USB-Sticks unter Windows XP Sperren

Da die Bedrohung durch den „Conficker/Downad“ Wurmes sehr rassant zunimmt und die Verbreitung auch über USB-Sticks möglich ist wurde sehr schnell der der Gedanke wach die USB-Sticks auf den Rechnern zu sperren. Dies ist die einzige Möglichkeit um auch im Firmennetzwerk das Einschleppen des Wurmes von aussen zu verhindern.

Natürlich währe es möglich die USB Ports direkt im BIOS zu deaktivieren, doch ist es bei über 100 Clients eine höllische Arbeit und ausserdem können dann auch keine USB Eingabegeräte genutzt werden.   —>   Schlechte Idee *ggg*

Die Lösung des Problems ist recht einfach:

1. Wechseldatenträger per Registry Deaktivieren
2. Zugriff auf Treiberdateien sperren.
3. Fertig

Hier mein Skript zum sperren der USB-Massenspeichergeräte:

#################################
#          USB Massenspeicher sperren
#          Sperren.bat
#################################

@echo off

xcacls.exe %SystemRoot%\Inf\Usbstor.pnf /Y /D System
xcacls.exe %SystemRoot%\Inf\Usbstor.inf /Y /D System

Regedit /s USB_Sperren.reg

echo USB ist gesperrt!
pause
exit

Hier der Auszug der Registry Datei:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
„Type“=dword:00000001
„Start“=dword:00000004
„ErrorControl“=dword:00000001
„ImagePath“=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,55,53,42,\
53,54,4f,52,2e,53,59,53,00
„DisplayName“=“USB-Massenspeichertreiber“

Hier der Link für xcacls: xcacls.exe

Nun das ganze um die USB-Sticks wieder freizugeben:

#################################
#          USB Massenspeicher Erlauben
#          Erlauben.bat
#################################

@echo off

xcacls.exe %SystemRoot%\Inf\Usbstor.pnf /Y /G System:F
xcacls.exe %SystemRoot%\Inf\Usbstor.inf /Y /G System:F

Regedit /s USB_Erlauben.reg

echo USB ist Erlaubt!
pause
exit

Und noch das dazugehörige Reg File:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
„Type“=dword:00000001
„Start“=dword:00000002
„ErrorControl“=dword:00000001
„ImagePath“=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,55,53,42,\
53,54,4f,52,2e,53,59,53,00
„DisplayName“=“USB-Massenspeichertreiber“

Ich hab das Skript bei mir im Produktiven Einsatz. Es funktioniert alles wunderbar! Das ganze kann zum schnellen austeilen im Firmennetz ins Loggonskript eingebaut werden. Danach die Rechner neustarten lassen und schon sind alle Sticks deaktiviert.

USB Eingabegeräte (Keyboards, Tastaturen) sowie Digicams und Drucker und Co sollten weiterhin problemlos funktionieren!

Viel Spass mit dem Skript und ich hoffe es Hilft jemanden weiter!

Ich würde mich über Kommentare dazu freuen!

See u

3 Kommentare zu “USB-Sticks unter Windows XP Sperren
  1. sabine sagt:

    Ja das ist doch sehr *innnttteeerrreeesssaaannttt* :o)
    Da kennt sich jemand aus wie man sieht :o)

  2. Budo sagt:

    hi,

    ich muss sagen das es nicht so tut wie es soll…

    meine schritte:

    1. habe Skripttext in eine Batch gepackt
    2. habe Reg-text in einer Reg-Datei gepackt
    3. xcacls.exe.htm geladen (in xcacls.exe umbenannt)
    4. Batch ausgeführt
    5. Neugestartet

    dann alles unverändert (ob alte ober bekannte USB-Sticks)

    Hilfe ?

    MfG Budo

  3. Budo sagt:

    Windows xp ( mittlerweile andere manuelle lösung gfunden, dennoch gerne die batch variante für die zukunft! Danke) um die frage zu beantworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*