Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit von Notebooks - teilweise oder vollständig USB-Ports und CD-Laufwerke unter Windows 7 sperren

Anleitung Microsoft Windows Userverwaltung

Mitglied: annnew

annnew (Level 1) - Jetzt verbinden

04.08.2010, aktualisiert 18.10.2012, 14455 Aufrufe, 11 Kommentare, 1 Danke

Ich habe mich als Neuling in dem Gebiet in den letzten Tagen ziemlich abgemüht, herauszufinden, wie bei Notebooks für externe Mitarbeiter diverse Dinge gesperrt werden können wie z.B. USB-Ports oder CD-Laufwerke. Im Internet gibt es größtenteils nur andeutungsweise Anleitungen und deshalb möchte ich die Ergebnisse meiner Recherchen hier kurz zusammenfassen.

Im Internet habe ich einige Tools gefunden, die aber entweder Geld kosten oder leider nicht funktionierten.
Also habe ich mich eingehender mit den Gruppenrichtlinien beschäftigt (sich aufrufen m. H. v. "Ausführen" und dem Befehl "gpedit.msc") und bin in folgenden Schritten vorgegangen:

1) Unter "Computer-Konfiguration" > "Administrative Vorlagen" > "System" > "Wechselmedienzugriff" lässt sich einstellen, wofür der User welche Zugriffsrechte haben soll: CD & DVD, Wechseldatenträgern und WPD-Geräten kann der Zugriff hier in verschiedenen Stufen verweigert werden.

2) Unter "Computer-Konfiguration" > "Administrative Vorlagen" > "System" > "Geräteinstallation" > "Einschränkungen bei der Geräteinstallation" lässt sich einstellen, dass Treiber für Wechselgeräte gar nicht erst installiert werden können.
Aber Achtung: Das gilt auch für Mäuse!
Aus diesem Grund sollte als erstes die Option " Installation von Geräten mit diesen Geräte-IDs zulassen" aktiviert und hier alle wichtigen IDs hinterlegt werden (zu finden unter Rechtsklick auf das Gerät im Explorer oder Geräte-Manager > "Eigenschaften" > "Details" > "Hardware-IDs").
Im Zweiten Schritt sollte dann die Option "Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind" aktiviert werden.

Wenn UMTS-Sticks benutzt werden, sollte deren Installation VOR der Einrichtung der oben genannten Einschränkungen vorgenommen werden. Sie werden durch die Gruppenrichtlinien nicht in ihrer Funktion beeinträchtigt (zumindest die Sticks, die ich getestet habe: O2 + T-Mobile).

Was ich in den Gruppenrichtlinien bisher nicht gefunden habe, ist die Einstellung für das Sperren des CMD-Befehls, damit die User die Einschränkungen nicht umgehen können. Dafür gibt es aber unter folgendem Link eine Anleitung, die gut funktioniert:
http://www.windowspage.de/frame.php?http://www.windowspage.de/tipps/022 ...
Um es nur für den current_user einzurichten, der eingeschränkt werden soll, muss man auch als dieser angemeldet sein und kurzzeitig admin-Rechte besitzen.

Anregungen, Ergänzungen und Kritik zu dieser Anleitung sind sehr willkommen.
Mitglied: goscho
04.08.2010 um 16:01 Uhr
Hallo anne,
ich finde es gut, wenn hier Anleitungen eingestellt werden.

Für genau deinen Fall jedoch gibt es Spezialsoftware, die das BS-übergreifend lösen kann. So ist man nicht auf W7 als Notebook-BS eingeschränkt.

Ich habe solche Konfigurationen mit der Device- and Application Control von SEP eingerichtet. Hier können Devices viel besser unterschieden werden.
Das alles richtet man sehr schön in einer Admin-Console ein. Der Clou war, ich konnte über Netzwerkerkennungsregeln sogar festlegen, dass das Schreibverbot auf USB-Stick nur gilt, wenn die NBs nicht im internen LAN sind.
Bitte warten ..
Mitglied: bankaifan
04.08.2010 um 16:03 Uhr
Sehr schöne Bechreibung und das ohne zusätzliche Programme. Hab jetzt keine Möglichkeit es zu testen, und auch keine Bedarf. Aber ich werde es mir auf jedenfall merken.

Grüße
Bitte warten ..
Mitglied: DocuSnap-Dude
04.08.2010, aktualisiert 18.10.2012
Oder schaut auch mal hier: http://www.administrator.de/forum/usb-speichermedien-im-unternehmen-zer ...

Allerdings mit Vorsicht anzupacken: man kann sich schnell damit die Tür vor der Nase zuschlagen und gerade bei Aussendienst-PC's böse (weil nicht physisch schnell greifbar)

Generell doktore ich grad an einer eigenen ADM-File (also ein GPO-Template) herum welche ich dann verwenden will. Wenn fertig poste ich die hier. Wird aber aus Zeitmangel denk ich erst Ende September.
Bitte warten ..
Mitglied: maretz
06.08.2010 um 09:59 Uhr
Moin,

also ich finde auch es ist eine schöne Anleitung. Allerdings EINE Einschränkung: Man muss sich immer überlegen wie man die Sperre denn auch mal "schnell" wieder rausbekommt. Wenn z.B. der Vertriebsmensch nämlich beim Kunden sitzt und die 50-MB-Präsentation da bleiben soll dann muss er ja eine Möglichkeit haben die an den Kunden zu geben... Sicherheit ist dann gut und schön - aber wenn dafür Aufträge verloren gehen dann bringt das wenig (was bringt das sicherste Netzwerk wenn die Firma kurz später mangels Aufträge in den Konkurs geht?).

Von daher würde ich den Punkt immer mit bedenken...
Bitte warten ..
Mitglied: annnew
06.08.2010 um 11:34 Uhr
Vielen Dank für die positiven Rückmeldungen.

USB Secure wollte ich testen, kann ich aber nicht herunterladen, weil meine Firewall sagt, sie kann nicht ausschließen, dass ein Virus enthalten ist.

Mehr Glück hatte ich mit dem USB Wächter von Trinit-Soft. Der erste Versuch schlug fehl, doch auf Anfrage habe ich heute eine überarbeitete Beta-Version zur Verfügung gestellt bekommen, die auch unter Windows 7 funktioniert. Ein simples, sehr einfaches und gut zu verstehendes Programm. Damit fällt die lästige manuelle ID-Eintragung weg.

Des Problems der spontanen Aufhebung der Einschränkungen bin ich mir durchaus bewusst. Es ist für einen Außendienstmitarbeiter auf keinen Fall eine ideale Arbeitsumgebung. Aber man muss eben abwägen und bei uns steht im Moment mehr die Sicherheit im Vordergrund und auch der Kostenfaktor. Wie sich das Konzept dann bewährt, muss langfristig beobachtet werden.

Grüße
-annne-
Bitte warten ..
Mitglied: bankaifan
06.08.2010 um 12:44 Uhr
DriveLock ist auch eine gute Software.
Bitte warten ..
Mitglied: 60730
09.08.2010 um 00:46 Uhr
Salü,

zuerst mal vielen Dank für die Anleitung

Und dann (leider) das Achtung...Ergänzung - keine Kritik

Dein Tipp mit der cmd hat einen ganz gravierenden und bereits in anderem Zusammenhang genannten Nachteil Man kann sich da (kurzfristig) ganz schnell die Türe zu hauen.

0 ist klar - ist ja std.
1 ist klar - das viele Loginscripte in CMD geschrieben werden und das auch die dann nicht mehr laufen.
2 ist klar - das man damit nur Poweruser & Daus abhält was zu machen, was die nicht machen sollen - Kiddys in der Schule lächeln milde drüber.

[OT]
Bei vielen Aussendienstlern kann sich eine Firmenlizenz von z.B Teamviewer "bezahlt" machen - wenn man die Kosten eines VPN Tunnels nicht in der GL durchkriegt.
Heutzutage muß man Aussendienstler Väter und nicht stiefmütterlich behandeln. (Und falls der Gleichberechtigungsexperte mitliesst - oder andersherum - Jacke wie Hose)
[/OT]

Gruß
Bitte warten ..
Mitglied: annnew
09.08.2010 um 09:52 Uhr
Ich denke der Wert 2 ist als Preventivmaßnahme erstmal in Ordnung.

Ich bin mittlerweile auf ein ganz anderes Problem in diesem Zusammenhang gestoßen. Mit den oben genannten Einschränkungen lässt sich kein Drucker installieren. Ich habe zwar die Hardware-ID in den GPOs hinterlegt, aber die Gruppenrichtlinie verbietet mir trotzdem die Treiberinstallation. Ein Drucker lässt sich nur installieren, wenn ich die GPOs vorher komplett zurücksetze.
Wenn ich die Drucker der Außendienstmitarbeiter aber nicht vor Ort habe, lässt sich das über Fernwartung schlecht umsetzen, da man als User keinen Zugriff auf die GPOs erhält und in diesem Fall auch keine Admin-Passwortabfrage auftaucht.
Auch beim Einsatz vom USB Wächter von Trinit Soft benötige ich alle Drucker vor Ort...

Hat jemand einen Tipp für mich, wie ich die Admin-Passwortabfrage zum Öffnen der GPOs als User aktivieren kann? (Ich mache einen neuen Post daraus)

Gruß
-annne-
Bitte warten ..
Mitglied: 60730
09.08.2010 um 11:39 Uhr
Salü,

machen wirs doch so:

Stell deine Frage - als Frage nochmal neu - mit Verweis auf diese Anleitung - denn sonst kommt das, was ich an Anleitungen nicht mag - ein kreuz und quer.
Später editiere ich dann diesen Beitrag / und du deinen und wir schreiben stattdessen hier auf, wie das Problem gelöst wurde.

Einzelne Beiträge kann ja wieder nur ein Mod löschen....

Deal?

Gruß
Bitte warten ..
Mitglied: annnew
09.08.2010 um 15:42 Uhr
Die Lösung ist folgende:

Als Standard-User den Befehl "gpedit.msc" nicht in "Ausführen" eingeben, sondern in die Suchleiste im Startmenü.
Dann Rechtsklick auf das Ergebnis und "Als Administrator ausführen" anklicken. Dann öffnet sich die vermisste Adminpasswort-Abfrage und man erhält mit dem richtigen Passwort Zugriff auf die Gruppenrichtlinien.


Gruß
-annne-
Bitte warten ..
Mitglied: annnew
27.08.2010 um 08:14 Uhr
Nachtrag: Hier ist der Link zur aktuellen Version vom USB-Wächter: http://www.trinit-soft.de/usb-waechter/
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 10: Apps mit Applocker sperren
Anleitung von 122990Windows 1010 Kommentare

Diese Anleitung beschreibt kurz und bündig die nötigen Schritte um Apps unter Windows 10 mit Applocker zu sperren. Schritt ...

Windows 10
DVD-Laufwerk unter Windows 10 verschwunden
Tipp von LochkartenstanzerWindows 1014 Kommentare

Moin, gerade wieder mal eine der Fälle gehabt, wo das DVD-laufwerk "nicht mehr da" ist. Weder im Gerätemanager noch ...

Windows 7
Windows 7 zeigt keine Netzwerkverbindungen an
Tipp von ApophisWindows 72 Kommentare

Hallo, vielleicht erspart das Folgende ja dem einen oder anderen langes Suchen bzw. eine Neuinstallation. Nach einem Stromausfall konnte ...

Windows 10
Windows X 1511 auf USB-Stick
Erfahrungsbericht von LochkartenstanzerWindows 107 Kommentare

Hi, habe gerade ein Experiment gemacht: ein momentan ungenutzte Win7-Lizenz aus der Kruschtelkischd ausgegraben. Windows 10 mit dieser Win7-Lizenz ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 1 StundeWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 8 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 9 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server22 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...