ComputerBase Menü
Aktuelles

USB-Stick für eingeschränkte Accounts softwaremäßig verplomben

  • Ersteller Ersteller bastelbox
  • Erstellt am Erstellt am
B

bastelbox

Gast
Ich bin momentan dabei, mir unter Windows 7 einen eingeschränkten Account möglichst wasserdicht zu gestalten. Dazu gehört auch, den Zugriff auf einen USB-Stick, der aus Bequemlichkeit immer am Rechner steckt (und dort auch bleiben soll), am besten völlig zu unterbinden - insbesondere aber den Schreibzugriff, damit keine Malware darauf gelangen und dann in der nächsten Session womöglich auch noch den Admin befallen kann.

Das ist nicht so einfach, denn dazu braucht man Infos, die normale Anwender in der Regel nicht interessieren, und die ich im Netz nur schwer finden kann. Zwar gibt es hier und dort Anleitungen, jedoch sind diese häufig rigoros gestaltet, in der Weise, dass sämtliche USB/-Datenträger völlig deaktiviert wird/werden. Oder aber es gibt seitenweise Ausführungen zu Group Policies und irgendwelchem Gepatche. Das muss eigentlich einfacher gehen.
Mir qualmt auch schon langsam der Schädel, da ich mich schon den ganzen Tag lang mit den NTFS-Dateirechten auseinandergesetzt habe, die unerwartet umfangreich zu administrieren sind. Vielleichit sollte ich mal eine Pause einlegen.

Und vielleicht habt ihr ja einen heißen Tipp für mich.

MfG

Eines noch vergessen zu erwähnen: Der Stick hat nur FAT32 - geht nicht anders!
 
Zuletzt bearbeitet:
Über die Zugriffsrechte gehts leider bei Massenspeichern nicht. Hab grad überlegt ob das mit nem Skript funktioniert was bei Login ausgeführt wird, aber glaub ohne Neustart jeweils gibt das nur Probleme (könntest es aber versuchen). Andere Möglichkeiten außer Gruppenrichtlinien und per Registry die USB-Erkennung deaktivieren fallen wir aber auch nicht ein
 
Es könnte relativ einfach über nen Startscript gehen was die Registry bearbeitet. Beim "Gast" wirds deaktiviert, beim Admin aktiviert.

Nötiger Schlüssel:
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR

den Wert für "Start" von '3' auf '4' setzen

3 = enabled
4 = disabled
Zum Vergrößern anklicken....

Damit funktionieren USB Geräte ganz normal, nur Massenspeicher werden deaktiviert.
 
hast du das ausprobiert? Das war ja auch mein erster Gedanke, aber die Frage ist ob die Registryänderung on-the-fly übernommen werden bei sowas. Kann ich grad nicht testen hier
 
Eine Möglichkeit ist es, den Partitionstyp der FAT32-Partition auf EFI System Partition (EF für MBR-partitionierte Sticks, EF00 für GPT) zu ändern.

Die werden von Windows standardmäßig nicht eingehängt, sondern das muss manuell von einem Benutzer mit Administratorrechten per mountvol oder diskpart gemacht werden.
 
Getestet nicht, aber eigentlich werden Registry Änderungen ja sofort übernommen. Nen Problem könnte es nur geben wenn der Stick schneller erkannt ist als das Skript abgelaufen. Müsste bastelbox halt mal mit rumspielen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz