Wie kann ich per GPO den Zugriff auf USB-Sticks oder andere Devices sperren?

Bis einschlißelich Windows XP: Gar nicht. Die einzige Möglichkeit, die Gruppenrichtlinien (GPO) hier bieten, ist das Ausblenden bzw. die Sperrung bestimmter Laufwerksbuchstaben. Da man aber im Fall von USB-Sticks oder anderen Laufwerken nicht definitiv weiß, wie der Laufwerksbuchstabe heißen wird, ist das kein gangbarer Weg.

Im Service Pack 2 von Windows XP wurde die Möglichkeit eingeführt, den schreibenden Zugriff auf USB-Devices einzuschränken. Dies beschränkt sich aber auf USB-Laufwerke und vernachlässigt so die zahlreichen anderen Laufwerkstypen. Erst mit Windows Vista ist eine leistungsfähige Steuerungsmöglichkeit für I/O-Geräte hinzugekommen. Auch diese aber hat ihre architektonischen Lücken, und wie immer im Falle von gruppenrichtlinienbasierten Einstellungen ist ein Reporting über den tatsächlichen Stand kaum zu erreichen. Ebenso sind erweiterte Szenarien wie eine zertifikatsbasierte Laufwerksverschlüsselung oder das seletkive Freigeben einzelner Medien nicht einzurichten.

Um I/O-Devices wirklich sicher, administrierbar und skalierbar zu sperren und zu verwalten, gibt es die Zusatzsoftware "Sanctuary Device Control" von SecureWave. Diese Software arbeitet nach dem "White List"-Prinzip: Ein Benutzer erhält nur Zugriff auf Geräte, die ihm explizit erlaubt wurden. Alle anderen Geräte werden ihm verweigert. Dabei ist die Software sehr sicher und hervorragend administrierbar.

Das Problem entsteht ab Windows 2000 dadurch, dass zahlreiche externe Laufwerke per Standardtreiber anbgesprochen werden können. Dadurch ist auch ein normaler Benutzer ohne Adminrechte u. U. in der Lage, beliebige Laufwerke an seinen Rechner anzuschließen und Daten mitzunehmen oder ins Netzwerk einzuschleusen.