Logo faq-o-matic.net
Logo faq-o-matic.net

Wie kann ich per GPO den Zugriff auf USB-Sticks oder andere Devices sperren?

von veröffentlicht am15. Juli 2003, 11:23 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 9. Oktober 2013

Bis einschlißelich Windows XP: Gar nicht. Die einzige Möglichkeit, die Gruppenrichtlinien (GPO) hier bieten, ist das Ausblenden bzw. die Sperrung bestimmter Laufwerksbuchstaben. Da man aber im Fall von USB-Sticks oder anderen Laufwerken nicht definitiv weiß, wie der Laufwerksbuchstabe heißen wird, ist das kein gangbarer Weg.

Im Service Pack 2 von Windows XP wurde die Möglichkeit eingeführt, den schreibenden Zugriff auf USB-Devices einzuschränken. Dies beschränkt sich aber auf USB-Laufwerke und vernachlässigt so die zahlreichen anderen Laufwerkstypen. Erst mit Windows Vista ist eine leistungsfähige Steuerungsmöglichkeit für I/O-Geräte hinzugekommen. Auch diese aber hat ihre architektonischen Lücken, und wie immer im Falle von gruppenrichtlinienbasierten Einstellungen ist ein Reporting über den tatsächlichen Stand kaum zu erreichen. Ebenso sind erweiterte Szenarien wie eine zertifikatsbasierte Laufwerksverschlüsselung oder das seletkive Freigeben einzelner Medien nicht einzurichten.

Um I/O-Devices wirklich sicher, administrierbar und skalierbar zu sperren und zu verwalten, gibt es die Zusatzsoftware "Sanctuary Device Control" von SecureWave. Diese Software arbeitet nach dem "White List"-Prinzip: Ein Benutzer erhält nur Zugriff auf Geräte, die ihm explizit erlaubt wurden. Alle anderen Geräte werden ihm verweigert. Dabei ist die Software sehr sicher und hervorragend administrierbar.

Das Problem entsteht ab Windows 2000 dadurch, dass zahlreiche externe Laufwerke per Standardtreiber anbgesprochen werden können. Dadurch ist auch ein normaler Benutzer ohne Adminrechte u. U. in der Lage, beliebige Laufwerke an seinen Rechner anzuschließen und Daten mitzunehmen oder ins Netzwerk einzuschleusen.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!