Hallo,
ich arbeite bei einem Bildungsträger. Dieser hat kein Vertrauen in die Dateien, die Schulungsteilnehmer von ihren Sticks oder mobilen Festplatten auf den PC laden. Aus diesem Grund sind die USB-Ports deaktiviert.
Dies ist aber nicht gerade umweltfreundlich:
Die Übungsdokumente sind zu groß zum Email-Versand und daher können die Teilnehmer es nur nachvollziehen, wenn sie es sich ausdrucken. Daher bräuchte ich eine Einstellung oder einen (Meta-)Treiber, der die USB-Ports write-only setzt. Den freien Platz auf dem Medium kann man ja über die Eigenschaften des Laufwerks feststellen. Ein eventuelles Löschen ist auch kein Problem, dies könnte man über den Dozentenrechner machen.
Den umgekehrten Weg, also read-only, habe ich bereits mit dem Registry-Key StorageDevicePolicies gefunden, aber nichts für mein Problem. Wer kann mir weiterhelfen?
Daher bräuchte ich eine Einstellung oder einen
(Meta-)Treiber, der die USB-Ports write-only setzt.
Es wäre mir nicht bekannt, dass es das gibt. Schreibzugriff setzt AFAIK Lesezugriff voraus, ohne Lesezugriff gehts nicht.
Man könnte aber die Rechner im Schulungsraum mit einer der vielen verfügbaren Lösungen wie z.B. dem ‚HD-Sheriff‘ einrichten, so dass etwa alle Änderungen, die während der Schulung vorgenommen werden, beim nächsten Booten wieder weg sind. Oder wo die Schüler-Rechner eh mit jedem Booten neu installiert werden.
Man könnte die Rechner, sofern sie ein Betriebssystem mit Rechtevergabe haben, z.B. Linux, Windows XP oder so, den/die Schüler-Accounts mit eingeschränkten Rechten versehen. Dann würde ein allfällig via USB eingeschlepptes Virus nur den User-Account kompromittieren, nicht jedoch das ganze System.
Was auch schon helfen kann, ist die Autostart-Funktion abzuschalten. Dann wird auch nichts ausgeführt, nur wenn man den Stick anschliesst.
Den umgekehrten Weg, also read-only, habe ich bereits mit dem
Registry-Key StorageDevicePolicies gefunden, aber nichts für
mein Problem. Wer kann mir weiterhelfen?
Write Only geht nur auf DEV NUL:
Um auf einen Datenträger schreiben zu können, muss man zuerst das Inhaltsverzeichnis und Verwaltungstabellen lesen …
Read Only kann man also sogar auf der untersten Hardware-Ebene machen.
Write Only müsste man auf einer logischen Ebene im Betriebssystem implementieren. Also das Dateisystem muss noch lesen können. Zudem sollte der Benutzer auch noch wählen können in welches Verzeichnis er die Daten ablegen will …
Also einen unbedarften User könnte man so noch abhalten.
