692336

Zugriff auf Wechseldatenträger steuern

27.02.2008 | 11:11 Uhr |

Wechseldatenträger stellen in Firmennetzwerken, aber auch im Heimnetz ein erhebliches Sicherheitsrisiko dar. Jeder, der Zugriff auf einen der PCs hat, kann über einen USB-Stick, eine CD, ein Smartphone oder einen PDA Daten beliebig austauschen. Vista stellt eine neue Sicherheitsrichtlinie zur Verfügung, über die Sie als Administrator den Zugriff steuern können.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Lösung:

Wenn Sie Vista Business oder Ultimate besitzen, können Sie die Einschränkungen über den Editor für Gruppenrichtlinien setzen, andernfalls müssen Sie die Werte in der Registry anpassen. Dazu müssen Sie als Administrator angemeldet sein.

Vista Business/Ultimate: Um den Editor für Gruppenrichtlinien zu öffnen, klicken Sie auf „Start“ und geben „Gpedit. MSC“ in das Suchfeld ein. Sobald der Editor gestartet ist, können Sie sich entscheiden, ob die neue Einschränkung systemweit („Computerkonfiguration“) oder nur für bestimmte Benutzer („Benutzerkonfiguration“) gelten soll. Wählen Sie dann in der jeweiligen Rubrik „Administrative Vorlagen, System, Wechselmedienzugriff“. Sie sehen nun eine Liste mit Richtlinien, über die Sie den Lese- und den Schreibzugriff für die verschiedenen Geräteklassen konfigurieren können: CD und DVD, Diskettenlaufwerke, Wechseldatenträger, Bandlaufwerke und so genannte WPD-Geräte. Mit „Wechseldatenträger“ sind USB- oder Firewire-Laufwerke gemeint, WPD-Geräte sind „Windows Portable Devices“, also Smartphones, MP3-Player oder PDAs, auf denen Windows Mobile als Betriebssystem läuft. Klicken Sie nacheinander auf alle Richtlinien, die Sie anpassen möchten, und wählen Sie jeweils die Option „Aktiviert“.

Vista Home Basic/Premium: Starten Sie Regedit als Administrator. Nun müssen Sie sich entscheiden, für wen die neuen Richtlinien gelten sollen. Falls sie nur für den Benutzer gelten soll, mit dem Sie gerade angemeldet sind, öffnen Sie den Schlüssel „Hkey_Current_User“. Wenn die Richtlinie systemweit gelten soll, dann öffnen Sie den Schlüssel „Hkey_Local_Machine“.

Falls sie ausschließlich für einen anderen Benutzer gelten soll, dann markieren Sie den Schlüssel „Hkey_Users“, klicken dann auf „Datei, Struktur laden“ und öffnen die versteckte Datei Ntuser.DAT (Im Systemverzeichnis im Ordner User, <Benutzername>). Geben Sie der geladenen Struktur bei Aufforderung den Namen des Benutzers, dessen Registry Sie eingebunden haben, und öffnen Sie dann den Schlüssel „Hkey_Users\ <Benutzername>“.

Richtlinie setzen: Nun öffnen beziehungsweise erstellen Sie den Schlüssel „\Software\Policies\Microsoft\Windows\ RemovableStorageDevices\“ unter dem Hauptschlüssel, den Sie zuvor gewählt haben. Dann legen Sie darin wiederum die Schlüssel aus der Tabelle (siehe unten) an, für die Sie Einschränkungen treffen möchten. In jedem dieser Unterschlüssel können Sie nun jeweils den DWORD-Eintrag „Deny_Read“ eintragen und seinen Wert auf „1“ setzen, um den Lesezugriff zu unterbinden. Mit „Deny_Write“ und Wert „1“ verbieten Sie den Schreibzugriff auf diese Geräteklasse.

Nachdem Sie alle Einstellungen getroffen haben, müssen Sie die Registry-Struktur des Fremdbenutzers wieder entfernen, falls Sie zuvor eine geladen haben. Klicken Sie dazu auf „Hkey_Users\<Benutzer name>“, und wählen Sie dann „Datei, Struktur entfernen“. Um die verbotenen Zugriffe wieder zu erlauben, löschen Sie die Einträge jeweils wieder, oder setzen Sie sie auf „0“.

Übrigens : Wenn Sie zum Beispiel „Deny_Read“ systemweit auf „0“ gesetzt haben, also den Lesezugriff explizit erlauben, dann können Sie es für einen einzelnen Benutzer nicht mehr verbieten. Dazu müssten Sie zuvor die globale Systemrichtlinie wieder löschen.

REGISTRY-SCHLÜSSEL DER GERÄTEKLASSEN

CD/DVD: {53f56308-b6bf-11d0-94f2-00a0c91efb8b}
Diskettenlaufwerk: {53f56311-b6bf-11d0-94f2-00a0c91efb8b}
Wechseldatenträger: {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
Bandlaufwerk: {53f5630b-b6bf-11d0-94f2-00a0c91efb8b}
PDA/Smartphone: {6ac27878-a6fa-4155-ba85-f98f491d4f33} oder
{f33fdc04-d1ac-4e8e-9a30-19bbd4b108ae}

0 Kommentare zu diesem Artikel
692336