Skip to Content

RangeeOS - USB-Geräte Verwaltung mit USBGuard

Version 29.2 by Tobias Wintrich on 2024/10/25 13:34
Information

USBGuard ist ab der Firmware 10.00 amd64 build 155 im Basissystem von RangeeOS enthalten

Mittels des USBGuard behalten Sie die Kontrolle über die am Gerät angeschlossenen USB-Geräte.

USBGuard aktivieren

Information

Wird der USBGuard erstmalig aktiviert, wird automatisch ein neuer Regelsatz erstellt, welcher den Zugriff auf alle in diesem Moment angeschlossen USB-Geräte erlaubt. Per Default wird der Zugriff auf alle späteren Geräte blockiert.

Der USBGuard ist in unserer Firmware standardmäßig ausgeschaltet. Zum aktivieren setzen Sie die Option "USBGuard verwenden" unter  Peripherie  -> USB-Geräte -> USBGuard-Daemon-Konfiguration

USB Guard aktivieren

Geräte Verwalten

Ist der USBGuard aktiviert können Sie die angeschlossenen USB-Geräte und die entsprechenden Regeln unter Peripherie -> USB-Geräte -> USBGuard-Geräteverwaltung verwalten.

Bereits angelegte Regeln können über die Spalte "Target" bearbeitet werden.
Bereits definierte Regeln können über den "Löschen"-Button entfernt werden. Das Gerät verhält sich anschließend wieder wie ein unbekanntes neu angeschlossenes Gerät.
Für Geräte ohne hinterlegte Regel kann über den Button "Regel erstellen" eine neue Regel angelegt werden. 

Wenn die Standardregel für neu angeschlossene Geräte auf "Ablehnen" gesetzt ist, tauchen neue Geräte nicht in der Geräteliste auf.

USB Guard konfigurieren

Verfügbare Geräte Berechtigungen

Die automatisch erstellten Geräteregeln gelten immer exakt für eine Kombination aus USB-Gerät + USB-Port. Wird das USB-Gerät an einen anderen Port gesteckt, kann eine andere Regel definiert werden bzw. wird die Standardregel für neue Geräte angewendet.

Sowohl als Standardregel in der "USBGuard-Daemon-Konfiguration" als auch für einzelne Geräte über die "USBGuard-Geräteverwaltung" können folgende Regeln definiert werden:

  • Zulassen
    Erlaubt die Verwendung des entsprechenden Geräts exakt an dem aktuell verwendeten USB-Port.
  • Blockieren
    Unterbindet das laden der entsprechenden Gerätetreiber - das Gerät kann an diesem Port nicht verwendet.
  • Ablehnen
    Das Gerät taucht nicht in der Systemkonfiguration auf, neu angeschlossene Geräte können nicht konfiguriert werden.

USB-Guard und TCMS / Expertenkonfiguration

Mit den Standardeinstellungen speichert generiert jedes Gerät individuelle Konfigurationsdateien für den USB Guard. Erhält ein Gerät per Gruppenkonfiguration die Aufforderung USB-Guard zu nutzen, so generiert es beim ersten aktivieren automatisch eine Konfiguration entsprechend der aktuell angeschlossenen Geräte. Alle später angeschlossenen Geräte müssen händisch konfiguriert werden.

Will man eine zentrale Konfiguration für alle Geräte pflegen und z.B.: alle Eingabegeräte, Webcams.... generell erlauben, so kann man hierzu den "Expertenmodus" verwenden. Sobald der Expternemodus aktiviert ist, wird die vom System erstellte Konfiguration mit an den TCMS und damit auch auf andere Geräte übertragen.

Warning

Wenn Sie den Expertenmodus aktivieren müssen Sie die automatisch generierte Konfiguration händisch Anpassen. Wenn die automatisch generierte Konfiguration auf ein anderes Gerät übertragen wird, werden dort keinerlei USB-Geräte mehr funktionieren, da die Konfiguration Port und Seriennummer der angeschlossenen Geräte enthalte und diese auch von Gerät zu Gerät unterscheiden.

Den Expertenmodus aktivieren Sie unter -> USB-Geräte -> USBGuard-Daemon-Konfiguration. Sobald er aktiviert ist, steht Ihnen ein Textfeld "Benutzerdefinierte Regeln" in der USBGuard-Geräteverwaltung zur Verfügung.

USB Guard Expertenkonfiguration