Gerätesteuerung

Einstellungen in den Gruppenrichtlinien

Die Einstellungen für DMI in den Gruppenrichtlinien finden sich bei Computer Configuration/Administrative Templates/System/Device Installation. Zunächst findet man dort einige allgemeine Festlegungen zur Geräteinstallation und darunter den Ordner Device Installation Restrictions mit den eigentlichen DMI Einstellungen (Bild 1).

Bild 1: Die Gruppenrichtlinien zur Einschränkung der Geräteinstallation.
Bild 1: Die Gruppenrichtlinien zur Einschränkung der Geräteinstallation.

Benutzerspezifische Einstellungen sucht man vergebens. Die Festlegungen gelten also für alle Benutzer, einschließlich der Administratoren. Jedoch kann man über die Option Allow administrators to override device installation policy erlauben, dass Administratoren diese Geräte doch installieren dürfen. Gegebenenfalls muss man sicherstellen, dass Testsysteme und administrative Arbeitsstationen für die Konfiguration von USB-Geräten von den Richtlinien ausgenommen werden, indem man dort spezielle Gruppenrichtlinien anwendet.

Die Einstellungen in den Gruppenrichtlinien haben folgende Bedeutung:

  • Allow administrators to override device installation policy: Mit dieser Einstellung können Mitglieder mit lokalen administrativen Berechtigungen Geräte installieren, auch wenn die Richtlinie das eigentlich untersagt.

  • Allow installation of devices using drivers for these device classes: Hier können Geräteklassen angegeben werden, die installiert werden dürfen. Allerdings werden die Festlegungen in diesem Bereich von den verschiedenen Prevent-Einstellungen (mit der unten beschriebenen Ausnahme) überschrieben. Man kann damit also die Installation bestimmter Geräteklassen freigeben, gleichzeitig aber einzelne Geräte über ergänzende Einstellungen ausschließen.

  • Prevent installation of drivers matching these device setup classes: Hier werden die GUIDs von Geräteklassen angegeben, die nicht installiert werden dürfen (Bild 2). Man muss die jeweilige GUID dazu kennen und eintragen. Bild 2 zeigt die relativ komplexe Struktur solcher GUIDs.

Bild 2: Die Festlegung von Geräteklassen, die nicht installiert werden dürfen.
Bild 2: Die Festlegung von Geräteklassen, die nicht installiert werden dürfen.
  • Allow installation of devices that match any of these device IDs: Lässt die Installation von Geräten zu, die in der Liste von IDs aufgeführt sind. Auch hier gilt wieder, dass Prevent-Einstellungen die Festlegungen dieser Richtlinie mit einer Ausnahme überschreiben.

  • Prevent installation of devices that match these device IDs: Das Gegenstück zum vorher genannten Parameter. Hier kann eine Liste von IDs der Geräte angegeben werden, die nicht genutzt werden dürfen.

  • Prevent installation of removable devices: Diese Einstellung ist sehr umfassend und verhindert generell die Installation von Geräten, die wieder entfernt werden können.

  • Prevent installation of devices not described by other policy settings: Diese Richtlinie kann aktiviert werden, um die Installation aller Geräte, die nicht von einer expliziten Allow- oder Prevent-Richtlinie erfasst werden, zu vermeiden.

In der Praxis kann man sowohl mit Negativ- als auch Positiv-Listen arbeiten. Man kann beispielsweise die Allow-Richtlinien konfigurieren, um bestimmte Geräteklassen oder auch nur einzelne Geräte zuzulassen. Über Prevent installation of devices not described by other policy settings lässt sich zusätzlich die Installation aller nicht aufgeführten Geräte unterbinden.

Alternativ dazu kann man aber auch Listen von Geräten erstellen, die nicht zugelassen sind und alle anderen Installationen zulassen. Damit ist das Risiko größer, dass kritische Geräte nicht erfasst sind und doch genutzt werden. Im ersten Fall, also bei Anwendung einer Positiv-Liste, ist das Problem dagegen, dass man gegebenenfalls sehr restriktiv ist und sich immer wieder mit Benutzeranforderungen zur Freigabe weiterer Geräte auseinandersetzen muss. Welchen Weg man wählt, ist letztlich eine Frage der Sicherheitsrichtlinien im Unternehmen.