Aller au contenu

RangeeOS - Gestion des périphériques USB avec USBGuard

Modifié par ndzokam le 2025/11/09 05:09
Information

USBGuard est inclus dans le système de base de RangeeOS à partir du firmware 10.00 amd64 build 155.

Avec USBGuard, vous gardez le contrôle sur les périphériques USB connectés à l’appareil.

Activation d’USBGuard

Information

Lors de la première activation d’USBGuard, un nouveau jeu de règles est créé automatiquement, permettant l’accès à tous les périphériques USB actuellement connectés.Par défaut, l’accès à tous les périphériques connectés ultérieurement est bloqué.

USBGuard est désactivé par défaut dans notre firmware. Pour l’activer, cochez l’option " Utiliser USBGuard " sous  Peripherie  -> USB-Geräte -> USBGuard-Daemon-Konfiguration

USB Guard aktivieren

Gestion des périphériques

Lorsque USBGuard est activé, vous pouvez gérer les périphériques USB connectés ainsi que les règles correspondantes sous  Peripherie -> USB-Geräte -> UGestion des périphériques USBGuard.

Les règles déjà créées peuvent être modifiées dans la colonne "Target"

Les règles existantes peuvent être supprimées via le bouton "Supprimer ". Le périphérique se comporte alors comme un nouveau périphérique inconnu lorsqu’il est reconnecté.

Pour les périphériques sans règle définie, vous pouvez créer une nouvelle règle via le bouton "Créer une règle" .

Si la règle par défaut pour les périphériques nouvellement connectés est définie sur " Refuser ", les nouveaux périphériques n’apparaîtront pas dans la liste des périphériques.

USB Guard konfigurieren

Autorisations des périphériques disponibles

Les règles de périphérique créées automatiquement s’appliquent toujours exactement à une combinaison périphérique USB + port USB. Si le périphérique USB est branché sur un autre port, une autre règle peut être définie ou bien la règle par défaut pour les nouveaux périphériques sera appliquée.

Tant dans la "règle par défaut" de la "Configuration du daemon USBGuard "que pour chaque périphérique individuel via la "Gestion des périphériques USBGuard," les règles suivantes peuvent être définies :

  • Autoriser
    Permet l’utilisation du périphérique correspondant exactement sur le port USB utilisé actuellement.
  • Blockieren
    Empêche le chargement des pilotes correspondants – le périphérique ne peut pas être utilisé sur ce port.
  • Refuser
    Le périphérique n’apparaît pas dans la configuration système, et les périphériques nouvellement connectés ne peuvent pas être configurés.

USBGuard et TCMS / Configuration experte

Avec les paramètres par défaut, chaque périphérique génère des fichiers de configuration individuels pour USBGuard. Si un périphérique reçoit via la configuration de groupe la demande d’utiliser USBGuard, il génère automatiquement lors de la première activation une configuration correspondant aux périphériques actuellement connectés. Tous les périphériques connectés ultérieurement doivent être configurés manuellement.

Si vous souhaitez gérer une configuration centrale pour tous les périphériques, par exemple pour autoriser tous les périphériques d’entrée ou les webcams de manière générale, vous pouvez utiliser le " mode expert ".. Une fois le mode expert activé, la configuration créée par le système est transmise au TCMS et donc également aux autres appareils.

Warning

Lors de l’activation du mode expert, vous devez adapter manuellement la configuration générée automatiquement. Si la configuration générée automatiquement est transférée sur un autre appareil, aucun périphérique USB ne fonctionnera, car la configuration contient les ports et les numéros de série des périphériques connectés, qui diffèrent d’un appareil à l’autre.

Vous pouvez activer le mode expert sous   Peripherie -> USB-Geräte -> USBGuard-Daemon-Konfiguration. SUne fois activé, un champ texte " Règles personnalisées" sera disponible dans la Gestion des périphériques USBGuard.

USB Guard Expertenkonfiguration

Le contenu généré automatiquement sert initialement de « placeholder » et permet de continuer à utiliser votre appareil pour créer et tester les règles.
Une fois que vous avez créé vos propres règles, vous pouvez supprimer ce contenu généré.

Création de règles personnalisées

Par défaut, les nouveaux périphériques sont déjà bloqués. Cela signifie que vous devez définir uniquement les périphériques ou classes de périphériques que vous souhaitez autoriser.

Autoriser un périphérique unique sur tous les ports

Par exemple, si vous possédez un modèle spécifique de souris, clavier ou webcam, vous pouvez autoriser ce périphérique sur tous les ports. Pour ce faire, vous devez d’abord obtenir le PID:VID (Product & Vendor ID) de votre produit via   Peripherie -> USB-Geräte . Cela permet d’identifier de manière unique un modèle de périphérique.

USB Guard Expertenkonfiguration

Une règle pour la "Microdia USB 2.0 Camera" visible dans la capture d’écran pourrait ressembler à ceci :

allow id 0c45:636e

Warning

Les lettres dans la combinaison PID:VID doivent être en minuscules.

Vous pouvez écrire autant de règles de ce type les unes sous les autres que vous le souhaitez.

Autoriser des classes de périphériques

Les classes de périphériques sont définies et autorisées selon leur classe d’interface. Il existe 8 classes de périphériques que vous pouvez autoriser :

  1. Mass Storage Class (MSC): 08
  2. Human Interface Device Class (HID): 03
  3. Communication Device Class (CDC): 02
  4. Audio Device Class (ADC): 01
  5. Printer Device Class (PDC): 07
  6. Image Device Class (IDC): 06
  7. Still Image Capture Device Class (SICDC): 06
  8. Video Device Class (VDC): 0E

Une règle pour autoriser par exemple tous les périphériques HID (souris/claviers + hubs) serait :

allow with-interface one-of { 09:*:* 03:*:* }

Vous pouvez écrire autant de classes d’interface les unes après les autres que nécessaire. Avec cette combinaison, vous autorisez Hubs + HID + caméras + périphériques audio :

allow with-interface one-of { 09:*:* 03:*:* 0E:*:* 01:*:* }

Remarque : si vous supprimez la classe HUB (09), vous perdez automatiquement l’accès aux périphériques connectés aux hubs, même si leurs classes sont autorisées.

Exemple

Avec le contenu suivant dans le champ texte, toutes les souris et claviers, les périphériques audio et un modèle de webcam spécifique fonctionneraient :

allow id 0c45:636e
allow with-interface one-of { 03:*:* 01:*:* }

Autres commandes

Une liste complète de la syntaxe USBGuard est disponible sur le web ici : USBGuard Rule Language