Verwendung von Wechselmedien per GPO verbieten

USB Sticks sind ein handliches Werkzeug um Daten offline zu übertragen, oder zu sichern. Dank USB 3 Standard lassen sich in kürzester Zeit mehrere Gigabyte an Daten transferieren. Und genau darin besteht das Problem für Unternehmen. Vorbei an Firewall und Packetfilter lassen sich ungeschützt Daten ins Firmen-LAN bringen, oder sensible Nutzdaten von Dort entwenden. Für  Sicherheitsbeauftragte sind tragbare Speichermedien ein Albtraum. Diese ganz zu verbieten erhöht zwar die Sicherheit, erschwert die Arbeit. Man denke beispielsweise an Personen, die Digitalbilder von einer Kamera übertragen müssen. Auch dies sind Wechselmedien.

Wieder einmal geht die Schere zwischen Komfort und Sicherheit auseinander. Maximale Sicherheit bedeutet minimalen Komfort und umgekehrt. Absolute Sicherheit wird es nicht geben. Und während man vermeintlich einen Zugang durch ein Bollwerk versperrt und so auch die Produktivität behindert, sucht sich der Angreifer einen kleinen, ungeschützten Seiteneingang.

Besser ist ein Kompromiss, bei dem zunächst global allen Nutzern der Gebrauch von Wechselmedien untersagt wird und darüber hinaus gezielt einzelne Anwender autorisiert werden. Diese Schlüsselgruppe kann zuvor über die Risiken geschult werden.

GPO Erstellen

Zunächst erstelle ich eine Gruppenrichtlinie, die den Zugriff auf Wechselmedien unterbindet. Dazu erzeuge ich im Gruppenrichtlinien-Editor ein neues Objekt mit dem Namen “Deny-USB-Media”.

DenyUSBMedia01Es erscheint unter den Gruppenrichtlinienobjekten und kann editiert werden.

DenyUSBMedia02

Wechselmedien lassen sich auf Benutzer- oder Computer-Ebene sperren. Ich halte die Benutzer-Bindung für sinnvoller, da diese mit dem Benutzer wandert.

Benutzerkonfiguration > Administratove Vorlagen > System

DenyUSBMedia03

Unterhalb von System befindet sich der Knoten Wechselmedienzugriff.

DenyUSBMedia04

Hier finden sich abgestufte Verbotsrichtlinien für CD und DVD Medien, Bandlaufwerke, Disketten und Wechseldatenträger. Wahlweise kann lesen oder schreiben verboten werden. Je nachdem was man mehr fürchtet. Gefahren, die von außen kommen (Leseverbot), oder Daten die unerlaubt nach extern gebracht werden (Schreibverbot). Im Beispiel unten verbieten wir jeglichen Zugriff auf alle Arten von Wechselmedien.

Achtung! Das Betrifft natürlich auch optische Medien wie CD/DVD (Treiber-CD), Digitalkameras und Mobiltelefone. Erst planen – dann aktivieren!

DenyUSBMedia05

Aktivierung der Richtlinie “Alle Wechselmedienklassen: Jeglichen Zugriff verweigern”

DenyUSBMedia06

Zu beachten: Die Richtlinie funktioniert nur auf Betriebsystemen an Vista oder neuer.

DenyUSBMedia07

Die neue GPO muss nicht an eine OU gebunden sein. Wir können sie im Register “Delegierung” gezielt auf Sicherheitsgruppen anwenden.

DenyUSBMedia08

Im Standard gilt die GPO für alle authentifizierte Benutzer. Wichtig bei der Delegierung sind die beiden Parameter “Lesen” und “Gruppenrichtlinie übernehmen”. Man sollte allen Gruppen Leserechte auf das GP-Objekt erteilen. Das vermeidet unschöne Fehler im Systemprotokoll. Angewendet wird die Regel nur, wenn auch der Haken bei “Gruppenrichtlinie übernehmen” auf “Zulassen” gesetzt ist.

 

DenyUSBMedia09

Wie erreicht man nun, daß eine bestimmte Nutzergruppe vom Verbot ausgenommen wird? Dazu muss man verhindern, daß diese Gruppe die GPO übernimmt. Im obigen Dialog fügt man zunächst die gewünschte Gruppe (z.B. Admins) hinzu und setzt den Haken für “Gruppenrichtlinie übernehmen” auf “Verweigern”. Die Regel gilt zwar für alle authentifizierten Benutzer (Zulassen), aber der Ausnahmegruppe wird die Übernahme der GPO verweigert (=nicht angewendet). Eine Verweigerung wirkt stärker, als eine Erlaubnis.

Links

 

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert