Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Moderator: Forum Moderatoren
-
- Beiträge: 291
- Registriert: Donnerstag 4. Oktober 2012, 13:32
- 11
- Hat sich bedankt: 11 times
- Bedankt: 24 times
Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Gerne möchte ich nicht benötigte PC-USB-Anschlüsse per Windows Geräte-Manager deaktivieren, um nicht autorisierter Nutzung vorzubeugen.
Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.
Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?
Viele Grüße und besten Dank, xray
Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.
Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?
Viele Grüße und besten Dank, xray
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Mit Deaktivierung erreicht man nicht so viel, zumindest bei Sicherheitsbedenken. Ich würde ca. 20 Euro ausgeben und eine Software installieren, die einfach berechtigte USB Geräte an den Schnittstellen freigibt, also eine Whitelist.
http://www.endpointprotector.de/product ... ctor_basic Kann man vorher testen. Kann noch viel mehr und stoppt den Wildwuchs beim Mitnehmen von Daten und Einstecken irgend welcher Geräte.
http://www.endpointprotector.de/product ... ctor_basic Kann man vorher testen. Kann noch viel mehr und stoppt den Wildwuchs beim Mitnehmen von Daten und Einstecken irgend welcher Geräte.
EX EWERKER
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Hallo XRAY,XRAY hat geschrieben:Gerne möchte ich nicht benötigte PC-USB-Anschlüsse per Windows Geräte-Manager deaktivieren, um nicht autorisierter Nutzung vorzubeugen.
Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.
Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?
Viele Grüße und besten Dank, xray
richtige Intension, aber falscher Ansatz. Sie möchten ja die „missbräuchliche Nutzung“ verhindern, d.h. es geht letztlich darum was/von wem angeschlossen wird (und wie es ggf verwendet wird). Auch könnte Jemand sonst ja zB einfach den USB-Drucker ausstecken, und dort zB den USB-Stick einstecken.
Wie oben erwähnt kommt für solche Zwecke i.d. Regel eine Device Control Software zum Einsatz (manchmal auch Port Control oder Schnittstellenabsicherung genannt).
Je nach Produkt können Sie dann z.B. alles blocken außer Eingabegeräten, Drucker, eGK-Leser.
USB-Sticks sind nur für Benutzer XY erlaubt, aber z.B. nur bestimmte Dateitypen und schreiben nur, wenn der Stick verschlüsselt ist. (wäre eine mögliche Policy).
Windows hat in den „Enterprise“ Versionen so etwas denke ich auch – evtl. rudimentär. Eine andere Methode ist über GPOs das Installieren bestimmter Gerätetreiber zu erlauben/verbieten. Allerdings funktioniert das denke ich nicht mehr, wenn das Gerät an dem Rechner schon mal angeschlossen war (bzw. an dem Port).
Welchen Virenscanner verwenden Sie denn? Manche Suiten haben das in der Lizenz ja schon mit drin (McAfee zB). Kaspersky o.ä. haben so etwas evtl. auch. Den o.g. Hersteller kannte ich bisher zwar noch nicht, aber gibt noch weitere. Entscheidend ist hier das Handling.
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Nachtrag: Wenn Sie mir verraten, über wieviele Arbeitsplätze wir sprechen, kann ich Ihnen evtl einen Hersteller empfehlen.
-
- Beiträge: 291
- Registriert: Donnerstag 4. Oktober 2012, 13:32
- 11
- Hat sich bedankt: 11 times
- Bedankt: 24 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Vielen Dank bereits für die Anregungen! Stimmt natürlich, dass man durch Umstecken von Geräten keinen konsequenten Schutz hätte. Wir sind eine eher kleine Praxis mit nur 6 Arbeitsplätzen. Meine MFAs wissen, dass sie keine Sticks in die PCs stecken dürfen. Allerdings mussten wir erst kürzlich einen Patienten davor abhalten, uns seine Krankenakte auf einem Datenträger vorzuführen. Da käme natürlich eine Software gelegen, welche Tastaturen/ Mäuse/ Drucker/ Scanner am USB-Port akzeptiert aber keine Wechseldatenträger annimmt.
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
genau. bzw. in der Praxis wird man es meist so einstellen, dass z.B. nur die eigenen Wechseldatenträger akzeptiert werden und/oder Lesezugriff (bei eigenen und/oder fremden) nur auf bestimmte Dateitypen möglich ist. Kann man auch auf andere ausdehnen - z.B. CD/DVDs.XRAY hat geschrieben:Vielen Dank bereits für die Anregungen! Stimmt natürlich, dass man durch Umstecken von Geräten keinen konsequenten Schutz hätte. Wir sind eine eher kleine Praxis mit nur 6 Arbeitsplätzen. Meine MFAs wissen, dass sie keine Sticks in die PCs stecken dürfen. Allerdings mussten wir erst kürzlich einen Patienten davor abhalten, uns seine Krankenakte auf einem Datenträger vorzuführen. Da käme natürlich eine Software gelegen, welche Tastaturen/ Mäuse/ Drucker/ Scanner am USB-Port akzeptiert aber keine Wechseldatenträger annimmt.
Ich denke Sie müssten sich einfach mal einige Dinge ansehen und dann entscheiden. Nochmal der Hinweis, ob ggf Ihr Virenschutz das auch kann.
Das o.g. Produkt scheint mir relativ günstig zu sein, zumal es da eine Basic-Version gibt, die nochmal günstiger ist. Inwieweit die sich dann unterscheidet, kann ich nicht beurteilen. ich vermute mal z.B. ohne zentrales Management - was speziell in dem Bereich eigentlich ein no-go wäre, aber bei 6 Rechnern + wenig Regeln evtl. zu verschmerzen. Außerdem gibt es da ab 1 Stk Lizenzen, während das andere glaube ich ab 15 oder 20 beginnt (McAfee z.B. ab 10 glaube ich). D.h. viele Produkte richten sich eher an größere Installationen - dafür kann man dort dann aber ebenso einfach 100, 1000, ... Rechner abdecken, ohne sich tot zu administrieren.
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Sie bekommen so ein Tool von uns mit und ohne zentrales Management, auch bei 6 Plätzen.
Interessant in diesem Zusammenhang ist die neue (2014) BÄK Richtlinie, die das Einlesen von Patientendatenträgern auf Praxis-PC verbietet.
Interessant in diesem Zusammenhang ist die neue (2014) BÄK Richtlinie, die das Einlesen von Patientendatenträgern auf Praxis-PC verbietet.
Die Nutzung eines fremden externen Speichermediums ist einer Kommunikation mit einem unsicheren externen Netz (Internet) gleichzusetzen. Es gelten demnach die gleichen Voraussetzungen, wie für die Anbindung eines Praxisrechners an ein unsicheres Netz (Internet).Fremde Speichermedien dürfen nicht direkt mit einem Patientendaten führenden System verbunden werden. Die Nutzung fremder Speichermedien darf nur an einem Rechner oder einer speziellen Hardwarekomponente geschehen, welche speziell im Voraus gehärtet wurde und Sicherheitsmechanismen zur Abwehr von Angriffen implementiert.
EX EWERKER
-
- Beiträge: 546
- Registriert: Dienstag 15. August 2006, 23:46
- 17
- Wohnort: Land Brandenburg
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Das Tool USB Drive Letter Manager (USBDLM --> http://www.uwe-sieber.de/usbdlm.html) wäre eine Möglichkeit ihre Anforderungen umzusetzen.
Damit können sie u.a. eine White-/Blacklist anlegen in der sie bestimmte USB-Sticks (Geräte-IDs) an bestimmten Ports erlauben.
Nach Windows-Benutzer (Benutzer x darf USB-Sticks anschließen) und Computer-Namen (eine Config-Datei für alle PCs im Netzwerk) kann auch differenziert werden.
Das Tool arbeitet als Windows-Dienst und USB-Geräte auf der Blacklist werden sofort nach dem Einstecken für das sichere Entfernen vorbereitet.
1-9 Lizenzen kosten 11,90 Euro (nach 30-tägigen Testzeitraum) und wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).
Damit können sie u.a. eine White-/Blacklist anlegen in der sie bestimmte USB-Sticks (Geräte-IDs) an bestimmten Ports erlauben.
Nach Windows-Benutzer (Benutzer x darf USB-Sticks anschließen) und Computer-Namen (eine Config-Datei für alle PCs im Netzwerk) kann auch differenziert werden.
Das Tool arbeitet als Windows-Dienst und USB-Geräte auf der Blacklist werden sofort nach dem Einstecken für das sichere Entfernen vorbereitet.
1-9 Lizenzen kosten 11,90 Euro (nach 30-tägigen Testzeitraum) und wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).
Gruß
Stefan
Stefan
-
- Beiträge: 48
- Registriert: Mittwoch 10. Januar 2007, 11:29
- 17
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Hallo zusammen, wir sperren alle USB Ports, Telefone, Cardreader und Fremd CD/DVD. Sicherungssticks und Platten geben wir einzeln frei. Ich habe einfach Angst, dass jemand alle Daten "mitnimmt". Deshalb lasse ich mir bei jedem Verstoß gegen diese Regeln eine Mail senden, dann kann ich Vorfälle erkennen und auswerten.
Es ist von der selben Firma, sie der ewerker empfahl, aber ein größeres Produkt. Ich würde denken, dass es mehr braucht, als nur USB Ports abzuschalten.
@ewerker: Angeblich geht dies aber nur ab 15 PC.
Es ist von der selben Firma, sie der ewerker empfahl, aber ein größeres Produkt. Ich würde denken, dass es mehr braucht, als nur USB Ports abzuschalten.
@ewerker: Angeblich geht dies aber nur ab 15 PC.
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Für die feste Zuordnung von LW-Buchstaben kenne ich es auch. Ich glaube für einen echten Schutz ist es etwas zu einfach / unflexibel.Stefan hat geschrieben:Das Tool USB Drive Letter Manager (USBDLM --> http://www.uwe-sieber.de/usbdlm.html) wäre eine Möglichkeit ihre Anforderungen umzusetzen.
wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
I.d.Regel sollte man es so einstellen, dass "Alles was nicht ausdrücklich erlaubt ist, automatisch verboten ist". Das verhindert unnötigen Aufwand (und Lücken).TMFreund hat geschrieben:Hallo zusammen, wir sperren alle USB Ports, Telefone, Cardreader und Fremd CD/DVD. Sicherungssticks und Platten geben wir einzeln frei.
Richtig. Es sind ja zwei Szenarien die beachtet werden müssen: Erstens, dass über fremde Geräte keine Malware etc. auf die Rechner kommt und zweitens, der Verlust von Daten. Letzteres lässt sich noch in unabsichtlichen Verlust (zB verlorener Stick mit Daten) und vorsätzliches Entwenden unterscheiden – wobei letzteres i.d. Regel mehr Planung/Aufwand benötigt.TMFreund hat geschrieben: Ich habe einfach Angst, dass jemand alle Daten "mitnimmt". Deshalb lasse ich mir bei jedem Verstoß gegen diese Regeln eine Mail senden, dann kann ich Vorfälle erkennen und auswerten.
Wenn Sie von Vorsatz ausgehen, ist Device Control nur ein Baustein. Allerdings können Sie hier schon mal die Hürde entsprechend hoch setzen z.B. durch Einschränkung/Kombination
- Wer überhaupt die Berechtigungen zum Schreiben auf externe Datenträger hat
- Ggf. welche Dateitypen
- Ggf. bestimmte Zeiten
- Ggf. Kopierlimit (nur X MB je Tag o.ä.)
Dann kann man zumindest nicht mal eben auf die externe HDD Ihre ganzen Praxisdaten abziehen.
Ein ganz anderer Ansatz kann darin bestehen (zusätzlich) die Daten als solche zu schützen (z.B. Zugriffsberechtigungen und Verschlüsselung). Wenn es Jemandem gelingt, die verschlüsselten Dateien zu entwenden, fängt er damit trotzdem nichts an.
Man kann ja auch die 15 Lizenzen nehmen, wenn man nur 7 einsetzt. Und wie oben geschrieben gibt es ja scheinbar auch eine "Basic"-Version ab 1 Lizenz?TMFreund hat geschrieben: @ewerker: Angeblich geht dies aber nur ab 15 PC.
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Wenn Sie es über uns beziehen, dann kosten beide Varianten 20 Euro / PC, also 100 für 5. Sie müssen sich nur entscheiden, ob Sie es zentral verwalten wollen oder einzeln. Im Fall der zentralen Verwaltung erhalten Sie von uns ein Virtual-Box-Image, was Sie auf einem PC ausführen, VMWare geht natürlich auch. Auf Cloud sollte man hier verzichten.
EX EWERKER
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
@XRAY, TMFreund
Sorry, habe erst gerade gesehen, dass ganz oben ja von Anfang an die "Basic"-Version verlinkt war. Mein Fehler.
Der Herteller bietet dese einzeln für 16,80 oder zB als 5er-Paket für 73,10 an:
http://www.endpointprotector.de/epp/pur ... ctor_basic
Also eigentlich eine übersichtliche Investition.
Trotzdem würde ich immer empfehlen, erst einmal zu testen, ob das Handling passt und natürlich ob es die Anforderungen abdeckt:
http://www.endpointprotector.de/downloa ... load_trial
Andere Hersteller kann ich gerne bei Bedarf auch die Links/Infos liefern.
Sorry, habe erst gerade gesehen, dass ganz oben ja von Anfang an die "Basic"-Version verlinkt war. Mein Fehler.
Der Herteller bietet dese einzeln für 16,80 oder zB als 5er-Paket für 73,10 an:
http://www.endpointprotector.de/epp/pur ... ctor_basic
Also eigentlich eine übersichtliche Investition.
Trotzdem würde ich immer empfehlen, erst einmal zu testen, ob das Handling passt und natürlich ob es die Anforderungen abdeckt:
http://www.endpointprotector.de/downloa ... load_trial
Andere Hersteller kann ich gerne bei Bedarf auch die Links/Infos liefern.
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Man kann die schon einzeln kaufen, nämlich bei uns ! Die Frage ist nur, ob mit oder ohne zentrale Verwaltung. Ich wäre immer dafür, eine kleine Virtualbox auf einem ohnehin benutzten PC, die gelegentlich gestartet wird, tut es da. Kann man problemlos selber hosten. http://turbomed-partner.net/software/se ... pp4pc.html
EX EWERKER
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
ja ... oder einfach direkt beim Hersteller. Da steht zwar der Hinweis "ist für 15+ PCs gemacht (gedacht), aber man kann auch einfach 5 nehmen (und bezahlt dann auch nur die 5 und nicht etwa 15).EWERKER hat geschrieben:Man kann die schon einzeln kaufen, nämlich bei uns ! l
Ist in Summe sogar noch einen Tick günstiger wie ich gesehen habe - nichts für ungut.
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Nein es ist sogar wesentlich teurer beim Hersteller, weil es zwei verschiedene Produkte sind: http://www.endpointprotector.de/product ... t_overview BASIC <> EPP4
Die Basicversion haben wir nur nicht im Shop, lohnt nicht, kauft kaum einer.
Die Basicversion haben wir nur nicht im Shop, lohnt nicht, kauft kaum einer.
EX EWERKER
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
sorry wenn ich Ihnen wiederspreche. Ich meinte schon den Endpoint Protector 4 inkl. Virtuelle Appliance (nicht Basic).
Habs in den Warenkorb gelegt und mir die Gesamtsumme ausrechnen lassen.
Habs in den Warenkorb gelegt und mir die Gesamtsumme ausrechnen lassen.
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
sorry, dass ich widerspreche, 5* EPP4 bei CoCo = 118,50 vs. 5* EPP4 bei EWERK = 105,00
Es ist wirklich anstrengend...
Es ist wirklich anstrengend...
EX EWERKER
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Deshalb heißt es wohl auch „abgerechnet wird zum Schluss“:EWERKER hat geschrieben:sorry, dass ich widerspreche, 5* EPP4 bei CoCo = 118,50 vs. 5* EPP4 bei EWERK = 105,00
Es ist wirklich anstrengend...
Bei Ihrem Preis kommen noch 14,90 Versandkosten dazu – was dann 119,90 macht – selbstverständlich noch zzgl. MwSt (gilt für beide).
Kann natürlich auch ein Flüchtigkeitsfehler sein. Kommt ja schon mal vor, wenn man schnell eine neue Rubrik/Produkte in den Shop einbauen muss.
In jedem Fall hoffe ich, dass damit genug Vertriebsarbeit getätigt wurde und wir uns wieder auf den eigentlichen Zweck (?) des Forums konzentrieren können.
- EXEWERKER
- Beiträge: 807
- Registriert: Freitag 12. Februar 2010, 12:43
- 14
- Wohnort: Leipzig
- Hat sich bedankt: 1 time
- Bedankt: 3 times
Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren
Es fallen natürlich keine Versandkosten an. Es ist wie in Ihren anderen Posts. Hauptsache ich schreibe irgend etwas und ich habe das letzte Wort.
EX EWERKER
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 50 Gäste