PowerShell-Skript zur Erkennung von USB-Geräten: Ein unverzichtbares Tool für IT-Fachleute

Die wichtigsten Erkenntnisse

• Überwachung von USB-Geräten: Das Skript ist für die Erkennung und Alarmierung von IT-Experten über USB-Geräteverbindungen unerlässlich.
• Verbesserung der Sicherheit: Hilft dabei, unbefugten Zugriff und die Übertragung von Daten über USB-Laufwerke zu verhindern.
• Anpassbare Alarmierung: Bietet Flexibilität durch optionales benutzerdefiniertes Feld-Logging für maßgeschneiderte Warnungen und Aufzeichnungen.
• Kompatibilität zwischen verschiedenen Versionen: Funktioniert mit PowerShell 5 und später, um eine umfassende Kompatibilität über verschiedene Windows-Systeme hinweg sicherzustellen.
• Warnmeldungen in Echtzeit: Sofortige Benachrichtigung bei USB-Verbindung, um schnelle Sicherheitsmaßnahmen zu ermöglichen.
• Minimierte Abhängigkeit: Macht Überwachungssoftware von Drittanbietern überflüssig und lässt sich direkt in den Systembetrieb integrieren.
• Datenerhebung: Sammelt umfassende Informationen über angeschlossene USB-Geräte und hilft so bei der Sicherheitsanalyse und Entscheidungsfindung.
• Einfach, aber effektiv: Das Skript ist in seinem Ansatz unkompliziert, aber in seiner Anwendung für die IT-Sicherheit kraftvoll.
• Integration mit Verwaltungstools: Kann nahtlos in Management-Frameworks wie NinjaOne integriert werden, um den IT-Betrieb zu verbessern.
• Unverzichtbar für die IT-Infrastruktur: Ein wichtiges Tool im Arsenal von IT-Experten und MSPs zur Aufrechterhaltung der Netzwerksicherheit und -integrität.

Hintergrund

USB-Geräte sind allgegenwärtig, praktisch und leider ein häufig genutzter Angriffsvektor für Sicherheitsbedrohungen. Für IT-Experten und MSPs ist die Überwachung von USB-Geräteverbindungen von entscheidender Bedeutung, um unbefugten Datenzugriff oder -transfer zu verhindern. Das betreffende PowerShell-Skript ist für diesen Zweck konzipiert. Er warnt Administratoren, wenn ein USB-Laufwerk an ein System angeschlossen wird, und zeichnet das Ereignis optional auf, um die Sicherheit und die Übersicht in Netzwerkumgebungen zu verbessern.

Das Skript:

<#
.SYNOPSIS
    Alerts when a USB drive is detected and optionally saves the results to a Custom Field.
.DESCRIPTION
    Alerts when a USB drive is detected and optionally saves the results to a Custom Field.
.EXAMPLE
    (No Parameters)
    
    No USB Drives are present.
.EXAMPLE
    (No Parameters)

    C:\Users\KyleBohlander\Documents\bitbucket_clientscripts\client_scripts\src\Test-USBDrive.ps1 : A USB Drive has been detected!
    At line:1 char:1
    + .\src\Test-USBDrive.ps1
    + ~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : LimitsExceeded: (:) [Write-Error], Exception
        + FullyQualifiedErrorId : System.Exception,Test-USBDrive.ps1

    Index Caption                        SerialNumber     Partitions
    ----- -------                        ------------     ----------
        1 Samsung Flash Drive USB Device AA00000000000489          1

PARAMETER: -CustomFieldName "replaceMeWithACustomFieldName"
    Name of a custom field to save the results to. This is optional; results will also output to the activity log.

.OUTPUTS
    None
.NOTES
    Minimum supported OS: Windows 10, Server 2012 R2
    Release Notes: Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    [Parameter()]
    [String]$CustomFieldName
)

begin {
    # Grab CustomFieldName from dynamic script form
    if ($env:customFieldName -and $env:customFieldName -notlike "null") { $CustomFieldName = $env:customFieldName }

    # Initialize exit code
    $ExitCode = 0

    # Initialize generic list for the report
    $Report = New-Object System.Collections.Generic.List[String]
    $CustomFieldReport = New-Object System.Collections.Generic.List[String]
}
process {

    # Get a list of USB drives
    $USBDrives = if ($PSVersionTable.PSVersion.Major -ge 5) {
        Get-CimInstance win32_diskdrive | Where-Object { $_.InterfaceType -eq 'USB' }
    }
    else {
        Get-WmiObject win32_diskdrive | Where-Object { $_.InterfaceType -eq 'USB' }
    }

    # Alert if a USB drive is detected
    if ($USBDrives) {
        Write-Error -Message "A USB Drive has been detected!" -Category LimitsExceeded -Exception (New-Object -TypeName System.Exception)

        # Grab relevant information about the USB Drive
        $USBDrives | ForEach-Object {
            $Report.Add( ($_ | Format-Table Index, Caption, SerialNumber, Partitions | Out-String) )
            if ($CustomFieldName) { $CustomFieldReport.Add( ($_ | Format-List Index, Caption, SerialNumber, Partitions | Out-String) ) }

            $Report.Add( (Get-Partition -DiskNumber $_.Index | Get-Volume | Format-Table DriveLetter, FriendlyName, DriveType, HealthStatus, SizeRemaining, Size | Out-String) )
            if ($CustomFieldName) { $CustomFieldReport.Add( (Get-Partition -DiskNumber $_.Index | Get-Volume | Format-List DriveLetter, FriendlyName, DriveType, HealthStatus, SizeRemaining, Size | Out-String) ) }
        }

        # Change exit code to indicate failure/alert
        $ExitCode = 1
    }
    else {
        # If no drives were found we'll need to indicate that.
        $Report.Add("No USB Drives are present.")
        if ($CustomFieldName) { $CustomFieldReport.Add("No USB Drives are present.") }
    }

    # Write to the activity log
    Write-Host $Report

    # Save to custom field if given one
    if ($CustomFieldName) {
        Write-Host ""
        Ninja-Property-Set -Name $CustomFieldName -Value $CustomFieldReport
    }

    # Exit with appropriate exit code
    Exit $ExitCode
}
end {
    
    
    
}

 

Detaillierte Aufschlüsselung

Das Skript arbeitet in drei Phasen: Initialisierung, Verarbeitung und Beendigung.

• Initialisierung: Es beginnt mit der Überprüfung, ob ein benutzerdefiniertes Feld über die Umgebungsvariable $env:customFieldName bereitgestellt wird. Dieses benutzerdefinierte Feld wird für Protokollierungszwecke verwendet. Das Skript initialisiert zwei Listen, $Report und $CustomFieldReport, um Informationen über erkannte USB-Laufwerke zu speichern.
• Verarbeitung: Das Skript verwendet Get-CimInstance oder Get-WmiObject (je nach PowerShell-Version), um mit dem System verbundene USB-Laufwerke aufzulisten. Wenn ein USB-Laufwerk gefunden wird, wird eine Fehlermeldung mit dem Hinweis auf die Erkennung eines USB-Laufwerks ausgegeben. Das Skript sammelt dann detaillierte Informationen über jedes Laufwerk, einschließlich Index, Beschriftung, Seriennummer, Partitionen und andere Volume-Details. Diese Daten werden zu den Listen $Report und $CustomFieldReport hinzugefügt.
• Beendigung: Das Skript schließt mit der Ausgabe des Inhalts von $Report in das Aktivitätsprotokoll ab. Wenn ein benutzerdefinierter Feldname angegeben wird, werden diese Informationen auch im angegebenen benutzerdefinierten Feld mit Ninja-Property-Set festgelegt.

Mögliche Anwendungsfälle

Stellen Sie sich einen IT-Administrator in einem Finanzinstitut vor. Sie müssen sicherstellen, dass sensible Daten nicht über USB-Geräte nach außen dringen. Durch den Einsatz dieses Skripts erhalten sie sofortige Warnmeldungen, wenn ein USB-Gerät angeschlossen wird, und können so schnell handeln, um potenzielle Sicherheitsrisiken zu minimieren.

Vergleiche

Herkömmliche Methoden zur Überwachung von USB-Aktivitäten umfassen manuelle Kontrollen oder die Verwendung von Software von Drittanbietern. Dieses PowerShell-Skript bietet einen stärker integrierten und anpassbaren Ansatz, der Echtzeitwarnungen ohne zusätzliche Softwareinstallationen ermöglicht.

FAQs

F: Kann dieses Skript auf jedem Windows-System ausgeführt werden?
A: Das Skript ist für Windows 10 und Server 2012 R2 oder neuer konzipiert.

F: Was passiert, wenn kein USB-Laufwerk erkannt wird?
A: Das Skript wird einfach melden, dass keine USB-Laufwerke vorhanden sind, um falsche Alarme zu vermeiden.

F: Ist es möglich, das Skript für spezielle Anforderungen zu ändern?
A: Absolut. PowerShell-Skripte sind in hohem Maße anpassbar.

Auswirkungen

Die Fähigkeit des Skripts, USB-Geräte in Echtzeit zu erkennen, ist entscheidend für die Wahrung der Datenintegrität und -sicherheit. Nicht autorisierte USB-Geräte können Vektoren für Malware oder Tools zur Datenexfiltration sein. Eine frühzeitige Erkennung ermöglicht es IT-Teams, schnell auf potenzielle Bedrohungen zu reagieren.

Empfehlungen

• Regelmäßige Updates: Halten Sie das Skript und die PowerShell-Umgebung auf dem neuesten Stand, um Kompatibilität und Sicherheit zu gewährleisten.
• Anpassungen: Passen Sie das Skript an die spezifischen Anforderungen und Richtlinien Ihres Unternehmens an.
• Prüfung: Testen Sie das Skript regelmäßig in einer kontrollierten Umgebung, um seine Wirksamkeit zu gewährleisten.

Abschließende Überlegungen

Im Zusammenhang mit IT-Sicherheit und -Verwaltung bietet NinjaOne robuste Lösungen, die PowerShell-Skripte wie dieses hier ergänzen. Durch die Integration solcher Skripte in umfassendere IT-Management-Frameworks trägt NinjaOne dazu bei, den Betrieb zu rationalisieren, die Sicherheit zu verbessern und das reibungslose Funktionieren von IT-Infrastrukturen zu gewährleisten. Dieses Skript ist ein Beweis für die Leistungsfähigkeit von PowerShell im modernen IT-Toolkit und bietet wichtige Funktionen für die Überwachung und Sicherung von IT-Umgebungen.