M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator, Benutzer
Windows Vista stellt Mechanismen bereit, um den Zugriff auf Wechselmedien zu kontrollieren. Beispiele für Wechselmedien sind Speicherkarten, USB-Sticks, mobile Festplatten, Digitalkameras, Disketten, CD s oder DVD s. Sie dienen der mobilen Speicherung von Daten und des Datenaustauschs zwischen IT-Systemen. Daten können von einem Windows Vista System aus einem Wechselmedium gelesen und auf ein Wechselmedium gespeichert werden. Applikationen können von Wechselmedien gestartet werden. Zur Nutzung von Wechselmedien zählen auch die Installation oder Aktualisierung notwendiger Treiber.
Mit Windows Vista können Vorgaben zur Installation und zur Nutzung von Wechselmedien über Gruppenrichtlinien durchgesetzt werden.
Ermittlung der Vorgaben zur Nutzung von Wechselmedien
Die Vorgaben zur Nutzung von Wechselmedien müssen ermittelt werden. Hierfür können die fachlichen Aufgaben betrachtet werden, zu deren Erfüllung ausgewählte Benutzer Wechselmedien einsetzen müssen. Daraus lassen sich die zu erlaubenden und/oder die zu unterbindenden Wechselmedien und ihre Nutzungsmöglichkeiten ableiten.
Zu Vorgaben, deren Durchsetzung überlegt werden sollte, zählen:
- Deaktivierung der AutoRun-Funktion für Wechselmedien
Zugehöriges Gruppenrichtlinienobjekt:
Autoplay deaktivieren unter Richtlinie Computerkonfiguration | Administrative Vorlagen | Windows Komponenten | Richtlinien für die automatische Wiedergabe - Nutzung von Wechselmedien auf lokale Benutzer beschränken
Zugehörige Gruppenrichtlinienobjekte:
Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken unter Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien / Sicherheitsoptionen | Geräte
Alle Wechselmedien: Jeglichen direkten Zugriff in Remotesitzungen verweigern unter Richtlinie Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff
Insbesondere USB-Sticks sind hier zu berücksichtigen, da diese auch als Authentisierungsmittel gegenüber Windows Vista BitLocker eingesetzt werden können. Entsprechend notwendige Lese- und Schreibzugriffe müssen dann zugelassen werden.
Durchsetzung der Nutzungsanforderungen von Wechselmedien
Die ermittelten Nutzungsanforderungen von Wechselmedien müssen umgesetzt werden. Vorrangig sollte dies auf technischer Ebene über Gruppenrichtlinien erfolgen.
Als Ausweichmöglichkeit oder Ergänzung bieten sich auch organisatorische Vorgaben an.
Die Konfigurationseinstellungen von Gruppenrichtlinien sollten auf ihre Korrektheit hin getestet werden, bevor sie in den Regelbetrieb übernommen werden.
Die Benutzer müssen über die sie betreffenden Vorgaben zur Nutzung von Wechselmedien informiert werden.
Prüffragen:
- Wurden Vorgaben zur Nutzung von Wechselmedien definiert?
- Sind die Vorgaben zur Nutzung von Wechselmedien umgesetzt?
- Wurde die Korrektheit der technischen Umsetzung getestet?
- Sind die Benutzer über die sie betreffenden Vorgaben zur Nutzung von Wechselmedien informiert?