Das Sperren von USB-Sticks ist für viele Administratoren ein wichtiges Feature. USB-Sticks stellen gerade bei Verwendung in Netzwerken teilweise ein großes Sicherheitsrisiko dar und sind letztendlich verantwortlich für die Einschleusung von Viren, Mal- oder Spyware. Leider gehen viele Unternehmen viel zu leichtsinnig mit den Gefahren und dem Umgang von USB-Sticks um und vertrauen auf die Mitarbeiter.
Dabei liefert Microsoft alle notwendigen Möglichkeiten mit, um den Mitarbeitern den Umgang mit lokalen USB-Sticks zu verbieten bzw. USB-Sticks zu sperren. Dazu sind lediglich Änderungen in den Gruppenrichtlinien notwendig.
USB-Sticks per GPO sperren
Im Gruppenrichtlinieneditor „GPEDIT.MSC“ ruft Ihr folgenden Gruppenrichtlinienzweig auf.
Computerkonfiguration / Administrative Vorlagen / System / Wechselmedienzugriff
Hier gibt es dann insgesamt 3 GPO´s, die Ihr wie folgt einstellen könnt.
.EXE Dateien vom USB-Stick starten verhindern
Über die GPO
Wechseldatenträger: Ausführungszugriff verweigern
könnt Ihr verhindern, dass der Anwender „.exe“-Dateien direkt vom USB-Datenträger ausführen kann. Microsoft beschreibt die Funktion wie folgt:
Durch diese Richtlinieneinstellung wird der Ausführungszugriff auf Wechseldatenträger verweigert.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Ausführungszugriff auf diese Wechselmedienklasse verweigert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Ausführungszugriff auf diese Wechselmedienklasse zugelassen.
Lesezugriff auf USB-Stick blockieren
Über die GPO
Wechseldatenträger: Lesezugriff verweigern
könnt Ihr einstellen, dass Windows den Lesezugriff auf externe USB-Sticks verhindert. Microsoft gibt dazu noch folgende Info´s bekannt.
Durch diese Richtlinieneinstellung wird der Lesezugriff auf Wechseldatenträger verweigert.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Lesezugriff auf diese Wechselmedienklasse verweigert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Lesezugriff auf diese Wechselmedienklasse zugelassen.
Schreibzugriff auf USB-Sticks verhindern
Mit dieser Gruppenrichtlinie könnt Ihr dann den Schreibzugriff auf USB-Geräte verhindern.
Wechseldatenträger: Schreibzugriff verweigern
Auch dazu liefert Microsoft einige Informationen:
Durch diese Richtlinieneinstellung wird der Schreibzugriff auf Wechseldatenträger verweigert.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Schreibzugriff auf diese Wechselmedienklasse verweigert.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Schreibzugriff auf diese Wechselmedienklasse zugelassen.
Hinweis: Damit Daten von Benutzern in den BitLocker-geschützten Speicher geschrieben werden, aktivieren Sie die Richtlinieneinstellung „Schreibzugriff auf nicht mit BitLocker geschützte Laufwerke verweigern„, die sich unter „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenlaufwerke“ befindet.
Weitere Informationen zum Thema „Datenträger“ findet Ihr auch in diesen Beiträgen:
– Wie kann auf einem Datenträger der Schreibschutz aktiviert oder deaktiviert werden
– FAT32-Datenträger ohne Datenverlust in NTFS Format konvertieren
– Systemreparaturdatenträger / Recovery DVD erstellen unter Windows 10
– Backup Exec – SDR Datenträger erstellen – Teil 1
– Datenträgerbereinigung – Erweiterte Optionen bei Windows 10
– USB Stick wird nicht erkannt
– USB Stick Schreibschutz aufheben
– USB Stick formatieren
– Bootfähigen USB-Stick erstellen
Neueste Kommentare