USB Controller unter W2K konfigurieren

[Dragan]

Also wir wollen demnächst auf Windows2000 Prof. updaten. Deshalb haben wir folgendes Problem mit unserem USB Controller...

Es soll möglich sein eine Maus, Tastatur und eine Digital-Kamera an die USB- Schnittstelle anschließen zu können, es soll aber letztlich verhindert werden das z.B. andere Massenspeicher an die Schnittstelle angeschlossen werden können (z.B. Memory Sticks, Kartenlesegeräte usw…) Wir wollen nämlich nicht das jeder Daten in unser Netzwerk einspeisen kann, eventuelle Virengefahr.

Problem ist halt das die ganzen Geräte die an USB angeschlossen werden automatisch installiert bzw. erkannt werden…

Was gibt es für Abhilfen, das nur Digi-Cams, Tastaturen und Mäuse angeschlossen werden können und keine Memory Sticks oder sonstiges…

Danke im Voraus

Gruss

[Keksfahrer]

also als lösung würde ich versuchen, nach der installation der maus (usw) in der registry den punkt zu suchen, der dafür sorgt, dass weitere hardware bei anschluss erkannt und installiert wird.

welcher reg-key das ist - weiss ich leider nicht, da NT4.0-user

[MoBaB]

im prinzip ist das schwierig weil man im prinzip auf eine digitalkamera schon mp3s speichern kann und halt auch viren oder so was.

im prinzip gibt es da nur die möglichkeit die genauen treiber für firmeninternen kameras zu installieren und dann die restlichen massenspeicher-treiber aus windows zu entfernen. und natürlich dem user keine installationsrechte geben!

-> könnte aber wieder dadurch umgangen werden wenn mitarbeiter die digi-cams mal kurz mit nachhause nehmen

also is gar net so einfach.

anmerkung: viele denken immer nur das so viren rein geschleust werden könnten, aber was noch viel schlimmer wäre es können auch leute daten mit nehmen!

[MoBaB]

@Keksfahrer: das ist auch noch ein guter tip!

das ist aber relativ einfach.

denn bei windows2000 geht man dazu in die "Lokale Sicherheitsrichtlinie" unter verwaltung und da gibt es einen punkt der so ähnlich heißt wie "plug and play" oder so (kann jetzt leider gerade net nachschauen!) und da gibt man dem user einfach keine rechte für. d.h. er darf halt nie irgendwelche geräte installieren.

nur bei uns trat das problem eben mit den digi-cams auf weil die beim anstecken automatisch erkannt werden müssen.

-> also konnten wir das nicht unbedingt deaktivieren!

[Dragan]

Das stimmt...

Also momentan ist mein Ziel das...ich es irgendwie Steuern kann das keine anderen

Geräte außer Tastatur Maus und Digi Cam über USB angeschlossen werden können...

Welche USB Treiber kann man ohne bedenken herausschmeissen...

Wenn z.B jemand ein kartenlesegerät an die USB Schnittstelle anschliesst wird es als Wechseldatenträger automatisch installiert....

Danke im Voraus

[MoBaB]

genau das ist das problem.

fast alles was mit speicher zu tun hat wird sofort als wechseldatenträger installiert. wenn man die treiber weg haut passiert das zwar nicht mehr aber was macht man mit der digi-cam?

wir haben ein eigenes tool vom hersteller der digi-cam und man kann sich nur mit dem auf diese kamera (oder baugleiche) verbinden.

-> wäre halt wieder das problem das wenn jemand wirklich die firma darüber sabotieren wollte dann kauft er sich einfach die gleiche kamera steckt sie an und los gehts.

// wie schon öfter gesagt, es ist wirklich nicht einfach (vielleicht wissen die jungs von der sicherheit mehr?!?!)

[Dragan]

Ja genau...

Ich könnte im Bios komplett die USB Schnittstelle sperren das ist kein Problem...

aber dann funkt die Kamera garnicht mehr...und auch keine Tastatur und keine Maus

Das ist ein schwieriges Thema...weil man ja auf der einen Seite etwas einschränken und auf der anderen will man es trotzdem ohne Probleme benutzen können...

[jomama]

Computerverwaltung->Dienste->Plug&Play ausschalten reicht völlig. Und User darauf hinweisen, das es einen Kündigungsgrund darstellt, durch fremde Daten das firmeneigene Netzwerk zu schädigen.

[Dragan]

Muss man das Plug and Play mit dem Lokalen Admin ausschalten bzw. Beenden...!!!

Ist die Kamera beim nächsten Start trotzdem noch installiert oder nicht...

weil die muss funken....

Danke

[jomama]

Natürlich ist sie installiert. Wasn dat für ne Frage. Plug&Play gewährleistet doch nur die automatische Installation.

[Dragan]

Also ich habe gerade das Plug and Play deaktiviert bei den Diensten...

Und habe darauf den PC neugestartet...

Und jetzt kommt er bis zum AnmeldeFenster und dann Ladet der Rechner vorsich hin

und man kann sich garnicht anmelden...

An was kann es liegen???

[MoBaB]

naja soweit schon richtig.

aber unsere kameras wurden dann ohne plug&play nicht mehr erkannt.

aber über das tool der firma gehts!

[jomama]

Wieso sollen denn die Kameras nach der Installation nochmal erkannt werden? Dann sind sie schon erkannt. Was du brauchst ist halt der Treiber.

Where lies the problem?

[Dragan]

Also ich krieg den Plug and Play Dienst nicht ohne Nebenwirkungen beendet

Wie hast du es genau gemacht???

Danke

[Zipfenklatscher]

Klappt das mit dem Speicherstick erkennen von Win2k überhaupt, wenn der "vermeindliche Schädiger" nur Benutzerrechte hat??? :mod:

[Dragan]

Ja der erkennt es

das ist ja unser Problem...

Gruss

Dragan

[WhiteRabbit2003]

Lasst doch den plug & play Dienst ne log-Datei schreiben (WM_DEVICECHANGE)

Gebt noch ne nette Meldung aus:

(Ein neues Gerät wurde erkannt ...blabla... Denken Sie an unsere Firmenrichtlinien...blablabla...Diese Nachricht wurde an den Admin weitergeleitet...blablabla...und geloggt)

Loggt die Devices auf dem aktuellen Arbeitsplatz, evtl. sogar mit Directory-Inhalten und überlegt euch bei welchen Auffälligkeiten der Admin ne Bildschirmmessage braucht...

Und schon überlegt sich jeder User ob er Datenklau und Vireneinschleusung betreiben kann.