wenn irgendein USB-Gerät entfernt wird, eine Batch ausgeführt wird, welche die USBDLM-INI mit der Blockier-INI überschreibt. Man muss mal testen, ob das schon reicht oder der Dienst neu gestartet werden muss (Batches dazu bei USBDLM vorhanden), aber das ist ja eine Kleinigkeit...
- Eine Batch basteln, welche durch Benutzerauswahl die originale INI entweder mit der einen oder der anderen BACKUP-INI überschreibt.
- Diese Batch mit Bat-To-Exe zu einer Exe konvertieren, dabei ein Passwort festlegen.
- Evtl. das USBDLM-Verzeichnis noch verstecken.
- Ggf. noch ein Shutdown-Script von Windows anlegen, welches die Blockier-INI-überscheib-Batch ausführt, damit bei einem Neustart auf jeden Fall alles an Plugin-USB-Geräten deaktiviert ist.
Die Funktion sollte dann so in der Art sein:
Der Rechner wird hochgefahren, da die Blockier-INI aktiv ist, wird keinem USB-Gerät was angesteckt wird, ein Laufwerksbuchstabe zugeordnet, d.h. kein USB-Gerät funktioniert. Kommt jetzt einer vorbei, der das aber darf und gerade braucht, führt dieser die Umschalt-Exe aus, gibt das Passwort ein (was natürlich nur der kennen sollte, der USB-Geräte nutzten können darf!) und steckt dann sein USB-Gerät ein. Dieses bekommt nun von USBDLM einen Laufwerksbuchstabe und er/sie kann es benutzen.
Wählt er nun Hardware sicher entfernen oder zieht das Gerät heraus, wird die Blockier-INI wieder zurück geschrieben und wenn er es erneut einsteckt, passiert wieder nichts, bis die EXE ausgeführt wird (mit Passwort)...
Könnte Dir sowas in der Art helfen?
Vorteil von meiner Variante: Man braucht sich nicht mit einem bestimmten Nutzer anmelden, um mal eben seinen USB-Stick zu benutzen. Das wäre gerade bei PCs im laufenden Betrieb unpraktisch. Man braucht auch keinen Fileserver wie bei dem VB aus Timos Link.
Nachteil ist eben: Wenn jemand weiss, dass es USBDLM gibt und explizit danach sucht und bemerkt, dass dieses aktiv ist, könnte er den Dienst stoppen ODER nach dem versteckten USBDLM-Verzeichnis suchen und die INI anpassen - aber das ist alles sehr unwahrscheinlich, es sei denn in Deiner Firma arbeiten CCC-Leute oder andere Nerds, die zu viel Freizeit haben und aus Langeweile versuchen, den PC auszutricksen :-p
Ich sage mal: für Otto-Normal-User ist es erstmal nicht möglich, seinen USB-Stick zum laufen zu bekommen...
Desweiteren möchte der Autor von USBDLM für gewerbliche Nutzung einen kleinen Obolus, aber der ist SEHR gering. Ausserdem ist er hier im Forum aktiv, könntest Ihn also einfach mal ansprechen, wie das aussieht für diesen Zweck hier - vielleicht lässt er (uwesieber) mit sich reden ;)
Gruß Dark
Moin,
ähh braucht man nicht unbedingt - der "dient" nur dazu, dass man bei 100ten Systemen nur einmal eine Maus/Handscanner erlauben muß.
Die "Datenbank" - Textdatei was erlaubt/verboten ist gibts auch "lokal" auf der Kiste.
Ich dachte - ich hätte dem Script mal ein paar eigene Zeilen gewidmet, war aber nur ein bzw. ein Kommentar zu einer gestellten Frage.
Gruß
Man braucht auch keinen Fileserver wie bei dem VB aus Timos Link.
ähh braucht man nicht unbedingt - der "dient" nur dazu, dass man bei 100ten Systemen nur einmal eine Maus/Handscanner erlauben muß.
Die "Datenbank" - Textdatei was erlaubt/verboten ist gibts auch "lokal" auf der Kiste.
Ich dachte - ich hätte dem Script mal ein paar eigene Zeilen gewidmet, war aber nur ein bzw. ein Kommentar zu einer gestellten Frage.
Gruß
Ahsoo ok
Ich hatte das Script nur kurz überflogen, dann sorry ^^
Gruß Dark
Ich hatte das Script nur kurz überflogen, dann sorry ^^
Gruß Dark
das was ich suchte http://www.everstrike.com/usbsecurity/
cool
Price: Start from $34.95 per copy
...und kann nix mehr - als die verlinkte scriptsammlung, außer einem klickibuntischirmchen ob mit oder ohne Chärmchen und Melönchen - sei mal dahingestelltund ob ich tasächlich bei NTFS Laufwerken eine Oberfläche brauche, die eine Datei vorm editieren schützt - kann ich nicht beurteilen.
Zitat von @17308:
Wir möchten bei unseren Industriemaschinen das USB Stick einstecken indirekt verbieten
es sollte nicht möglich sein auf den Stick zuzugreifen ohne das man ein Passwort eingibt.
Oder noch besser wenn man ihn einsteckt sollte direkt eine passwort abfrage von windows kommen
gibt es sowas auf dem markt ?
Wir möchten bei unseren Industriemaschinen das USB Stick einstecken indirekt verbieten
es sollte nicht möglich sein auf den Stick zuzugreifen ohne das man ein Passwort eingibt.
Oder noch besser wenn man ihn einsteckt sollte direkt eine passwort abfrage von windows kommen
gibt es sowas auf dem markt ?
Ich habe das gerade in USBDLM eingebaut. Erstmal gibts eine Beta-Version:
http://www.uwe-sieber.de/usbdlm.html#download
Beispiel für den INI-Eintrag:
[Password1]
password=geheim
Das kann man auch abhangig vom eingeloggten Nutzer konfigurieren, oder auch bestimmte Geräte davon ausschließen.
Gruß Uwe
