USB Bouncer

[phimeas]

Hallo Michael,

zuerst mal ein dickes Dankeschön für das Tool! Ich habe nach Anleitung 2 Geräte unterschiedlicher Hersteller angemeldet. Diese bekommen jedoch haargenau dieselbe Hersteller ID und Seriennummer. Dementsprechend werden die Geräte auf dem Client auch nicht zugelassen, obwohl sie laut der Konfiguration freigeschaltet sein sollten. Übrigens auch nicht nachdem ich die Maschine aus jeglicher Konfiguration entfernt habe. Hingegen konnte ich bei aktivierter Konfiguration einen in der Konfiguration gar nicht angemeldeten Stick über den Explorer ganz normal benutzen, was ja eigentlich genau verhindert werden sollte. Gibt es dafür eine Lösung?

Viele Grüße

Christian

[gratlmichael]

Hallo Christian,

1. lösch bitte mal in der Registry alle Schlüssel unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\VID_xxxx&PID_xxxx\sn wo unter
DeviceDesc - USB-Massenspeichergerät steht. (auch Schlüssel VID_xxxx&PID_xxxx löschen wenn darunter USB Massenspeichergeräte sind!)
Danach schließ einen der beiden USB Sticks an und schau welche Schlüssel neu angelegt wurden. -> Notier dir direkt unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\ die VID_xxxx&PID_xxxx und einen Schlüssel darunter die Seriennummer.

Danach wiederholst du alles für den zweiten Stick. Falls dort immer noch die selbe VID_xxxx&PID_xxxx und die Seriennummer wie beim Stick davor kommt, erkennt Windows die beiden Sticks als gleiche. Bitte mail mir dann die VID_xxxx&PID_xxxx und Seriennummer an info@usb-security.org, damit ich mir das anschauen kann.

2. Kannst du bitte bei deinem Problem - Rechner im Verzeichnis wo der Agent installiert ist schauen und die Datei Devices.cfg öffnen.
Danach schneidest du den gesamten Inhalt aus (vorher Dienst beenden) und speicherst ab. Startest den Dienst wieder und versucht nochmals den Stick.
Dürfte nicht mehr funktionieren. Danach fügst den Inhalt wieder ein(vorher Dienst beenden) und speicherst ab und startest den Dienst wieder!

Falls noch weitere Fragen aufkommen, meld dich bitte nochmals.

Lg Michael

[phimeas]

Hallo Michael,

danke für die fixe Antwort. Ich habe aus der Registry mal alle Massenspeichergeräte gelöscht. Die Geräte habe ich auch komplett aus der Bouncer-DB gelöscht. Nun bekommt der erste Stick bei der Neuanlage eine andere ID, melde ich nun den nächten Stick an, bekommt dieser in der Registry einen neuen Eintrag mit einer anderen ID. Im Bouncer-Frontend erhält der zweite Stick wiederrum die ID des ersten Sticks. Dazu noch folgende Info: Ich starte das Bouncer Frontend über RunAs um es mit Adminrechten zu betreiben, weil ich ansonsten einen eingeschränkten Account verwende und erfasse die USB-Geräte über den Assistenten. Scheinbar wird also immer der erste Eintrag eines USB-Massenspeichers in der Registry gelesen und weitere ignoriert. Trage ich ID und Seriennummer des Sticks manuell ein, was ja freundlicherweise auch geht, funktioniert es anstandslos.

Nachdem ich die unterschiedlichen Sticks in die Konfiguration übernommen und diese auf den Client exportiert habe, werden die erlaubten Stick sauber gemountet und sind zugreifbar. Ein nicht erlaubter Stick erscheint für ca 5 Sekunden im Explorer und verschwindet dann, was theoretisch noch ausreicht um kleinere Datenmengen auf den oder vom Stick zu kopieren. Grundsätzlich scheint es aber zu funktionieren, wie beabsichtigt.

Nochmals vielen Dank - ein tolles Tool!

LG

Christian

[gratlmichael]

Hallo Christian,

bei den Test habe ich den Bouncer auch immer mit RunAs als Administrationsuser aufgerufen, denn es ist ja sehr sinnvoll mit einem eingeschränkten User zu arbeiten!

werde versuchen den Bug in der Geräteerkennung nachzuvollziehen und zu beheben. Werde euch hier informieren sobald eine neue Version vorhanden ist!

Hast du in den 5 Sekunden Zugriff auf den Stick?
Kommt bei dir die Meldung, wenn du auf den Stick zugreifen willst, dass der Zugriff vom Systemadministrator untersagt wurde oder verschwindet der Stick nach den 5 Sekunden?

Normalerweise: Ca. 5-20 Sekunden ist der LW - Buchstabe da (anderes Symbol im Windows Explorer) und sobald man zugreifen will, kommt die Meldung das der Zugriff vom Systemadministrator untersagt wurde. Nach den 5-20 Sekunden sollte der Stick ausgeworfen sein.

Wäre Dankbar über dein Feedback.

Lg Michael

P.S.: Es ist zu empfehlen den Autoplay für Laufwerke zu deaktivieren! Siehe unter Tipps in der Anleitung.

[phimeas]

Hallo Michael,

bei den Test habe ich den Bouncer auch immer mit RunAs als Administrationsuser aufgerufen, denn es ist ja sehr sinnvoll mit einem eingeschränkten User zu arbeiten!

Das würde hier gar nicht anders gehen, da ich ja auch Zugriff auf den Client über die administrative Freigabe benötige und der Admin überall gleich heißt und ein identisches Passwort hat (leider gibts hier keine Domäne).

Hast du in den 5 Sekunden Zugriff auf den Stick?
Kommt bei dir die Meldung, wenn du auf den Stick zugreifen willst, dass der Zugriff vom Systemadministrator untersagt wurde oder verschwindet der Stick nach den 5 Sekunden?

Der Stick wird gemountet, bekommt einen LW-Buchstaben und erst mal das normale Wechseldatenträgersymbol. Wenn ich den klicke, bekomme ich das Inhaltsverzeichnis angezeigt. Weiter bin ich nicht gekommen, da wurde er schon geunmountet, ich hab mich aber auch nicht angestrengt, sonst wäre ich wohl weiter gekommen . Ich denke aber wenn ich den Inhalt sehen kann, würde ein schnelles Strg-V auch noch einige MBs auf den Stick zaubern. Werde ich bei nächster Gelegenheit nochmal genauer testen. Ca. 2 Sekunden bevor es verschwindet bekommt das LW dann ein fettes rotes X (ab da ist es wahrscheinlich per Policy gesperrt) im Explorer.

P.S.: Es ist zu empfehlen den Autoplay für Laufwerke zu deaktivieren! Siehe unter Tipps in der Anleitung.

Das passiert auf diesem Rechner per User-Logon-Script, welches die Einstellung in die Registry des jeweiligen Users patcht (verstehe wer will, wieso das nun ausgerechnet ne userabhängige Einstellung ist und keine systemweite).

LG

Christian

[gratlmichael]

Hallo Christian,

werde in den nächsten Tagen die Bugs beheben.

Hattest du während der Geräteerkennung noch andere USB Massenspeicher(USB-HDD,Flash Card,..) am PC angeschlossen?

Lg Michael

[gratlmichael]

1. Geräte werden nicht sauber erkannt:
für das Frontend wurde ein neues Update erstellt Version 1.1 und ebenso wurde das Setup auf die Version 1.1 veröffentlicht.
Unbedingt vor dem Update: Im Installationsordner des USB Bouncer Frontend die Dateien sichern:
- USBBouncer.sdf
- Ordner Konfigurationen


2. Agent braucht zu lange:
für den Agent wurde ein neues Update erstellt auf die Version 1.1 und ebenso wurde das Setup auf die Version 1.1 veröffentlicht.
Ebenso nach der Agentinstallation bzw. Update unter Start - Systemsteuerung - Verwaltung - Dienste - USBBouncerAgent Eigenschaften
Register anmelden - Haken "Datenaustausch zwischen Dienst und Desktop zulassen" muss gesetzt sein bzw. neu setzen -
Dienst beenden und starten

Danach sollten die Bugs behoben sein! Falls euch noch was auffällt, bitte sofort hier im Board melden!

Danke nochmals an Christian!

Lg Michael Gratl