Sperren von Desktop-USB-Anschlüssen

8

Wie sperren Sie die USB-Anschlüsse der Desktop-PCs, um die Verwendung von USB-Laufwerken auf den Desktops zu verhindern?

Ich sollte klarstellen, dass dies Windows XP-Desktops sind.

Wir sollten auch davon ausgehen, dass wie die meisten neuen Desktops viele USB für Tastaturen und / oder Mäuse verwenden.

windows  security  windows-xp  usb  desktop 
Mike Wills
quelle
1
Haben sie USB-Mäuse / Tastaturen?
pjz
Schauen Sie sich die Antworten auf diese Frage an .
Epotter

Antworten:

7

Hierfür sollte ein Gruppenrichtlinienobjekt vorhanden sein, das Sie über Active Directory übertragen können. Sehen Sie sich gpedit.mscWinXP Pro an.

Lucas Jones
quelle
1
Ich glaube nicht, dass dies die Leute davon abhält, von einem USB-Stick zu booten.
pjz
5
+1 Ist das Booten von einem solchen Problem? Das könnte im BIOS-Setup geändert und dann passwortgeschützt werden ...
Oskar Duveborn
Um welche Einstellungen handelt es sich?
Epotter
Welche Einstellung hängt vom BIOS ab. Suchen Sie nach Funktionen, die den USB-Start aktivieren / deaktivieren und / oder beim Start Startlaufwerke auswählen.
Lexu
8

Wenn es sich um Windows-Desktops handelt, können Sie die lokale Richtlinie (oder die Gruppenrichtlinie, wenn es sich um Active Directory handelt) verwenden. Es gibt keine Standardeinstellung dafür, aber die von MS bereitgestellte Vorlage finden Sie unter MSKB 555324 .

Kara Marfia
quelle
1
Diese Verbindung ist unterbrochen. Ich vermute, es ist .com nicht .cim.
Mike Wills
1
Das ist nur verrücktes Gerede.
Kara Marfia
6

Sie sollten in der Lage sein, die USB-Ports im BIOS des Computers zu deaktivieren. Sie können auch die Kabel vom Motherboard abziehen.

RateControl
quelle
1
Was ist, wenn die Tastatur und / oder Maus USB ist? Das würde nicht funktionieren.
Mike Wills
1
Dann müssen Sie einen USB-zu-PS / 2-Konverter verwenden.
Adam Gibbins
1
@ Mike Wills, stimmt, aber wenn Sie nicht alle Ports deaktivieren, wie Chris Upchurch (siehe unten) sagte, werden Sie immer noch auf das Problem stoßen, das Sie vermeiden möchten. Es kann alles davon abhängen, wie gut Ihre Benutzer mit Computern umgehen können. Wenn Sie nicht möchten, dass sie "schmutzige" USB-Laufwerke anschließen, reicht es möglicherweise aus, den vorderen Stecker zu ziehen.
RateControl
7
@Adam: Viele Computer haben heutzutage nicht einmal PS / 2-Ports.
Chris Upchurch
2
Die richtige Lösung besteht darin, die Verwendung von austauschbaren USB-Speichergeräten zu deaktivieren. Alles andere weist klaffende Löcher auf, durch die Sie einen LKW fahren können. Angesichts der Tatsache, dass dies ein Sicherheitsproblem ist, möchten Sie es auf jeden Fall richtig machen, anstatt irgendwie, irgendwie, meistens richtig.
Wedge
5

Ich denke nicht, dass das Deaktivieren von Ports wirklich das tun wird, was Sie zu wollen scheinen. Nur wenn diese Computer PS2-Mäuse und -Tastaturen verwenden. Solange Sie über USB-Anschlüsse für Tastatur und Maus verfügen, kann jemand einfach einen Hub anschließen und sein USB-Laufwerk daran anschließen. Was Sie wirklich tun möchten, ist zu verhindern, dass der Computer USB-Speichergeräte (aber keine anderen USB-Geräte) erkennt, die über USB angeschlossen sind.

Chris Upchurch
quelle
5

Wenn die Benutzer Administratorrechte für ihre PCs haben, können sie alles überschreiben, was Sie tun, um dies zu verhindern. Sie können jedoch dem folgenden Link zur von Microsoft empfohlenen Lösung folgen:

http://support.microsoft.com/kb/823732

Sie können auch das Booten von einem USB-Stick im BIOS verhindern, wie bereits erwähnt.

Marc Reside
quelle
4

Wenn Sie Bedenken hinsichtlich der Verwendung einer Softwarelösung haben, können Sie einige Hardware-Sperren kaufen.

USB Port Blocker

Dies setzt voraus, dass Sie über das Budget verfügen, um diese für jede Maschine zu erhalten. Möglicherweise müssen Sie auch verhindern, dass Benutzer die Tastatur und die Maus ausstecken, wenn sie ebenfalls über USB angeschlossen sind.

CanyonR
quelle
3

Zwei Lösungen, die ich bei Kunden gesehen habe:

  • (Linux) Blacklist der relevanten USB-Kernelmodule (usb_storage) in der entsprechenden Datei /etc/modprobe.conf
  • Heißklebepistole
MikeyB
quelle
3

Stellen Sie im BIOS das Startgerät so ein, dass es nur von der Festplatte startet, und schützen Sie das BIOS mit einem Kennwort. Deaktivieren Sie im BIOS alle USB-Geräte, mit denen Sie durchkommen können. Um zu verhindern, dass USB-Sticks überhaupt montiert werden, müssen Sie andere Maßnahmen ergreifen. Können Sie den Computer in eine Box legen, in der nur die Tastatur- und Mauskabel herauskommen? Dann gibt es keinen verfügbaren USB-Anschluss, an dem sie herumspielen können.

Das Fazit ist, dass Sie, solange Sie Personen nicht vertrauen, die physischen Zugriff auf den Computer haben, nur die Sicherheit verbessern können, aber keine absolute Sicherheit erhalten können.

Eddie
quelle
3

Ich musste dies sowohl auf eigenständigen Computern als auch auf mehreren Domänencomputern tun. GPO wäre ein besserer Weg, aber ich hatte nicht den Luxus, es so zu machen. Wenn jemand Administratorrechte für den Computer und ein wenig Wissen hätte, könnte er dies natürlich rückgängig machen.

Zu der Zeit, als ich das benutzte, hatten wir alle XP-Maschinen. Kein Benutzer hatte Administratorrechte. Keine Benutzer sind Hauptbenutzer. Einige Benutzer haben USBSTOR.SYS gelöscht, um Benutzer davon abzuhalten, USB-Massenspeichergeräte zu verwenden. Wenn ich also jemals USB-Massenspeichergeräte wieder aktivieren musste, musste ich auch die Treiberdatei wiederherstellen. (Also habe ich eine aktuelle Kopie zusammen mit den folgenden Dateien griffbereit gehalten). Meine Kopie von "Enable.bat" enthält eine Zeile - die ich hier auskommentiert habe -, um die Datei nach Bedarf wiederherzustellen.

Disable.bat:

(Möglicherweise muss "BUILTIN \ Administrators" zu den CACLS-Befehlen hinzugefügt werden. Ich musste dies nicht in meiner Umgebung tun.)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Möglicherweise muss ein weiterer Satz von CACLS-Befehlen für "BUILTIN \ Administrators" hinzugefügt werden. Ich musste dies nicht in meiner Umgebung tun.)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Ähnliches könnte für Vista funktionieren - ABER ich habe es nicht versucht.

Steve Kalemkiewicz
quelle
2

Ich ziehe es vor, die Benutzer darin zu schulen, was akzeptabel ist und was nicht. Wenn Sie Ihren Benutzern nicht so weit vertrauen können, nehmen Sie ihre PCs weg und richten Sie ein Thin Client-System ein, das eine Verbindung zu einem Citrix Server herstellt, auf dem alle Ihre Apps ausgeführt werden. Die einzige andere Lösung, die ich mir vorstellen kann, besteht darin, den eigentlichen PC in einem verschlossenen Schrank zu platzieren, wobei nur die Kabel für Tastatur, Maus und Monitor herauskommen. In allen Fällen denke ich, dass Sie am Ende einfach mehr Arbeit für sich selbst schaffen werden.

Jim C.
quelle
1
Sie leben in einer idealen Welt ...
Josh
0

Wenn Sie diese Anschlüsse effektiv vom Computer entfernen möchten (und überhaupt USB benötigen) UND wenn Sie bereit sind, den Computer zu ändern, kann ich zweiteiliges Epoxid vorschlagen? Decken Sie den Stecker mit Epoxidharz ab und niemand steckt dort jemals wieder etwas ein. Heißschmelzkleber ist etwas weniger dauerhaft, aber immer noch ziemlich effektiv.

Angenommen, Sie benötigen noch USB-Anschlüsse für Tastatur / Maus, müssen Sie ein oder zwei Anschlüsse unbedeckt lassen.

Michael Kohne
quelle
Dies ist unter bestimmten Umständen eine legitime Antwort.
Duffbeer703
0

Drivelock . Spiegelt auf Wunsch auch Dateien von USB-Sticks und ermöglicht das Whitelisting und Blacklisting von Geräten, Dateitypen und Benutzern.

0

Sie können den USB- Speicher deaktivieren über:

http://support.microsoft.com/kb/823732

Es ist auch möglich, USB-Speicher schreibgeschützt zu machen . Dies ist oft ein guter Kompromiss, da Benutzer Daten von einem USB-Gerät lesen können - wie Fotos von einer Kamera -, aber verhindern können, dass sie Ihre Unternehmensdatenbank auf ihren Memory Stick kopieren.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Es ist wahrscheinlich nicht ratsam, zu versuchen, USB vollständig zu deaktivieren, da Dinge wie Tastaturen und Mäuse heutzutage im Allgemeinen USB erfordern. Beide oben genannten Optionen können über einen Registrierungseintrag oder eine Richtliniendatei festgelegt werden. Die Stärke dieser Einstellungen ist so stark wie Ihre Windows-Richtlinien- und Gruppeneinstellungen.

Brianegge
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.