Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Moderator: Forum Moderatoren

Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon XRAY » Dienstag 23. Februar 2016, 21:29

Gerne möchte ich nicht benötigte PC-USB-Anschlüsse per Windows Geräte-Manager deaktivieren, um nicht autorisierter Nutzung vorzubeugen.

Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.

Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?

Viele Grüße und besten Dank, xray
XRAY
 
Beiträge: 133
Registriert: Donnerstag 4. Oktober 2012, 12:32

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon EWERKER » Mittwoch 24. Februar 2016, 08:36

Mit Deaktivierung erreicht man nicht so viel, zumindest bei Sicherheitsbedenken. Ich würde ca. 20 Euro ausgeben und eine Software installieren, die einfach berechtigte USB Geräte an den Schnittstellen freigibt, also eine Whitelist.
http://www.endpointprotector.de/product ... ctor_basic Kann man vorher testen. Kann noch viel mehr und stoppt den Wildwuchs beim Mitnehmen von Daten und Einstecken irgend welcher Geräte.
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://apps.turbopraxis.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 677
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Mittwoch 24. Februar 2016, 12:46

XRAY hat geschrieben:Gerne möchte ich nicht benötigte PC-USB-Anschlüsse per Windows Geräte-Manager deaktivieren, um nicht autorisierter Nutzung vorzubeugen.

Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.

Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?

Viele Grüße und besten Dank, xray


Hallo XRAY,

richtige Intension, aber falscher Ansatz. Sie möchten ja die „missbräuchliche Nutzung“ verhindern, d.h. es geht letztlich darum was/von wem angeschlossen wird (und wie es ggf verwendet wird). Auch könnte Jemand sonst ja zB einfach den USB-Drucker ausstecken, und dort zB den USB-Stick einstecken.

Wie oben erwähnt kommt für solche Zwecke i.d. Regel eine Device Control Software zum Einsatz (manchmal auch Port Control oder Schnittstellenabsicherung genannt).
Je nach Produkt können Sie dann z.B. alles blocken außer Eingabegeräten, Drucker, eGK-Leser.
USB-Sticks sind nur für Benutzer XY erlaubt, aber z.B. nur bestimmte Dateitypen und schreiben nur, wenn der Stick verschlüsselt ist. (wäre eine mögliche Policy).
Windows hat in den „Enterprise“ Versionen so etwas denke ich auch – evtl. rudimentär. Eine andere Methode ist über GPOs das Installieren bestimmter Gerätetreiber zu erlauben/verbieten. Allerdings funktioniert das denke ich nicht mehr, wenn das Gerät an dem Rechner schon mal angeschlossen war (bzw. an dem Port).
Welchen Virenscanner verwenden Sie denn? Manche Suiten haben das in der Lizenz ja schon mit drin (McAfee zB). Kaspersky o.ä. haben so etwas evtl. auch. Den o.g. Hersteller kannte ich bisher zwar noch nicht, aber gibt noch weitere. Entscheidend ist hier das Handling.
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Mittwoch 24. Februar 2016, 12:50

Nachtrag: Wenn Sie mir verraten, über wieviele Arbeitsplätze wir sprechen, kann ich Ihnen evtl einen Hersteller empfehlen.
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon XRAY » Mittwoch 24. Februar 2016, 15:15

Vielen Dank bereits für die Anregungen! Stimmt natürlich, dass man durch Umstecken von Geräten keinen konsequenten Schutz hätte. Wir sind eine eher kleine Praxis mit nur 6 Arbeitsplätzen. Meine MFAs wissen, dass sie keine Sticks in die PCs stecken dürfen. Allerdings mussten wir erst kürzlich einen Patienten davor abhalten, uns seine Krankenakte auf einem Datenträger vorzuführen. Da käme natürlich eine Software gelegen, welche Tastaturen/ Mäuse/ Drucker/ Scanner am USB-Port akzeptiert aber keine Wechseldatenträger annimmt.
XRAY
 
Beiträge: 133
Registriert: Donnerstag 4. Oktober 2012, 12:32

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Mittwoch 24. Februar 2016, 16:44

XRAY hat geschrieben:Vielen Dank bereits für die Anregungen! Stimmt natürlich, dass man durch Umstecken von Geräten keinen konsequenten Schutz hätte. Wir sind eine eher kleine Praxis mit nur 6 Arbeitsplätzen. Meine MFAs wissen, dass sie keine Sticks in die PCs stecken dürfen. Allerdings mussten wir erst kürzlich einen Patienten davor abhalten, uns seine Krankenakte auf einem Datenträger vorzuführen. Da käme natürlich eine Software gelegen, welche Tastaturen/ Mäuse/ Drucker/ Scanner am USB-Port akzeptiert aber keine Wechseldatenträger annimmt.


genau. bzw. in der Praxis wird man es meist so einstellen, dass z.B. nur die eigenen Wechseldatenträger akzeptiert werden und/oder Lesezugriff (bei eigenen und/oder fremden) nur auf bestimmte Dateitypen möglich ist. Kann man auch auf andere ausdehnen - z.B. CD/DVDs.

Ich denke Sie müssten sich einfach mal einige Dinge ansehen und dann entscheiden. Nochmal der Hinweis, ob ggf Ihr Virenschutz das auch kann.
Das o.g. Produkt scheint mir relativ günstig zu sein, zumal es da eine Basic-Version gibt, die nochmal günstiger ist. Inwieweit die sich dann unterscheidet, kann ich nicht beurteilen. ich vermute mal z.B. ohne zentrales Management - was speziell in dem Bereich eigentlich ein no-go wäre, aber bei 6 Rechnern + wenig Regeln evtl. zu verschmerzen. Außerdem gibt es da ab 1 Stk Lizenzen, während das andere glaube ich ab 15 oder 20 beginnt (McAfee z.B. ab 10 glaube ich). D.h. viele Produkte richten sich eher an größere Installationen - dafür kann man dort dann aber ebenso einfach 100, 1000, ... Rechner abdecken, ohne sich tot zu administrieren.
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon EWERKER » Mittwoch 24. Februar 2016, 17:59

Sie bekommen so ein Tool von uns mit und ohne zentrales Management, auch bei 6 Plätzen.
Interessant in diesem Zusammenhang ist die neue (2014) BÄK Richtlinie, die das Einlesen von Patientendatenträgern auf Praxis-PC verbietet.

Die Nutzung eines fremden externen Speichermediums ist einer Kommunikation mit einem unsicheren externen Netz (Internet) gleichzusetzen. Es gelten demnach die gleichen Voraussetzungen, wie für die Anbindung eines Praxisrechners an ein unsicheres Netz (Internet).Fremde Speichermedien dürfen nicht direkt mit einem Patientendaten führenden System verbunden werden. Die Nutzung fremder Speichermedien darf nur an einem Rechner oder einer speziellen Hardwarekomponente geschehen, welche speziell im Voraus gehärtet wurde und Sicherheitsmechanismen zur Abwehr von Angriffen implementiert.
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://apps.turbopraxis.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 677
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon Stefan » Mittwoch 24. Februar 2016, 19:45

Das Tool USB Drive Letter Manager (USBDLM --> http://www.uwe-sieber.de/usbdlm.html) wäre eine Möglichkeit ihre Anforderungen umzusetzen.

Damit können sie u.a. eine White-/Blacklist anlegen in der sie bestimmte USB-Sticks (Geräte-IDs) an bestimmten Ports erlauben.
Nach Windows-Benutzer (Benutzer x darf USB-Sticks anschließen) und Computer-Namen (eine Config-Datei für alle PCs im Netzwerk) kann auch differenziert werden.

Das Tool arbeitet als Windows-Dienst und USB-Geräte auf der Blacklist werden sofort nach dem Einstecken für das sichere Entfernen vorbereitet.


1-9 Lizenzen kosten 11,90 Euro (nach 30-tägigen Testzeitraum) und wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).
Gruß
Stefan
Stefan
 
Beiträge: 520
Registriert: Dienstag 15. August 2006, 22:46
Wohnort: Land Brandenburg

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon TMFreund » Mittwoch 24. Februar 2016, 20:34

Hallo zusammen, wir sperren alle USB Ports, Telefone, Cardreader und Fremd CD/DVD. Sicherungssticks und Platten geben wir einzeln frei. Ich habe einfach Angst, dass jemand alle Daten "mitnimmt". Deshalb lasse ich mir bei jedem Verstoß gegen diese Regeln eine Mail senden, dann kann ich Vorfälle erkennen und auswerten.
Es ist von der selben Firma, sie der ewerker empfahl, aber ein größeres Produkt. Ich würde denken, dass es mehr braucht, als nur USB Ports abzuschalten.

@ewerker: Angeblich geht dies aber nur ab 15 PC.
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
TMFreund
 
Beiträge: 62
Registriert: Mittwoch 10. Januar 2007, 11:29

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Donnerstag 25. Februar 2016, 08:33

Stefan hat geschrieben:Das Tool USB Drive Letter Manager (USBDLM --> http://www.uwe-sieber.de/usbdlm.html) wäre eine Möglichkeit ihre Anforderungen umzusetzen.
wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).


Für die feste Zuordnung von LW-Buchstaben kenne ich es auch. Ich glaube für einen echten Schutz ist es etwas zu einfach / unflexibel.
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Donnerstag 25. Februar 2016, 08:44

TMFreund hat geschrieben:Hallo zusammen, wir sperren alle USB Ports, Telefone, Cardreader und Fremd CD/DVD. Sicherungssticks und Platten geben wir einzeln frei.


I.d.Regel sollte man es so einstellen, dass "Alles was nicht ausdrücklich erlaubt ist, automatisch verboten ist". Das verhindert unnötigen Aufwand (und Lücken).

TMFreund hat geschrieben:Ich habe einfach Angst, dass jemand alle Daten "mitnimmt". Deshalb lasse ich mir bei jedem Verstoß gegen diese Regeln eine Mail senden, dann kann ich Vorfälle erkennen und auswerten.


Richtig. Es sind ja zwei Szenarien die beachtet werden müssen: Erstens, dass über fremde Geräte keine Malware etc. auf die Rechner kommt und zweitens, der Verlust von Daten. Letzteres lässt sich noch in unabsichtlichen Verlust (zB verlorener Stick mit Daten) und vorsätzliches Entwenden unterscheiden – wobei letzteres i.d. Regel mehr Planung/Aufwand benötigt.
Wenn Sie von Vorsatz ausgehen, ist Device Control nur ein Baustein. Allerdings können Sie hier schon mal die Hürde entsprechend hoch setzen z.B. durch Einschränkung/Kombination
- Wer überhaupt die Berechtigungen zum Schreiben auf externe Datenträger hat
- Ggf. welche Dateitypen
- Ggf. bestimmte Zeiten
- Ggf. Kopierlimit (nur X MB je Tag o.ä.)
Dann kann man zumindest nicht mal eben auf die externe HDD Ihre ganzen Praxisdaten abziehen.
Ein ganz anderer Ansatz kann darin bestehen (zusätzlich) die Daten als solche zu schützen (z.B. Zugriffsberechtigungen und Verschlüsselung). Wenn es Jemandem gelingt, die verschlüsselten Dateien zu entwenden, fängt er damit trotzdem nichts an.



TMFreund hat geschrieben:@ewerker: Angeblich geht dies aber nur ab 15 PC.


Man kann ja auch die 15 Lizenzen nehmen, wenn man nur 7 einsetzt. Und wie oben geschrieben gibt es ja scheinbar auch eine "Basic"-Version ab 1 Lizenz?
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon EWERKER » Donnerstag 25. Februar 2016, 09:23

Wenn Sie es über uns beziehen, dann kosten beide Varianten 20 Euro / PC, also 100 für 5. Sie müssen sich nur entscheiden, ob Sie es zentral verwalten wollen oder einzeln. Im Fall der zentralen Verwaltung erhalten Sie von uns ein Virtual-Box-Image, was Sie auf einem PC ausführen, VMWare geht natürlich auch. Auf Cloud sollte man hier verzichten.
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://apps.turbopraxis.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 677
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Donnerstag 25. Februar 2016, 10:42

@XRAY, TMFreund

Sorry, habe erst gerade gesehen, dass ganz oben ja von Anfang an die "Basic"-Version verlinkt war. Mein Fehler.
Der Herteller bietet dese einzeln für 16,80 oder zB als 5er-Paket für 73,10 an:
http://www.endpointprotector.de/epp/pur ... ctor_basic

Also eigentlich eine übersichtliche Investition.
Trotzdem würde ich immer empfehlen, erst einmal zu testen, ob das Handling passt und natürlich ob es die Anforderungen abdeckt:
http://www.endpointprotector.de/downloa ... load_trial

Andere Hersteller kann ich gerne bei Bedarf auch die Links/Infos liefern.
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon EWERKER » Donnerstag 25. Februar 2016, 18:23

Man kann die schon einzeln kaufen, nämlich bei uns ;-) ! Die Frage ist nur, ob mit oder ohne zentrale Verwaltung. Ich wäre immer dafür, eine kleine Virtualbox auf einem ohnehin benutzten PC, die gelegentlich gestartet wird, tut es da. Kann man problemlos selber hosten. http://turbomed-partner.net/software/se ... pp4pc.html
EWERK Medical Care GmbH
Nutzen Sie unsere Premiumhotline mit Unterstützung aus Kiel! http://apps.turbopraxis.de/
Benutzeravatar
EWERKER
PowerUser
 
Beiträge: 677
Registriert: Freitag 12. Februar 2010, 12:43
Wohnort: Leipzig

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitragvon nmndoc » Donnerstag 25. Februar 2016, 18:49

EWERKER hat geschrieben:Man kann die schon einzeln kaufen, nämlich bei uns ;-) ! l


ja ... oder einfach direkt beim Hersteller. Da steht zwar der Hinweis "ist für 15+ PCs gemacht (gedacht), aber man kann auch einfach 5 nehmen (und bezahlt dann auch nur die 5 und nicht etwa 15).
Ist in Summe sogar noch einen Tick günstiger wie ich gesehen habe - nichts für ungut.
nmndoc
 
Beiträge: 912
Registriert: Donnerstag 17. März 2011, 12:56

Nächste

Zurück zu Computer (allgemeine Themen)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

    rechtliche Hinweise - Disclaimer

    Impressum:

    EWERK Medical Care GmbH
    Postadresse: Markt 16, 04109 Leipzig

    Telefon: 0341 4264977
    Fax: 0341 4264978
    Web: www.ewerk.com
    E-Mail: forum@med-support.de

    Geschäftsführer: Frank Richter, Ingo Günther
    Amtsgericht Leipzig HRB 20896