Endpoint Security - DeviceLock

Schon seit Windows XP gibt es verschiedene Tricks, um Schnittstellen für Clients zu blockieren. Schnittstellen können heute nur noch selten "ausgebaut" werden aber eine Deaktivierung im BIOS ist in den meisten Fällen möglich. Wird das Bios-Setup selbst dann durch ein Kennwort geschützt, können Anwender diesen Schutz meist nicht umgehen. Leider ist diese Sperre dann auch nur schwer temporär wieder aufzuheben. Alternativ kann die Nutzung der Schnittstelle im Betriebssystem unterbunden werden. Werden die Treiber nicht gestartet oder die Zugriff per ACL reglementiert, kann der Zugriff schon seit Windows XP auf Benutzer oder Administratoren beschränkt werden. Mit Windows 2008 gibt es jedoch deutlich bessere Gruppenrichtlinien, die auch für Windows XP noch eingesetzt werden können. Zuerst benötigen wir die neuen GPO Verwaltungstools (Auf Vista SP1, Windows 2008 oder Windows 7). Zudem müssen alle DCs mindestens Windows 2003 SP1 ausführen und das Schema auf Windows 2008 erweitert werden.

Damit lassen sich dann auch für Windows XP und neuer verschiedene Dinge einstellen. Dazu muss noch nicht mal das Active Directory auf Windows 2008 sein. Entsprechende CALs benötigen Sie aber wohl schon. Hier dann ein Beispiel einer GPO, bei der auf Benutzerebene der COM1-Port gesperrt wird:

Über diesen Weg können Sie Geräte blocken oder zulassen. Beachten Sie einfach die Reihenfolge, nach denen der Client die Evaluierung durchführt. Sobald ein "Match" vorliegt, steht das Ergebnis fest.

Allerdings muss man dabei beachten, dass die Konfiguration hier das genaue USB-Geräte (VendorID, DeviceID und Instanz) abspeichert und mit Bordmittel keine "Klassen" gebildet werden können. In der GUI sieht man aber z.B. "USB-Massenspeicher" aber dahinter verbirgt sich nicht ein "generischer USB-Stick".

Kniffliger wird es auch, dass es nicht mehr ausreicht, einfach USB-Sticks zu blockieren. Viele andere Schnittstellen erlauben ebenfalls einen Dateitransfer (z.B. Senden an Bluetooth o.ä.) und auch die Speicherkarte in einer Digitalkamera oder MP3-Player kann oft als Transportmedium missbraucht werden.

Die Konfiguration der gesperrten und erlaubten Geräte ist natürlich im Hintergrund eine XML-Datei. Über diese XML-Datei kann man statt des Vendor auch komplette Gerätklassen einbinden. Nur ist das etwas knifflig, so dass ich hier mal Marc Heitbrink ( www.grurili.de ) zitiere.

Aber, du kannst/musst folgendes machen:
- es wird immer die HW ID verwendet, von dem PC an dem du die Richtlinie konfigurierst.
- Deaktiviere USB
- "ziehe" dieses Objekt auf den Desktop, dann wird dir das XML File direkt angeboten.
- das XML kannst du jetzt editieren
- spiele ein wenig mit den HD IDssuche/finde die Klasse im Geräte Manager die tatsächlich brauchst.
z.B. aus: PCI\VEN_8086&DEV_0823&SuBSYS_C024544D&REV_18
wird PCI\VEN_8086&DEV_0823&CC_0805
oder PCI\VEN_8086&DEV_0823

Das XML kannst du dann per Drag& Drop wieder integrieren. Wundere dich nicht, wenn die "GuI" jetzt etwas seltsam aussieht, wenn man es darüber wieder konfigurieren möchte, das passt schon.

Es ist also nicht so einfach, wie die GUI erst einmal glauben macht.

Speicher Geräte blocken

Parallel dazu gibt es auch noch die "alte" Oberfläche, mit der generell bestimmte Geräte gesperrt werden können. Diese ist sogar im Bezug auf USB-Sticks und Speichergeräten im Allgemeinen sogar viel besser geeignet.

Damit wird es natürlich wieder schwer für andere Produkte von Drittherstellern. Sicher ist Windows hier nicht perfekt aber für die meisten Umgebungen wieder einmal ausreichend um Drittprodukte entfallen zu lassen. Eine weitere Steigerung der Flexibilität bekommen sie mit dem Advanced Group Policy Management (AGPM), welches aber nur für Software Assurance Kunden verfügbar ist.

The former GPOVault Enterprise offering from DesktopStandard has been replaced by the new Microsoft Advanced Group Policy Management (AGPM). AGPM is included as part of the Microsoft Desktop Optimization Pack für Software Assurance. für more information, see http://www.windowsvista.com/optimizeddesktop/.
Quelle: http://technet.microsoft.com/en-us/windowsserver/cc817591.aspx

Weitere Links