USB+LAN für User mit Bordmitteln sperren?

[Tzk]

Gude zusammen,

Vorab: ich suche keine technisch perfekte Lösung die den größten 1337-Hax0r der Welt aufhält, sondern die eine hinreichend große Hemmschwelle für normale Nutzer darstellt.

Ich möchte ein Win10 bereitstellen, auf dem unter Aufsicht PDF Dateien gelesen werden sollen. Es soll aber trotzdem nicht „einfach“ möglich sein dieses System in einem unbeobachteten Moment über LAN/WLAN ins Netz zu hängen oder einen USB Stick anzuschließen und die Daten zu kopieren.

Der Betreuer des Systems braucht allerdings eine Möglichkeit neue Daten drauf zu kopieren. Der Idealfall wäre das mit Windows Bordmitteln umzusetzen. Das Gerät hängt nicht in einer Domäne und installiert wird ein aktuelles Win10 Pro x64.

Meine ersten Ideen wären:

1. LAN/Wlan und USB im UEFI komplett deaktivieren. Dann müsste man für jede Befüllung USB an- und wieder abschalten, was natürlich nervig ist und vergessen werden kann.

2. Gruppenrichtlinien unter Windows (GPO.msc). Hier bin ich mir nicht sicher ob man unterschiedliche Rechte für einen Admin und einen User mit eingeschränkten Rechten vergeben kann. Geht das? Falls ja würde ich den User einfach beschränken und gut ist.

Es gibt sicher noch weitere Möglichkeiten, die ihr mir verraten könnt

 

[redjack1000]

Versuche es mal mit dem Kioskmodus

https://www.heise.de/tipps-tricks/Windows-10-Kiosk-Mode-einrichten-so-funktioniert-s-7470455.html

Cu
redjack

 

[Tornhoof]

Kiosk Modus blockiert den USB? Ansonsten dürfte USB Stick mit Autostart den Kiosk Modus überstimmen und ggf Dialog aufpoppen.

 

[elTiburon]

Ein Schutzgehäuse oder einen kleinen Netzwerkschrank mit Schloss, kein Wlan Karte verbauen und Netzwerkkabel abstecken.

 

[WinFan]

USB wird aber gebraucht für Tastatur und Maus

 

[BFF]

Gibt aber auch Bretter wo die Ports gezielt abgeschaltet werden können in Bios.

Anyway.
Usb deaktivieren wo geht im Gerätemanager.
Für Netzwerk halt kein WLAN verbauen oder deaktivieren. Ein Nutzer der als Gast sich sm Gerät anmeldet kann das nicht aktivieren.

 

[Jawohl]

Die Verwendung von USB-Speicher lässt sich Gruppenrichtlinie verbieten. Je nachdem könnte man in einem Netzwerk den Rechner per Firewall vom Internet trennen und dem Admin trotzdem ermöglichen Remote die PDFs zu pflegen.

 

[cumulonimbus8]

Wie ›dicht‹ muss das denn sein?

Normal wäre der Eingeschränkte User der entsprechend weiter eingegrenzt wird (USB-Datenträger). Die Nutzer müssten sich mit eben dem User anmelden.
Das wirft die Frage auf ob dies zumutbar ist oder ein Auto-LogOn Pflicht?

Bei Benutzerwahl kommt der verwaltende Admin-User recht bequem ans System um die Daten zu pflegen. Im Falle des Auto-LogOn müsste sich dieser Verwalter erst ›gewaltsam‹ eine Anmeldung verschaffen um dann die Maßnahmen durchzuführen.
→ Remote braucht auch einen User der dann arbeiten kann, wo wäre der Unterschied zu lokal? Die Frage ob nun Netzzugang [Updates!] oder nicht ist ja noch offen.

CN8

 

[Tzk]

USB wird aber gebraucht für Tastatur und Maus

Das Gerät ist ein Laptop und ja, der kann USB (alles außer HID-Geräte wie Tastatur un Maus) im Bios sperren. Steht extra dabei, dass Eingabegeräte trotz deaktiviertem USB aktiv bleiben.

Die Frage ob nun Netzzugang [Updates!]

Kein Netzzugang, sprich frische Daten müssen über USB drauf. Updates würde ich zwar über Netzwerk einspielen, dafür kann man LAN ja temporär aktivieren und im Anschluss wieder abschalten.

Normal wäre der Eingeschränkte User der entsprechend weiter eingegrenzt wird (USB-Datenträger). Die Nutzer müssten sich mit eben dem User anmelden.
Das wirft die Frage auf ob dies zumutbar ist

Ja, geht. Der eingeschränkte Benutzer hat dann kein PW und der Admin natürlich schon. Die Frage wäre wie ich USB eingeschränkt bekomme. Geht das (nur für den beschränkten User) via Gruppenrichtlinie? Ich hatte das in gpo.msc mal angetestet und dann durfte der Admin User auch keine Massenspeicher mehr ansprechen… Zwischenlösung könnte sein USB read-only über Gruppenrichtlinie zu setzen. Sprich alles darf drauf, aber nix runter vom Gerät. Das könnte viele Probleme lösen.

Kiosk Modus

interessante Idee, schaue ich mir an. Danke!

 

[cumulonimbus8]

Ich habe mich da noch nie bewegt, aber wenn nicht mindestens Usergruppen von den Group Policies anders behandelt werden wäre ich doch sehr enttäuscht.
CN8

 

[konkretor]

Per gpo

https://www.techcrafters.com/portal...ontrol-usb-access-on-select-devices-using-gpo
Ist leider sehr fummelig, daher setze ich für solche Fälle auf third Party Produkte um den USB Anforderungen gerecht zu werden

 

[Tzk]

Ich habe es nun per GPO umgesetzt. Fummelig ist kein Ausdruck… wenn man für die gesamte Maschine (lokal) sperren will, dann ist das echt einfach umzusetzen.
Will man das aber für User bzw. Gruppen umsetzen, dann darf man sich erstmal Gruppen anlegen. Für diese Gruppen braucht man dann ne selbstgebastelte Ansicht für den Policy Editor und dort muss man dann die Rechte begrenzen.

UI aus der Hölle… Das man darüber hinaus z.B. die CMD normal sperren kann, die Powershell dagegen über ein selbst angelegtes Recht gesperrt werden muss… äh, ja. Warum bitte?!

Jedenfalls klappt es einwandfrei mit zwei Usern zum Testen (Admin und beschränkt)