Das Sperren von USB-Sticks ist für viele Administratoren ein wichtiges Feature. USB-Sticks stellen gerade bei Verwendung in Netzwerken teilweise ein großes Sicherheitsrisiko dar und sind letztendlich verantwortlich für die Einschleusung von Viren, Mal- oder Spyware. Leider gehen viele Unternehmen viel zu leichtsinnig mit den Gefahren und dem Umgang von USB-Sticks um und vertrauen auf die Mitarbeiter.

Dabei liefert Microsoft alle notwendigen Möglichkeiten mit, um den Mitarbeitern den Umgang mit lokalen USB-Sticks zu verbieten bzw. USB-Sticks zu sperren. Dazu sind lediglich Änderungen in den Gruppenrichtlinien notwendig.

USB-Sticks per GPO sperren

Im Gruppenrichtlinieneditor „GPEDIT.MSC“ ruft Ihr folgenden Gruppenrichtlinienzweig auf.

Computerkonfiguration / Administrative Vorlagen / System / Wechselmedienzugriff

Hier gibt es dann insgesamt 3 GPO´s, die Ihr wie folgt einstellen könnt.

Wechseldatenträger Lesezugriff verweigern

.EXE Dateien vom USB-Stick starten verhindern

Über die GPO

Wechseldatenträger: Ausführungszugriff verweigern

könnt Ihr verhindern, dass der Anwender „.exe“-Dateien direkt vom USB-Datenträger ausführen kann. Microsoft beschreibt die Funktion wie folgt:

Durch diese Richtlinieneinstellung wird der Ausführungszugriff auf Wechseldatenträger verweigert.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Ausführungszugriff auf diese Wechselmedienklasse verweigert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Ausführungszugriff auf diese Wechselmedienklasse zugelassen.

Lesezugriff auf USB-Stick blockieren

Über die GPO

Wechseldatenträger: Lesezugriff verweigern

könnt Ihr einstellen, dass Windows den Lesezugriff auf externe USB-Sticks verhindert. Microsoft gibt dazu noch folgende Info´s bekannt.

Durch diese Richtlinieneinstellung wird der Lesezugriff auf Wechseldatenträger verweigert.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Lesezugriff auf diese Wechselmedienklasse verweigert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Lesezugriff auf diese Wechselmedienklasse zugelassen.

Schreibzugriff auf USB-Sticks verhindern

Mit dieser Gruppenrichtlinie könnt Ihr dann den Schreibzugriff auf USB-Geräte verhindern.

Wechseldatenträger: Schreibzugriff verweigern

Auch dazu liefert Microsoft einige Informationen:

Durch diese Richtlinieneinstellung wird der Schreibzugriff auf Wechseldatenträger verweigert.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Schreibzugriff auf diese Wechselmedienklasse verweigert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Schreibzugriff auf diese Wechselmedienklasse zugelassen.
Hinweis: Damit Daten von Benutzern in den BitLocker-geschützten Speicher geschrieben werden, aktivieren Sie die Richtlinieneinstellung „Schreibzugriff auf nicht mit BitLocker geschützte Laufwerke verweigern„, die sich unter „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenlaufwerke“ befindet.

Weitere Informationen zum Thema „Datenträger“ findet Ihr auch in diesen Beiträgen:

– Wie kann auf einem Datenträger der Schreibschutz aktiviert oder deaktiviert werden
– FAT32-Datenträger ohne Datenverlust in NTFS Format konvertieren
– Systemreparaturdatenträger / Recovery DVD erstellen unter Windows 10
– Backup Exec – SDR Datenträger erstellen – Teil 1
– Datenträgerbereinigung – Erweiterte Optionen bei Windows 10
– USB Stick wird nicht erkannt
– USB Stick Schreibschutz aufheben
– USB Stick formatieren
– Bootfähigen USB-Stick erstellen