Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB Sticks zentral sperren oder read-only setzen unter Windows

Frage Microsoft Windows Tools

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

06.12.2012 um 10:10 Uhr, 7464 Aufrufe, 6 Kommentare

Hallo!

Ich muss aus Datenschutzgründen die Verwendung von USB-Sticks stark einschränken.

Vorhanden ist ein ActiveDirectory mit ca. 100 Clients von Windows XP bis Windows 7.

Könnt Ihr mir irgendeine Software empfehlen, mit der ich zentral die Nutzung verwalten kann?
Ich bin schon über USBSecure Professional gestolpert. Das ist preislich SEHR interessant, aber kann nur an/abschalten, aber nicht read-only. Das wäre o.k., aber nicht wirklich elegant.

Was nutzt ihr bzw. was könnt ihr empfehlen?

Vielen Dank für jeden Tipp!

Gruß
Phil
Mitglied: d4shoerncheN
06.12.2012, aktualisiert um 10:12 Uhr
Hallo,

was setzt Ihr denn für eine Security Suite ein für den Virenschutz? Die meisten bieten auch eine Gerätesteuerung.

Kenne ich z. B. von Trend Micro Worry-free Business und Sophos Endpoint.

Aber du kannst die Einstellungen doch auch via. GPO verteilen?

Gruß
Bitte warten ..
Mitglied: Deepsys
06.12.2012 um 10:16 Uhr
Hi Phil,

mit DeviceLock kannst du den gesamten USB-Port auf Read setzen und einzelne Geräte freigeben.
Wenn du einen Stick selber freigibst, hat der aber alle Rechte.

Ob man das kombinieren kann, weiß ich nicht, noch nie getestet.

VG
Deepsys
Bitte warten ..
Mitglied: jsysde
06.12.2012 um 10:24 Uhr
Moin moin,

ich frage mal ganz provokativ: Was willst du erreichen?

Software wie Sophos Endpoint Security kann zwar gezielt Rechte für USB-Devices setzen, aber _nur dann!_, wenn die USB-Geräte auch eine entsprechende Device-ID haben, was gerade bei den billigen Sticks meist nicht der Fall ist, die kommen mit ner Dummy-ID daher. Es könnte also vorkommen, dass mit der gleichen ID z.B. 17 Sticks im Umlauf sind und du könntest die dann eben nicht mehr gezielt verwalten, sondern nur allen Lesen/Schreiben/whatever verbieten.

Mit anderen Removable Devices wie SD-Karten ist die Situation noch schlimmer.

Da du von "Read Only" sprichst: Macht imho keinen Sinn, man will doch als Admin als allererstes mal vermeiden, das fremde Sticks angeschlossen werden und die darauf befindliche Schadsoftware sich im Netz/auf dem Host-Rechner verteilt. Also ist Lesen hier schonmal ganz böse.

Weiterhin soll das nicht-beschreiben-dürfen der Sticks angeblich Datenklau verhindern, das ist aber der Erfahrung nach ein Trugschluss: Wenn ein Benutzer unbedingt Daten vom Firmenrechner in irgendeiner Form "mitnehmen" will, findet er einen Weg, sei es Dropbox & Co, Sync mit dem BlackBerry oder der gute alte Screenshot, der dann per Mail irgendwohin geschickt wird.

*Just my 5 Cent*

Cheers,
jsysde

P.S.:
Ein Workaround ist das Ausblenden _aller!_ nicht benötigten Laufwerke per GPO, was allerdings eine sehr einheitliche PC-Infrastruktur vorraussetzt.
Bitte warten ..
Mitglied: nikoatit
06.12.2012 um 11:42 Uhr
Moin!
Also wir fahren sehr gut mit dem Endpoint Protector.
Das Ding macht dir auf Wunsch auch alles andere zu am Rechner (z.B. DVD, WLAN, PCI-Express, etc.).
Desweiteren kann man gut in Gruppen und/oder Computer einteilen und entsprechenende Richtlinien setzen.
Kann mit Anbindung an ActiveDirectory oder ohne benutzt werden.
Ist einfach zu bedienen und Preis-Leistung stimmt.

Gruß
Bitte warten ..
Mitglied: Tommy70
06.12.2012 um 11:42 Uhr
Hallo,

haben recht gute Erfahrungen mit Egosecure gemacht.
Ist allerdings umfangreicher da es auch viele andere Geräte (CD, Drucker, usw.) verwalten kann.

Tom
Bitte warten ..
Mitglied: 108012
07.12.2012 um 03:20 Uhr
Hallo Der_Phil,

Aber du kannst die Einstellungen doch auch via. GPO verteilen?
Finde ich auch.

Aber um das ganze noch besser unterscheiden zu können (Geräte) wäre vielleicht ein Blick auf
Device- and Application Control von Symantec Enpoint Protection einen Blick wert, das orientiert
sich nicht an irgend welchen Device ID´s sondern an den Seriennummern der USB Geräte und zwar nicht
an den von Microsoft Windows vergebenen sondern den echten, vom Hersteller vergebenen Seriennummern.
SEP

Das muss aber auch jeder selber entscheiden und eine Budgetfrage ist das ja auch noch!
Die Seriennummern kann man gut mit diesem Tool auslesen:
Karley USB Stick
Es liest die Seriennummern nicht nur aus sondern ermöglicht auch das Verwalten von USB Geräten.

Nun noch etwas in eigener Sache, read only ist eine schöne Sache, aber eine verseuchte Datei die kopiert oder geöffnet wird, gefährdet ja irgend wie trotzdem Dein Netz, was Du wieder säubern musst!

Eine alternative wäre es nur einigen Leuten einen USB Stick zu genehmigen und diesen dann per USB Server
im Netz, eben auch nur für diese Leute/Mitarbeiter bereit zu stellen! Dann verlierst Du nicht die Kontrolle und kannst diese vorher auch immer sannen lassen.

Vielleicht wäre eine Hardware Lösung ja auch etwas für Dich.
SEH myUTN-150 USB Device Server mit VLAN-Funktion

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
USB-Raid 2 nach HDD-Tausch nur read-only
Frage von NetworkingHomerFestplatten, SSD, Raid1 Kommentar

Hallo, ich besitze ein USB 3.0 Mobile SATA RAID System von Lindy. Es läuft mit ext3 formatiert als Raid ...

Vmware
Vmx read only funktioniert nicht?
Frage von f0rml0sVmware4 Kommentare

Ich möchte nachträgliche änderungen der Einstellungen an einem Windows Gast System verhindern indem ich die vmx Datei auf Read ...

Windows Netzwerk
USB Sticks per Gruppenrichtline sperren
Frage von SourceJuWindows Netzwerk8 Kommentare

Hallo zusammen, hat jemand schon erfahrungen damit gemacht? Ich versuche momentan zumindest die neuinstallation von USB Sticks zu sperren ...

Windows Server
GPO USB Sticks Sperren geht nicht
Frage von opc123Windows Server3 Kommentare

Hallo, folgendes Problem. Benutzerrichtlinie für GPO für Wechseldatenträger Lesen und Schreiben wurde Aktiviert um einer Bestimmten Usergruppe Sticks zu ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.