Home

  Produkte   Downloads   FAQ  

Kontakt

letztes Update: 20.12.2013

   
     
 

USB-Geräte blocken

USBSecure Professional 2.02: USB-Port Security-Tool


Per USB-Sticks und Memory Cards lassen sich bei aktivierter USB-Schnittstelle problemlos große Datenmengen ins Firmennetzwerk und aus dem Netzwerk heraus transportieren. Die meisten dieser kleinen Geräte lassen sich sogar als einfacher Benutzer per Plug&Play ohne administrative Rechte installieren. Die übertragenen Dateien können Schadcode wie Viren, Würmer und Trojaner enthalten. Administratoren haben keine Möglichkeit, bestimmte USB-Geräte zu erlauben und andere zu verbieten.

USBSecure Professional gibt Administratoren die Möglichkeit, Whitelists für USB-Geräte, Disketten- und CD/DVD-Laufwerke (IDE) zu definieren. Mit USBSecure Professional ist es möglich, Benutzer bezogen USB-Geräte freizugeben - alle anderen Geräte werden geblockt.

USBSecure Professional hilft Ihnen...
  • wenn Sie die Verwendung von USB-Geräten, Disketten- und CD/DVD-Laufwerken einschränken / überwachen müssen.
  • wenn bestimmte Benutzer die USB-Schnittstelle benötigen, Sie aber vermeiden wollen, dass sie zusätzliche USB-Geräte installieren können.
  • wenn Sie ein Benutzer bezogenes, einfach zu implementierendes USB-Security-Tool benötigen.

Funktionsweise
Zusätzliche Tools, die benötigt werden
Installation

Konfiguration
Download


Neu in Version 2.02 

  • Mehr als 255 USB-Geräte pro Benutzer erlaubt (--> 1000)
  • Silent Installation und Deinstallation für einfachere Verteilung


Funktionsweise

USBSecure Professional läuft als Dienst unter Windows 2000 oder Windows XP. In Konfigurationsdateien wird festgelegt, welche Benutzer welche USB-Geräte verwenden dürfen. Sobald ein Benutzer sich anmeldet, werden die aktuellen Konfigurationsdateien vom Server geladen und die USB-Geräte, Disketten- und CD/DVD-Laufwerke ein- bzw. ausgeschaltet. Als USBSecure-Server kann ein bereits vorhandener Fileserver mitbenutzt werden, lediglich eine Freigabe wird benötigt. 



Zusätzliche Tools, die benötigt werden

USBSecure Professional ist ein Windows Scripting File (VBScript). Zusätzlich zum Skript werden drei Tools aus dem Windows Resource-Kit und ein Tool von der Microsoft Website benötigt:

srvany.exe => Windows Resource-Kit (kostenloser Download)
instsrv.exe => Windows Resource-Kit (kostenloser Download)
shutdown.exe => Windows Resource-Kit (Datei in XP bereits enthalten)
devcon.exe => kostenloser Download von der Microsoft Website (55K)


Installation

Installation des Servers

Erstellen Sie auf einem Fileserver eine Windows-Freigabe "devices$". Gewähren Sie der Gruppe "Jeder" (Everyone) Leserechte auf das Verzeichnis. Kopieren Sie die Dateien floppy.cfg, cd.cfg und usb.cfg in das Verzeichnis.

Installation der Workstation

Voraussetzungen: Der Dienst “Windows Management Instrumentation” muss auf dem zu schützenden Rechner laufen. Dies ist per Default der Fall.

1. Kopieren Sie die Dateien instsrv.exe, srvany.exe und shutdown.exe aus dem Windows Resource-Kit in Ihr USBSecure-Quellverzeichnis (das Verzeichnis, in dem sich die Datei setup.cmd befindet). Download-Link: www.microsoft.com/downloads/en/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd

2. Laden Sie das kostenlose Tool devcon.exe von der Microsoft Website herunter, entpacken (starten) Sie es und kopieren Sie die entpackte Datei devcon.exe ebenfalls in Ihr USBSecure-Quellverzeichnis. Die Datei muss eine Größe von 55K haben! Download-Link: support.microsoft.com/default.aspx?scid=kb;EN-US;Q311272

3. Melden Sie sich mit Administrator-Rechten an dem zu schützenden Rechner an und starten Sie die Installation mit setup.cmd. Während der Installation werden der USBSecure-Zielpfad (default: C:\Programme\USBSecure) und der Name des USBSecure-Servers abgefragt. Versehen Sie das USBSecure-Verzeichnis mit Leserechten für die Gruppe "Jeder" (Everyone). Die Gruppe "Jeder" darf keine Schreibrechte auf die Dateien im Verzeichnis besitzen.

4. Starten Sie den Dienst "USBSecure". Im USBSecure-Verzeichnis wird daraufhin das Logfile USBSecure.log erzeugt.

Silent Installation
Syntax: setup.vbs [install_path] [devices$_server]
Beispiel: setup.vbs "C:\Program Files\USBSecure" fileserver1

Das Logfile installation.log protokolliert die einzelnen Installationsschritte und gibt Hinweise auf mögliche Fehlersituationen. Im Fehlerfall können Sie sich gerne an support@simplescripts.de wenden.



Konfiguration

Konfiguration der .cfg-Dateien

Die
Konfigurationsdateien floppy.cfg, cd.cfg und usb.cfg dienen als Whitelists für erlaubte Geräte. Benutzer, die nicht in den Dateien aufgeführt sind, haben keinen Zugriff auf die Geräte. Eine Ausnahme bildet der [AllUsers]-Bereich in der usb.cfg.

Die Benutzer, die Zugriff auf Disketten- bzw. CD/DVD-Laufwerke haben sollen, werden in den Dateien floppy.cfg und cd.cfg aufgelistet (ein Benutzer pro Zeile):

UserA
UserB
UserC

In der Datei usb.cfg wird der Zugriff auf USB-Geräte geregelt. Dabei werden die Benutzernamen (ohne Domain-Prefix oder -Suffix) in eckigen Klammern angegeben. Nach dem Benutzernamen werden jeweils die erlaubten USB-Geräte aufgeführt. Die Bezeichnungen stammen aus der Registry. Das Skript ShowExistingUsbDevices.vbs (mit Adminrechten gestartet) erzeugt die Datei ExistingUsbDevices.txt, in der alle auf dem Rechner installierten USB-Geräte in der gewünschten Notation aufgelistet sind. Damit können sie bequem in die usb.cfg übernommen werden.



Privilegierte Benutzer mit Zugriff auf alle USB-Geräte erhalten einen Stern (*):

[UserB]
*

Im Bereich [AllUsers] werden Geräte aufgeführt, die für alle Benutzer freigegeben sind. Dies können z.B. der USB-Root-Hub und "ungefährliche" Geräte wie Mäuse oder Scanner sein.

Alternativ lässt sich die Vid/Pid-Kennung auch direkt über den Geräte-Manager in den Eigenschaften des USB-Gerätes herausfinden:

         

Beim Namen der Geräte sind Wildcards erlaubt und sinnvoll, da der Installationsname von USB-Geräten sich vom endgültigen Namen unterscheidet. So kann es sein, dass ein Gerät sich während der Installation als „Solid State Disk: Vid_08ec&Pid_0834“ meldet und endgültig als „USB-Massenspeicher: Vid_08ec&Pid_0834“ eingetragen wird. Ist nur der Name „USB-Massenspeicher: Vid_08ec&Pid_0834“ in der usb.cfg aufgelistet, wird das Gerät nicht funktionieren, da es während der Installation deaktiviert wird. Abhilfe schafft hier der Eintrag „*: Vid_08ec&Pid_0834“. 

Zur besseren Dokumentation können Kommentarzeilen verwendet werden: Zeilen, die mit der Raute (#) beginnen, werden vom Skript ignoriert.

Download

 

Zurück zur Startseite USB-Sicherheit