KB2203171 - USBSecure Best Practice

18. Dezember 2023

Dieser Artikel erläutert einige "Best Practice"-Vorgehensweisen zu USBSecure 5.

Gültig für: USBSecure Enterprise 5, USBSecure OT 5, USBSecure Enterprise 6, USBSecure OT 6
 

Deaktivierte Geräte ermitteln

Es gibt zahlreiche Möglichkeiten, Geräte, die von USBSecure deaktiviert wurden, zu entdecken, um sie dann freizuschalten. Das sicherste Verfahren besteht darin, im Windows-Gerätemanager (devmgmt.msc) nachzuschauen, welches Gerät deaktiviert ist (schwarzer Pfeil nach unten). Hier die Vid/Pid-Kennung in die Zwischenablage kopieren (Geräteinstanzpfad) und im USBSecure-Admin einfügen. Weitere Möglichkeiten sind: im DeviceTool nachschauen, im Logfile USBSecure.log nachschauen, im Logfile AusgeschalteteUsbGeraete.log nachschauen.

"Harmlose Geräte" immer in AllUsers freigeben

Harmlose Geräte wie Tastaturen, Mäuse, Drucker, Scanner usw. sollten Sie - wenn möglich - immer im AllUsers-Bereich freigeben. Das reduziert den administrativen Aufwand und es ist gewährleistet, dass die Geräte bereits bei der Windows-Anmeldung zur Verfügung stehen. Bedenken Sie, dass eine drahtlose Tastatur, die Sie nur für einen bestimmten Benutzer erlauben, vor der Anmeldung noch nicht zur Verfügung steht. Sollten Sie die Tastatur aus betrieblichen Gründen nicht für alle Benutzer, sondern nur für Einzelne freigeben wollen, sollte sie auf jeden Fall für den Computer erlaubt werden und nicht für den Benutzer (Eintrag [host:PC1234]).

Herausfinden, ob USBSecure schuld ist

Es gibt immer mal wieder Situationen, in denen ein USB-Gerät nicht funktioniert. Dann stellt sich die Frage, ob es etwas mit USBSecure zu tun hat. Das sicherste Verfahren, dies herauszufinden, besteht darin, den USBSecure-Dienst auf dem lokalen Rechner temporär zu deaktivieren (services.msc). Bei deaktiviertem USBSecure-Dienst können Sie dann im Gerätemanager Geräte ein- und ausschalten, um zu sehen, ob sie funktionieren. Grundsätzlich gilt: Wenn es im Gerätemanager keine deaktivierten Geräte gibt (kleiner Pfeil nach unten), hat es nichts mit USBSecure zu tun.

Speicherort der USBSecure-Admin.exe

Die Adminoberfläche USBSecure-Admin.exe kann in einer größeren, zentral verwalteten USBSecure-Umgebung lokal auf den Adminrechnern oder zentral im devices$-Ordner liegen. Bewährt hat es sich, die USBSecure-Admin.exe zentral im devices$-Ordner abzulegen. Im Falle eines Upgrades muss dann nur diese eine Datei ausgetauscht werden.

Zugriffsberechtigungen für USBSecure-Admins

Wichtig ist, dass Standardbenutzer nur Leserechte auf Dateien im zentralen Ordner \\MeinServer\devices$ besitzen (genauer: die Gruppe "Jeder" benötigt Leserechte). USBSecure-Administratoren hingegen sollen die Konfigurationsdateien usb.cfg, bluetooth.cfg usw. bearbeiten können. Sorgen Sie also mit NTFS-Berechtigungen dafür, dass nur USBSecure-Administratoren das Ändern-Recht auf die Konfigurationsdateien haben.

 

KnowledgeBase Startseite  |  Was ist neu?