Installation von (USB)-Geräten kontrollieren mit Gruppenrichtlinien

    Memory-StickDie ver­schiedenen Wechsel­medien, die sich per Plug-and-Play an einen PC an­schließen lassen, bergen die Gefahr von Daten­diebstahl oder die Infek­tion mit Malware. Admins können die Instal­lation solcher Geräte per GPO ver­hindern. Eine kürz­lich einge­führte Ein­stellung erlaubt nun ein White­listing von benötigter Peri­pherie.

    Alle möglichen mobilen Geräte vom USB-Stick über externe Festplatten und Mobiltelefonen bis zur Kamera lassen sich von illoyalen Mitarbeitern als Speicher nutzen, um vertrauliche Firmendaten abzusaugen. Entsprechend wichtig ist die Kontrolle der Peripherie­geräte durch ein zentrales Management.

    Die Bordmittel von Windows sind in dieser Hinsicht nicht so flexibel wie spezialisierte Tools für Data Leak Prevention, können aber je nach Umgebung den wichtigsten Anforderungen genügen.

    Zugriffsrechte auf externe Geräte regeln

    Die Gruppen­richtlinien sehen dabei zwei verschiedene Strategien vor: Die Einstellungen unter Administrative Vorlagen => System => Wechsel­medien­zugriff erlauben ein abgestuftes Rechte-Management (Lesen, Schreiben, Ausführen) für verschiedene Device-Klassen. Benutzer können so die für ihre Arbeit erfor­derlichen Geräte (eingeschränkt) verwenden.

    Darüber könnten Admins etwa den Usern der OU Marketing einen reinen Lesezugriff auf Kameras gewähren (siehe dazu: Zugriff auf USB-Geräte sperren mit Gruppenrichtlinien).

    Einstellungen für die Zugriffsrechte auf Wechseldatenträger

    Der Nachteil dieses Ansatzes besteht darin, dass er ziemlich unflexibel ist. Auf diesem Weg lässt sich ein Whitelisting praktisch nicht umsetzen, weil man nur Einschränkungen, aber keine Ausnahmen davon konfigurieren kann. Außerdem greifen diese Richtlinien nur bei wenigen Gerätetypen.

    Installation von Geräten kontrollieren

    Wenn man also auf diesem Weg die gewünschten Anforderungen zur Kontrolle von Peripherie­geräten nicht umsetzen kann, bleibt als Alternative das Management der Geräte­installation. Diese setzt auf der Ebene der Treiber an, so dass man etwa Wechsel­medien von vornherein ausschließen könnte. Sie tauchen dann im System gar nicht auf, eine Rechtevergabe ist dann weder möglich noch nötig.

    Im Unterschied zu den Einstellungen unter Wechsel­medien­zugriff lassen sich jene unter Einschränkungen bei der Geräte­installation erwartungs­gemäß nur auf Computer und nicht auf Benutzer anwenden. Dieser Container findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Geräteinstallation.

    Dort existieren für jede Art von Geräten zwei Einstellungen, nämlich eine, um die Installation zu erlauben, und eine, um die zu blockieren. Trotzdem war es bisher praktisch nicht möglich, etwa sämtliche Memory-Sticks zu verbieten, aber einzelne davon auszunehmen.

    Eine Policy zum Verhindern der Installation setzte sich nämlich gegenüber dem Zulassen immer durch, selbst wenn Letztere auf genau ein bestimmtes Gerät zugeschnitten war.

    Auswertung der Einstellungen ändern

    Dies ändert sich mit dem kumulativen Update 2021-08 dank der neuen Einstellung Anwenden einer übergeordneten Reihenfolge für Zulassen und Verhindern-Geräte­installations­richtlinien für alle Geräte­über­einstimmungs­kriterien ("Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria").

    Neue Einstellung zur Änderung der Logik bei der Abarbeitung der Regeln zur Geräteinstallation

    Die Aktivierung dieser Option ändert die Auswertung der Richtlinien. Damit haben die spezifischeren eine höhere Priorität als die allgemeineren. Die Hierarchie für die Anwendung der Policies sieht dann so aus:

    Geräteinstanz-IDs > Geräte-IDs > Geräte­installations­klasse > Wechselgeräte

    bzw.

    Device instance IDs > Device IDs > Device setup class > Removable devices

    Die Geräteinstanz-ID beschreibt ein ganz bestimmtes Device und hat daher die höchste Priorität. Daher könnte man zum Beispiel die Einstellung Installation von Wechselgeräten verhindern aktivieren und so alle derartigen Geräte von der Installation ausschließen.

    Anschließend würde man dann mit der Option Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen einzelne USB-Sticks davon ausnehmen.

    Entscheidungsbaum für die Abarbeitung der Einstellungen für die Geräteinstallation

    Denkbar wären natürlich alle möglichen weiteren Kombinationen. Bei­spiels­weise könnte man alle Geräte einer Klasse erlauben und davon nur solche mit einer bestimmten Hardware-ID ausschließen.

    Eigenschaften von Geräten finden

    Am einfachsten ermittelt man die Eigenschaften von installierten Geräten, die man für diese Gruppen­richtlinien benötigt, mit PowerShell:

    Get-PnpDevice | Format-List -Property Name, DeviceID, ClassGuid, CompatibleID, HardwareID

    Eigenschaften der installierten Geräte auslesen mit PowerShell

    DeviceID entspricht der eben erwähnten Geräteinstanz-ID. Hingegen gibt man für die Einstellungen Installation von Geräten mit diesen Geräte-IDs zulassen bzw. Installation von Geräten mit diesen Geräte-IDs verhindern entweder die Werte von CompatibleID oder HardwareID an.

    Eine Stufe darunter bei der Auswertung liegt die Geräte­installations­klasse. Sie liegt als GUID vor und wird für die Einstellung Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen (und das Gegenstück für das Verhindern) benötigt.

    Drucker über die GUID der Geräteklasse von der Installation ausschließen

    Falls man damit Geräteklassen verwalten möchte, für die man kein Gerät auf dem lokalen Rechner installiert hat, dann kann man die GUID aus dieser Übersicht auf Microsoft Docs entnehmen.

    Speziell bei USB-Geräten muss man bei Kombinationen aus Erlauben und Verhindern darauf achten, dass man etwa bei der Geräteklasse den gesamten Pfad abdeckt. Es reicht nicht, nur über eine GUID die jeweiligen Geräte freizuschalten, sondern muss auch dafür sorgen, dass USB-Controller oder Hubs, an denen sie hängen, ebenfalls nicht blockiert werden.

    Weitere Optionen

    Wenn man GPOs für das Management der Geräte­installation erst zu einem Zeitpunkt ausrollt, zu dem bereits verschiedene Geräte auf den PCs eingerichtet sind, dann kann man diese nachträglich deaktivieren. Dazu bieten alle Einstellungen zum Verhindern einer Geräte­installation die Option Auch auf übereinstimmende Geräte anwenden, die bereits installiert sind.

    Bereits installierte Geräte lassen sich mittels GPO wieder außer Betrieb nehmen

    In der Regel sollen nur Standard­benutzer am Hinzufügen von Geräten gehindert werden, Admins meistens wohl nicht. Um sie von den Beschränkungen auszunehmen, aktiviert man die Einstellung Administratoren das Außerkraftsetzen der Richtlinien unter "Einschränkungen bei der Geräteinstallation" erlauben.

    Schließlich kann man über zwei Einstellungen die Meldung anpassen, die Benutzer zu sehen bekommen, wenn die Installation eines Geräts blockiert wird.

    Zusammenfassung

    Die neue Einstellung zur Änderung der Priorität von Einstellungen erlaubt eine wesentlich flexiblere Kontrolle der Geräteinstallation.

    Dadurch wird nun ein Whitelisting möglich, bei dem etwa alle Wechsel­geräte oder eine bestimmte Geräteklasse blockiert, aber genehmigte Peripherie davon ausnimmt.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare