USB-Zugriff sperren, aber nur bestimmte zulassen (insbesondere ein USB-Massenspeichergerät)

1

Gibt es in Windows 10 Pro eine Möglichkeit, alle USB-Geräte zu blockieren, aber bestimmte zuzulassen?

Insbesondere möchte ich nur ein bestimmtes USB-Massenspeichergerät zulassen - dh ein bestimmtes Herstellermodell mit einer eindeutigen Seriennummer.

Dieser Artikel behauptet, dass es möglich ist: https://community.spiceworks.com/how_to/1488-lockdown-usb-to-specific-removable-usb-drives . Es wurde jedoch im Jahr 2010 geschrieben und die Anweisungen scheinen unter Windows 10 nicht zu funktionieren: Ich konnte die Berechtigungen der Datei "usbstor.inf" nicht ändern, und der Computer hängt weiterhin zuvor nicht gesehene Modelle von USB-Sticks ein.

windows-10 usb security Kal
quelle
1
Sie können dies mit einer Gruppenrichtlinie tun. Wie dies getan wird, ist gut dokumentiert. Haben Sie die Gruppenrichtlinienmethode ausprobiert?
Ramhound
@ Ramhound Du hast recht. Ich habe es durch Gruppenrichtlinien funktionieren lassen, und es ist eine viel sauberere Lösung (kein Herumspielen mit Systemdateiberechtigungen).
Kal

Antworten:

0

Nach dem Vorschlag von @ Ramhound funktionierte es mithilfe von Gruppenrichtlinien.

Die allgemeine Anleitung ist hier dokumentiert: https://technet.microsoft.com/en-us/library/2007.06.grouppolicy.aspx

Insbesondere die Regel "Installation von Wechseldatenträgern verhindern" ist das, was ich brauche.

Hier ist eine Zusammenfassung dessen, was ich getan habe:

  1. Deinstallieren Sie im Geräte-Manager alle USB-Geräte, die ich nicht möchte, einschließlich der derzeit nicht verbundenen. Es gibt eine Umgebungsvariable DEVMGR_SHOW_NONPRESENT_DEVICES, die die Anzeige installierter, aber derzeit nicht verbundener Geräte ermöglicht. Suchen Sie einfach im Web nach "DEVMGR_SHOW_NONPRESENT_DEVICES".
  2. Installieren Sie das gewünschte USB-Gerät. in diesem Fall ein USB-Massenspeichergerät;
  3. Aktivieren Sie die Regel "Installation von Wechseldatenträgern verhindern" in der Gruppenrichtlinie.

Vorbehalt:

  1. Gruppenrichtlinien können einige Geräte, die keine eindeutige Seriennummer aufweisen, wahrscheinlich nicht effektiv blockieren. Wenn beispielsweise ein bestimmtes Anbietermodell eines USB-Massenspeichergeräts keine eindeutige Seriennummer aufweist und Sie eine installiert haben, können mithilfe von Gruppenrichtlinien möglicherweise andere Instanzen desselben Anbietermodells bereitgestellt werden. Ich habe kein solches USB-Massenspeichermodell bei mir, daher kann ich es nicht wirklich überprüfen.
  2. Soweit ich weiß, sind USB-Geräte-IDs nicht signiert und können daher nicht überprüft werden. Wenn ein USB-Gerät behauptet, ein bestimmtes Gerät mit einer bestimmten Seriennummer zu sein, kann der Computer nicht feststellen, ob dies zutrifft. Ein Bösewicht könnte ein USB-Gerät mit einer gefälschten USB-Geräte-ID und einer gefälschten Serien-ID bauen, um es auch dann von Ihrem Computer akzeptiert zu bekommen.

Trotzdem funktioniert diese Lösung, wenn Sie davon ausgehen, dass alle Ihre Geräte eindeutige Seriennummern aufweisen und niemand versucht, ein USB-Gerät zu fälschen, damit es von Ihrem Computer akzeptiert wird.

Kal
quelle