Tipp 1: Die Windows-Bordmittel - nur bedingt tauglich
Da diese Art von Problemen schon recht lange existiert, haben Systemverwalter und Anwender schon auf den XP-Systemen nach einer Möglichkeit gesucht, den Zugriff auf die USB-Anschlüsse über das Betriebssystem zu regulieren. In Ermangelung von entsprechenden ins Betriebssystem integrierten Fähigkeiten wurde dazu wie so häufig bei den älteren Windows-Systemen der Zugriff auf die Registrierungsdatenbank (Registry) gewählt. Jeder erfahrene Systemprofi wird jedoch bestätigen, dass eine Änderung "von Hand" an dieser zentralen Windows-Datenbank zur Verwaltung des Systems und dessen Diensten immer mit einem hohen Risiko behaftet ist: Änderungen, die dort ausgeführt werden, sind immer sofort aktiv und können dementsprechend ein Windows-System auch nachhaltig beschädigen.
Trotzdem wird diese Einstellung, die bereits installierte USB-Laufwerke abschaltet, so dass der Anwender sie nicht mehr verwenden kann, immer noch eingesetzt. Einer ihrer Vorteile liegt darin, dass sie sowohl auf älteren als auch auf den neuen Windows-Systemen funktioniert.
Dazu muss im Registry-Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
USBSTOR der hexadezimale Wert des Eintrags "Start" auf 4 gesetzt werden. Danach kann ein Nutzer zwar noch USB-Geräte wie Tastatur und Maus verwenden, wird aber nicht mehr auf Speichergeräte zugreifen können. Die Handhabung dieser Methode ist allerdings sehr umständlich, da ein Systemverwalter einen Aufruf des Registry-Editors in das Anmelde-Script integrieren muss. Zudem muss er dafür Sorge tragen, dass diese Einstellung auch bei neuen Geräten wirksam wird (durch ein weiteres Script), da Windows bei Installation eines neuen Geräts an dieser Stelle grundsätzlich den Wert 3 einträgt, der den Zugriff erlaubt.
Wer in seiner Firma ausschließlich Systeme mit Betriebssystemen ab Windows Vista oder Windows Server 2008 einsetzt, ist etwas besser dran. Microsoft stellt hier Gruppenrichtlinien bereit, mit deren Hilfe der Zugriff auf Peripheriegeräte gewährt oder verweigert werden kann. Das Durchsetzen solcher Richtlinien ist in Umgebungen, die Active-Directory einsetzen, gut durchzuführen, setzt aber immer eine einheitliche Systemumgebung mit neuen Betriebssystemen voraus. Kommen Endgeräte zum Einsatz, die das Protokoll IEEE 1667 unterstützen, so können die Zugriffe noch viel feiner granuliert geregelt und überprüft werden. Dieses Protokoll beschreibt die Methoden, die zur Authentifizierung von externen Geräten wie USB-Sticks eingesetzt werden können, wenn sie mit einem Computer verbunden werden. Ein Support-Artikel auf Microsofts Webseiten erläutert, wie diese sogenannten erweiterten Speichergeräte unter Windows Server 2008 und Vista eingesetzt werden können.