1934897

Schutz vor fremden USB-Geräten

08.05.2014 | 09:23 Uhr |

USB-Speichergeräte stellen ein potentielles Sicherheitsrisiko dar. Die mögliche Nutzung der Geräte lässt sich jedoch mit wenigen Handgriffen geschickt einschränken.

USB-Speicher sind ein beliebtes Datenaustauschmedium. Allerdings können darüber auch Viren auf den PC gelangen und Unbefugte können Daten stehlen, indem sie diese einfach auf einen USB-Stick kopieren. Von Haus aus bindet Windows jedes beliebige USB-Gerät automatisch ein. Dieses Verhalten können Sie jedoch ändern.

Nur die Pro-Editionen und höher von Windows Vista, 7 oder 8 enthalten mit dem „Editor für lokale Gruppenrichtlinien“ ein Tool, über das sich bestimmte Beschränkungen entweder systemweit oder für einzelne Benutzer festlegen lassen (siehe auch Tipp „Berechtigungen für Benutzer ändern“). Benutzer der Home-Edition können die Einstellungen aber auch direkt in der Registry ändern.

Bei Wechseldatenträgern ist es möglich, den Schreibzugriff und /oder den Lesezugriff zu unterbinden. Letzteres führt dazu, dass ein USB-Stick beim Anstöpseln zwar einen Laufwerksbuchstaben erhält, aber kein Zugriff möglich ist. Das wirkt sich dann allerdings auf alle USB-Speichergeräte aus und ist daher nur sinnvoll, wenn Sie selbst in der Regel keine USB-Laufwerke verwenden.

Ein anderer Weg ist, die Installation nur von neuen USB-Laufwerken zu unterbinden.

Einsatz des PC-WELT-Tools: Um die Konfiguration so einfach wie möglich zu machen, haben wir das Tool PC-WELT-Secure-USB entwickelt. Kopieren Sie es auf die Festplatte und starten Sie die für Ihr System passende Variante: pcwSecureUSB_x64.exe für ein 64-Bit-System oder die 32-Bit-Version pcwSecureUSB.x86.exe. Bestätigen Sie die Meldung der Benutzerkontensteuerung mit „Ja“. Aktivieren Sie dann die Optionen, die Sie benötigen.

Mit dem ersten Schalter aktivieren Sie den Schreibschutz für USB-Laufwerke. Diese Einstellung gilt nur für den gerade angemeldeten Benutzer. Wenn Sie die Option darunter auf „Ja“ setzen, wirkt die Einstellung systemweit, also für alle Benutzer. Der zweite Schalter definiert die Richtlinie „Lesezugriff verweigern“, die Option darunter setzt die Einstellung wieder systemweit. Wenn Sie den dritten Schalter auf „Ja“ stellen, verhindern Sie, dass neue USB-Speichergeräte von Windows installiert werden.

Einstellungen, die Sie mit PC-WELT-Secure-USB vornehmen, gelten sofort. Wenn ein USB-Laufwerk angeschlossen ist, wird es beim System abgemeldet und danach wieder angemeldet. Sollte das Laufwerk gesperrt sein, etwa weil Dateien darauf geöffnet sind, wird es nicht abgemeldet. In jedem Fall wirken sich die Einstellungen nach einem Windows-Neustart aus.
Technischer Hintergrund: Der erste Schalter erstellt den Schlüssel

 Hkey_Current_User\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 

und darin den DWORD-Wert „Deny_Write“ (Richtlinieneinstellung). Enthält dieser den Wert „1“, blockiert Windows den Schreibzugriff. Bei „0“ ist der Schreibzugriff erlaubt. Die systemweite Option bewirkt das gleiche für den Registry-Zweig „Hkey_Local_Machine“.

Der zweite Schalter und die zweite Option funktionieren genau so, erstellen aber den Wert „Deny_Read“. Der dritte Schalter arbeitet anders, da es keine Richtlinieneinstellung für neue USB-Laufwerke gibt. Wenn Sie ihn auf „An“ stellen, benennt das Tool die Dateien Usbstor.inf und Usbstor.pnf im Verzeichnis „Windows\Inf“ um, indem es die Endung „.bak“ anhängt. Stellen Sie ihn auf „Aus“, erhalten die Dateien wieder die Original-Endung. Ohne die Usbstor-Dateien kann Windows den Treiber Usbstor.sys nicht einrichten, wenn das System neue USB-Laufwerke erkennt. Auf bereits installierte Geräte hat das keine Auswirkungen.

Hinweis: Eine Liste mit allen Richtlinieneinstellungen und den zugehörigen Registry-Schlüsseln finden Sie unter http://gpsearch.azurewebsites.net .

0 Kommentare zu diesem Artikel
1934897