Hallo

Folgendes Problem:
Ich möchte bei einem PC das USB sperren, damit niemand seinen USB-Stick oder IPOD oder was auch immer anschliessen kann. Trotzdem soll aber ein Drucker via USB betrieben werden können. Gibt es da Tools oder kann man mit Windows was drehen?

Das wird eher schwierig, da USB nur im Bios wirklich abschaltbar ist.
Ist dein Rechner standalone oder in einem Netwerk?
Unter http://www.gruppenrichtlinien.de/How...aktivieren.htm gibts einige Möglichkeiten so etwas in einer Domäne u realisieren. Für Standalone Rechner kenn ich im Moment nichts.

Falls du fündig werden solltest, informiere uns doch. Das Thema ist immer aktuell.

Cello

Das klappt nicht. Wie soll der Computer erkennen welcher USB-Device angeschlossen ist? Kauf dir ein USB zu Parallel Konverter, schliesse den Drucker am Parallelanschluss an und deaktiviere im Bios die USB Anschlüsse (Bios Passwort setzen nicht vergessen).

Ich denke mal das Betriebssystem kann schon unterscheiden ob z.B. ein Drucker oder ein USB Stick an die Schnittstelle angeschlossen wurde. Es werden ja wohl auch andere Treiber geladen? Ein Memorystick bekommt ja immer einen Laufwerksbuchstaben zugewiesen und dies kann z.B. über das Tool tweakui http://www.microsoft.com/windowsxp/d...powertoys.mspx verhindert werden. In der Sektion My Computer-Drives können die nicht benötigten LW ausgeblendet werden. Dies ist zwar auch ziemlich ein Murxs, einfach die USB Schnittstelle im Bios zu deaktivieren ist aber auch nicht gerade die elegante Lösung, insbesondere da ja womöglich weitere USB Geräte ihren Dienst weiter tun sollten, z.B. Scanner, Maus, Modem (gibts das noch?), PDA, usw.

Es gibt auch verschiedene Software Lösungen, welche mehr oder weniger das Gleiche machen. Google bieten dazu eine ganze Menge. Habe selbst jedoch auch noch keine der Varianten im Einsatz. Will das bei Gelegenheit auch mal durchtesten.

Links:
http://forum.trinit-soft.de/viewforum.php?f=10
http://www.gruppenrichtlinien.de/How...aktivieren.htm
http://www.webtresor.de/nutzerverwal...b_blocker.html
http://www.derfisch.de/modules.php?o...etails&lid=175

Gruss kiwi

Ich bleibe dabei, das wird nicht funktionieren.

Ich sehe es nicht ganz so schwarz. So wie es aussieht, wird einem USB-Device eine eindeutige Kennung zugeordnet.
Damit lässt sich schon was anfangen.
Der USB Wächter verfolgt diese Strategie:
http://forum.trinit-soft.de/viewtopi...2ed2e9faa7bad5

Mit etwas Fantasie und Programmierkenntnissen, müsste da doch was zu machen sein.

Cello

Dieser Meinung bin ich auch.

Ich muss mal schnell eines meiner 12kg Bücher konsultieren, vieleicht kommt mir dann eine Idee.

grz zer00

Aufwand und Ertrag stimmen nicht überein! Dann vorher in den Arbeitsvertrag eine Klausel einbauen das keine USB-Sticks uws. verwendet werden dürfen. Abgesehen davon gibt es für Mitarbeiter andere Möglichkeiten Daten zu stehlen.

Also, habe mal kurz ein wenig rum probiert

Die Sache mit dem tweakui funktioniert tatsächlich so nicht wirklich. Das LW wird zwar im Explorer nicht mehr angezeigt, ist aber direkt problemlos ansprechbar
==> keine Lösung des Problems

Als nächstes gibt es für einen einzelnen Rechner die Möglichkeit über die Registry den Zugriff auf den USB Store Device zu unterbinden. Dies geschieht unter
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
den REG DWORD - Start auf Wert = 4 setzen (deaktiviert)

Dadurch wird verhindert, dass einem USB Device ein LW Buchstabe zugewiesen wird und das Device ansprechbar ist. Natürlich kann ein Benutzer mit ensprechender Berechtigung und Kenntniss den Wert in der Registry ändern und das Device funktioniert sofort wieder. Weiter gibt es ja auch Speicherlösungen für Firewire usw.
==> Auch das lösst also das Problem sicher nicht abschliessend und wasserdicht.

Auf den ersten Blick wirklich intererssant und wahrscheindlich auch dicht scheint mir die Lösung mit der Software SecureNT http://www.globalsoft.de/PRODUKTE.KB/SecureNTKB.html
Leider habe ich grad so auf den erstern Klick nirgends Preisangaben zum Produkt gefunden. Kennt jemand diese Software aus eigener Erfahrung?

Ich denke, dieses Problem ist noch nicht gelöst. Und auch ich bleibe dabei: einfach die USB Schnittstelle im Bios zu deaktivieren ist nicht wirklich eine brauchbare Lösung. Ansonsten könnte man ja auch gleich einen mechanischen Schutz anbringen? PC in eine Kiste und ein grosses Vorhängeschloss daran! ;-)

Wer hat weitere Lösungsvorschläge und Erfahrungen?

Gruss kiwi

Soviel mir bekannt ist, läuft dieses Produkt nur unter NT 4.0 (und das erkennt eh kein USB).
Bevor dieser Thread weiter beantwortet werden kann sollte uns Swizz mehr Informationen über die Anforderung des entsprechenden Computers liefern. Sollte (was ich annehme) nur der momentane USB Drucker weiter funktionieren wäre meine Lösung mit dem Adapter am schnellsten und billigsten zu realisieren.

Ja Trainer, ist schon richtig. Falls nur ein USB Drucker noch an die Schnittstelle angeschlossen werden soll, ist die von Dir beschriebene Lösung mit dem Konverter sicher die einfachste und würde ich auch so machen. Mir geht es aber weniger darum nur jetzt in diesem spezifischen Fall von swizz, sondern mehr um die Problematik an sich. Ich finde, einfach die USB Schnittstelle zu deaktivieren nicht wirklich die elegante Lösung, da es ja wie gesagt normalerweise eine ganze Reihe weiterer Geräte am USB Bus gibt. Auch gibt es ja z.B. externe Firewire HDs welche auch zum abzügeln von Daten gebraucht werden könnten.

Die Software SecureNT gibt es in einer neuen Version unter dem neuen Namen Sanctuary Device Control. Ich habe oben den falschen Link eingefügt (kommt davon, wenn man die ganze Zeit zwischen Olympia und dem Board hin und her wechselt). Hier der Richtige: http://www.securewave.com/turcana/se...nctuary_DC.jsp
Ist aber wohl eine ziemlich mächtige und auch teure Lösung und für diesen konktreten Fall sicher mit Kanonen auf Spatzen geschossen. Ich möchte aber gerne wissen, ob jemand Erfahrung hat mit diesem oder ähnlichen Produkten, resp. auch andere Ansätze kennt. Denn die Problematik sehe ich schon und die kann auch mit einer Klausel im Vertrag nicht wirklich gelöst werden.

Verstehe deine Ansichten kiwi aber in diesem Thread gings um das Problem von Swizz. Du kannst jederzeit einen neuen Thread eröffnen da die Problematik sicher aktuell ist.

Habe mal ein bischen weiter gesucht und auf der Homepage von Michael Fischer ein Programm gefunden aber noch nicht ausprobiert. Wer sich dafür interessiert:

USBWächter
http://www.derfisch.de/modules.php?o...titleA&show=10

Software gegen Datendiebstahl per USB-Stick

Das Tokyoter Softwarehaus Quality Corp. bringt am Montag eine Software auf den Markt, die den Datendiebstahl per USB-Stick verhindern soll, meldet das japanische Finanzblatt Nihon Keizai Shimbun. Nach der Installation der ex WP genannten Software ist der Schreibzugriff auf den USB-Stick gesperrt; Daten lassen sich davon nur noch lesen.

ex WP soll auf diesem Wege verhindern, dass sensible Unternehmensdaten, etwa von Kunden oder den eigenen Geschäftszahlen, die Firma unerlaubt verlassen. Um Datenmissbrauch vorzubeugen, sind aus vielen Betrieben schon seit langem Floppy-Laufwerke oder CD-Brenner aus den PCs verschwunden. Eine Zehn-Benutzer-Lizenz soll umgerechnet rund 380 Euro kosten. (ola/c't)


http://www.heise.de/newsticker/meldung/50975

Was würde passieren wenn man wirklich den USB Stick sperren kann, ich aber eine Digitalkamera anschliesse. Diese hat ja sicher eine andere Kennung, da wird ja meistens sogar der Typ der Kamera erkannt. Sie wäre ja auch fähig die Daten zu empfangen.
Gruss hagy

Kenne nur das Microsoft Tool und wenn man dort den USB Sperrt, geht nichts mehr. Drucker, Cam etc alles weg.
http://www.microsoft.com/windowsxp/d...powertoys.mspx

Das mit der Regestry habe ich noch nicht ausprobiert

Der Ansatz von Hagy ist gut. Erweitere ihn durch PDAs oder Uplpad auf einen FTP.

Gruss

Die Centertools bieten zumindest auf der webseite ein Tool an, das spezifische einzelnen Geräte, Benutzer und Gruppen sperren kann:
http://www.centertools.de/

Und wenn ich die txt-Datei des USB-Wächters anschaue, dann gibt es eine eindeutige Identifizierung für die einzelnen Geräte.
http://forum.trinit-soft.de/viewtopi...f9b5b10b9e9b7f

Ich würde mir den USB-Wächter mal genauer anschauen.

Cello