Gerätesteuerung

01.09.2006 von Martin Kuppinger

Windows Vista und Windows Server Longhorn bieten deutlich erweiterte Funktionen für die Kontrolle über die installierten Geräte. Damit lässt sich insbesondere kontrollieren, ob und welche USB-Geräte eingesetzt werden dürfen und welche nicht. Die Konfiguration wird im vorliegenden Beitrag detailliert erläutert.

DMI (Device Management and Installation) ist eine neue Technologie in Windows Vista und Windows Server Longhorn. Mit dem Verfahren kann die Installation von Geräten besser als bisher gesteuert werden. Derzeit setzt die Kontrolle insbesondere über USB-Geräte voraus, dass man mit Software von Drittherstellern arbeitet. Ein in die Gruppenrichtlinien integriertes Verfahren ist daher wünschenswert. Denn diese Gruppe von Plug&Play-Geräten stellt heute eines der größten Sicherheitsrisiken für die IT dar, vor allem aus zwei Gründen:

Es ist kaum kontrollierbar, welche Informationen auf solche Geräte kopiert und aus dem Unternehmen entfernt werden.

Über USB-Festplatten oder Memory-Sticks werden potenziell Viren, Würmer und Trojaner eingeschleppt, wobei zentrale Schutzmechanismen umgangen werden.

Man kann zwar auch versuchen, den Gebrauch solcher Geräte über schriftliche Vorgaben zu steuern. Das alleine wird aber erfahrungsgemäß nicht ausreichen, um das Problem in den Griff zu bekommen.

Geräteidentifikation

Um mit Hardwaregeräten kommunizieren zu können, benötigt Windows Gerätetreiber. Wenn eine neue Hardware erkannt wird, analysiert Windows den Typ der Hardware und sucht den passenden Treiber. Zur Identifikation von Geräten werden spezielle Identifier verwendet. Dabei handelt es sich um Zeichenketten. Mit diesen Identifiern kann über die Gruppenrichtlinien gesteuert werden, welche Geräte installiert werden dürfen und welche nicht. Man unterscheidet zwei Gruppen von Identifiern:

Zeichenketten zur Identifikation von Geräten (Device Identification Strings) und

Geräteklassen (Device Setup Classes).

Geräte verfügen in der Regel über mehrere Zeichenketten zur Identifikation, die vom Gerätehersteller zugewiesen werden. Sie können vom Betriebssystem abgefragt werden. Die gleichen Zeichenketten finden sich auch in der .inf-Datei des Gerätetreibers. Durch einen Vergleich der Zeichenketten kann Windows ermitteln, welcher Gerätetreiber zu welchem Gerät passt. In der Regel wird mit mehreren Zeichenketten gearbeitet, weil es einerseits sehr spezifische Identifikatoren gibt, andererseits aber auch solche, die sich auf eine ganze Klasse von Geräten beziehen. Generell unterschieden werden zwei Varianten:

Hardware-IDs identifizieren bestimmte Geräte eindeutig. Damit wird das exakte Modell eines Geräts beschrieben. Es handelt sich immer um den ersten Eintrag in der Liste von IDs eines Geräts. Weitere Hardware-IDs können etwas unspezifischer sein und beispielsweise Hersteller und Modell, aber nicht die exakte Version beschreiben. Windows wird in diesem Fall versuchen, einen Treiber zu verwenden, der eigentlich für eine andere Version erstellt wurde.

Compatible-IDs werden verwendet, um kompatible Geräte zu installieren. Die Zeichenketten können sehr allgemeiner Natur sein und z.B. schlicht eine Festplatte kennzeichnen.

Mit DMI kann man sich das zunutze machen, indem man entweder ganz spezifische Geräte ausschließt oder auch ganze Gruppen von Geräten.

Wichtig ist in diesem Zusammenhang, dass physische Geräte mehrere IDs für unterschiedliche logische Geräte haben können. Ein gutes Beispiel dafür sind Multifunktionsgeräte mit Scan-, Druck- und Fax Funktionen. Um die Nutzung solcher Geräte über DMI zu verhindern, müssen alle IDs ausgeschlossen werden.

Die zweite Gruppe von IDs sind die Setup-Klassen von Geräten. Damit erfolgt eine Zuordnung zu einer Gruppe von Geräten wie CD-ROM für alle CD-Laufwerke. Im Gegensatz zu den relativ einfach lesbaren Zeichenketten für Hardware-IDs wird hier mit einer GUID (Globally Unique ID) gearbeitet. Die GUID ist eine lange Zeichenkette, die relativ unhandlich ist, aber für den Ausschluss von bestimmten Gruppen von Geräten besser geeignet sein kann.

Auch hier gilt, dass man alle Klassen ausschließen muss, zu denen ein bestimmtes Gerät gehört.

Einstellungen in den Gruppenrichtlinien

Die Einstellungen für DMI in den Gruppenrichtlinien finden sich bei Computer Configuration/Administrative Templates/System/Device Installation. Zunächst findet man dort einige allgemeine Festlegungen zur Geräteinstallation und darunter den Ordner Device Installation Restrictions mit den eigentlichen DMI Einstellungen (Bild 1).

Bild 1: Die Gruppenrichtlinien zur Einschränkung der Geräteinstallation.

Benutzerspezifische Einstellungen sucht man vergebens. Die Festlegungen gelten also für alle Benutzer, einschließlich der Administratoren. Jedoch kann man über die Option Allow administrators to override device installation policy erlauben, dass Administratoren diese Geräte doch installieren dürfen. Gegebenenfalls muss man sicherstellen, dass Testsysteme und administrative Arbeitsstationen für die Konfiguration von USB-Geräten von den Richtlinien ausgenommen werden, indem man dort spezielle Gruppenrichtlinien anwendet.

Die Einstellungen in den Gruppenrichtlinien haben folgende Bedeutung:

Allow administrators to override device installation policy: Mit dieser Einstellung können Mitglieder mit lokalen administrativen Berechtigungen Geräte installieren, auch wenn die Richtlinie das eigentlich untersagt.

Allow installation of devices using drivers for these device classes: Hier können Geräteklassen angegeben werden, die installiert werden dürfen. Allerdings werden die Festlegungen in diesem Bereich von den verschiedenen Prevent-Einstellungen (mit der unten beschriebenen Ausnahme) überschrieben. Man kann damit also die Installation bestimmter Geräteklassen freigeben, gleichzeitig aber einzelne Geräte über ergänzende Einstellungen ausschließen.

Prevent installation of drivers matching these device setup classes: Hier werden die GUIDs von Geräteklassen angegeben, die nicht installiert werden dürfen (Bild 2). Man muss die jeweilige GUID dazu kennen und eintragen. Bild 2 zeigt die relativ komplexe Struktur solcher GUIDs.

Bild 2: Die Festlegung von Geräteklassen, die nicht installiert werden dürfen.

Allow installation of devices that match any of these device IDs: Lässt die Installation von Geräten zu, die in der Liste von IDs aufgeführt sind. Auch hier gilt wieder, dass Prevent-Einstellungen die Festlegungen dieser Richtlinie mit einer Ausnahme überschreiben.

Prevent installation of devices that match these device IDs: Das Gegenstück zum vorher genannten Parameter. Hier kann eine Liste von IDs der Geräte angegeben werden, die nicht genutzt werden dürfen.

Prevent installation of removable devices: Diese Einstellung ist sehr umfassend und verhindert generell die Installation von Geräten, die wieder entfernt werden können.

Prevent installation of devices not described by other policy settings: Diese Richtlinie kann aktiviert werden, um die Installation aller Geräte, die nicht von einer expliziten Allow- oder Prevent-Richtlinie erfasst werden, zu vermeiden.

In der Praxis kann man sowohl mit Negativ- als auch Positiv-Listen arbeiten. Man kann beispielsweise die Allow-Richtlinien konfigurieren, um bestimmte Geräteklassen oder auch nur einzelne Geräte zuzulassen. Über Prevent installation of devices not described by other policy settings lässt sich zusätzlich die Installation aller nicht aufgeführten Geräte unterbinden.

Alternativ dazu kann man aber auch Listen von Geräten erstellen, die nicht zugelassen sind und alle anderen Installationen zulassen. Damit ist das Risiko größer, dass kritische Geräte nicht erfasst sind und doch genutzt werden. Im ersten Fall, also bei Anwendung einer Positiv-Liste, ist das Problem dagegen, dass man gegebenenfalls sehr restriktiv ist und sich immer wieder mit Benutzeranforderungen zur Freigabe weiterer Geräte auseinandersetzen muss. Welchen Weg man wählt, ist letztlich eine Frage der Sicherheitsrichtlinien im Unternehmen.

Identifikation von Geräten

Da bei den Richtlinien die jeweiligen IDs von Geräten eingegeben werden müssen, muss man diese Informationen zunächst ermitteln. Dazu wird das Gerät an einem System – im Zweifelsfall einem isolierten Testrechner – angeschlossen, um anschließend die Details über den Geräte-Manager (Bild 3) zu ermitteln.

Bild 3: Der Geräte-Manager von Windows Vista mit einem installierten USB-Gerät.

Dort werden im Register Details die verschiedenen Eigenschaften eines Geräts abgefragt, bei Property unter anderem

Hardware Ids,

Compatible Ids und

Device Class GUIDs.

Je nach Art des Geräts sind dort jeweils einer oder mehrere Einträge enthalten. Gerade bei den Hardware IDs (Bild 4) wird die Struktur der Einträge sehr gut deutlich. Je nach Ansatz kann nun ein sehr spezifischer oder ein eher allgemein gehaltener Eintrag ausgewählt werden. Der Eintrag USBSTOR\GenDisk, der übrigens auch bei den Compatible-IDs auftaucht, würde generell die Verwendung von USB-Festplatten unterbinden, während alle anderen Einträge in diesem Fall nur bestimmte Toshiba-Geräte erfassen.

Bild 4: Die Auswahl der Geräteklassen.

Da es in der Regel darum geht, bestimmte Geräteklassen wie USB-Festplatten oder USB-Memory-Sticks generell auszuschließen, wird man beim Ausschluss meist mit sehr allgemeinen Einträgen arbeiten. Positiv-Listen hingegen erfordern oft sehr spezifische Einträge, weil man nur spezielle vom Unternehmen erworbene Geräte freigeben möchte.

Wenn man einmal weiß, wo die IDs und GUIDs zu finden sind, lässt sich die DMI-Funktionalität bei Windows Vista und Windows Server Longhorn mit wenig Aufwand nutzen, um die Sicherheit im System deutlich zu erhöhen.