Bundesamt für Sicherheit in der Informationstechnik

M 4.52 Geräteschutz unter NT-basierten Windows-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Normalerweise erlauben Windows-Betriebssysteme allen Programmen den Zugriff auf Disketten, CD / DVD-ROM s/RWs und USB -Schnittstellen. Es ist empfehlenswert, diesen Zugriff auf den gerade interaktiv angemeldeten Benutzer zu beschränken, indem die Geräte diesem Benutzer beim Anmelden exklusiv zugeordnet werden.

Im Folgenden wird beschrieben, wie der Zugriff auf Disketten- und CD-ROM-Laufwerke eingeschränkt werden kann. Der Zugriff auf andere Laufwerke für auswechselbare Datenträger sollte auf vergleichbare Weise eingeschränkt werden. Seit Windows Vista und Windows Server 2008 kann der Zugriff auf Wechselmedien durch die Nutzung von Gruppenrichtlinien detailliert gesteuert werden. Es kann nun grundsätzlich festgelegt werden, auf welche Typen von Wechselmedien zugegriffen werden darf, und ob zum Beispiel nur Lesezugriff erlaubt ist. Abhängig von der jeweiligen Umgebung und von den zu konfigurierenden Systemen kann dies entweder im Benutzer- oder im Computerkontext konfiguriert werden. Der Pfad zu den Konfigurationen innerhalb der Sicherheitseinstellungen lautet:

Computerkonfiguration [Benutzerkonfiguration] | Administrative Vorlagen | System | Wechselmedienzugriff

Darüber hinaus kann nun der Zugriff auf die USB-Schnittstellen über sogenannte Geräte-Identifikations-Strings und Geräte-Setup-Klassen genauer konfiguriert werden. Dies ermöglicht eine gezielte Konfiguration, wie zum Beispiel ausschließlich USB-Festplatten zu erlauben, ohne die USB-Schnittstelle vollständig deaktivieren zu müssen. Ab Windows 2000/Server 2003 erfolgt die Konfiguration über die lokalen Sicherheitseinstellungen bzw. über eine Gruppenrichtlinie. Die relevanten Parameter sind unter Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen zu finden und lauten unter Windows 2000:

Hinweis: Da die Geräte beim Abmelden wieder für den allgemeinen Zugriff freigegeben werden, sind Benutzer darauf hinzuweisen, dass Datenträger vor dem Abmelden aus den Geräten zu entfernen sind.

Sofern Diskettenlaufwerke vollständig abgeschaltet werden sollen, kann dies auch dadurch geschehen, dass in der Computerverwaltung/Gerätemanager ab Windows 2000/Server 2003 dem Gerät "Floppy" die Startart Deaktiviert zugewiesen wird. Damit wird das nötige Treiberprogramms nicht geladen. Nach dem nächsten Systemstart steht das Diskettenlaufwerk nicht mehr zur Verfügung, und es kann nur von einem Administrator durch Zuweisen der Startart System wieder nutzbar gemacht werden.

Darüber hinaus können Laufwerke in der Regel durch geeignete Konfigurationen innerhalb des Computer-BIOS deaktiviert werden.

Weiterhin erlaubt Windows allen Benutzern den Zugriff auf Bandlaufwerke, so dass jeder Benutzer den Inhalt jedes Bandes lesen und schreiben kann. Normalerweise bringt dies keine Probleme mit sich, da zu einem gegebenen Zeitpunkt jeweils nur ein Benutzer interaktiv angemeldet ist. Sofern dieser jedoch ein Programm laufen lässt, das auch nach dem Abmelden noch auf das Bandlaufwerk zugreift, so kann dieses Programm möglicherweise auf ein Band zugreifen, das der nächste Benutzer einlegt, der sich anmeldet. Aus diesem Grund sollten Rechner, die sich nicht in einer kontrollierten Umgebung befinden und auf denen vertrauliche Daten verarbeitet werden, neu gestartet werden, ehe das Bandlaufwerk genutzt wird.

Hinweis: Der Einsatz von selbstladenden Bandgeräten, die mehrere Bänder aus einem Reservoir laden können, darf nur unter sehr genau kontrollierten Randbedingungen zugelassen werden. In der Regel sollten derartige Geräte nur zur Datensicherung an einem Server installiert werden. Der interaktive Zugriff normaler Benutzer auf diesen Server ist nicht zulässig (siehe auch M 6.32 Regelmäßige Datensicherung ).

Weitere Empfehlungen zum geeigneten Umgang mit Laufwerken für Wechselmedien finden sich in M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern .

Prüffragen:

  • Wird der Zugriff auf Laufwerke mit Wechselmedien auf den lokal angemeldeten Benutzer beschränkt?

  • Werden die Benutzer von Wechselmedien darauf hingewiesen, dass Datenträger vor dem Abmelden aus den Laufwerken zu entfernen sind?

Stand: 13. EL Stand 2013