USB-Filter
Ähnlich wie bei einem Whitelisting für Applikationen können auch USB-Geräte als vertrauensvoll gelistet werden. USB-Geräte, die nicht auf der freigegebenen Liste stehen, werden vom Betriebssystem nicht akzeptiert. So können einheitliche Service-USB-Sticks für die Wartung der Geräte definiert werden, die nur freigegebene Anwendungen enthalten und regelmäßig überprüft werden. Nicht anwendungsspezifische (z. B. private) USB-Sticks können so keinen Schaden anrichten. Der USB-Filter dient dabei allen Geräten, die über USB angeschlossen werden. Dazu zählen z. B. auch HID Geräte wie Maus/Tastatur, alle Speichermedien wie USB-Sticks, Festplatten und Card-Reader.
Die USB-Filter in einem Betriebssystem beziehen sich jedoch auf Hersteller- und Produkt-ID (Vendor ID [VID] / Product ID [PID]) im USB, die keine kryptographische Absicherung haben und gefälscht werden können.
Um externe Schnittstellen wie USB zu blockieren, können diese physikalisch, z. B. durch einen Schaltschrank gesichert werden. Aber auch wenn das Gerät in einem Schaltschrank verbaut ist, gibt es Situationen, in denen ein USB-Port ausgeführt wurde bzw. werden muss. Um die dadurch vorhandene Angriffsfläche zu verkleinern, sollte die Nutzung der Schnittstelle im Betriebssystem eingestellt und beschränkt werden.
Die bei den USB Filtern verwendeten IDs sind allerdings nicht kryptographisch gesichert, sodass bösartige Angriffe mit präparierten USB Geräten die USB Filter umgehen können.
Es gibt verschiedene Wege, um USB-Device auf Betriebssystemebene einzuschränken:
- Wenn das Gerät noch nicht installiert wurde, kann die Installation verhindert werden, indem dem aktuellen Benutzer und dem Benutzer SYSTEM der Zugriff auf die folgenden Dateien entzogen wird:
- %SystemRoot%\Inf\Usbstor.pnf
- %SystemRoot%\Inf\Usbstor.inf
- %SystemRoot%\System32\DriverStore\Usbstor.inf*
- Um die generelle Verwendung von USB-Massenspeichergeräten zu unterbinden, kann in der Registry unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSer\services\USBSTORder Eintrag „ImagePath“ auf einen ungültigen Pfad gesetzt werden. - Wie die Nutzung von USB-Geräten granularer über Policy-Einstellungen (Group Policy) eingeschränkt werden kann, wird hier beschrieben.
- USB-Schnittstellen können auch im BIOS abgeschaltet werden. Beachten Sie dabei, dass über die abgeschalteten Schnittstellen auch Eingabegeräte, wie Tastatur und Maus, nicht mehr funktionieren.
 | Zu beachten ist, dass über die Registry eingestellte Werte NICHT automatisch mit denen in der Gruppenrichtlinie, eingestellten Werte synchronisiert werden. Es wird empfohlen, die Einstellungen ausschließlich über die Gruppenrichtlinie durchzuführen. |
Unter Windows 10 können Möglichkeiten für die Handhabung von USB Geräten konfiguriert werden.
- 1. Öffnen Sie den Gruppenrichtlinien-Editor, indem Sie gpedit.msc in das Run-Fenster eingeben. Wählen Sie je nach Anwendung Prevent/Allow Installation of devices that match any of those device IDs
- 2. Aktivieren Sie die Gruppenrichtlinie und geben Sie die Geräte an, die erlaubt sind oder geblockt werden sollen:
- Der USB Filter ist konfiguriert.
Weitere Informationen finden Sie in der Microsoft Dokumentation: http://msdn.microsoft.com/en-us/library/bb530324.aspx