6
USB Sticks zentral sperren oder read-only setzen unter Windows
Hallo!
Ich muss aus Datenschutzgründen die Verwendung von USB-Sticks stark einschränken.
Vorhanden ist ein ActiveDirectory mit ca. 100 Clients von Windows XP bis Windows 7.
Könnt Ihr mir irgendeine Software empfehlen, mit der ich zentral die Nutzung verwalten kann?
Ich bin schon über USBSecure Professional gestolpert. Das ist preislich SEHR interessant, aber kann nur an/abschalten, aber nicht read-only. Das wäre o.k., aber nicht wirklich elegant.
Was nutzt ihr bzw. was könnt ihr empfehlen?
Vielen Dank für jeden Tipp!
Gruß
Phil
Ich muss aus Datenschutzgründen die Verwendung von USB-Sticks stark einschränken.
Vorhanden ist ein ActiveDirectory mit ca. 100 Clients von Windows XP bis Windows 7.
Könnt Ihr mir irgendeine Software empfehlen, mit der ich zentral die Nutzung verwalten kann?
Ich bin schon über USBSecure Professional gestolpert. Das ist preislich SEHR interessant, aber kann nur an/abschalten, aber nicht read-only. Das wäre o.k., aber nicht wirklich elegant.
Was nutzt ihr bzw. was könnt ihr empfehlen?
Vielen Dank für jeden Tipp!
Gruß
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195458
Url: https://administrator.de/contentid/195458
Printed on: April 19, 2024 at 17:04 o'clock
6 Comments
Latest comment
Hallo,
was setzt Ihr denn für eine Security Suite ein für den Virenschutz? Die meisten bieten auch eine Gerätesteuerung.
Kenne ich z. B. von Trend Micro Worry-free Business und Sophos Endpoint.
Aber du kannst die Einstellungen doch auch via. GPO verteilen?
Gruß
was setzt Ihr denn für eine Security Suite ein für den Virenschutz? Die meisten bieten auch eine Gerätesteuerung.
Kenne ich z. B. von Trend Micro Worry-free Business und Sophos Endpoint.
Aber du kannst die Einstellungen doch auch via. GPO verteilen?
Gruß
Hi Phil,
mit DeviceLock kannst du den gesamten USB-Port auf Read setzen und einzelne Geräte freigeben.
Wenn du einen Stick selber freigibst, hat der aber alle Rechte.
Ob man das kombinieren kann, weiß ich nicht, noch nie getestet.
VG
Deepsys
mit DeviceLock kannst du den gesamten USB-Port auf Read setzen und einzelne Geräte freigeben.
Wenn du einen Stick selber freigibst, hat der aber alle Rechte.
Ob man das kombinieren kann, weiß ich nicht, noch nie getestet.
VG
Deepsys
Moin moin,
ich frage mal ganz provokativ: Was willst du erreichen?
Software wie Sophos Endpoint Security kann zwar gezielt Rechte für USB-Devices setzen, aber _nur dann!_, wenn die USB-Geräte auch eine entsprechende Device-ID haben, was gerade bei den billigen Sticks meist nicht der Fall ist, die kommen mit ner Dummy-ID daher. Es könnte also vorkommen, dass mit der gleichen ID z.B. 17 Sticks im Umlauf sind und du könntest die dann eben nicht mehr gezielt verwalten, sondern nur allen Lesen/Schreiben/whatever verbieten.
Mit anderen Removable Devices wie SD-Karten ist die Situation noch schlimmer.
Da du von "Read Only" sprichst: Macht imho keinen Sinn, man will doch als Admin als allererstes mal vermeiden, das fremde Sticks angeschlossen werden und die darauf befindliche Schadsoftware sich im Netz/auf dem Host-Rechner verteilt. Also ist Lesen hier schonmal ganz böse.
Weiterhin soll das nicht-beschreiben-dürfen der Sticks angeblich Datenklau verhindern, das ist aber der Erfahrung nach ein Trugschluss: Wenn ein Benutzer unbedingt Daten vom Firmenrechner in irgendeiner Form "mitnehmen" will, findet er einen Weg, sei es Dropbox & Co, Sync mit dem BlackBerry oder der gute alte Screenshot, der dann per Mail irgendwohin geschickt wird.
*Just my 5 Cent*
Cheers,
jsysde
P.S.:
Ein Workaround ist das Ausblenden _aller!_ nicht benötigten Laufwerke per GPO, was allerdings eine sehr einheitliche PC-Infrastruktur vorraussetzt.
ich frage mal ganz provokativ: Was willst du erreichen?
Software wie Sophos Endpoint Security kann zwar gezielt Rechte für USB-Devices setzen, aber _nur dann!_, wenn die USB-Geräte auch eine entsprechende Device-ID haben, was gerade bei den billigen Sticks meist nicht der Fall ist, die kommen mit ner Dummy-ID daher. Es könnte also vorkommen, dass mit der gleichen ID z.B. 17 Sticks im Umlauf sind und du könntest die dann eben nicht mehr gezielt verwalten, sondern nur allen Lesen/Schreiben/whatever verbieten.
Mit anderen Removable Devices wie SD-Karten ist die Situation noch schlimmer.
Da du von "Read Only" sprichst: Macht imho keinen Sinn, man will doch als Admin als allererstes mal vermeiden, das fremde Sticks angeschlossen werden und die darauf befindliche Schadsoftware sich im Netz/auf dem Host-Rechner verteilt. Also ist Lesen hier schonmal ganz böse.
Weiterhin soll das nicht-beschreiben-dürfen der Sticks angeblich Datenklau verhindern, das ist aber der Erfahrung nach ein Trugschluss: Wenn ein Benutzer unbedingt Daten vom Firmenrechner in irgendeiner Form "mitnehmen" will, findet er einen Weg, sei es Dropbox & Co, Sync mit dem BlackBerry oder der gute alte Screenshot, der dann per Mail irgendwohin geschickt wird.
*Just my 5 Cent*
Cheers,
jsysde
P.S.:
Ein Workaround ist das Ausblenden _aller!_ nicht benötigten Laufwerke per GPO, was allerdings eine sehr einheitliche PC-Infrastruktur vorraussetzt.
Moin!
Also wir fahren sehr gut mit dem Endpoint Protector.
Das Ding macht dir auf Wunsch auch alles andere zu am Rechner (z.B. DVD, WLAN, PCI-Express, etc.).
Desweiteren kann man gut in Gruppen und/oder Computer einteilen und entsprechenende Richtlinien setzen.
Kann mit Anbindung an ActiveDirectory oder ohne benutzt werden.
Ist einfach zu bedienen und Preis-Leistung stimmt.
Gruß
Also wir fahren sehr gut mit dem Endpoint Protector.
Das Ding macht dir auf Wunsch auch alles andere zu am Rechner (z.B. DVD, WLAN, PCI-Express, etc.).
Desweiteren kann man gut in Gruppen und/oder Computer einteilen und entsprechenende Richtlinien setzen.
Kann mit Anbindung an ActiveDirectory oder ohne benutzt werden.
Ist einfach zu bedienen und Preis-Leistung stimmt.
Gruß
Hallo,
haben recht gute Erfahrungen mit Egosecure gemacht.
Ist allerdings umfangreicher da es auch viele andere Geräte (CD, Drucker, usw.) verwalten kann.
Tom
haben recht gute Erfahrungen mit Egosecure gemacht.
Ist allerdings umfangreicher da es auch viele andere Geräte (CD, Drucker, usw.) verwalten kann.
Tom
Hallo Der_Phil,
Aber um das ganze noch besser unterscheiden zu können (Geräte) wäre vielleicht ein Blick auf
Device- and Application Control von Symantec Enpoint Protection einen Blick wert, das orientiert
sich nicht an irgend welchen Device ID´s sondern an den Seriennummern der USB Geräte und zwar nicht
an den von Microsoft Windows vergebenen sondern den echten, vom Hersteller vergebenen Seriennummern.
SEP
Das muss aber auch jeder selber entscheiden und eine Budgetfrage ist das ja auch noch!
Die Seriennummern kann man gut mit diesem Tool auslesen:
Karley USB Stick
Es liest die Seriennummern nicht nur aus sondern ermöglicht auch das Verwalten von USB Geräten.
Nun noch etwas in eigener Sache, read only ist eine schöne Sache, aber eine verseuchte Datei die kopiert oder geöffnet wird, gefährdet ja irgend wie trotzdem Dein Netz, was Du wieder säubern musst!
Eine alternative wäre es nur einigen Leuten einen USB Stick zu genehmigen und diesen dann per USB Server
im Netz, eben auch nur für diese Leute/Mitarbeiter bereit zu stellen! Dann verlierst Du nicht die Kontrolle und kannst diese vorher auch immer sannen lassen.
Vielleicht wäre eine Hardware Lösung ja auch etwas für Dich.
SEH myUTN-150 USB Device Server mit VLAN-Funktion
Gruß
Dobby
Aber du kannst die Einstellungen doch auch via. GPO verteilen?
Finde ich auch.Aber um das ganze noch besser unterscheiden zu können (Geräte) wäre vielleicht ein Blick auf
Device- and Application Control von Symantec Enpoint Protection einen Blick wert, das orientiert
sich nicht an irgend welchen Device ID´s sondern an den Seriennummern der USB Geräte und zwar nicht
an den von Microsoft Windows vergebenen sondern den echten, vom Hersteller vergebenen Seriennummern.
SEP
Das muss aber auch jeder selber entscheiden und eine Budgetfrage ist das ja auch noch!
Die Seriennummern kann man gut mit diesem Tool auslesen:
Karley USB Stick
Es liest die Seriennummern nicht nur aus sondern ermöglicht auch das Verwalten von USB Geräten.
Nun noch etwas in eigener Sache, read only ist eine schöne Sache, aber eine verseuchte Datei die kopiert oder geöffnet wird, gefährdet ja irgend wie trotzdem Dein Netz, was Du wieder säubern musst!
Eine alternative wäre es nur einigen Leuten einen USB Stick zu genehmigen und diesen dann per USB Server
im Netz, eben auch nur für diese Leute/Mitarbeiter bereit zu stellen! Dann verlierst Du nicht die Kontrolle und kannst diese vorher auch immer sannen lassen.
Vielleicht wäre eine Hardware Lösung ja auch etwas für Dich.
SEH myUTN-150 USB Device Server mit VLAN-Funktion
Gruß
Dobby
