USB-Geräte sperren mit Gruppenrichtlinien

USB-Stick mit SchlossEine wesentliche Herausforderung für IT-Verantwortliche besteht darin, den Fluss von Daten und Code in und aus dem Unternehmen zu kontrollieren. Wechseldatenträger spielen dabei immer noch eine wesentliche Rolle, weil sich damit vertrauliche Informationen ent­wen­den lassen und sie zudem Schadprogramme einschleppen können. Seit Vista bietet Microsoft feiner abgestufte Einstellungen, um den Einsatz solcher Medien über GPOs zu beschränken.

Unter der Bezeichnung Data Leak Prevention existiert eine Vielzahl von Tools, die unter anderem diverse Wechselmedien absichern können. Zu den typischen Funktionen zählt neben der Verschlüsselung auch das Blockieren unerwünschter Geräte. Eine solche spezialisierte Software erlaubt eine fein abgestufte Regelung, bei der gezielt einzelne Rechte für bestimmte Geräte vergeben werden können.

Verbesserte Bordmittel seit Vista

Die Bordmittel von Windows sind im Vergleich dazu recht einfach gestrickt. Immerhin lassen sich mobile Datenträger seit Windows 7 durch Bitlocker ToGo verschlüsseln, so dass sie bei Verlust oder Diebstahl ihre Daten nicht preisgeben. Auch bei der Beschränkung von Wechseldatenträgern durch GPOs gab es seit Vista einige Fortschritte, wobei ihre Möglichkeiten jedoch bei Weitem nicht an jene der meisten Tools von Drittanbietern heranreichen.

Unter Computerkonfiguration lassen sich diverse Gerätetypen auch für den Start von Programmen sperren.

Die Gruppenrichtlinien enthalten unter Administrative Vorlagen => System => Wechselmedienzugriff die Einstellungen zur Kontrolle mehrerer Geräteklassen, nämlich von CD/DVD, Floppy, Bandlaufwerken, Wechseldatenträgern und WPD-Geräten. Bei Letzteren handelt es sich um MP3-Player, Smartphones oder andere Gadgets, die unter Windows Mobile laufen. Schließlich existiert noch die Möglichkeit, sämtliche Arten von Wechselmedien zu sperren oder eigene Geräteklassen zu definieren.

Kein Whitelisting von Gerätetypen

Leider lassen sich die Einstellungen für einzelne Geräteklassen und die pauschale Blockierung von Wechselmedien nicht kombinieren, so dass man standardmäßig den Zugriff unterbinden und anschließend einzelne Gerätetypen für das Lesen oder Schreiben freischalten könnte. Aktiviert man die Einstellung zum Sperren aller Wechselmedien, dann überlagert sie alle spezifischen Konfigurationen.

Eine auf den ersten Blick vielversprechende Option besteht in der Definition von benutzerspezifischen Geräteklassen. Die entsprechenden Einstellungen erwarten die Eingabe von GUIDs, die allerdings nicht besonders trennscharf sind. Wie diese Übersicht auf MSDN zeigt, teilen sich mehrere Arten von Hardware eine gemeinsame GUID. Von Nutzen kann dieses Feature jedoch sein, wenn man beispielsweise den Zugriff auf Webcams oder WLAN-Adapter verhindern möchte.

GUID von Geräteklassen ermitteln

Wenn man die Class GUID eines bestimmten USB-Geräts herausfinden möchte, dann kann man dies, wie in vielen Anleitungen empfohlen, über den Geräte-Manager tun (unter den Eigenschaften des Geräts in der Registerkarte Details).

Die Klassen-GUID lässt sich über den Geräte-Manager ermitteln.

Einfacher und schneller geht es meistens mit PowerShell, indem man die entsprechenden Einträge aus der Registry ausliest:

Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\* | select FriendlyName, ClassGUID

Mehr Optionen in der Computerkonfiguration

Die Richtlinien zur Kontrolle von Wechseldatenträgern existieren sowohl unter der Computer- als auch unter der Benutzerkonfiguration. Letztere kennt aber nur Einstellungen, die den lesenden oder den schreibenden Zugriff regeln.

Nach der Anwendung einer entsprechenden GPO können die Benutzer keine Programme von SB-Sticks starten.

Unter der Computerkonfiguration hingegen besteht zusätzlich die Möglichkeit, auch den Start von Programmen auf diversen Geräten zu unterbinden und so das Einschleppen von Malware über mobile Datenträger zu verhindern. Da man eine solche Policy nur auf Computer anwenden kann, sind davon allerdings auch Admins betroffen, wenn sie portable Tools von einem USB-Stick starten wollen.

Wenn man die Wirksamkeit der GPOs testen möchte oder mit benutzerdefinierten Geräteklassen experimentiert, dann sollte man nicht vergessen, nach jeder Änderung die Richtlinien mit Hilfe von gpupdate /force neu anzuwenden.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen