Skip to Content
Last modified by Tobias Wintrich on 2024/10/25 14:16
From version 32.3
edited by Tobias Wintrich
on 2024/10/25 13:54
Change comment: There is no comment for this version
To version 35.1
edited by Tobias Wintrich
on 2024/10/25 14:15
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -51,9 +51,9 @@
51 51  
52 52  = USB-Guard und TCMS / Expertenkonfiguration =
53 53  
54 -Mit den Standardeinstellungen speichert generiert jedes Gerät individuelle Konfigurationsdateien für den USB Guard. Erhält ein Gerät per Gruppenkonfiguration die Aufforderung USB-Guard zu nutzen, so generiert es beim ersten aktivieren automatisch eine Konfiguration entsprechend der aktuell angeschlossenen Geräte. Alle später angeschlossenen Geräte müssen händisch konfiguriert werden.
54 +Mit den Standardeinstellungen generiert jedes Gerät individuelle Konfigurationsdateien für den USBGuard. Erhält ein Gerät per Gruppenkonfiguration die Aufforderung USBGuard zu nutzen, so generiert es beim ersten aktivieren automatisch eine Konfiguration entsprechend der aktuell angeschlossenen Geräte. Alle später angeschlossenen Geräte müssen händisch konfiguriert werden.
55 55  
56 -Will man eine zentrale Konfiguration für alle Geräte pflegen und z.B.: alle Eingabegeräte, Webcams.... generell erlauben, so kann man hierzu den "Expertenmodus" verwenden. Sobald der Expternemodus aktiviert ist, wird die vom System erstellte Konfiguration mit an den TCMS und damit auch auf andere Geräte übertragen.
56 +Will man eine zentrale Konfiguration für alle Geräte pflegen und z.B.: alle Eingabegeräte, Webcams.... generell erlauben, so kann man hierzu den "Expertenmodus" verwenden. Sobald der Expertenmodus aktiviert ist, wird die vom System erstellte Konfiguration **mit an den TCMS und damit auch auf andere Geräte übertragen**.
57 57  
58 58  {{warning}}
59 59  Wenn Sie den Expertenmodus aktivieren **müssen **Sie die automatisch generierte Konfiguration händisch Anpassen. Wenn die automatisch generierte Konfiguration auf ein anderes Gerät übertragen wird, werden dort keinerlei USB-Geräte mehr funktionieren, da die Konfiguration Port und Seriennummer der angeschlossenen Geräte enthalte und diese auch von Gerät zu Gerät unterscheiden.
... ... @@ -67,7 +67,7 @@
67 67  
68 68  == Benutzerdefinierte Regeln erstellen ==
69 69  
70 -Per Default werden neue Geräte bereits blockiert. Das heißt Sie in den regeln nur die Geräte oder Geräteklassen definieren die Sie zulassen möchten.
70 +Per Default werden neue Geräte bereits blockiert. Das heißt, dass Sie in den Regeln nur die Geräte oder Geräteklassen definieren die Sie zulassen möchten.
71 71  
72 72  === Einzelnes Gerät an allen Plätzen erlauben ===
73 73  
... ... @@ -77,15 +77,17 @@
77 77  
78 78  Eine Regel für die im Screenshot zu sehende "Microdia USB 2.0 Camera" könnte so aussehen:
79 79  
80 -allow id 0c45:636e
80 +//allow id 0c45:636e//
81 81  
82 -Sie können hier beliebig viele dieser Regeln untereinander schreiben. Zusätzlich sollte auf alle Fälle diese Zeile mit in die Konfiguration aufgenommen werden um den zugriff auf über einen HUB angeschlossene Geräte zu ermöglichen:
82 +{{warning}}
83 +Buchstaben innerhalb der PID:VID Kombination **müssen **klein geschrieben werden
84 +{{/warning}}
83 83  
84 -allow with-interface one-of { 09:*:* }
86 +Sie können hier beliebig viele dieser Regeln untereinander schreiben.
85 85  
86 86  === Geräteklassen erlauben ===
87 87  
88 -Geräteklassen werden anhand Ihrer Inferace Klasse definiert und freigeben. Es gibt 9 Geräteklassen die Sie erlauben können:
90 +Geräteklassen werden anhand Ihrer Inferace Klasse definiert und freigeben. Es gibt 8 Geräteklassen die Sie erlauben können:
89 89  
90 90  1. Mass Storage Class (MSC): **08**
91 91  1. Human Interface Device Class (HID): **03**
... ... @@ -95,18 +95,30 @@
95 95  1. Image Device Class (IDC): **06**
96 96  1. Still Image Capture Device Class (SICDC): **06**
97 97  1. Video Device Class (VDC): **0E**
98 -1. HUB: **09**
99 99  
100 100  Eine Regel um zum Beispiel alle HID Geräte (Maus/Tastatur + HUBs) zu erlauben sähe dann so aus:
101 101  
103 +{{code}}
102 102  allow with-interface one-of { 09:*:* 03:*:* }
105 +{{/code}}
103 103  
104 104  Sie können beliebig viele Inferfaceklassen hintereinander schreiben. Mit dieser  Kombination würden Sie HUBs + HIDs + Kameras + Audio Geräte erlauben:
105 105  
109 +{{code}}
106 106  allow with-interface one-of { 09:*:* 03:*:* 0E:*:* 01:*:* }
111 +{{/code}}
107 107  
108 108  Bitte beachten Sie, dass wenn Sie die HUB Klasse (09) entfernen, verlieren Sie automatisch auch den Zugriff auf daran angeschlossene Geräte, auch wenn deren Klassen freigegeben sind.
109 109  
115 +=== Beispiel ===
116 +
117 +Über folgenden Inhalt im Textfeld würden alle Mäuse und Tastaturen, Audiogeräte und ein spezielle Webcam Modell funktionieren:
118 +
119 +{{code}}
120 +allow id 0c45:636e
121 +allow with-interface one-of { 03:*:* 01:*:* }
122 +{{/code}}
123 +
110 110  === Weitere Befehle ===
111 111  
112 112  Eine Vollständige Übersicht über die usb-guard syntax können Sie im Web hier finden [[USBGuard Rule Language>>https://usbguard.github.io/documentation/rule-language]]