Inhalt
USB ist die am häufigsten verwendete Schnittstelle zum Anschließen von Peripheriegeräten an einen Computer. Die meisten Computer verfügen über zwei oder vier USB-Anschlüsse zum Anschließen von Tastatur, Maus, Festplatten oder Flash-Laufwerken und anderen ähnlichen Speichergeräten. Durch das Sperren und Entsperren der Ports über die Windows-Gruppenrichtlinieneinstellungen (Gruppenrichtlinien-Editor) werden die mit der USB-Sicherheit verbundenen Risiken verringert.
Sicherheits Risikos
USB-Anschlüsse und Flash-Laufwerke erleichtern die Durchführung von Backups und Datenübertragungen. Andererseits erleichtern sie aber auch denjenigen das Leben, die sie stehlen wollen. Wenn Sie einen USB-Stick in Ihren Computer einstecken, kontaminieren Sie ihn möglicherweise mit Viren. Der 2008 identifizierte Conficker-Wurm kann beispielsweise in den Pendrive eindringen und sich auf Computer ausbreiten, die mit ihm in Kontakt gekommen sind. Aus diesem Grund ist es wichtig, die Ports zu blockieren, um sie funktionsunfähig zu machen und so Ihr Netzwerk zu schützen.
Gruppenrichtlinien-Editor
Ab der Vista-Version von Windows bietet diese Option Benutzern Tools zum Blockieren von USB-Anschlüssen. Der Remotespeicherzugriff verhindert, dass der Port Daten auf Flash-Laufwerken und CDs liest oder schreibt (oder beides). Der Administrator kann Geräteinstallationsbeschränkungen konfigurieren, um den Port einzuschränken und nicht zu autorisieren die Installation bestimmter Geräte, wie z. B. eines Joysticks, oder sogar die Verhinderung aller Geräte, die nicht von autorisierten Anbietern stammen. Der Editor hat auch die Funktion, Listen von Gruppen und bestimmten Hardwaretypen zu erstellen und die Türen zu entriegeln, wenn der Administrator Hardware von einem neuen Anbieter autorisiert.
Zusätzliche Sicherheit
Obwohl der Editor die Türen nur für bestimmte autorisierte Geräte verriegelt, kann möglicherweise jemand mit autorisierten Geräten in das System eindringen. Werkzeuge, bei denen Dritte die Tür verriegeln müssen, bieten einen besseren Schutz. SafeEnd Protector bietet dem Netzwerkadministrator beispielsweise die Möglichkeit, Ports für Wechseldatenträger zu blockieren. Mit DeviceLock können Administratoren den Benutzerzugriff steuern, indem sie bestimmte Zeiten zum Blockieren von USB-Anschlüssen festlegen und alle von Geräten in diesem Zeitraum erstellten Kopien aufzeichnen.
Überlegungen
Der Richtlinieneditor bietet dem Administrator einige Flexibilität beim Sperren und Entsperren von Ports. Sie können beispielsweise die Einstellungen so konfigurieren, dass die Türen entsperrt werden, während sie verwendet werden oder wenn eine bestimmte Gruppe darauf zugreifen muss. Sie können einen zu entsperrenden Computer auch einzeln konfigurieren, anstatt die Konfiguration über das Netzwerk festlegen zu müssen. Wenn eine Regel festgelegt ist, um die Türen während des Gebrauchs zu entriegeln, hat diese Regel Vorrang vor den Sicherheitseinstellungen.