Da die Bedrohung durch den „Conficker/Downad“ Wurmes sehr rassant zunimmt und die Verbreitung auch über USB-Sticks möglich ist wurde sehr schnell der der Gedanke wach die USB-Sticks auf den Rechnern zu sperren. Dies ist die einzige Möglichkeit um auch im Firmennetzwerk das Einschleppen des Wurmes von aussen zu verhindern.

Natürlich währe es möglich die USB Ports direkt im BIOS zu deaktivieren, doch ist es bei über 100 Clients eine höllische Arbeit und ausserdem können dann auch keine USB Eingabegeräte genutzt werden.   —>   Schlechte Idee *ggg*

Die Lösung des Problems ist recht einfach:

1. Wechseldatenträger per Registry Deaktivieren
2. Zugriff auf Treiberdateien sperren.
3. Fertig

Hier mein Skript zum sperren der USB-Massenspeichergeräte:

#################################
#          USB Massenspeicher sperren
#          Sperren.bat
#################################

@echo off

xcacls.exe %SystemRoot%\Inf\Usbstor.pnf /Y /D System
xcacls.exe %SystemRoot%\Inf\Usbstor.inf /Y /D System

Regedit /s USB_Sperren.reg

echo USB ist gesperrt!
pause
exit

Hier der Auszug der Registry Datei:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
„Type“=dword:00000001
„Start“=dword:00000004
„ErrorControl“=dword:00000001
„ImagePath“=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,55,53,42,\
53,54,4f,52,2e,53,59,53,00
„DisplayName“=“USB-Massenspeichertreiber“

Hier der Link für xcacls: xcacls.exe

Nun das ganze um die USB-Sticks wieder freizugeben:

#################################
#          USB Massenspeicher Erlauben
#          Erlauben.bat
#################################

@echo off

xcacls.exe %SystemRoot%\Inf\Usbstor.pnf /Y /G System:F
xcacls.exe %SystemRoot%\Inf\Usbstor.inf /Y /G System:F

Regedit /s USB_Erlauben.reg

echo USB ist Erlaubt!
pause
exit

Und noch das dazugehörige Reg File:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
„Type“=dword:00000001
„Start“=dword:00000002
„ErrorControl“=dword:00000001
„ImagePath“=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,55,53,42,\
53,54,4f,52,2e,53,59,53,00
„DisplayName“=“USB-Massenspeichertreiber“

Ich hab das Skript bei mir im Produktiven Einsatz. Es funktioniert alles wunderbar! Das ganze kann zum schnellen austeilen im Firmennetz ins Loggonskript eingebaut werden. Danach die Rechner neustarten lassen und schon sind alle Sticks deaktiviert.

USB Eingabegeräte (Keyboards, Tastaturen) sowie Digicams und Drucker und Co sollten weiterhin problemlos funktionieren!

Viel Spass mit dem Skript und ich hoffe es Hilft jemanden weiter!

Ich würde mich über Kommentare dazu freuen!

See u

This entry was posted on Donnerstag, Januar 15th, 2009 at 21:24 and is filed under Windows. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.