USB-Geräte blocken
USBSecure
Professional 2.02: USB-Port Security-Tool
Per USB-Sticks und Memory Cards lassen sich bei aktivierter USB-Schnittstelle problemlos große Datenmengen ins Firmennetzwerk
und aus dem Netzwerk heraus transportieren. Die meisten dieser kleinen Geräte lassen sich sogar
als einfacher Benutzer per Plug&Play ohne administrative Rechte installieren. Die übertragenen Dateien können
Schadcode wie Viren, Würmer und Trojaner enthalten. Administratoren haben keine Möglichkeit, bestimmte USB-Geräte zu erlauben und andere zu verbieten.
USBSecure Professional gibt Administratoren die Möglichkeit,
Whitelists für USB-Geräte, Disketten- und CD/DVD-Laufwerke (IDE) zu
definieren. Mit USBSecure Professional ist es möglich, Benutzer
bezogen USB-Geräte freizugeben - alle anderen Geräte werden
geblockt.
USBSecure Professional hilft Ihnen...
- wenn
Sie die Verwendung von USB-Geräten, Disketten- und CD/DVD-Laufwerken einschränken / überwachen müssen.
- wenn
bestimmte Benutzer die USB-Schnittstelle benötigen, Sie
aber vermeiden wollen, dass sie zusätzliche USB-Geräte
installieren können.
- wenn
Sie ein Benutzer bezogenes, einfach zu implementierendes USB-Security-Tool
benötigen.
Funktionsweise
Zusätzliche Tools, die benötigt werden
Installation
Konfiguration
Download
Neu in Version 2.02
- Mehr
als 255 USB-Geräte pro Benutzer erlaubt (--> 1000)
- Silent
Installation und Deinstallation für einfachere Verteilung
Funktionsweise
USBSecure Professional läuft als Dienst unter Windows 2000 oder Windows
XP. In Konfigurationsdateien wird festgelegt, welche Benutzer welche
USB-Geräte verwenden dürfen. Sobald ein Benutzer sich anmeldet,
werden die aktuellen Konfigurationsdateien vom Server geladen und
die USB-Geräte, Disketten- und CD/DVD-Laufwerke ein- bzw.
ausgeschaltet. Als USBSecure-Server kann ein bereits vorhandener
Fileserver mitbenutzt werden, lediglich eine Freigabe wird
benötigt.
Zusätzliche Tools, die
benötigt werden
USBSecure Professional ist ein Windows Scripting File (VBScript).
Zusätzlich zum Skript werden drei Tools aus dem Windows Resource-Kit
und ein Tool von der Microsoft Website benötigt:
srvany.exe => Windows Resource-Kit
(kostenloser Download)
instsrv.exe => Windows Resource-Kit
(kostenloser Download)
shutdown.exe => Windows Resource-Kit
(Datei in XP bereits enthalten)
devcon.exe => kostenloser
Download von der Microsoft Website (55K)
Installation
Installation
des Servers
Erstellen
Sie auf einem Fileserver eine Windows-Freigabe "devices$".
Gewähren Sie der Gruppe "Jeder" (Everyone) Leserechte auf
das Verzeichnis. Kopieren Sie die Dateien floppy.cfg, cd.cfg und
usb.cfg in das Verzeichnis.
Installation
der Workstation
Voraussetzungen: Der Dienst “Windows Management Instrumentation” muss auf dem zu schützenden Rechner laufen. Dies ist per Default der Fall.
1.
Kopieren
Sie die Dateien instsrv.exe, srvany.exe und
shutdown.exe aus dem
Windows Resource-Kit in Ihr USBSecure-Quellverzeichnis (das
Verzeichnis, in dem sich die Datei setup.cmd befindet).
Download-Link: www.microsoft.com/downloads/en/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd
2.
Laden
Sie das kostenlose Tool
devcon.exe von der Microsoft Website herunter, entpacken
(starten) Sie es und kopieren Sie die entpackte Datei devcon.exe
ebenfalls
in Ihr USBSecure-Quellverzeichnis.
Die Datei muss eine Größe von 55K haben! Download-Link:
support.microsoft.com/default.aspx?scid=kb;EN-US;Q311272
3.
Melden
Sie sich mit Administrator-Rechten an dem zu schützenden
Rechner an und starten Sie die Installation mit setup.cmd.
Während der Installation werden der USBSecure-Zielpfad
(default: C:\Programme\USBSecure) und der Name des
USBSecure-Servers abgefragt. Versehen Sie das
USBSecure-Verzeichnis mit Leserechten für die Gruppe
"Jeder" (Everyone). Die Gruppe "Jeder" darf
keine Schreibrechte auf die Dateien im Verzeichnis besitzen.
4.
Starten
Sie den Dienst "USBSecure". Im USBSecure-Verzeichnis
wird daraufhin das Logfile USBSecure.log erzeugt.
Silent Installation
Syntax: setup.vbs [install_path] [devices$_server]
Beispiel: setup.vbs "C:\Program Files\USBSecure" fileserver1
Das Logfile installation.log
protokolliert die einzelnen Installationsschritte und gibt Hinweise
auf mögliche Fehlersituationen. Im Fehlerfall können Sie sich
gerne an
support@simplescripts.de
wenden.
Konfiguration
Konfiguration der .cfg-Dateien
Die Konfigurationsdateien
floppy.cfg,
cd.cfg und usb.cfg dienen als Whitelists für erlaubte Geräte.
Benutzer, die nicht in den Dateien aufgeführt sind, haben keinen
Zugriff auf die Geräte. Eine Ausnahme bildet der [AllUsers]-Bereich
in der usb.cfg.
Die
Benutzer, die Zugriff auf Disketten- bzw. CD/DVD-Laufwerke haben sollen,
werden in den Dateien floppy.cfg
und cd.cfg aufgelistet
(ein Benutzer pro Zeile):
UserA
UserB
UserC
In
der Datei usb.cfg wird der Zugriff auf USB-Geräte geregelt.
Dabei werden die Benutzernamen (ohne Domain-Prefix oder -Suffix) in
eckigen Klammern angegeben. Nach dem Benutzernamen werden jeweils
die erlaubten USB-Geräte aufgeführt. Die Bezeichnungen stammen aus
der Registry. Das Skript ShowExistingUsbDevices.vbs (mit
Adminrechten gestartet) erzeugt die
Datei ExistingUsbDevices.txt, in der alle auf dem Rechner
installierten USB-Geräte in der gewünschten Notation aufgelistet
sind. Damit können sie bequem in die usb.cfg übernommen werden.
Privilegierte Benutzer mit Zugriff auf alle USB-Geräte erhalten
einen Stern (*):
[UserB]
*
Im Bereich [AllUsers] werden Geräte
aufgeführt, die für alle Benutzer freigegeben sind. Dies können
z.B. der USB-Root-Hub und "ungefährliche" Geräte wie
Mäuse oder Scanner sein.
Alternativ lässt sich die
Vid/Pid-Kennung auch direkt über den Geräte-Manager in den
Eigenschaften des USB-Gerätes herausfinden:
Beim Namen der Geräte sind Wildcards erlaubt und sinnvoll, da der Installationsname von USB-Geräten sich vom endgültigen Namen unterscheidet. So kann es sein, dass ein Gerät sich während der Installation als „Solid State Disk: Vid_08ec&Pid_0834“ meldet und endgültig als „USB-Massenspeicher: Vid_08ec&Pid_0834“ eingetragen wird. Ist nur der Name „USB-Massenspeicher: Vid_08ec&Pid_0834“ in der
usb.cfg aufgelistet, wird das Gerät nicht funktionieren, da es während der Installation deaktiviert wird. Abhilfe schafft hier der Eintrag „*: Vid_08ec&Pid_0834“.
Für eine professionelle
USB Port Security Software für Ihr Unternehmen besuchen Sie
bitte https://www.usb-port-security.de.
Zur besseren Dokumentation können Kommentarzeilen verwendet werden: Zeilen, die mit der Raute (#) beginnen, werden vom
Skript ignoriert.
Download
Weitere Tools:
www.portchecktool.de, das TCP
Port Check Windows 10 Tool. www.pingtool.de, ein
Ping Monitoring Tool für
Windows 10 und Windows 11.
TCP Port Check Powershell mit Test-NetConnection.
|