Erster Rollout - KB2201061

18. Dezember 2023

Dieser Artikel beschreibt die Vorgehensweise beim initialen USBSecure-Rollout. Ziel soll es sein, die Verwendung von USB-Massenspeichern (Sticks, Festplatten, CardReader) einzuschränken. Alle anderen Geräte sollen weiterhin für alle Benutzer erlaubt sein. Es wird davon ausgegangen, dass in Ihrem Unternehmen bis zu diesem Zeitpunkt keine USB-Schutzsoftware im Einsatz ist.

Gültig für: USBSecure Enterprise 5, USBSecure OT 5, USBSecure Enterprise 6, USBSecure OT 6
 

Installation des USBSecure-Servers (Freigaben)

Installieren Sie zunächst den USBSecure-Server. Der USBSecure-Server besteht lediglich aus den beiden Netzwerkfreigaben devices$ und devicesRW$. Sorgen Sie dafür, dass die Freigaben wie in der Installationsanleitung beschrieben funktionieren. Sie sollten außerdem zwei bis drei Ihrer Arbeitsplatzrechner mit dem USBSecure-Client (MSI-Paket) ausgestattet haben, um mit der grundsätzlichen Konfiguration vertraut zu sein. 


Anpassen der Konfiguration

Passen Sie die USBSecure-Konfiguration so an, dass alle Benutzer alle Geräte verwenden dürfen. Das sieht im Einzelnen folgendermaßen aus:

usb.cfg und bluetooth.cfg

[AllUsers]
*

sdcard.cfg, esata.cfg, firewire.cfg, cd.cfg, floppy.cfg

AllUsers

Durch diese Konfigurationseinstellungen werden keine Geräte deaktiviert. Ziel ist es, zunächst nur Informationen über vorhandene Geräte zu sammeln.


Verteilen der Client-Software

Verteilen Sie die USBSecure-Clientsoftware (MSI-Paket) auf alle gewünschten PCs. Gehen Sie dabei gemäß Ihrem Standard-Rolloutverfahren vor. Meistens erfolgt die Verteilung gestaffelt, von wenigen ausgesuchten Computern bis hin zu allen.


Analysieren der verwendeten USB-Geräte

Der USBSecure-Client lässt sich so konfigurieren, dass Informationen über installierte USB-Geräte an den "Server" zurückgemeldet werden. Diese Informationen werden dann in der DevicesRW$-Freigabe im Verzeichnis ExistingUsbDevices gespeichert. Setzen Sie dazu in der Datei USBSecure.ini den Wert für LocalDevicesCopy auf einen Wert größer 0.

Auf diese Daten greift die Reporting-Funktion des USBSecure-Admin zu. Über Bearbeiten / Auswertung starten haben Sie die Möglichkeit, verschiedene Reports zu erstellen, mit deren Hilfe Sie die USB-Geräte-Konfiguration verfeinern können.

Bitte beachten Sie: Die gesammelten Daten betreffen alle USB-Geräte, die jemals an den Computer (seit der Installation des Betriebssystems) angeschlossen wurden. Da das Betriebsssystem die Daten selbst nicht loggt, sondern nur in der Registry einträgt, lassen sich die Daten weder zeitlich noch auf einzelne Benutzer eingrenzen - falls sich mehrere Benutzer an einem Computer anmelden. 


Präzisieren der Konfiguration

Wenn Sie ausreichend Daten gesammelt haben, können Sie Ihre Konfiguration verfeinern. In der USB-Konfiguration können Sie jetzt statt des Sternchens (*), das alle USB-Geräte für alle Benutzer erlaubt, die große Masse an USB-Geräten über die "Dienste" (Services) freigeben. Die Dienste haben nichts mit den Diensten zu tun, die auf einem Windows-Rechner laufen. Es geht hier um den Eintrag "Dienst", den jedes USB-Gerät besitzt (Geräte-Manager / Eigenschaften des Geräts / Details / Service).

Passen Sie Ihre USB-Konfiguration jetzt folgendermaßen an:

[AllUsers]
service=usbhub    # USB Roothubs erlaubt
service=usbhub3   # USB Roothubs V3 erlaubt
service=iusb3hub  # USB Roothubs V3 erlaubt
service=hidusb    # USB Tastaturen und Mäuse erlaubt
service=usbccgp   # USB Composite Geräte
service=usbaudio   # Audiogeräte
service=rtux64w10   # USB Netzwerk Adapter (Realtek)
service=msux64w10   # USB Netzwerk Adapter (Microsoft)
service=usbscan    # USB Scanner
service=usbprint    # USB Drucker
service=usbvideo    # USB Kameras
service=wudfwpdmtp   # Smartphones, Tablets, Kameras
service=winusb   # Fingerabdruckscanner
service=wudfrd   # Smartphones, Tablets, Fingerabdruckscanner
service=bthusb    # USB Bluetooth Adapter
service=rtsuer    # CardReader (Realtek)
service=usbstor   # USB Massenspeicher 
service=uaspstor  # USB SCSI Festplatten 

Achtung: Wenn diese Konfiguration auf Ihre Clients angewendet wird (beim nächsten Start des USBSecure-Dienstes), werden mit hoher Wahrscheinlichkeit vereinzelt USB-Geräte nicht mehr funktionieren, da sie keinem der aufgeführten Services entsprechen! Sorgen Sie dafür, dass Sie dann handlungsfähig sind (USBSecure-Administrator verfügbar, Handgriffe zum Freischalten bekannt). Machen Sie sich im Vorfeld Gedanken über USB-Geräte, die in Ihrem Unternehmen besonders wichtig sind - und tragen Sie diese Geräte in die USBSecure-Konfiguration ein. Entweder als Service-Eintrag oder über die Vid/Pid-Kennung.

Wenn Ihnen diese Vorgehensweise zu riskant erscheint, dann gehen Sie bitte in kleineren Einheiten vor (z.B. Abteilungsweise).

Beachten Sie außerdem: Bei vielen eingebauten Geräten handelt es sich um USB-Geräte! Es geht nicht nur um Geräte, die in einen USB-Port eingesteckt sind. Beispiele: Bluetooth-Adapter, Fingerabdruckscanner.

Mit dieser USB-Konfiguration sind weiterhin USB-Massenspeicher (Sticks, Festplatten, CardReader) erlaubt. Im nächsten Schritt können Sie die drei letzten Zeilen

service=rtsuer    # CardReader (Realtek)
service=usbstor   # USB-Massenspeicher 
service=uaspstor  # USB-SCSI-Festplatten 

aus der Konfiguration entfernen. Gleichzeitig sollten Sie für Benutzer, die USB-Sticks, USB-Festplatten oder CardReader verwenden sollen, individuelle Einträge pro Benutzer vornehmen:

[Meier]
USB\VID_090C&PID_1000\AA201106043279   # Silicon Motion 64 GB USB-Stick

[Mueller]
USB\VID_0BDA&PID_0129\2010002013683   # Realtek CardReader

[Schulze]
USB\VID_0781&PID_558C\MSFT303234A503833   # SanDisk Extreme 1 TB USB-Festplatte

Diese Konfiguration ist beispielhaft und auf Ihre Gegebenheiten anzupassen.

 

KnowledgeBase Startseite  |  Was ist neu?