Gerätesteuerung

Identifikation von Geräten

Da bei den Richtlinien die jeweiligen IDs von Geräten eingegeben werden müssen, muss man diese Informationen zunächst ermitteln. Dazu wird das Gerät an einem System – im Zweifelsfall einem isolierten Testrechner – angeschlossen, um anschließend die Details über den Geräte-Manager (Bild 3) zu ermitteln.

Bild 3: Der Geräte-Manager von Windows Vista mit einem installierten USB-Gerät.
Bild 3: Der Geräte-Manager von Windows Vista mit einem installierten USB-Gerät.

Dort werden im Register Details die verschiedenen Eigenschaften eines Geräts abgefragt, bei Property unter anderem

  • Hardware Ids,

  • Compatible Ids und

  • Device Class GUIDs.

Je nach Art des Geräts sind dort jeweils einer oder mehrere Einträge enthalten. Gerade bei den Hardware IDs (Bild 4) wird die Struktur der Einträge sehr gut deutlich. Je nach Ansatz kann nun ein sehr spezifischer oder ein eher allgemein gehaltener Eintrag ausgewählt werden. Der Eintrag USBSTOR\GenDisk, der übrigens auch bei den Compatible-IDs auftaucht, würde generell die Verwendung von USB-Festplatten unterbinden, während alle anderen Einträge in diesem Fall nur bestimmte Toshiba-Geräte erfassen.

Bild 4: Die Auswahl der Geräteklassen.
Bild 4: Die Auswahl der Geräteklassen.

Da es in der Regel darum geht, bestimmte Geräteklassen wie USB-Festplatten oder USB-Memory-Sticks generell auszuschließen, wird man beim Ausschluss meist mit sehr allgemeinen Einträgen arbeiten. Positiv-Listen hingegen erfordern oft sehr spezifische Einträge, weil man nur spezielle vom Unternehmen erworbene Geräte freigeben möchte.

Wenn man einmal weiß, wo die IDs und GUIDs zu finden sind, lässt sich die DMI-Funktionalität bei Windows Vista und Windows Server Longhorn mit wenig Aufwand nutzen, um die Sicherheit im System deutlich zu erhöhen.