none
USB Verwaltung per Gruppenrichtlinen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe mal eine generelle Frage: Ist es möglich, per Gruppenrichtlinie nur bestimmte (einzelne) USB-Geräte in einer Domäne zuzulassen (Windows 7 / Windows Server 2008 R2) ?

    Ich habe in den Policies etwas gefunden, bei denen man eine Liste pflegen kann (Prevent redirection of devices that match any of these device IDs). Laut Beschreibung soll dort in den Eigenschaften des angschlossenen USB-Sticks (unter Details) bei der Hardware-IDs ein String stehen, der etwa so aussieht: VID_058F&PID_3734&REV_0189.

    Wenn ich aber die Hardware-IDs anschauen, dann sehen die komplett anders aus

    USBSTOR\DiskGeneric_Flash_Disc_____5.00
    u.s.w.

    Hat das schon mal jemand geschafft?

    Was genau mach die Richtlinie eigentlich? So ganz schlau bin ich aus der Beschreibung auch nicht geworden.

     

    Danke

    Sascha

    Freitag, 17. September 2010 06:18
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.09.2010 09:36, schrieb ChaosNo1:

    Wir haben hier eine Endpoint Lösung im Einsatz (Santuary), allerdings
     nutzen wir den Umstieg auf Windows 7, um uns nach
    Alternativmöglichkeiten umzuschauen.

    Du kannst wie gesagt bei den Bordmitteln mit den ADMx arbeiten
    oder mit den Geräten der Preferences, aber das der größte Knackpunkt
    ist leider die Verwaltbarkeit.

    "Tür zu" funktioniert sehr gut:
    WPD-Geräte: Schreibzugriff verweigern
    Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

    Bei den Ausnahmen, habe ich im Test Probleme gehabt
    -> Benutzerdefinierte Klassen: Schreibzugriff verweigern
    dort bruachst du aber die GUID, steht auch im GM.

    Ich meine mich zu erinnern, das es generell mit "Benutzer" Richtlinien
    nicht funktionierte, sondern nur mit Computerrichtlinien. Damit hat
    man aber das PRoblem, daß man bestimmten Sicherheitgruppen das "Allow"
    nicht setzen kann.
    Ich habe aber echt wenig Energie in der Thema gesteckt, weil .. naja,
    ich GPOs nicht für eine taugliche Lösung halte in dem Bereich, da mich
    die Verwaltung immer schon abgeschreckt hat.

    Zudem gibt es ja mittlerweile bei 1000 Virenscannern auch schon
    "End-Point-Security" Integrationen ... doofes Thema.
     Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 17. September 2010 08:27
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.09.2010 08:18, schrieb ChaosNo1:

    Ist es möglich, per Gruppenrichtlinie nur bestimmte (einzelne)

    > USB-Geräte in einer Domäne zuzulassen (Windows 7 / Windows
     > Server 2008 R2) ?

    Ich tendiere zu Nein.

    Wenn ich aber die Hardware-IDs anschauen, dann sehen die komplett anders aus
    USBSTOR\DiskGeneric_Flash_Disc_____5.00

    Ich frag jetzt mal böse, warum schaust du dir nicht einfach alle
    Eigenschaften einmal an?

    Eigenschaft\Übergeordnet, z.B.:
    USB\VID_05DC&PID_A768\ACGDHXUNG8YFYJF7XFVP

    .. aber davon abgesehen ist das alles ziemlicher Mist.
    Auf der Weg über die Group Policy Preferences \ Geräte ist steinig
    bis hinzu unterirdisch.

    Der Administrative Aufwand, den man damit betreiben muss, rechtfertig
    die Anschaffung einer 3rd Party Lösung, nicht nur aus Sicherhsitssicht,
    sondern vor allem aus administrativer.

    Aber was ist bei euch eigentlich mit den 5GB an Daten, die ein User per
    HTTPS an seinen SkyDrive, GMail, RapidShare, * Dienst kopiert?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 17. September 2010 07:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.09.2010 schrieb Mark Heitbrink [MVP] [MVP]:
    Moin,

    Aber was ist bei euch eigentlich mit den 5GB an Daten, die ein User per
    HTTPS an seinen SkyDrive, GMail, RapidShare, * Dienst kopiert?

    Na irgendwo muß man ja mit der Sicherheit anfangen, da nimmt man erstmal den
    steinigen Weg als erstes. ;)

    Bye
    Norbert

    Freitag, 17. September 2010 07:24
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Naja, die Dinge  wie skydrive und co zu sperren, dafür sind andere hier Zuständig. Ich beschäftige mich im Moment nur mit den Themen Verschlüsselung von Endgeräten und USB-Devices sowie eben einer Sperrung von letzteren, wenn die Geräte nicht offiziell genehmigt.

    Wir haben hier eine Endpoint Lösung im Einsatz (Santuary), allerdings nutzen wir den Umstieg auf Windows 7, um uns nach Alternativmöglichkeiten umzuschauen.

    Stimmt, das bei Parent hab ich gar nicht gesehen ;)

    Aber selbst wenn es geht, sehe ich auch die Schwierigkeit in der doch sehr unübersichlichen Verwaltung innerhalb dieser Liste. Aber wenn es theoretisch geht, kann ich es in meiner Betrachtung und Bewertung nicht verschweigen ;)

     

    Danke

    Freitag, 17. September 2010 07:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.09.2010 schrieb ChaosNo1:
    Hi,

    Wir haben hier eine Endpoint Lösung im Einsatz (Santuary), allerdings nutzen wir den Umstieg auf Windows 7, um uns nach Alternativmöglichkeiten umzuschauen.

    http://securewave.creativerge.net/products.html ;) Jedenfalls sind die
    Windows Boardmittel keine Alternative. Nicht mal ansatzweise.

    Bye
    Norbert

    Freitag, 17. September 2010 07:43
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Nein, funktioniert auch nicht wirklich ;)

    Danke für den Link, habe ihn mal in meine Liste aufgenommen

    Ist das das selbe wie von Lumension? Oder heißt das nur zufällig auch  so ;)

    Danke

    • Bearbeitet ChaosNo1 Freitag, 17. September 2010 07:51
    Freitag, 17. September 2010 07:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Achso.. stand grad aufm Schlauch

    Das ist genau das, was wir gerade im Einsatz haben...

    Hat Lumension die nicht gekauft?

    Freitag, 17. September 2010 07:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.09.2010 schrieb ChaosNo1:

    Achso.. stand grad aufm Schlauch

    Das ist genau das, was wir gerade im Einsatz haben...

    Hat Lumension die nicht gekauft?

    ;) Ja irgendwie haben die schon häufiger Umbenennungen hinter sich.

    Bye
    Norbert

    Freitag, 17. September 2010 08:13
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    ;)

    Glücklicherweise inst zwischen dem 19.10 und 21.10 in Nürnberg die IT Security Messe. Da werd ich mich mal umschauen, was es noch für Alternativen gibt.

    Freitag, 17. September 2010 08:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.09.2010 10:13, schrieb Norbert Fehlauer [MVP]:

    Hat Lumension die nicht gekauft?

    ;) Ja irgendwie haben die schon häufiger Umbenennungen hinter sich.

    Ich habe aufgegeben mir den Namen zu merken, ich google einfach
    den "alten" ... :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 17. September 2010 08:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.09.2010 09:36, schrieb ChaosNo1:

    Wir haben hier eine Endpoint Lösung im Einsatz (Santuary), allerdings
     nutzen wir den Umstieg auf Windows 7, um uns nach
    Alternativmöglichkeiten umzuschauen.

    Du kannst wie gesagt bei den Bordmitteln mit den ADMx arbeiten
    oder mit den Geräten der Preferences, aber das der größte Knackpunkt
    ist leider die Verwaltbarkeit.

    "Tür zu" funktioniert sehr gut:
    WPD-Geräte: Schreibzugriff verweigern
    Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

    Bei den Ausnahmen, habe ich im Test Probleme gehabt
    -> Benutzerdefinierte Klassen: Schreibzugriff verweigern
    dort bruachst du aber die GUID, steht auch im GM.

    Ich meine mich zu erinnern, das es generell mit "Benutzer" Richtlinien
    nicht funktionierte, sondern nur mit Computerrichtlinien. Damit hat
    man aber das PRoblem, daß man bestimmten Sicherheitgruppen das "Allow"
    nicht setzen kann.
    Ich habe aber echt wenig Energie in der Thema gesteckt, weil .. naja,
    ich GPOs nicht für eine taugliche Lösung halte in dem Bereich, da mich
    die Verwaltung immer schon abgeschreckt hat.

    Zudem gibt es ja mittlerweile bei 1000 Virenscannern auch schon
    "End-Point-Security" Integrationen ... doofes Thema.
     Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 17. September 2010 08:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Habe die selben Probleme festgestellt.

    Wobei man mit den GUIDs ja, sowiet ich das rausgefunden habe, nur Geräteklassen definieren kann, nicht jedoch die einzelnen Geräte selber

    Ja, die Virenscanner bzw. Security-Suiten werde ich wohl auch mit Untersuchen, mich allerdings auf End-Point-Security Themen beschränken. Scannerleistung, etc muss dann ggf. zu einem späteren Zeitpunkt erfolgen.

    Freitag, 17. September 2010 08:37
    |