Jump to content

Verbiete USB Schnittstelle via Gerätekontrolle


Recommended Posts

Posted

Hallo,

ich habe ein Problem mit der Gerätekontrolle. In der Firma würde ich gern die USB Schnittstelle verbieten und die wenigen Geräte (Maus, Tastatur, ...) als Vertrauenswürdige Geräte angeben. Nur geräte werden trotztdem über USB erkannt. Z.B eine externe Festplatte wurde bei Gerätetyp auf "abhängig von Verbindungsschnittstelle" gestellt und Schnittstelle "USB" ist deaktiviert. Die Festplatte wird aber trotzdem erkannt. Wie löse ich das? Da ich "Festplatten" nicht komplett verbieten kann, da dann die Festplatte des PCs selbst benefalss nicht erkannt wird.

mfg

Posted

guten Tag

Es tut mir leid, weil ich Ihnen mit Google Translator antworte

Eine sehr ungewöhnliche Vorgehensweise bei der Verwendung der Komponente, mir ist bisher nicht begegnet, dass der USB-Bus abgeschaltet würde. Nach Ihrer Beschreibung scheint es sehr unpraktisch zu sein, da Sie zu viele Geräte zu den vertrauenswürdigen hinzufügen müssen.

Könnten Sie zeigen, wie Sie derzeit Reifen konfiguriert haben und Gerätetypen ... wie unten gezeigt

dabei sollten Sie nicht vergessen, dass die Einstellungen auf der Registerkarte „Gerätetypen“ Vorrang vor der Einstellung in „Verbindungsbusse“ haben

Спойлер

image.thumb.png.1d5365bb06ee7d22cd282c5725fd0330.png

 

Спойлер

image.thumb.png.d84e91202a082b7d6fe8e8077977d8e6.png

 

und beschreiben Sie, welches Endergebnis Sie erreichen möchten, um zu verstehen, ob Sie wirklich den gesamten USB-Bus abschalten müssen.

Ich kann davon ausgehen, dass Sie den Zugriff auf USB-Wechselmedien (z. B. Flash-Laufwerke und Festplatten) verbieten müssen.

dann ist es für Sie einfacher, den Bus aktiviert zu lassen und nur USB als Gerätetyp zu deaktivieren, wie in meinem Screenshot oben.

Wie Sie sehen, blockiere ich sie gleichzeitig nicht vollständig, sondern verwende Berechtigungen für einige Domänengruppen, die den Zugriff von USB ermöglichen (RO - nur lesen, RW - lesen und schreiben).

Es ist viel bequemer...

Спойлер

image.thumb.png.83b38c5c1522459a8061a3db89099762.png

Der Benutzer "SYSTEM" ist blau markiert ... fügen Sie ihn auf die gleiche Weise hinzu, wenn Sie ein beliebiges Gerät anschließen, auch wenn es für einen bestimmten Benutzer oder eine bestimmte Gruppe zugelassen ist, gibt das System einen Zugriffsfehler an den Benutzer "SYSTEM" aus (obwohl das Gerät wird verfügbar sein). Es wird den Benutzer nur ärgern.

Posted
Am 16.12.2022 um 12:32 schrieb kafre:

...  ich habe ein Problem mit der Gerätekontrolle. In der Firma würde ich gern die USB Schnittstelle verbieten und die wenigen Geräte (Maus, Tastatur, ...) als Vertrauenswürdige Geräte angeben. Nur geräte werden trotztdem über USB erkannt. Z.B eine externe Festplatte wurde bei Gerätetyp auf "abhängig von Verbindungsschnittstelle" gestellt und Schnittstelle "USB" ist deaktiviert. Die Festplatte wird aber trotzdem erkannt. Wie löse ich das? Da ich "Festplatten" nicht komplett verbieten kann, da dann die Festplatte des PCs selbst benefalss nicht erkannt wird...

Hallo Kafre,

willkommen im Forum. 
Tatsächlich ist es wenig sinnvoll das über die Schnittstellen zu steuern, sprich: USB zu verbieten. 
Effektiver ist es über die Gerätetypen zu gehen. Üblicherweise sperrt man Wechseldatenträger (USB-Sticks und -Festplatten), Disketten (falls überhaupt noch vorhanden), CD/DVD-Laufwerke, Smartcard-Leser und MTPs (interner Speicher von SmartPhones).

image.thumb.png.ccd4ba68bf4f6e1d261659aadfe1c023.png


Beste Grüße
Alex

 

 

Posted

Hallo,

vielen Dank für die rashcen Antworten.

Generell: Ich möchte in der Firma Wechseldatenträger verbieten, welches auch über die Gerätetypen funktioniert.

Wir verwenden USB-Tokens welche als Festplatten erkannt werden, aber externe Festplatten sollten auch verboten werden nur die USB-Tokens sollten dann über Vertrauenwürdige Geräte zugelassen werden. Meine Vorgehensweise war derzeit so das ich die Festplatte "schnittstellen abhängig" stelle und USB über Schnittstelle deaktiviere. Danach den/die USB-Tokens über VErtrauenwürdige Geräte zulasse. Ich habe es probiert mal ohne freischalten des Vertrauenswürdigen Gerätes nur wird der Token trotzdem erkannt.

Gibt es dafür eine andere Lösung?

Kurzgefasst. Wechseldatenträger verbieten funktioniert. Externe Festplatten verbieten aber Token zulassen. Wie funktionieren Schnittstellen generell? Wenn ich bei Gerätetypen auf schnittstellen abhängig hab.

 

image.thumb.png.22cfd91d77967888b3bc948512e0240f.png

image.thumb.png.511e9ee917db4ab624776d465c60a46a.png

mfg

Paul

Posted

Noch bezüglich der Festplatte. Ganz verbieten kann ich sie leider nicht, da dann die interne Festplatte des Rechners ebenfalls verboten wird.

mfg

Posted

Hallo Paul,

wie bereits beschrieben würde ich mich an deiner Stelle von der Steuerung der Gerätekontrolle über die Schnittstelle verabschieden - das ist nicht zielführend.
Vor sehr langer Zeit haben wir darüber die Infrarotschnittstelle gesperrt - aber ich habe schon mind. 5 Jahre keine mehr zu Gesicht bekommen ?

Auch den Gerätetyp "Festplatte" muss man in der Regel nicht einschränken, da sich alle per USB oder sonstwie verbundenen externen Festplatten als Wechseldatenträger melden und nicht als Festplatte. Es ist also dies bzgl. ausreichend, den Gerätetyp "Wechseldatenträger" einzuschränken.
Hier nochmal der Hinweis auf meinen Screenshot mit den üblicherweise gesperrten Gerätetypen.

Die USB-Sticks mit den Token fügst du dann über die Geräte-ID in der Liste der vertrauenswürdigen Geräte hinzu. 

Noch ein Hinweis: Sowohl die Einträge in der Liste der vertrauenswürdigen Geräte, als auch die Steuerung des Gerätetyps "Wechseldatenträger" lässt sich AD-integriert konfigurieren. Die Zugriffe lassen sich also nochmal granularer auf Basis der AD-Benutzer bzw. -Gruppen steuern.

Grüße
Alex

Posted

Ok vielen Dank, dann werde ich das über die Gerätetypen machen.

Nur bezüglich den Tokens, diese werden ja leider als Festplatte vom System erkannt. Kann man das schlussendlich auch herausfiltern das nur bestimmte gehen? Oder wäre das zu viel aufwand, da dann ebenfalls alle interne Festplatten der PC hinzugefügt werden müssen?

Mfg,

Paul

 

 

 

  • 3 weeks later...
Posted

Hallo Paul,

werden die tatsächlich als Festplatte angezeigt? Das würde mich doch sehr wundern. 

Falls du tatsächlich den Gerätetyp "Festplatte" sperren möchtest: Soweit ich das noch im Kopf habe werden Festplatten, die Systempartitionen enthalten nicht gesperrt - das wäre ja sonst quasi Suizid, das System würde nicht mehr booten. 
Du müsstest also nur ggf. zusätzlich vorhandene Festplatten zu den vertrauenswürdigen Geräten hinzufügen.
In der Regel haben Workstations/Notebooks aber nur eine Festplatte verbaut - da sollte nicht zu viel Arbeit kommen.
Über den Hardware-Inventur-Bericht kannst du dir da im Vorfeld aber auch schon einen Überblick verschaffen.

Auf jeden Fall: Bitte vorher an ein/zwei Geräten testen.

Grüße
Alex
 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...