Script dat detecteert wanneer USB wordt ontkoppeld

Hoihoi,

Ik ben momenteel alweer aardige tijd werkzaam op het voortgezet onderwijs. En dat bevalt mij overigens helemaal prima. De laatste tijd loop ik echter tegen het probleem aan dat leerlingen toetsenborden en muizen loskoppelen, en daar wordt dan van alles mee gedaan (in het meest gunstige geval pluggen ze deze in de USB-poortjes aan de voorzijde, en anders liggen ze aan de andere kant van het lokaal of worden ze zelfs meegenomen!).

Nu merk ik dat het maar niet lukt om steeds de daders te vinden, omdat collega's er niet op letten (ondanks een hele campagne om bewustwording te creëren). En uitgaan van degene die als laatst ingelogd was brengt ook weer de nodige risico's met zich mee, want je weet op de eerste plaats niet of het bijvoorbeeld het 3e uur is gebeurd, of het 4e uur.

Nu vroeg ik mij af of er een scriptje is waarmee ik - op het moment dat iemand een USB-apparaat loskoppelt (specifiek keyboard/muis, maar dat hoeft niet per sé zo gedefinieerd te zijn) - op wat voor manier ook kan achterhalen hoe laat het gebeurd is en onder welke user. Bijvoorbeeld in een txt-bestand dat op de C-schijf komt te staan, of zelfs een melding die per mail wordt gestuurd o.i.d.

Met wat ik op Google heb kunnen vinden ben ik niet bepaald wijzer geworden, en mijn kennis van scripting is erg beperkt, vandaar dat ik de vraag nu hier neerleg.

Iemand die daar ideetjes over heeft? Desnoods iets totaal anders dan een script. Het zou mij enorm helpen, nu het zich meermaals per dag voordoet.

AcidBanger schreef op dinsdag 30 november 2021 @ 08:43:
Ik denk met een kleine tooltje op de achtergrond dit geen probleem moet zijn.
Een kleine windows service die gewoon alle usb acties tracked en dumpt in een tekst log.
Username en tijd/datum is ook geen issue vermoed ik tenzij er misschien iets aparts gebeurt qua inloggen.
Hoe loggen ze in op de pc's, speciaal portal?

Een tooltje is inderdaad ook een optie, maar ook dat heb ik nog niet echt kunnen vinden. Of ik zal wel niet goed zoeken. Hoe dan ook, een scriptje zou persoonlijk wel mijn voorkeur hebben, als dat kan.

Inloggen doet men overigens via het domein.

n9iels schreef op dinsdag 30 november 2021 @ 08:43:
Ik heb er geen ervaring mee, maar wellicht dat deze SO post je wat verder kan helpen? Daar hebben ze een voorbeeld van een Python scriptje dan constant de devices controleert en het verschil bekijkt:
https://stackoverflow.com...ce-is-connected-on-python

Is overigens fysieke beveiliging niet makkelijker hier? Als het nooit de bedoeling is dat iemand een toetsenbord/muis meeneemt kun je de kabels toch ook gewoon vastmaken met een tyrap aan de voedingskabel o.i.d?

Fysieke beveiliging had ik inderdaad het liefst gedaan, alleen mogen we sinds een half jaar geen tie-wraps meer gebruiken, maar van die klittenbandjes. Die worden gewoon losgetrokken steeds. Anders was dat inderdaad een logische optie geweest, al voorkom je dan nog niet dat kabeltjes losgetrokken worden.

Zal eens die link nader bekijken, dank daarvoor.

cossy nl schreef op dinsdag 30 november 2021 @ 08:54:
[...]


Ja vooral toen de kasten nog een slot oog aan de achterkant er op de kast hadden inderdaad.

Ik wilde net gaan zeggen, haha. Dat mis ik dus op de nieuwe systeempjes.

S-te-fan schreef op dinsdag 30 november 2021 @ 08:56:
[...]


Dan haal je toch ook de voedingskabel of die van de monitor door hetzelfde slotje? Of nemen ze die dan ook mee?

Maar dat slotje zal ook nog ergens op de pc vast moeten worden gemaakt, toch?

Of zeg ik daarmee iets raars haha?

Oon schreef op dinsdag 30 november 2021 @ 08:57:
[...]


Ik weet niet hoe het met de huidige regels e.d. zit, maar vroeger op school in de mediatheek zaten er ijzeren rekjes aan de I/O kant van alle PC's, waardoor je alleen met de juiste sleutel bij de poorten kon (die qua beveiliging bij wijze van spreken niet meer was dan een platte schroevendraaier, maar genoeg om e.e.a. tegen te houden). Alle kabels gingen vanuit dat rekje direct omhoog, wat wel enige druk op de kabels zette maar effectief was om deze niet uit te kunnen trekken. 9/10 PC's waren de poorten aan de voorkant ook onbruikbaar omdat er kauwgom in zat of pinnetjes waren afgebroken, maar die waren verder in theorie wel beschikbaar voor eigen USB-sticks e.d.

M.a.w: is zo'n rekje achter de PC een optie?

In de huidige situatie is dat op de meeste plekken niet mogelijk nee, door de manier waarop alles ingedeeld is. We hebben ook net nieuw meubilair in onze computerlokalen (en ik heb geen input mogen aanleveren m.b.t. de IT-kant).

P-Storm schreef op dinsdag 30 november 2021 @ 09:15:
Aangezien de post in PRG staat laat ik de discussie van fysieke beveiliging achterwege.

Op welke manier wil je dit oplossen? Wil je hier een real-time monitoring op hebben, of is een log file prima. En zo ja, waar moet de log file opgeslagen worden? Of moeten die naar een server gestuurd worden? Al deze features kunnen gemaakt worden, alleen is de vraag hoe.

Hieronder heb ik een paar deel oplossingen gezet. WMI hoeft niet perse dotnet programmeren zijn (kan bijvoorbeeld ook door powershell en mogelijk andere opties). Ook staat misschien al een runtime geïnstalleerd op de pc's. Of is het wellicht niet erg om die te installeren.

Zo heb ik verschillende technieken en oplossing gevonden met zoek resultaten:

• https://stackoverflow.com...its-wmi-information-in-vb
• https://stackoverflow.com...ndows-service-and-c-sharp
• https://newbedev.com/dete...ing-windows-service-and-c

Al met al, opties zijn er, en met een beetje zoekwerk is dit denk ik wel te doen. De vraag is, waar loopt de topicstarter op vast?

Nou dit zijn op zich prima voorbeeldjes. Maar mijn gedachte vooraf was dat er misschien een heel simpel batch scriptje is hiervoor. Vandaar ook mijn keuze om in deze sectie van het forum te posten. Het probleem waar ik tegenaan loop is dat ik dat nog niet heb kunnen vinden. Het zijn vooral oplossingen waarbij wat geavanceerdere kennis van programmeertalen gewenst is, en met de beperkte kennis die ik heb is dat niet wenselijk.

Woy schreef op dinsdag 30 november 2021 @ 09:25:
@DutchDeafBoy in hoeverre ben je in staat ( of wil je proberen ) om zelf iets te programmeren/scripten? Met WMI kun je inderdaad system events afvangen.

Als je liever een standaard tooltje wil gebruiken dan is: Client Software Algemeen mogelijk een betere plek voor je topic.

Of als je het wat meer algemeen wil bespreken (zoals fysieke beveiliging) heb je waarschijnlijk een wat beter publiek in: Algemene Zaken

Afhankelijk van de richting waar je op wil kan ik het topic hier laten staan of verplaatsen voor je

Zelf programmeren of scripten vind ik op zich prima, maar dat hangt dan weer af van de complexiteit. Want mijn kennis reikt niet zo heel erg ver. Dus een standaard tooltje heeft dan wellicht mijn voorkeur.

madbwr schreef op dinsdag 30 november 2021 @ 09:39:
Toen ik nog regelmatig naar lan parties ging, voel me opeens erg oud, had ik een metalen plaatje waar je usb kabels allemaal in kwamen te liggen en je dat met een hangslotje aan je power cable kon vast maken.
weet alleen niet meer van welk merk dat was
zal is gaan zoeken of ik nog ergens heb liggen

leek hier op:
https://www.centralpoint....--art-64519us-num-126313/

vrij simpel maar toch erg doeltreffend

Inderdaad misschien wel een goede oplossing. Neem ik sowieso mee in mijn overwegingen.


--

Ook aan de rest bedankt voor het meedenken overigens. Heb wel wat interessante dingen voorbij zien komen waar ik hoe dan ook nog verder naar zal kijken.

Vloris schreef op dinsdag 30 november 2021 @ 12:13:
Ik verwacht eigenlijk niet dat iemand die toetsenbord/muis wil jatten dat doet op de pc waar hij/zij zelf op ingelogd is.
Zoiets doe je toch om iemand anders te pesten? Als je dus gaat bijhouden wie er is ingelogd heb je zeer waarschijnlijk het slachtoffer en niet de dader gevonden.

Het komt dusdanig vaak rond hetzelfde moment voor dat ik het niet meer als pestgedrag richting een medeleerling beschouw. Áls het pestgedrag is, dan eerder naar de ICT'er toe, want die mag het nadien komen oplossen terwijl de pester geen blaam treft.

Overigens verwacht ik zelf ook niet dat het áltijd zo zal zijn dat de dader loopt te rommelen op de eigen pc op dat moment, maar tegelijkertijd denk ik dat die er zeker wel tussen zitten. Want mijn gedachte is dat het altijd net aan het einde van een les is. Immers, de docent is dan te druk om iedereen in ganzenpas de deur uit te krijgen, ondertussen kan een leerling met gerust hart even de kabeltjes omwisselen, een muis in de tas proppen etc.

Ik kan dat niet bewijzen helaas, maar ik kan gelukkig nog wel redelijk denken als een jongere.

T.C schreef op dinsdag 30 november 2021 @ 12:25:
[...]


Het is wel leuk om met een script te registreren of en wanneer een USB device wordt verwijderd.
Echter is dat maar heel even effectief, want zoiets lekt uit.

Denk je dan dat ik de USB devices meeneem van de computer waar ik zelf achter heb gezeten?
Daarbij mag je wel registreren wie wanneer achter welke PC heeft gezeten?
Dit zijn immers gegevens die te herleiden zijn naar een persoon en dus zijn het persoonsgegevens.
Het lijkt me dat de Autoriteit Persoonsgegevens wel gaat langskomen als er klachten over komen.


[...]


Fysieke beveiliging of het africhten van de docenten is het enige wat je kan doen.
Nu zeg je dat tie-wraps niet meer mogen, maar ik ben benieuwd naar de rationale van de organisatie.
Wil de organisatie minder plastic in het milieu hebben, want als dat het probleem is... er zijn ook metalen tie-wraps.


Ben jij verantwoordelijk voor het IT beleid?
Ben jij verantwoordelijk voor het uitbannen van de tie-wraps bij IT systemen?

Indien ja, pas het beleid aan.
Indien nee, zou ik me er zelf niet druk om maken.

Wanneer er teveel muizen gestolen zijn, ga je naar de maker van dat beleid en stel je de vraag hoe de lessen gegeven moeten worden.
Op de vraag hoezo? Antwoord je dat de muizen de wereld zijn gaan ontdekken nu ze niet meer vastliggen met tie-wraps en dat je er laatst nog een was tegen gekomen aan het einde van de straat.

JWL92 schreef op dinsdag 30 november 2021 @ 12:36:
[...]


Waarom mag dit niet meer? Wegens wegwerp plastic ofzo?
Jaar of 9 terug dat ik nog stage liep, loste wij dit op met kleine hang slotjes, zo klein dat de usb a r simpelweg niet meer uit kon zonder open te maken of breken. Kost wat, maar uiteindelijk goedkoper dan wekelijks 10 toetsenborden en muizen moeten vervangen.

Ik ga zelf helaas niet over dat beleid. Dat wordt bepaald door de hoge heren op het hoofdkantoor van de scholengemeenschap. Ik ben maar een ICT-medewerker belast met de ondersteuning van leerlingen en personeel op mijn eigen afdeling.

Er zijn nog wel meer van dat soort bedenkelijke besluiten die vanuit die kant genomen zijn (o.a. alleen gekeurde stekkerdozen en voedingskabels mogen gebruiken, alleen CCNA-gecertificeerden mogen bij de patchkasten etc.), maar daar heb ik evenmin invloed op helaas. Daar moet ik het mee doen.

AcidBanger schreef op dinsdag 30 november 2021 @ 13:01:
Ik heb iets simpels geschreven in C# wat lijkt te werken

GitHub code zelf.

Installer

Gewoon installeren en je moet alleen even zorgen dat hij standaard opstart met admin rechten, dan schrijft hij in zijn eigen locatie een TXT file weg.

[Afbeelding]

Thanks, ik zal deze eens proberen.

T.C schreef op dinsdag 30 november 2021 @ 13:26:
[...]


Het beleid van enkel NEN3140 gekeurde stekkerdozen (en apparatuur met stekker), inderdaad ronduit schandalig.
Het management dat er zomaar voor kiest om, zoals wettelijk verplicht, te zorgen voor een veilige werkplek.

Geloof me die keuring van de stekkerdozen (en apparatuur met stekker) komt niet op initiatief van het management, want het kost geld.
De arbo verplicht NEN3140 en sommige verzekeringen ook.
Deze verplichting geldt voor ieder elektrisch apparaat wat niet vast is aangesloten aan de elektrische installatie, maar via een stekker in het stopcontact.

Let maar op, de koffie automaat op jouw school heeft die NEN3140 keuring ook ondergaan.

Bij gekeurde apparatuur weet je dat in ieder geval eens in de zoveel tijd wordt gekeken of de apparatuur nog veilig is.
Ja het is een moment opname, maar dan wordt periodiek in ieder geval de beschadigde meuk weggedaan.
(Dat is overigens hetgeen wat de meeste mensen in bedrijven irriteert, die oude fijne flexibele snoer die weg is.)

CCNA-certificatie ken ik niet, maar als ik het zo zie is het om zeker te weten dat iemand geen problemen veroorzaakt op het bedrijfsnetwerk (scholen zijn in die zin net bedrijven).
Vaak heeft het ook met garantie en ondersteuning van de leverancier/fabrikant te maken.

Maar met het script zou ik in ieder geval wel opletten, want de GDPR is alert op dit soort zaken.
Ik zou het in ieder geval wel bespreken met de "data protection officer" van jullie.

Het idee erachter is op zich goed hoor, daar niet van. Maar het is gewoon vreselijk onpraktisch. Want op het moment dat je event snel een nieuw werkstation moet plaatsen die nog niet (volledig) gekeurd is moet je dat allemaal apart registreren. Per desktop, per monitor, per voedingskabel. Ik vind dat geen efficiënte werkwijze. Het draagt misschien bij aan een gevoel van extra veiligheid, maar in de praktijk maakt het echt niet uit. Of je moet van die Action-stekkerblokjes hebben, dan kan ik me er nog wat bij voorstellen.

AcidBanger schreef op dinsdag 30 november 2021 @ 13:41:
@DutchDeafBoy Zitten er speakers in de pc's die werken? En je naam laat me twijfelen of we hier wat aan hebben. Maar ik kan hem ook gewoon 10-20 keer laten piepen voor 30 seconden...

Hahah, ik hoor nog wel genoeg dat ik zoiets zou moeten kunnen horen.

Maar het zou vooral voor docenten een uitkomst bieden, dan weten ze in elk geval dat er iets gaande is waar ze even naar moeten kijken.