So blockieren Sie den Zugriff auf USB-Datenträger mittels Gruppenrichtlinien

An einem modernen Arbeitsplatz gibt es wahrscheinlich niemanden, der keine USB-Datenträger* besitzt oder verwendet.

Doch die Mobilität und weitverbreitete Verwendung dieser USB-Datenträger birgt auch erhebliche Sicherheitsrisiken. Schließt ein Mitarbeiter beispielsweise ein infiziertes Gerät an einen Endpunkt an, kann sich die Malware theoretisch im gesamten Unternehmensnetzwerk ausbreiten. Andererseits können USB-Datenträger auch dafür missbraucht werden, um unerlaubt vertrauliche Informationen zu kopieren oder nicht zulässige Software zu installieren, was weitere sicherheitsrelevante Folgen haben kann.

Zum Glück hat es Microsoft seinen Anwendern recht einfach gemacht, die nicht erlaubte Nutzung von USB-Datenträgern zu blockieren. In diesem Artikel erklären wir Ihnen Schritt für Schritt, wie Sie den Zugriff auf USB-Datenträger mittels Gruppenrichtlinienobjekten (GPO – Group Policy Object) verhindern können.

*Damit meinen wir in diesem Artikel jegliche Geräte mit USB-Anschluss, auf denen Daten gespeichert werden können, wie USB-Sticks, externe Festplatten, Smartphones, Tablets, tragbare Spielkonsolen, Kameras, MP3-Player oder sonstige externe Speichergeräte.

Hinweis: Um den Zugriff auf externe Laufwerke per Gruppenrichtlinienobjekt zu blockieren, muss auf dem Computer mindestens Windows Server 2008 oder Windows Vista ausgeführt werden. Bei älteren Versionen von Windows oder Windows Server sind für diese Einschränkung Tools von Drittanbietern erforderlich, die in diesem Artikel aber nicht angesprochen werden. Damit die Gruppenrichtlinie wirksam wird, müssen alle Server als Domänencontroller laufen und die Clients zur selben Active-Directory-Domäne gehören.

Ein Gruppenrichtlinienobjekt auf eine Organisationseinheit anwenden

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
2. Rechtsklicken Sie auf die Organisationseinheit, der Sie die Richtlinie zuweisen möchten, und wählen Sie „Gruppenrichtlinienobjekt hier erstellen und verknüpfen …“.
3. Geben Sie einen Namen für die Richtlinie ein (z. B. USB-Geräte blockieren) und klicken Sie auf „OK“.
4. Rechtsklicken Sie im Register „Verknüpfte Gruppenrichtlinienobjekte“ auf die im 3. Schritt erstellte Richtlinie und wählen Sie „Bearbeiten“.
5. Blättern Sie durch die Konsolenstruktur zu „Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Wechselmedienzugriff“.
6. Im Bereich „Wechselmedienzugriff“ befinden sich eine Reihe von Richtlinien für unterschiedlichste Speichergeräte. Dazu gehören:
   • CD und DVD: Ausführungszugriff verweigern
   • CD und DVD: Lesezugriff verweigern
   • CD und DVD: Schreibzugriff verweigern
   • Benutzerdefinierte Klassen: Lesezugriff verweigern
   • Benutzerdefinierte Klassen: Schreibzugriff verweigern
   • Diskettenlaufwerke: Ausführungszugriff verweigern
   • Diskettenlaufwerke: Lesezugriff verweigern
   • Diskettenlaufwerke: Schreibzugriff verweigern
   • Wechseldatenträger: Ausführungszugriff verweigern
   • Wechseldatenträger: Lesezugriff verweigern
   • Wechseldatenträger: Schreibzugriff verweigern
   • Alle Wechselmedienklassen: Jeglichen Zugriff verweigern
   • Alle Wechselmedien: Jeglichen direkten Zugriff in Remotesitzungen verweigern
   • Bandlaufwerke: Ausführungszugriff verweigern
   • Bandlaufwerke: Lesezugriff verweigern
   • Bandlaufwerke: Schreibzugriff verweigern
   • WPD-Geräte: Lesezugriff verweigern
   • WPD-Geräte: Schreibzugriff verweigern
7. Um den Zugriff auf alle Speichergeräte zu verweigern, doppelklicken Sie auf „Alle Wechselmedienklassen: Jeglichen Zugriff verweigern“, markieren Sie die Option „Aktiviert“ und klicken Sie auf „OK“. Sobald diese Richtlinie aktiviert ist, erkennt das System, wenn ein USB-Datenträger angeschlossen wird, und gibt eine Fehlermeldung aus, dass der Zugriff auf das Gerät verweigert wurde.

Ein Gruppenrichtlinienobjekt auf bestimmte Benutzer anwenden

Im vorherigen Abschnitt wurde der Zugriff auf alle Wechseldatenträger für alle Benutzer einer Organisationseinheit blockiert. Es gibt jedoch Fälle, in denen Sie ein Gruppenrichtlinienobjekt nur einer oder mehreren bestimmten Gruppen zuweisen möchten. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
2. Suchen Sie in der Konsolenstruktur das gewünschte Gruppenrichtlinienobjekt und wählen Sie es aus.
3. Klicken Sie auf das Register „Delegierung“.
4. Klicken Sie auf „Erweitert“.
5. Wählen Sie „Authentifizierte Benutzer“.
6. Blättern Sie nach unten und markieren Sie für den Eintrag „Gruppenrichtlinien übernehmen“ die Option „Zulassen“.
7. Klicken Sie auf „Hinzufügen“ und geben Sie den Namen der Gruppe ein, der Sie die Richtlinie zuweisen möchten. Klicken Sie dann auf „OK“.
8. Wählen Sie die im 7. Schritt hinzugefügte Gruppe aus. Blättern Sie in der Liste der Berechtigungen nach unten und markieren Sie für den Eintrag „Gruppenrichtlinien übernehmen“ die Option „Zulassen“. Die Gruppenrichtlinie wird nun auf alle Benutzer in dieser Gruppe angewendet.

Eine Gruppe von einem Gruppenrichtlinienobjekt ausschließen

In anderen Fällen möchten Sie das Gruppenrichtlinienobjekt möglicherweise einer Organisationseinheit zuweisen, aber bestimmten Benutzern (etwa Administratoren) dennoch die Möglichkeit geben, USB-Datenträger zu verwenden. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
2. Suchen Sie in der Konsolenstruktur das gewünschte Gruppenrichtlinienobjekt und Wählen Sie es aus.
3. Klicken Sie auf das Register „Delegierung“.
4. Klicken Sie auf „Erweitert“.
5. Klicken Sie auf „Hinzufügen“ und geben Sie den Namen der Gruppe ein, die Sie von der Richtlinie ausschließen möchten. Klicken Sie dann auf „OK“.
6. Wählen Sie die im 5. Schritt hinzugefügte Gruppe aus. Blättern Sie nach unten und markieren Sie für den Eintrag „Gruppenrichtlinien übernehmen“ die Option „Verweigern“.
7. Klicken Sie auf „OK“ und in der eventuell daraufhin angezeigten Windows-Sicherheitsmeldung auf „Ja“. Das Gruppenrichtlinienobjekt wird nun nicht auf die Benutzer in dieser Gruppe angewendet.

Nützliche Links:

• Gruppenrichtlinien-API (auf Englisch)
• Gruppenrichtlinienobjekte (auf Englisch)
• Gruppenrichtlinien-Verwaltungskonsole (auf Englisch)

Zusammenfassung

Zur Stärkung der Sicherheit eines Unternehmens ist es unerlässlich, den Zugriff auf USB-Datenträger zu beschränken. Unternehmen jeder Größe können mithilfe von Gruppenrichtlinien den Zugriff auf externe Speichergeräte verwalten und damit das Risiko einer Malware-Infektion, einer Datenexfiltration oder einer unerlaubten Installation von Anwendungen senken.

Übersetzung: Doreen Schäfer