Jump to content
Kaspersky Support Forum

Verbiete USB Schnittstelle via Gerätekontrolle

kafre

By kafre
in Für Unternehmen

 Share

Recommended Posts

kafre

kafre

Posted
Posted

Hallo,

ich habe ein Problem mit der Gerätekontrolle. In der Firma würde ich gern die USB Schnittstelle verbieten und die wenigen Geräte (Maus, Tastatur, ...) als Vertrauenswürdige Geräte angeben. Nur geräte werden trotztdem über USB erkannt. Z.B eine externe Festplatte wurde bei Gerätetyp auf "abhängig von Verbindungsschnittstelle" gestellt und Schnittstelle "USB" ist deaktiviert. Die Festplatte wird aber trotzdem erkannt. Wie löse ich das? Da ich "Festplatten" nicht komplett verbieten kann, da dann die Festplatte des PCs selbst benefalss nicht erkannt wird.

mfg

Link to comment
Share on other sites
ElvinE5

ElvinE5

Posted
Posted

guten Tag

Es tut mir leid, weil ich Ihnen mit Google Translator antworte

Eine sehr ungewöhnliche Vorgehensweise bei der Verwendung der Komponente, mir ist bisher nicht begegnet, dass der USB-Bus abgeschaltet würde. Nach Ihrer Beschreibung scheint es sehr unpraktisch zu sein, da Sie zu viele Geräte zu den vertrauenswürdigen hinzufügen müssen.

Könnten Sie zeigen, wie Sie derzeit Reifen konfiguriert haben und Gerätetypen ... wie unten gezeigt

dabei sollten Sie nicht vergessen, dass die Einstellungen auf der Registerkarte „Gerätetypen“ Vorrang vor der Einstellung in „Verbindungsbusse“ haben

Спойлер

image.thumb.png.1d5365bb06ee7d22cd282c5725fd0330.png

 

Спойлер

image.thumb.png.d84e91202a082b7d6fe8e8077977d8e6.png

 

und beschreiben Sie, welches Endergebnis Sie erreichen möchten, um zu verstehen, ob Sie wirklich den gesamten USB-Bus abschalten müssen.

Ich kann davon ausgehen, dass Sie den Zugriff auf USB-Wechselmedien (z. B. Flash-Laufwerke und Festplatten) verbieten müssen.

dann ist es für Sie einfacher, den Bus aktiviert zu lassen und nur USB als Gerätetyp zu deaktivieren, wie in meinem Screenshot oben.

Wie Sie sehen, blockiere ich sie gleichzeitig nicht vollständig, sondern verwende Berechtigungen für einige Domänengruppen, die den Zugriff von USB ermöglichen (RO - nur lesen, RW - lesen und schreiben).

Es ist viel bequemer...

Спойлер

image.thumb.png.83b38c5c1522459a8061a3db89099762.png

Der Benutzer "SYSTEM" ist blau markiert ... fügen Sie ihn auf die gleiche Weise hinzu, wenn Sie ein beliebiges Gerät anschließen, auch wenn es für einen bestimmten Benutzer oder eine bestimmte Gruppe zugelassen ist, gibt das System einen Zugriffsfehler an den Benutzer "SYSTEM" aus (obwohl das Gerät wird verfügbar sein). Es wird den Benutzer nur ärgern.

Link to comment
Share on other sites
alexcad

alexcad

Posted
Posted
Am 16.12.2022 um 12:32 schrieb kafre:

...  ich habe ein Problem mit der Gerätekontrolle. In der Firma würde ich gern die USB Schnittstelle verbieten und die wenigen Geräte (Maus, Tastatur, ...) als Vertrauenswürdige Geräte angeben. Nur geräte werden trotztdem über USB erkannt. Z.B eine externe Festplatte wurde bei Gerätetyp auf "abhängig von Verbindungsschnittstelle" gestellt und Schnittstelle "USB" ist deaktiviert. Die Festplatte wird aber trotzdem erkannt. Wie löse ich das? Da ich "Festplatten" nicht komplett verbieten kann, da dann die Festplatte des PCs selbst benefalss nicht erkannt wird...

Hallo Kafre,

willkommen im Forum. 
Tatsächlich ist es wenig sinnvoll das über die Schnittstellen zu steuern, sprich: USB zu verbieten. 
Effektiver ist es über die Gerätetypen zu gehen. Üblicherweise sperrt man Wechseldatenträger (USB-Sticks und -Festplatten), Disketten (falls überhaupt noch vorhanden), CD/DVD-Laufwerke, Smartcard-Leser und MTPs (interner Speicher von SmartPhones).

image.thumb.png.ccd4ba68bf4f6e1d261659aadfe1c023.png


Beste Grüße
Alex

 

 

Link to comment
Share on other sites
kafre

kafre

Posted
  • Author
Posted

Hallo,

vielen Dank für die rashcen Antworten.

Generell: Ich möchte in der Firma Wechseldatenträger verbieten, welches auch über die Gerätetypen funktioniert.

Wir verwenden USB-Tokens welche als Festplatten erkannt werden, aber externe Festplatten sollten auch verboten werden nur die USB-Tokens sollten dann über Vertrauenwürdige Geräte zugelassen werden. Meine Vorgehensweise war derzeit so das ich die Festplatte "schnittstellen abhängig" stelle und USB über Schnittstelle deaktiviere. Danach den/die USB-Tokens über VErtrauenwürdige Geräte zulasse. Ich habe es probiert mal ohne freischalten des Vertrauenswürdigen Gerätes nur wird der Token trotzdem erkannt.

Gibt es dafür eine andere Lösung?

Kurzgefasst. Wechseldatenträger verbieten funktioniert. Externe Festplatten verbieten aber Token zulassen. Wie funktionieren Schnittstellen generell? Wenn ich bei Gerätetypen auf schnittstellen abhängig hab.

 

image.thumb.png.22cfd91d77967888b3bc948512e0240f.png

image.thumb.png.511e9ee917db4ab624776d465c60a46a.png

mfg

Paul

Link to comment
Share on other sites
alexcad

alexcad

Posted
Posted

Hallo Paul,

wie bereits beschrieben würde ich mich an deiner Stelle von der Steuerung der Gerätekontrolle über die Schnittstelle verabschieden - das ist nicht zielführend.
Vor sehr langer Zeit haben wir darüber die Infrarotschnittstelle gesperrt - aber ich habe schon mind. 5 Jahre keine mehr zu Gesicht bekommen ?

Auch den Gerätetyp "Festplatte" muss man in der Regel nicht einschränken, da sich alle per USB oder sonstwie verbundenen externen Festplatten als Wechseldatenträger melden und nicht als Festplatte. Es ist also dies bzgl. ausreichend, den Gerätetyp "Wechseldatenträger" einzuschränken.
Hier nochmal der Hinweis auf meinen Screenshot mit den üblicherweise gesperrten Gerätetypen.

Die USB-Sticks mit den Token fügst du dann über die Geräte-ID in der Liste der vertrauenswürdigen Geräte hinzu. 

Noch ein Hinweis: Sowohl die Einträge in der Liste der vertrauenswürdigen Geräte, als auch die Steuerung des Gerätetyps "Wechseldatenträger" lässt sich AD-integriert konfigurieren. Die Zugriffe lassen sich also nochmal granularer auf Basis der AD-Benutzer bzw. -Gruppen steuern.

Grüße
Alex

Link to comment
Share on other sites
kafre

kafre

Posted
  • Author
Posted

Ok vielen Dank, dann werde ich das über die Gerätetypen machen.

Nur bezüglich den Tokens, diese werden ja leider als Festplatte vom System erkannt. Kann man das schlussendlich auch herausfiltern das nur bestimmte gehen? Oder wäre das zu viel aufwand, da dann ebenfalls alle interne Festplatten der PC hinzugefügt werden müssen?

Mfg,

Paul

 

 

 

Link to comment
Share on other sites
  • 3 weeks later...
alexcad

alexcad

Posted
Posted

Hallo Paul,

werden die tatsächlich als Festplatte angezeigt? Das würde mich doch sehr wundern. 

Falls du tatsächlich den Gerätetyp "Festplatte" sperren möchtest: Soweit ich das noch im Kopf habe werden Festplatten, die Systempartitionen enthalten nicht gesperrt - das wäre ja sonst quasi Suizid, das System würde nicht mehr booten. 
Du müsstest also nur ggf. zusätzlich vorhandene Festplatten zu den vertrauenswürdigen Geräten hinzufügen.
In der Regel haben Workstations/Notebooks aber nur eine Festplatte verbaut - da sollte nicht zu viel Arbeit kommen.
Über den Hardware-Inventur-Bericht kannst du dir da im Vorfeld aber auch schon einen Überblick verschaffen.

Auf jeden Fall: Bitte vorher an ein/zwei Geräten testen.

Grüße
Alex
 

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...