Zugriff auf USB Stick sperren

So praktisch USB-Sticks im Alltag auch sind, es gibt Umgebungen, in denen es wichtig und unerlässlich ist, den Zugriff auf USB-Sticks sperren zu können. Was viele nicht wissen, hierfür ist keine separate Software nötig, denn Windows bringt bereits eine Lösung für dieses Sicherheitsproblem mit.

Ich finde es in meinem Admin-Alltag immer wieder erstaunlich, wie leichtfertig viele Unternehmen mit ihren (teilweise sogar als geheim eingestuften) Daten umgehen. Viele Entscheidungsträger reagieren heute zwar schon sehr sensibel auf das Thema IT-Sicherheit, dass jedoch die größte Gefahrenquelle im eigenen Netzwerk sitzt, wird nicht wahrgenommen. Gemeint sind die eigenen Angestellten.

Zugriff auf USB-Sticks sperren per Gruppenrichtlinie

Oft wird man bei dem Hinweis darauf nur müde belächelt. „Meine Mitarbeiter tun so etwas nicht“ oder „Verdächtigen Sie etwa meine Angestellten?“ sind nur zwei Aussagen, mit denen bereits jede Diskussion im Keim erstickt wird.

Niemand stellt seine Mitarbeiter unter Generalverdacht, wenn er interne Schutzmechanismen installiert. Es geht hier einzig und allein um den Schutz des Netzwerkes und der Daten. Eine hohe Gefahrenquelle stellen USB-Sticks dar. Neben dem Einschleusen von Schadsoftware (Viren, Trojaner, usw.) lassen sich mit USB-Sticks auch kinderleicht und unbemerkt wichtige Daten aus dem Netzwerk mitnehmen.

Angenommen ein Mitarbeiter eines großen Automobilunternehmens wechselt die Firma und heuert bei einem Konkurrenten an. Es gibt bestimmt nicht wenige Informationen, die für den zukünftigen Arbeitgeber von Nutzen wären.

Um diese Sicherheitslücke zu beseitigen, wäre es von Vorteil, den Mitarbeitern den Zugriff auf USB-Sticks sperren zu können. Und dies ist mit Windows Bordmitteln sogar innerhalb von Sekunden umgesetzt. Das Zauberwort heißt wie so oft: Gruppenrichtlinien.

Zugriff auf Wechselmedien verhindern

Ja, es gibt eine eigene Gruppenrichtlinie mit der wir den Zugriff auf USB-Sticks sperren und damit die Verwendung dieser verhindern können.

Im Active-Directory finden wir diese Möglichkeiten unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.
Für Rechner, die nicht Mitglied einer Domäne sind, finden sich die Einstellungen in den lokalen Gruppenrichtlinien (gpedit.msc) unter „Computerkonfiguration -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.

Mit diesen Gruppenrichtlinien lässt sich der Zugriff auf USB-Sticks sperren, bzw. einschränken.

Die Einschränkung kann auch auf den Nutzer bezogen werden. Hierfür finden wir die Richtlinien im Pfad Benutzerkonfiguration an der gleichen Stelle.

Lesezugriff oder nur Schreibzugriff verhindern

Für den Zugriff auf die Wechseldatenträger (USB-Sticks, USB-Festplatten, usw.) finden wir hier zwei wichtige Einstellungen:

Wechseldatenträger: Lesezugriff verweigern
Wechseldatenträger: Schreibzugriff verweigern

Wer den Lesezugriff verweigert, kann den kompletten Zugriff auf USB-Sticks sperren. Ohne Lesezugriff kann ein Benutzer nicht auf den Stick zugreifen und somit auch keine Daten auf diesen ablegen. Wer nur den Schreibzugriff verweigert, verhindert zwar das Speichern von internen Daten auf den USB-Stick, schützt sich aber nicht vor Schadsoftware, die eventuell auf dem USB-Stick vorhanden ist.

Mit der dritten Option, „Wechseldatenträger: Ausführungszugriff verweigern“ könnte man zwar die Ausführung von .exe-Dateien über den USB-Stick verhindern, der Benutzer könnte diese aber durch den vorhandenen Lesezugriff vor der Ausführung auf die lokale Festplatte kopieren. Zudem verhindert diese Richtlinie nicht das Öffnen anderer Dateien.

Zugriff auf weitere Wechselmedien einschränken

Wer nicht nur den Zugriff auf USB-Sticks sperren möchte, kann in dem gleichen Gruppenrichtlinienpfad auch noch folgende Geräte sperren:

CD- und DVD-Laufwerke (auch BlueRay)
Diskettenlaufwerke
Bandlaufwerke
Benutzerdefinierte Geräte (Angabe einer GUID erforderlich)

Im Active Directory lassen sich diese Richtlinien, wie alle Gruppenrichtlinien, mittels Filterung auch nur auf ausgewählte Geräte oder Benutzer anwenden. Somit ließe sich z.B. eine Gruppe von Anwendern oder Computern definieren, denen der Zugriff auf ein USB Laufwerk verweigert werden soll.

Ebenfalls interessant:

Von René Albarus|2023-11-21T14:42:35+01:0027. Januar 2016|Windows|

Über den Autor: René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.

18 Kommentare

Marcel 28. Januar 2016 um 16:22 Uhr - Antworten
Das wenden wir im Betrieb erfolgreich an. Kann ich nur empfehlen.
- René Albarus 28. Januar 2016 um 20:50 Uhr - Antworten
  Sehr schön. Viele Unternehmen gehen leider viel zu blauäugig mit dem Thema um.
Henrik 16. August 2016 um 10:19 Uhr - Antworten
An einem Lokalen PC ohne Domäne kann man also nur ALLEN, auch den Admins, die Berechtigung sperren und keinen einzelnen Nutzern?
- René Albarus 24. August 2016 um 21:05 Uhr - Antworten
  Der Zugriff kann auch pro Benutzer gesperrt werden. Hierfür muss man den entsprechenden Eintrag in der Benutzerkonfiguration des jeweiligen Benutzers setzen. Dem Benutzer muss hierfür allerdings temporär der administrative Zugriff auf die lokalen Richtlinien gewährt werden. Anschließend können diese wieder entfernt werden.
  - Marcel 25. August 2016 um 06:39 Uhr - Antworten
    Per GPO geht das auch prima.
    Am besten für alle sperren und dann eine Gruppe erstellen, die Zugriff bekommen.
    - René Albarus 25. August 2016 um 19:57 Uhr - Antworten
      Wenn der Rechner ein Domänenmitglied ist, dann ja. Ansonsten bleibt nur der Umweg über die lokalen Gruppenrichtlinien des jeweiligen Benutzers.
  - M.Pittner 31. März 2022 um 23:55 Uhr - Antworten
    Leider funktioniert das nicht, das man nur bestimmte Benutzer sperrt. Auch wenn ich das in der Benutzerkonfiguration einstelle, gilt es für alle. Das wäre echt nützlich gewesen.
    - René Albarus 1. April 2022 um 11:05 Uhr - Antworten
      Hallo,
      ja, das gilt dann für alle Benutzer des Computers.
Daniel 11. April 2017 um 09:08 Uhr - Antworten
Hallo,
ich habe lesen/schreiben bei Wechseldatenträgern wie oben beschrieben gesperrt. (Ich möchte nur die Verwendung von USB-Sticks unterbinden)
Komischerweise ist auch das interne CD-ROM-Laufwerk betroffen. Kann man das irgendwie umgehen?
Gruß
Daniel
- René Albarus 11. April 2017 um 14:49 Uhr - Antworten
  In diesem Fall dürfte das CD-ROM Laufwerk vom System als Wechseldatenträger erkannt werden. Welche Gründe das haben könnte, weiß ich aber leider nicht. Eventuell könnte man auch die Gruppenrichtlinie zum Sperren von CD-ROM Laufwerke auf „Deaktiviert“ stellen (statt auf „Nicht konfiguriert“).
Thomas 13. April 2017 um 15:18 Uhr - Antworten
Hallo,
interessantes Thema. Das Entwenden von Daten und/oder Einschleusen von Schadsoftware auf den Einzelplatzrechner kann man mit Sperren und Einschränken von USB-Ports nicht vollständig verhindern. Klevere Saboteure und Daten-Diebe nutzen zu diesem Zweck die Anhang-Funktion beim Versand von E-mails. Als Email-Anhang läßt sich so ziemlich alles stehlen und einschleusen, notfalls als zunächst umbenannte und harmlos aussehende PDF-Dateien. Erst wenn der PC vom Router und Internet getrennt ist, kann er als einigermaßen sicher betrachtet werden. Wie soll dann aber der Mitarbeiter im Vertrieb und/oder Verwaltung effizient arbeiten, wenn er keine E-mails verschicken darf? Häufig muss der Mitarbeiter auch Internet-Zugriff haben, so dass er sich problemlos bei seinem privaten Email-Provider einloggen und von dort, ohne Spuren zu hinterlassen massenweise E-mails mit Anhang empfangen und verschicken kann. Wie mann den Datenversand und Empfang in der vorstehend beschriebenen Weise sicher unterbinden kann, habe ich noch niergends nachlesen können. Hier müsste man m.E. schon mit einzelnen Berechtigungen und Zugriffsrechten auf einzelne (sensible) Dateien und Verzeichnisse arbeiten, wie das früher bei Windows NT 4.0 und später bei Windows XP-Professional möglich war und, da manchmal sehr kompliziert, nur von Profis eingerichtet werden sollte. Hier konnten sogar Daten-Nutzungs-Protokolle aktiviert werden. Soweit ich weiß können aber bei den stark abgespeckten Home-User-Versionen von Windows ohnehin keine Einzelrechte und/oder Berechtigungen vergeben, geschweige denn Protokolle aktivert werden.
Th.
- René Albarus 17. April 2017 um 18:33 Uhr - Antworten
  Hallo,
  sobald ein Benutzer Zugriff auf sensible Daten hat, wird er immer einen Weg finden, diese Daten zu entwenden. Man kann es ihm nur so schwer wie möglich machen. Ich setze mal voraus, dass Unternehmen mindestens so professionell arbeiten, dass sensible Daten nicht auf den PCs der Benutzer gespeichert werden (können), sondern nur auf einem Netzlaufwerk (also einem Server). Dort lassen sich dann wiederum sehr spezielle Berechtigungsmodelle umsetzen und auch eine Überwachung konfigurieren. Den Zugriff auf private E-Mail Provider kann man ganz einfach und wirkungsvoll mit einem Contentfilter unterbinden (z.B. Sophos UTM).
  Aber wie so oft gilt auch hier: Sicherheit kostet Geld – und leider sparen viele Unternehmen genau an diesem Punkt.
G.Windisch 23. Oktober 2017 um 17:04 Uhr - Antworten
Richtlinien für lokaler Computer Windows 8.1 64bit (mmc snap-in = Richtlinien für lokaler Computer) Stand-Alone-Maschine ohne Netzanbindung
stellt man den Zugriff bzw. Nichtzugriff auf Wechselmedien unter Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff ein, wirkt sich diese Einstellung nicht nur auf den „Benutzer“, sondern auch auf den „Admin“ aus.
stellt man den Zugriff oder Nichtzugriff auf Wechselmedien unter
Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff ein, wirkt sich das weder auf Benutzer, noch auf den Admin aus.
Für den Benutzer soll USB gesperrt sein, für den Admin natürlich nicht (außer er muss jedes mal die GPO dafür kurz ändern, was ja nicht wirklich sinnvoll wäre). Warum kann also der Benutzer trotzdem auf USB zugreifen, obwohl er unter Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff gesperrt wurde. woran kann das liegen?
- René Albarus 23. Oktober 2017 um 17:12 Uhr - Antworten
  Hallo Georg,
  das dürfte daran liegen, dass es sich um eine Computerrichtlinie handelt. Ist nur eine Vermuttung von mir, da ich es selbst noch nicht auf einem Standalone-Rechner als Benutzerrichtlinie konfiguriert habe.
Mike 18. Oktober 2018 um 10:16 Uhr - Antworten
Zwar ein älterer Beitrag, aber vielleicht kann mir jemand die Frage beantworten.
Wie sieht es mit Kartenlesegeräte aus? Werden diese ebenfalls gesperrt?
Weil zb. die Werbeabteilung muss die Speicherkarten der Kamera auslesen können.
- René Albarus 18. Oktober 2018 um 15:16 Uhr - Antworten
  Die Kartenlesegeräte selbst dürften erkannt werden, die eingesteckten Karten werden aber als Wechseldatenträger erkannt und dürften damit gesperrt werden. Habe es aber nicht getestet.
Michael 16. September 2019 um 22:05 Uhr - Antworten
Hallo und danke für den Beitrag. Leider funktioniert es bei uns nicht wie gewünscht.
Ich habe im Gruppenrichtlinieneditor auf unserem Server 2016 eine neue GPO angelegt, zunächst als Computerrichtline. Bei den Benutzern war die vorderfeinierte Gruppe „Authentifizierte Benutzer“ drin gestanden. Diese habe ich entfernt und den Usernamen der User eingetragen, die eben über die GPO für USB-Zugriff ausgesperrt werden sollen. Ergebnis: Alle User in der Domäne hatten keinen Zugriff mehr auf USB (sogar inkl. der lokalen Admins der Rechner).
Kann mir jemand Schritt für Schritt die Einstellungen in der anzulegenden GPO erklären, so dass nur bestimmte User vom USB-Zugriff ausgeschlossen werden können?
Vielen Dank und viele Grüße Michael
- René Albarus 18. September 2019 um 10:06 Uhr - Antworten
  Hallo Michael,
  wenn die Einstellung nur bestimmte Benutzer betreffen soll, muss diese als Benutzerrichtlinie angelegt werden und der entsprechenden OU zugewiesen werden. Unter Delegierung und Erweitert können dann die Benutzer hinzugefügt werden (Lesen + Option Gruppenrichtlinie übernehmen aktivieren). Authentifizierte Benutzer entfernen.