Zugriff auf USB-Sticks sperren

So praktisch USB-Sticks im Alltag auch sind, es gibt Umgebungen, in denen es wichtig und unerlässlich ist, den Zugriff auf USB-Sticks sperren zu können. Was viele nicht wissen, hierfür ist keine separate Software nötig, denn Windows bringt bereits eine Lösung für dieses Sicherheitsproblem mit.

Ich finde es in meinem Admin-Alltag immer wieder erstaunlich, wie leichtfertig viele Unternehmen mit ihren (teilweise sogar als geheim eingestuften) Daten umgehen. Viele Entscheidungsträger reagieren heute zwar schon sehr sensibel auf das Thema IT-Sicherheit, dass jedoch die größte Gefahrenquelle im eigenen Netzwerk sitzt, wird nicht wahrgenommen. Gemeint sind die eigenen Angestellten.

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

Zugriff auf USB-Sticks sperren per Gruppenrichtlinie

Oft wird man bei dem Hinweis darauf nur müde belächelt. „Meine Mitarbeiter tun so etwas nicht“ oder „Verdächtigen Sie etwa meine Angestellten?“ sind nur zwei Aussagen, mit denen bereits jede Diskussion im Keim erstickt wird.

Niemand stellt seine Mitarbeiter unter Generalverdacht, wenn er interne Schutzmechanismen installiert. Es geht hier einzig und allein um den Schutz des Netzwerkes und der Daten. Eine hohe Gefahrenquelle stellen USB-Sticks dar. Neben dem Einschleusen von Schadsoftware (Viren, Trojaner, usw.) lassen sich mit USB-Sticks auch kinderleicht und unbemerkt wichtige Daten aus dem Netzwerk mitnehmen.

Angenommen ein Mitarbeiter eines großen Automobilunternehmens wechselt die Firma und heuert bei einem Konkurrenten an. Es gibt bestimmt nicht wenige Informationen, die für den zukünftigen Arbeitgeber von Nutzen wären.

Um diese Sicherheitslücke zu beseitigen, wäre es von Vorteil, den Mitarbeitern den Zugriff auf USB-Sticks sperren zu können. Und dies ist mit Windows Bordmitteln sogar innerhalb von Sekunden umgesetzt. Das Zauberwort heißt wie so oft: Gruppenrichtlinien.

Zugriff auf Wechselmedien verhindern

Ja, es gibt eine eigene Gruppenrichtlinie mit der wir den Zugriff auf USB-Sticks sperren und damit die Verwendung dieser verhindern können.

Im Active-Directoy finden wir diese Möglichkeiten unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.
Für Rechner, die nicht Mitglied einer Domäne sind, finden sich die Einstellungen in den lokalen Gruppenrichtlinien (gpedit.msc) unter „Computerkonfiguration -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.

Zugriff auf USB-Sticks sperren

Mit diesen Gruppenrichtlinien lässt sich der Zugriff auf USB-Sticks sperren, bzw. einschränken.

Die Einschränkung kann auch auf den Nutzer bezogen werden. Hierfür finden wir die Richtlinien im Pfad Benutzerkonfiguration an der gleichen Stelle.

Für den Zugriff auf die Wechseldatenträger (USB-Sticks, USB-Festplatten, usw.) finden wir hier zwei wichtige Einstellungen:

  1. Wechseldatenträger: Lesezugriff verweigern
  2. Wechseldatenträger: Schreibzugriff verweigern

Wer den Lesezugriff verweigert, kann den kompletten Zugriff auf USB-Sticks sperren. Ohne Lesezugriff kann ein Benutzer nicht auf den Stick zugreifen und somit auch keine Daten auf diesen ablegen. Wer nur den Schreibzugriff verweigert, verhindert zwar das Speichern von internen Daten auf den USB-Stick, schützt sich aber nicht vor Schadsoftware, die eventuell auf dem USB-Stick vorhanden ist.

Mit der dritten Option, „Wechseldatenträger: Ausführungszugriff verweigern“ könnte man zwar die Ausführung von .exe-Dateien über den USB-Stick verhindern, der Benutzer könnte diese aber durch den vorhandenen Lesezugriff vor der Ausführung auf die lokale Festplatte kopieren. Zudem verhindert diese Richtlinie nicht das Öffnen anderer Dateien.

Zugriff auf weitere Wechselmedien einschränken

Wer nicht nur den Zugriff auf USB-Sticks sperren möchte, kann in dem gleichen Gruppenrichtlinienpfad auch noch folgende Geräte sperren:

  • CD- und DVD-Laufwerke (auch BlueRay)
  • Diskettenlaufwerke
  • Bandlaufwerke
  • Benutzerdefinierte Geräte (Angabe einer GUID erforderlich)

Im Active Directory lassen sich diese Richtlinien, wie alle Gruppenrichtlinien, mittels Filterung auch nur auf ausgewählte Geräte oder Benutzer anwenden. Somit ließe sich z.B. eine Gruppe von Anwendern oder Computern definieren, denen der Zugriff auf USB-Sticks verweigert werden soll.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

16 Antworten

  1. Marcel sagt:

    Das wenden wir im Betrieb erfolgreich an. Kann ich nur empfehlen.

  2. Henrik sagt:

    An einem Lokalen PC ohne Domäne kann man also nur ALLEN, auch den Admins, die Berechtigung sperren und keinen einzelnen Nutzern?

    • René Albarus sagt:

      Der Zugriff kann auch pro Benutzer gesperrt werden. Hierfür muss man den entsprechenden Eintrag in der Benutzerkonfiguration des jeweiligen Benutzers setzen. Dem Benutzer muss hierfür allerdings temporär der administrative Zugriff auf die lokalen Richtlinien gewährt werden. Anschließend können diese wieder entfernt werden.

  3. Daniel sagt:

    Hallo,
    ich habe lesen/schreiben bei Wechseldatenträgern wie oben beschrieben gesperrt. (Ich möchte nur die Verwendung von USB-Sticks unterbinden)
    Komischerweise ist auch das interne CD-ROM-Laufwerk betroffen. Kann man das irgendwie umgehen?

    Gruß
    Daniel

    • René Albarus sagt:

      In diesem Fall dürfte das CD-ROM Laufwerk vom System als Wechseldatenträger erkannt werden. Welche Gründe das haben könnte, weiß ich aber leider nicht. Eventuell könnte man auch die Gruppenrichtlinie zum Sperren von CD-ROM Laufwerke auf „Deaktiviert“ stellen (statt auf „Nicht konfiguriert“).

  4. Thomas sagt:

    Hallo,
    interessantes Thema. Das Entwenden von Daten und/oder Einschleusen von Schadsoftware auf den Einzelplatzrechner kann man mit Sperren und Einschränken von USB-Ports nicht vollständig verhindern. Klevere Saboteure und Daten-Diebe nutzen zu diesem Zweck die Anhang-Funktion beim Versand von E-mails. Als Email-Anhang läßt sich so ziemlich alles stehlen und einschleusen, notfalls als zunächst umbenannte und harmlos aussehende PDF-Dateien. Erst wenn der PC vom Router und Internet getrennt ist, kann er als einigermaßen sicher betrachtet werden. Wie soll dann aber der Mitarbeiter im Vertrieb und/oder Verwaltung effizient arbeiten, wenn er keine E-mails verschicken darf? Häufig muss der Mitarbeiter auch Internet-Zugriff haben, so dass er sich problemlos bei seinem privaten Email-Provider einloggen und von dort, ohne Spuren zu hinterlassen massenweise E-mails mit Anhang empfangen und verschicken kann. Wie mann den Datenversand und Empfang in der vorstehend beschriebenen Weise sicher unterbinden kann, habe ich noch niergends nachlesen können. Hier müsste man m.E. schon mit einzelnen Berechtigungen und Zugriffsrechten auf einzelne (sensible) Dateien und Verzeichnisse arbeiten, wie das früher bei Windows NT 4.0 und später bei Windows XP-Professional möglich war und, da manchmal sehr kompliziert, nur von Profis eingerichtet werden sollte. Hier konnten sogar Daten-Nutzungs-Protokolle aktiviert werden. Soweit ich weiß können aber bei den stark abgespeckten Home-User-Versionen von Windows ohnehin keine Einzelrechte und/oder Berechtigungen vergeben, geschweige denn Protokolle aktivert werden.
    Th.

    • René Albarus sagt:

      Hallo,

      sobald ein Benutzer Zugriff auf sensible Daten hat, wird er immer einen Weg finden, diese Daten zu entwenden. Man kann es ihm nur so schwer wie möglich machen. Ich setze mal voraus, dass Unternehmen mindestens so professionell arbeiten, dass sensible Daten nicht auf den PCs der Benutzer gespeichert werden (können), sondern nur auf einem Netzlaufwerk (also einem Server). Dort lassen sich dann wiederum sehr spezielle Berechtigungsmodelle umsetzen und auch eine Überwachung konfigurieren. Den Zugriff auf private E-Mail Provider kann man ganz einfach und wirkungsvoll mit einem Contentfilter unterbinden (z.B. Sophos UTM).
      Aber wie so oft gilt auch hier: Sicherheit kostet Geld – und leider sparen viele Unternehmen genau an diesem Punkt.

  5. G.Windisch sagt:

    Richtlinien für lokaler Computer Windows 8.1 64bit (mmc snap-in = Richtlinien für lokaler Computer) Stand-Alone-Maschine ohne Netzanbindung

    stellt man den Zugriff bzw. Nichtzugriff auf Wechselmedien unter Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff ein, wirkt sich diese Einstellung nicht nur auf den „Benutzer“, sondern auch auf den „Admin“ aus.

    stellt man den Zugriff oder Nichtzugriff auf Wechselmedien unter
    Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff ein, wirkt sich das weder auf Benutzer, noch auf den Admin aus.
    Für den Benutzer soll USB gesperrt sein, für den Admin natürlich nicht (außer er muss jedes mal die GPO dafür kurz ändern, was ja nicht wirklich sinnvoll wäre). Warum kann also der Benutzer trotzdem auf USB zugreifen, obwohl er unter Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff gesperrt wurde. woran kann das liegen?

    • René Albarus sagt:

      Hallo Georg,

      das dürfte daran liegen, dass es sich um eine Computerrichtlinie handelt. Ist nur eine Vermuttung von mir, da ich es selbst noch nicht auf einem Standalone-Rechner als Benutzerrichtlinie konfiguriert habe.

  6. Mike sagt:

    Zwar ein älterer Beitrag, aber vielleicht kann mir jemand die Frage beantworten.
    Wie sieht es mit Kartenlesegeräte aus? Werden diese ebenfalls gesperrt?
    Weil zb. die Werbeabteilung muss die Speicherkarten der Kamera auslesen können.

    • René Albarus sagt:

      Die Kartenlesegeräte selbst dürften erkannt werden, die eingesteckten Karten werden aber als Wechseldatenträger erkannt und dürften damit gesperrt werden. Habe es aber nicht getestet.

  7. Michael sagt:

    Hallo und danke für den Beitrag. Leider funktioniert es bei uns nicht wie gewünscht.
    Ich habe im Gruppenrichtlinieneditor auf unserem Server 2016 eine neue GPO angelegt, zunächst als Computerrichtline. Bei den Benutzern war die vorderfeinierte Gruppe „Authentifizierte Benutzer“ drin gestanden. Diese habe ich entfernt und den Usernamen der User eingetragen, die eben über die GPO für USB-Zugriff ausgesperrt werden sollen. Ergebnis: Alle User in der Domäne hatten keinen Zugriff mehr auf USB (sogar inkl. der lokalen Admins der Rechner).
    Kann mir jemand Schritt für Schritt die Einstellungen in der anzulegenden GPO erklären, so dass nur bestimmte User vom USB-Zugriff ausgeschlossen werden können?
    Vielen Dank und viele Grüße Michael

    • René Albarus sagt:

      Hallo Michael,

      wenn die Einstellung nur bestimmte Benutzer betreffen soll, muss diese als Benutzerrichtlinie angelegt werden und der entsprechenden OU zugewiesen werden. Unter Delegierung und Erweitert können dann die Benutzer hinzugefügt werden (Lesen + Option Gruppenrichtlinie übernehmen aktivieren). Authentifizierte Benutzer entfernen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pin It on Pinterest