Ratgeber Security und DLP

USB - die tragbare Gefahr

10.10.2012
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Tipp 1: Die Windows-Bordmittel - nur bedingt tauglich

Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt: Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden.
Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt: Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden.

Da diese Art von Problemen schon recht lange existiert, haben Systemverwalter und Anwender schon auf den XP-Systemen nach einer Möglichkeit gesucht, den Zugriff auf die USB-Anschlüsse über das Betriebssystem zu regulieren. In Ermangelung von entsprechenden ins Betriebssystem integrierten Fähigkeiten wurde dazu wie so häufig bei den älteren Windows-Systemen der Zugriff auf die Registrierungsdatenbank (Registry) gewählt. Jeder erfahrene Systemprofi wird jedoch bestätigen, dass eine Änderung "von Hand" an dieser zentralen Windows-Datenbank zur Verwaltung des Systems und dessen Diensten immer mit einem hohen Risiko behaftet ist: Änderungen, die dort ausgeführt werden, sind immer sofort aktiv und können dementsprechend ein Windows-System auch nachhaltig beschädigen.

Trotzdem wird diese Einstellung, die bereits installierte USB-Laufwerke abschaltet, so dass der Anwender sie nicht mehr verwenden kann, immer noch eingesetzt. Einer ihrer Vorteile liegt darin, dass sie sowohl auf älteren als auch auf den neuen Windows-Systemen funktioniert.

Dazu muss im Registry-Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
USBSTOR der hexadezimale Wert des Eintrags "Start" auf 4 gesetzt werden. Danach kann ein Nutzer zwar noch USB-Geräte wie Tastatur und Maus verwenden, wird aber nicht mehr auf Speichergeräte zugreifen können. Die Handhabung dieser Methode ist allerdings sehr umständlich, da ein Systemverwalter einen Aufruf des Registry-Editors in das Anmelde-Script integrieren muss. Zudem muss er dafür Sorge tragen, dass diese Einstellung auch bei neuen Geräten wirksam wird (durch ein weiteres Script), da Windows bei Installation eines neuen Geräts an dieser Stelle grundsätzlich den Wert 3 einträgt, der den Zugriff erlaubt.

Bessere Methode: Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln.
Bessere Methode: Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln.

Wer in seiner Firma ausschließlich Systeme mit Betriebssystemen ab Windows Vista oder Windows Server 2008 einsetzt, ist etwas besser dran. Microsoft stellt hier Gruppenrichtlinien bereit, mit deren Hilfe der Zugriff auf Peripheriegeräte gewährt oder verweigert werden kann. Das Durchsetzen solcher Richtlinien ist in Umgebungen, die Active-Directory einsetzen, gut durchzuführen, setzt aber immer eine einheitliche Systemumgebung mit neuen Betriebssystemen voraus. Kommen Endgeräte zum Einsatz, die das Protokoll IEEE 1667 unterstützen, so können die Zugriffe noch viel feiner granuliert geregelt und überprüft werden. Dieses Protokoll beschreibt die Methoden, die zur Authentifizierung von externen Geräten wie USB-Sticks eingesetzt werden können, wenn sie mit einem Computer verbunden werden. Ein Support-Artikel auf Microsofts Webseiten erläutert, wie diese sogenannten erweiterten Speichergeräte unter Windows Server 2008 und Vista eingesetzt werden können.