Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Moderator: Forum Moderatoren

Antworten
XRAY
Beiträge: 289
Registriert: Donnerstag 4. Oktober 2012, 13:32
11
Hat sich bedankt: 11 times
Bedankt: 22 times

Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von XRAY »

Gerne möchte ich nicht benötigte PC-USB-Anschlüsse per Windows Geräte-Manager deaktivieren, um nicht autorisierter Nutzung vorzubeugen.

Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.

Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?

Viele Grüße und besten Dank, xray
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

Mit Deaktivierung erreicht man nicht so viel, zumindest bei Sicherheitsbedenken. Ich würde ca. 20 Euro ausgeben und eine Software installieren, die einfach berechtigte USB Geräte an den Schnittstellen freigibt, also eine Whitelist.
http://www.endpointprotector.de/product ... ctor_basic Kann man vorher testen. Kann noch viel mehr und stoppt den Wildwuchs beim Mitnehmen von Daten und Einstecken irgend welcher Geräte.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

XRAY hat geschrieben:Gerne möchte ich nicht benötigte PC-USB-Anschlüsse per Windows Geräte-Manager deaktivieren, um nicht autorisierter Nutzung vorzubeugen.

Im Windows Geräte-Manager werden unter "USB-Controller" diverse Einträge angezeigt, darunter 'Generic USB Hub', 'Intel USB Enhanced Host Controller', 'USB-Massenspeichergerät', 'USB-Root-Hub', 'USB-Verbundgerät' um nur einige zu nennen.

Es scheint bislang nur Versuch und Irrtum zu funktionieren, um einen ganz bestimmten USB-Anschluss zu deaktivieren. Gibt es ggf. eine Möglichkeit bereits zuvor die Zuordnung der Geräte-Manager-Einträge zu den jeweiligen USB-Anschlüssen erkennbar zu machen?

Viele Grüße und besten Dank, xray
Hallo XRAY,

richtige Intension, aber falscher Ansatz. Sie möchten ja die „missbräuchliche Nutzung“ verhindern, d.h. es geht letztlich darum was/von wem angeschlossen wird (und wie es ggf verwendet wird). Auch könnte Jemand sonst ja zB einfach den USB-Drucker ausstecken, und dort zB den USB-Stick einstecken.

Wie oben erwähnt kommt für solche Zwecke i.d. Regel eine Device Control Software zum Einsatz (manchmal auch Port Control oder Schnittstellenabsicherung genannt).
Je nach Produkt können Sie dann z.B. alles blocken außer Eingabegeräten, Drucker, eGK-Leser.
USB-Sticks sind nur für Benutzer XY erlaubt, aber z.B. nur bestimmte Dateitypen und schreiben nur, wenn der Stick verschlüsselt ist. (wäre eine mögliche Policy).
Windows hat in den „Enterprise“ Versionen so etwas denke ich auch – evtl. rudimentär. Eine andere Methode ist über GPOs das Installieren bestimmter Gerätetreiber zu erlauben/verbieten. Allerdings funktioniert das denke ich nicht mehr, wenn das Gerät an dem Rechner schon mal angeschlossen war (bzw. an dem Port).
Welchen Virenscanner verwenden Sie denn? Manche Suiten haben das in der Lizenz ja schon mit drin (McAfee zB). Kaspersky o.ä. haben so etwas evtl. auch. Den o.g. Hersteller kannte ich bisher zwar noch nicht, aber gibt noch weitere. Entscheidend ist hier das Handling.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

Nachtrag: Wenn Sie mir verraten, über wieviele Arbeitsplätze wir sprechen, kann ich Ihnen evtl einen Hersteller empfehlen.
XRAY
Beiträge: 289
Registriert: Donnerstag 4. Oktober 2012, 13:32
11
Hat sich bedankt: 11 times
Bedankt: 22 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von XRAY »

Vielen Dank bereits für die Anregungen! Stimmt natürlich, dass man durch Umstecken von Geräten keinen konsequenten Schutz hätte. Wir sind eine eher kleine Praxis mit nur 6 Arbeitsplätzen. Meine MFAs wissen, dass sie keine Sticks in die PCs stecken dürfen. Allerdings mussten wir erst kürzlich einen Patienten davor abhalten, uns seine Krankenakte auf einem Datenträger vorzuführen. Da käme natürlich eine Software gelegen, welche Tastaturen/ Mäuse/ Drucker/ Scanner am USB-Port akzeptiert aber keine Wechseldatenträger annimmt.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

XRAY hat geschrieben:Vielen Dank bereits für die Anregungen! Stimmt natürlich, dass man durch Umstecken von Geräten keinen konsequenten Schutz hätte. Wir sind eine eher kleine Praxis mit nur 6 Arbeitsplätzen. Meine MFAs wissen, dass sie keine Sticks in die PCs stecken dürfen. Allerdings mussten wir erst kürzlich einen Patienten davor abhalten, uns seine Krankenakte auf einem Datenträger vorzuführen. Da käme natürlich eine Software gelegen, welche Tastaturen/ Mäuse/ Drucker/ Scanner am USB-Port akzeptiert aber keine Wechseldatenträger annimmt.
genau. bzw. in der Praxis wird man es meist so einstellen, dass z.B. nur die eigenen Wechseldatenträger akzeptiert werden und/oder Lesezugriff (bei eigenen und/oder fremden) nur auf bestimmte Dateitypen möglich ist. Kann man auch auf andere ausdehnen - z.B. CD/DVDs.

Ich denke Sie müssten sich einfach mal einige Dinge ansehen und dann entscheiden. Nochmal der Hinweis, ob ggf Ihr Virenschutz das auch kann.
Das o.g. Produkt scheint mir relativ günstig zu sein, zumal es da eine Basic-Version gibt, die nochmal günstiger ist. Inwieweit die sich dann unterscheidet, kann ich nicht beurteilen. ich vermute mal z.B. ohne zentrales Management - was speziell in dem Bereich eigentlich ein no-go wäre, aber bei 6 Rechnern + wenig Regeln evtl. zu verschmerzen. Außerdem gibt es da ab 1 Stk Lizenzen, während das andere glaube ich ab 15 oder 20 beginnt (McAfee z.B. ab 10 glaube ich). D.h. viele Produkte richten sich eher an größere Installationen - dafür kann man dort dann aber ebenso einfach 100, 1000, ... Rechner abdecken, ohne sich tot zu administrieren.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

Sie bekommen so ein Tool von uns mit und ohne zentrales Management, auch bei 6 Plätzen.
Interessant in diesem Zusammenhang ist die neue (2014) BÄK Richtlinie, die das Einlesen von Patientendatenträgern auf Praxis-PC verbietet.
Die Nutzung eines fremden externen Speichermediums ist einer Kommunikation mit einem unsicheren externen Netz (Internet) gleichzusetzen. Es gelten demnach die gleichen Voraussetzungen, wie für die Anbindung eines Praxisrechners an ein unsicheres Netz (Internet).Fremde Speichermedien dürfen nicht direkt mit einem Patientendaten führenden System verbunden werden. Die Nutzung fremder Speichermedien darf nur an einem Rechner oder einer speziellen Hardwarekomponente geschehen, welche speziell im Voraus gehärtet wurde und Sicherheitsmechanismen zur Abwehr von Angriffen implementiert.
EX EWERKER :-)
Stefan
Beiträge: 546
Registriert: Dienstag 15. August 2006, 23:46
17
Wohnort: Land Brandenburg

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von Stefan »

Das Tool USB Drive Letter Manager (USBDLM --> http://www.uwe-sieber.de/usbdlm.html) wäre eine Möglichkeit ihre Anforderungen umzusetzen.

Damit können sie u.a. eine White-/Blacklist anlegen in der sie bestimmte USB-Sticks (Geräte-IDs) an bestimmten Ports erlauben.
Nach Windows-Benutzer (Benutzer x darf USB-Sticks anschließen) und Computer-Namen (eine Config-Datei für alle PCs im Netzwerk) kann auch differenziert werden.

Das Tool arbeitet als Windows-Dienst und USB-Geräte auf der Blacklist werden sofort nach dem Einstecken für das sichere Entfernen vorbereitet.


1-9 Lizenzen kosten 11,90 Euro (nach 30-tägigen Testzeitraum) und wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).
Gruß
Stefan
TMFreund
Beiträge: 48
Registriert: Mittwoch 10. Januar 2007, 11:29
17

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von TMFreund »

Hallo zusammen, wir sperren alle USB Ports, Telefone, Cardreader und Fremd CD/DVD. Sicherungssticks und Platten geben wir einzeln frei. Ich habe einfach Angst, dass jemand alle Daten "mitnimmt". Deshalb lasse ich mir bei jedem Verstoß gegen diese Regeln eine Mail senden, dann kann ich Vorfälle erkennen und auswerten.
Es ist von der selben Firma, sie der ewerker empfahl, aber ein größeres Produkt. Ich würde denken, dass es mehr braucht, als nur USB Ports abzuschalten.

@ewerker: Angeblich geht dies aber nur ab 15 PC.
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

Stefan hat geschrieben:Das Tool USB Drive Letter Manager (USBDLM --> http://www.uwe-sieber.de/usbdlm.html) wäre eine Möglichkeit ihre Anforderungen umzusetzen.
wir nutzten es anfänglich nur für die feste Vergabe eines Laufwerkbuchstabens zu einem bestimmten USB-Stick (bei Vergabe des ersten freien Buchstabens funktionierte unser Sicherungs-Skript nicht immer).
Für die feste Zuordnung von LW-Buchstaben kenne ich es auch. Ich glaube für einen echten Schutz ist es etwas zu einfach / unflexibel.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

TMFreund hat geschrieben:Hallo zusammen, wir sperren alle USB Ports, Telefone, Cardreader und Fremd CD/DVD. Sicherungssticks und Platten geben wir einzeln frei.
I.d.Regel sollte man es so einstellen, dass "Alles was nicht ausdrücklich erlaubt ist, automatisch verboten ist". Das verhindert unnötigen Aufwand (und Lücken).
TMFreund hat geschrieben: Ich habe einfach Angst, dass jemand alle Daten "mitnimmt". Deshalb lasse ich mir bei jedem Verstoß gegen diese Regeln eine Mail senden, dann kann ich Vorfälle erkennen und auswerten.
Richtig. Es sind ja zwei Szenarien die beachtet werden müssen: Erstens, dass über fremde Geräte keine Malware etc. auf die Rechner kommt und zweitens, der Verlust von Daten. Letzteres lässt sich noch in unabsichtlichen Verlust (zB verlorener Stick mit Daten) und vorsätzliches Entwenden unterscheiden – wobei letzteres i.d. Regel mehr Planung/Aufwand benötigt.
Wenn Sie von Vorsatz ausgehen, ist Device Control nur ein Baustein. Allerdings können Sie hier schon mal die Hürde entsprechend hoch setzen z.B. durch Einschränkung/Kombination
- Wer überhaupt die Berechtigungen zum Schreiben auf externe Datenträger hat
- Ggf. welche Dateitypen
- Ggf. bestimmte Zeiten
- Ggf. Kopierlimit (nur X MB je Tag o.ä.)
Dann kann man zumindest nicht mal eben auf die externe HDD Ihre ganzen Praxisdaten abziehen.
Ein ganz anderer Ansatz kann darin bestehen (zusätzlich) die Daten als solche zu schützen (z.B. Zugriffsberechtigungen und Verschlüsselung). Wenn es Jemandem gelingt, die verschlüsselten Dateien zu entwenden, fängt er damit trotzdem nichts an.


TMFreund hat geschrieben: @ewerker: Angeblich geht dies aber nur ab 15 PC.
Man kann ja auch die 15 Lizenzen nehmen, wenn man nur 7 einsetzt. Und wie oben geschrieben gibt es ja scheinbar auch eine "Basic"-Version ab 1 Lizenz?
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

Wenn Sie es über uns beziehen, dann kosten beide Varianten 20 Euro / PC, also 100 für 5. Sie müssen sich nur entscheiden, ob Sie es zentral verwalten wollen oder einzeln. Im Fall der zentralen Verwaltung erhalten Sie von uns ein Virtual-Box-Image, was Sie auf einem PC ausführen, VMWare geht natürlich auch. Auf Cloud sollte man hier verzichten.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

@XRAY, TMFreund

Sorry, habe erst gerade gesehen, dass ganz oben ja von Anfang an die "Basic"-Version verlinkt war. Mein Fehler.
Der Herteller bietet dese einzeln für 16,80 oder zB als 5er-Paket für 73,10 an:
http://www.endpointprotector.de/epp/pur ... ctor_basic

Also eigentlich eine übersichtliche Investition.
Trotzdem würde ich immer empfehlen, erst einmal zu testen, ob das Handling passt und natürlich ob es die Anforderungen abdeckt:
http://www.endpointprotector.de/downloa ... load_trial

Andere Hersteller kann ich gerne bei Bedarf auch die Links/Infos liefern.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

Man kann die schon einzeln kaufen, nämlich bei uns ;-) ! Die Frage ist nur, ob mit oder ohne zentrale Verwaltung. Ich wäre immer dafür, eine kleine Virtualbox auf einem ohnehin benutzten PC, die gelegentlich gestartet wird, tut es da. Kann man problemlos selber hosten. http://turbomed-partner.net/software/se ... pp4pc.html
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

EWERKER hat geschrieben:Man kann die schon einzeln kaufen, nämlich bei uns ;-) ! l
ja ... oder einfach direkt beim Hersteller. Da steht zwar der Hinweis "ist für 15+ PCs gemacht (gedacht), aber man kann auch einfach 5 nehmen (und bezahlt dann auch nur die 5 und nicht etwa 15).
Ist in Summe sogar noch einen Tick günstiger wie ich gesehen habe - nichts für ungut.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

Nein es ist sogar wesentlich teurer beim Hersteller, weil es zwei verschiedene Produkte sind: http://www.endpointprotector.de/product ... t_overview BASIC <> EPP4
Die Basicversion haben wir nur nicht im Shop, lohnt nicht, kauft kaum einer.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

sorry wenn ich Ihnen wiederspreche. Ich meinte schon den Endpoint Protector 4 inkl. Virtuelle Appliance (nicht Basic).
Habs in den Warenkorb gelegt und mir die Gesamtsumme ausrechnen lassen.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

sorry, dass ich widerspreche, 5* EPP4 bei CoCo = 118,50 vs. 5* EPP4 bei EWERK = 105,00
Es ist wirklich anstrengend... :roll:
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von nmndoc »

EWERKER hat geschrieben:sorry, dass ich widerspreche, 5* EPP4 bei CoCo = 118,50 vs. 5* EPP4 bei EWERK = 105,00
Es ist wirklich anstrengend... :roll:
Deshalb heißt es wohl auch „abgerechnet wird zum Schluss“:
Bei Ihrem Preis kommen noch 14,90 Versandkosten dazu – was dann 119,90 macht – selbstverständlich noch zzgl. MwSt (gilt für beide).

Kann natürlich auch ein Flüchtigkeitsfehler sein. Kommt ja schon mal vor, wenn man schnell eine neue Rubrik/Produkte in den Shop einbauen muss.

In jedem Fall hoffe ich, dass damit genug Vertriebsarbeit getätigt wurde und wir uns wieder auf den eigentlichen Zweck (?) des Forums konzentrieren können.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Ganz bestimmte USB-Anschlüsse gezielt deaktivieren

Beitrag von EXEWERKER »

Es fallen natürlich keine Versandkosten an. Es ist wie in Ihren anderen Posts. Hauptsache ich schreibe irgend etwas und ich habe das letzte Wort.
EX EWERKER :-)
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste