So konfigurieren Sie die USB-Zugriffskontrolle

Sie können die Verwendung von USB-Geräten auf Ihrem Endgerät erlauben und verbieten. Spezifische Regeln für einzelne Geräte oder Geräteklassen sind möglich.

Die Aktivierung der USB-Zugriffskontrolle und die Einstellung der Standardregel auf Verweigern blockiert die Verwendung von USB-Geräten lokal und in der Sitzung und kann somit die für die Benutzer benötigten Geräte deaktivieren. Aktivieren Sie daher die USB-Zugriffskontrolle nur, wenn Ihre Sicherheitsrichtlinie dies erfordert. Setzen Sie in diesem Fall die Standardregel auf Verweigern und konfigurieren Sie Zulassen-Regeln für die benötigten USB-Geräte und USB-Geräteklassen.

Es wird empfohlen, die Einstellungen für die USB-Zugriffskontrolle als letzten Schritt der Gerätekonfiguration vorzunehmen. Bevor Sie die USB-Zugriffskontrolle aktivieren, überprüfen Sie, ob alle anderen Einstellungen für Drucker, Unified Communication, USB-Umleitungen und Zuordnungseinstellungen für USB-Geräte wie erwartet funktionieren.

Beachten Sie, dass die USB-Zugriffskontrolle völlig unabhängig von der USB-Umleitung für Remote-Sitzungen ist, siehe Wann wird die USB-Umleitung verwendet?.

Beachten Sie auch, dass die Funktion einen USB-Anschluss nicht physisch deaktiviert, d.h. die Stromzufuhr funktioniert weiterhin.

Aktivieren der USB-Zugriffskontrolle

1. Öffnen Sie das Setup und gehen Sie zu Geräte > USB-Zugangssteuerung.

2. Aktivieren Sie die Option Aktivieren.

3. Wählen Sie die Standard-Regel. Die Standardregel gibt an, ob die Verwendung von USB-Geräten generell erlaubt oder verboten ist.

4. Erstellen Sie eine oder mehrere Regeln für Geräteklassen oder einzelne Geräte.

Eine Klassenregel erstellen

1. Um eine neue Regel zu erstellen, klicken Sie auf im Bereich Klassenregeln.
   

2. Wählen Sie eine Regel aus. Die Regel gibt an, ob die Verwendung der hier definierten Geräteklasse erlaubt oder verboten ist.
   

3. Wählen Sie unter Klassen-ID die Geräteklasse, für die die Regel gelten soll. Beispiele: Audio, Drucker, Massenspeicher.
   

4. Unter Name geben Sie einen Namen für die Regel ein.
   

5. Klicken Sie auf OK.
   

6. Speichern Sie die Änderungen.
   Die Regel ist aktiv.

Erstellen einer Geräteregel

Wenn eine Regel definiert wird, muss mindestens eine der Eigenschaften Lieferanten-IDoder Produkt-ID oder UUID angegeben werden.

1. Um eine neue Regel zu erstellen, klicken Sie auf im Bereich Geräteregeln.
   

2. Wählen Sie eine Regel. Die Regel gibt an, ob die Verwendung des hier definierten Gerätes erlaubt oder verboten ist.
   

3. Geben Sie die Vendor ID des Gerätes als hexadezimalen Wert an.
   

4. Geben Sie die Product ID des Gerätes als hexadezimalen Wert an.

   

   Abrufen von USB-Geräteinformationen

   Um die Klassen-ID, Unterklassen-ID, Hersteller-ID und Produkt-ID des verbundenen USB-Geräts herauszufinden, können Sie das Tool Systeminformationen verwenden. Weitere Informationen finden Sie unter Systeminformationsfunktion verwenden.

   Beispiel für Systeminformationen:

   

   Alternativ können Sie den Befehl lsusb (oder lsusb | grep -i [Suchbegriff]) im Terminal verwenden.

   Beispiel für lsusb:

   

5. Geben Sie die Device UUID (Universal Unique Identifier) des Geräts an.
   

6. Spezifizieren Sie Berechtigungen für das Gerät.
   Mögliche Werte:

   • Globale Einstellung: Es wird die Standardeinstellung für Hotplug-Speichergeräte verwendet; siehe Parameter Standardberechtigung unter Geräte > Speichergeräte > Speicher-Hotplug.

   • Nur lesen

   • Lesen/Schreiben
     

7. Unter Name geben Sie einen Namen für die Regel an.
   

8. Klicken Sie auf OK.
   

9. Speichern Sie die Änderungen.
   Die Regel ist aktiv.

Beispiel

• Die eingestellte Regel verbietet die Verwendung von USB-Geräten auf dem Gerät.

• Eine Klassenregel erlaubt die Verwendung aller Eingabegeräte (HID = Human Interface Devices).

• Eine Geräteregel erlaubt die Verwendung des USB-Speichergeräts mit der UUID 67FC-FDC6.

• Die Verwendung aller anderen USB-Geräte, zum Beispiel Speichergeräte oder Drucker, ist verboten.