Bundesamt für Sicherheit in der Informationstechnik

M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Unter Windows können sämtliche Wechseldatenträger (zum Beispiel: CD , DVD , USB -Stick, SD Karte, etc. ) automatisch erkannt und bearbeitet werden. Als Folge lassen sich auf dem Datenträger gespeicherte Programme automatisch auf dem Windows-System ausführen. Die automatische Wechselmedien-Erkennung sollte daher permanent unterbunden werden.

Windows-Clients ab Windows Vista stellen Mechanismen bereit, um den Zugriff auf Wechselmedien zu kontrollieren. Beispiele für Wechselmedien sind Speicherkarten, USB -Sticks, mobile Festplatten, Digitalkameras, Disketten, CD s oder DVD s. Sie dienen der mobilen Speicherung von Daten und des Datenaustauschs zwischen IT -Systemen. Daten können von einem Client-System ab Windows Vista aus einem Wechselmedium gelesen und auf ein Wechselmedium gespeichert werden, Applikationen können von Wechselmedien gestartet werden. Zur Nutzung von Wechselmedien zählen auch die Installation oder Aktualisierung notwendiger Treiber.Seit Windows Vista können Vorgaben zur Installation und zur Nutzung von Wechselmedien über Gruppenrichtlinien konfiguriert werden.

Ermittlung der Vorgaben zur Nutzung von Wechselmedien

Die Vorgaben zur Nutzung von Wechselmedien müssen ermittelt werden. Hierfür können die fachlichen Aufgaben betrachtet werden, zu deren Erfüllung ausgewählte Benutzer Wechselmedien einsetzen müssen. Daraus lassen sich die zu erlaubenden und/oder die zu unterbindenden Wechselmedien und ihre Nutzungsmöglichkeiten ableiten.

Für Windows-Clients ab Windows Vista bietet Microsoft die Funktionen AutoRun und AutoPlay. AutoRun wird verwendet, um Programme oder erweiterte Inhalte, wie etwa Mediadateien, automatisch zu starten, wenn ein Datenträger eingelegt oder angeschlossen wird. AutoPlay ist eine Funktion mit der festgelegt wird, welches Programm genutzt werden soll, um ein bestimmtes Medium zu starten. So können beispielsweise Audio- CD s direkt mit dem MediaPlayer verknüpft werden. Dieser wird dann nach dem Einlegen einer Audio- CD automatisch gestartet. Es wird dringend empfohlen, die Funktion AutoPlay als auch die Funktion AutoRun zu deaktivieren, da diese unberechtigterweise Schadsoftware, die sich auf einem Wechselmedium befindet, starten könnte.

Zu Vorgaben, deren Durchsetzung überlegt werden sollte, zählen:

  • Deaktivierung der AutoRun-Funktion für Wechselmedien

    Zugehöriges Gruppenrichtlinienobjekt:

    AutoAusführen-Standardverhalten unter Richtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Richtlinien für die automatische Wiedergabe
  • Deaktivierung der AutoPlay-Funktion für CD - und Wechselmedienlaufweke

    Zugehöriges Gruppenrichtlinienobjekt:

    AutoPlay deaktivieren unter Richtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Richtlinien für die automatische Wiedergabe
  • Nutzung von Wechselmedien auf lokale Benutzer beschränken

    Zugehörige Gruppenrichtlinienobjekte:

    Zugriff auf CD -Laufwerke auf lokal angemeldete Benutzer beschränken unter Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien / Sicherheitsoptionen | Geräte

    Alle Wechselmedien: Jeglichen direkten Zugriff in Remotesitzungen verweigern unter Richtlinie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff

Insbesondere USB -Sticks sind zu berücksichtigen, da diese auch als Authentisierungsmittel beispielsweise gegenüber einer Festplattenverschlüsselung eingesetzt werden können. Entsprechend notwendige Lese- und Schreibzugriffe müssen dann zugelassen werden.

Auf Clients ab Unter Windows Vista kann die automatische Wiedergabe (AutoPlay) auch über Systemsteuerung | Hardware und Sound | Automatische Wiedergabe unterbunden werden. Hier lässt sich auch spezifisches Verhalten je nach Medientyp oder generelles Verhalten bei Wechselmedien einstellen. Es sollte die Einstellung Automatische Wiedergabe für alle Medien und Geräte verwenden deaktiviert werden.

Geräte verbieten oder einschränken

Standardmäßig installiert Windows sämtliche Geräte, für die Gerätetreiber vorhanden sind. Seit Windows Vista ist über Gruppenrichtlinien steuerbar, welche Geräte installierbar sind oder nicht. Hier kann zwischen speziellen Geräten oder auch ganzen Geräteklassen (z. B. Wechseldatenträger oder Drucker) unterschieden werden, die anhand einer Positivliste freigegeben oder anhand einer Negativliste verboten sind. Für die Identifizierung von Geräteklassen stellt Microsoft eine Liste sämtlicher vorhandener Gerätesetupklassen zur Verfügung. Eine weitere, restriktivere Einschränkung ist die Freigabe eines Gerätes anhand seiner Hardware-ID, die somit nur ein bestimmtes Gerät umfasst. Bei Geräten oder Geräteklassen, die in einer Negativliste aufgeführt sind, wird die Installation unterbunden. Sofern allerdings ein Gerät bereits verwendet worden ist, muss davon ausgegangen werden, dass die benötigten Treiber für das Gerät bereits installiert worden sind. In diesem Fall sind die Treiber für das Gerät zunächst zu deinstallieren.

Einschränkungen für die Geäteinstallation definieren

Wenn die folgende Richtlinieneinstellung aktiviert ist, kann ein Gerät, das nicht in den Richtlinieneinstellungen beschrieben ist, nicht installiert und dessen Treiber nicht aktualisiert werden:

Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind unter Richtlinie Computerkonfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungen bei der Geräteinstallation

Sobald versucht wird, ein neues Gerät zu installieren, wird die Installation abgebrochen. Eine Ausnahme lässt sich für Administratoren durch Aktivieren der folgenden Richtlinie erlauben:

Administratoren das Außerkraftsetzen der Richtlinien unter Einschränkungen bei der Geräteinstallation erlauben

Dadurch ist die Installation nur mittels administrativer Rechte möglich. Die Treiberinstallationseinschränkungen sind lediglich nur pro Computer und nicht auf Benutzerebene anwendbar.

Durchsetzung der Nutzungsanforderungen von Wechselmedien

Die ermittelten Nutzungsanforderungen von Wechselmedien müssen umgesetzt werden. Vorrangig sollte dies auf technischer Ebene über Gruppenrichtlinien erfolgen. Sofern die Nutzung von Wechselmedien für den Datenaustausch im Unternehmen freigegeben ist, sollte die Speicherung von Daten auf diesen verschlüsselt erfolgen.

Als Ausweichmöglichkeit oder Ergänzung bieten sich auch organisatorische Vorgaben an.

Die Konfigurationseinstellungen von Gruppenrichtlinien sollten auf ihre Korrektheit hin getestet werden, bevor sie in den Regelbetrieb übernommen werden.

Die Benutzer müssen über die sie betreffenden Vorgaben zur Nutzung von Wechselmedien informiert werden.

Prüffragen:

  • Wurden Vorgaben zur Nutzung von Wechselmedien definiert und umgesetzt?

  • Wurde die Korrektheit der technischen Umsetzung getestet?

  • Sind die Benutzer über die sie betreffenden Vorgaben zur Nutzung von Wechselmedien informiert?

Stand: 15. EL Stand 2016