Gerätesteuerung

Windows Vista und Windows Server Longhorn bieten deutlich erweiterte Funktionen für die Kontrolle über die installierten Geräte. Damit lässt sich insbesondere kontrollieren, ob und welche USB-Geräte eingesetzt werden dürfen und welche nicht. Die Konfiguration wird im vorliegenden Beitrag detailliert erläutert.

DMI (Device Management and Installation) ist eine neue Technologie in Windows Vista und Windows Server Longhorn. Mit dem Verfahren kann die Installation von Geräten besser als bisher gesteuert werden. Derzeit setzt die Kontrolle insbesondere über USB-Geräte voraus, dass man mit Software von Drittherstellern arbeitet. Ein in die Gruppenrichtlinien integriertes Verfahren ist daher wünschenswert. Denn diese Gruppe von Plug&Play-Geräten stellt heute eines der größten Sicherheitsrisiken für die IT dar, vor allem aus zwei Gründen:

  • Es ist kaum kontrollierbar, welche Informationen auf solche Geräte kopiert und aus dem Unternehmen entfernt werden.

  • Über USB-Festplatten oder Memory-Sticks werden potenziell Viren, Würmer und Trojaner eingeschleppt, wobei zentrale Schutzmechanismen umgangen werden.

Man kann zwar auch versuchen, den Gebrauch solcher Geräte über schriftliche Vorgaben zu steuern. Das alleine wird aber erfahrungsgemäß nicht ausreichen, um das Problem in den Griff zu bekommen.

Geräteidentifikation

Um mit Hardwaregeräten kommunizieren zu können, benötigt Windows Gerätetreiber. Wenn eine neue Hardware erkannt wird, analysiert Windows den Typ der Hardware und sucht den passenden Treiber. Zur Identifikation von Geräten werden spezielle Identifier verwendet. Dabei handelt es sich um Zeichenketten. Mit diesen Identifiern kann über die Gruppenrichtlinien gesteuert werden, welche Geräte installiert werden dürfen und welche nicht. Man unterscheidet zwei Gruppen von Identifiern:

  • Zeichenketten zur Identifikation von Geräten (Device Identification Strings) und

  • Geräteklassen (Device Setup Classes).

Geräte verfügen in der Regel über mehrere Zeichenketten zur Identifikation, die vom Gerätehersteller zugewiesen werden. Sie können vom Betriebssystem abgefragt werden. Die gleichen Zeichenketten finden sich auch in der .inf-Datei des Gerätetreibers. Durch einen Vergleich der Zeichenketten kann Windows ermitteln, welcher Gerätetreiber zu welchem Gerät passt. In der Regel wird mit mehreren Zeichenketten gearbeitet, weil es einerseits sehr spezifische Identifikatoren gibt, andererseits aber auch solche, die sich auf eine ganze Klasse von Geräten beziehen. Generell unterschieden werden zwei Varianten:

  • Hardware-IDs identifizieren bestimmte Geräte eindeutig. Damit wird das exakte Modell eines Geräts beschrieben. Es handelt sich immer um den ersten Eintrag in der Liste von IDs eines Geräts. Weitere Hardware-IDs können etwas unspezifischer sein und beispielsweise Hersteller und Modell, aber nicht die exakte Version beschreiben. Windows wird in diesem Fall versuchen, einen Treiber zu verwenden, der eigentlich für eine andere Version erstellt wurde.

  • Compatible-IDs werden verwendet, um kompatible Geräte zu installieren. Die Zeichenketten können sehr allgemeiner Natur sein und z.B. schlicht eine Festplatte kennzeichnen.

Mit DMI kann man sich das zunutze machen, indem man entweder ganz spezifische Geräte ausschließt oder auch ganze Gruppen von Geräten.

Wichtig ist in diesem Zusammenhang, dass physische Geräte mehrere IDs für unterschiedliche logische Geräte haben können. Ein gutes Beispiel dafür sind Multifunktionsgeräte mit Scan-, Druck- und Fax Funktionen. Um die Nutzung solcher Geräte über DMI zu verhindern, müssen alle IDs ausgeschlossen werden.

Die zweite Gruppe von IDs sind die Setup-Klassen von Geräten. Damit erfolgt eine Zuordnung zu einer Gruppe von Geräten wie CD-ROM für alle CD-Laufwerke. Im Gegensatz zu den relativ einfach lesbaren Zeichenketten für Hardware-IDs wird hier mit einer GUID (Globally Unique ID) gearbeitet. Die GUID ist eine lange Zeichenkette, die relativ unhandlich ist, aber für den Ausschluss von bestimmten Gruppen von Geräten besser geeignet sein kann.

Auch hier gilt, dass man alle Klassen ausschließen muss, zu denen ein bestimmtes Gerät gehört.