Datenleck USB richtig absichern

Auch Windows kann schützen

Da es derlei Probleme schon recht lange gibt, haben Systemverwalter und Anwender schon auf den XP-Systemen nach einer Möglichkeit gesucht, den Zugriff auf die USB-Anschlüsse über das Betriebssystem zu regulieren. Aus Ermanglung an entsprechenden, ins Betriebssystem integrierten Fähigkeiten wurde dazu, wie so häufig bei den älteren Windows-Systemen, der Zugriff auf die Registrierungsdatenbank (Registry) gewählt.

Jeder erfahrene System-Profi wird jedoch bestätigen, dass eine Änderung "von Hand" an dieser zentralen Windows-Datenbank zur Verwaltung des Systems und dessen Dienste immer mit einem hohen Risiko behaftet ist: Änderungen, die dort ausgeführt werden, sind immer sofort aktiv und können dementsprechend ein Windows-System auch nachhaltig beschädigen. Trotzdem wird diese Einstellung, die bereits installierte USB-Laufwerke abschaltet, sodass der Anwender sie nicht mehr verwenden kann, immer noch eingesetzt. Einer ihrer Vorteile liegt darin, dass sie sowohl auf älteren als auch auf den neuen Windows-Systemen funktioniert.

Dazu muss im Registry-Schlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

der hexadezimale Wert des Eintrags "Start" auf 4 gesetzt werden. Danach kann ein Nutzer zwar noch USB-Geräte wie Tastatur und Maus verwenden, wird aber nicht mehr auf Speichergeräte zugreifen können. Die Handhabung dieser Methode ist allerdings sehr umständlich, da ein Systemverwalter einen Aufruf des Registry-Editors in das Anmelde-Script integrieren muss. Zudem muss er dafür sorgen, dass diese Einstellung auch bei neuen Geräten wirksam wird (durch ein weiteres Script), da Windows bei Installation eines neuen Geräts an dieser Stelle grundsätzlich den Wert 3 einträgt, der den Zugriff erlaubt.