USB-Filter

Ähnlich wie bei einem Whitelisting für Applikationen können auch USB-Geräte als vertrauensvoll gelistet werden. USB-Geräte, die nicht auf der freigegebenen Liste stehen, werden vom Betriebssystem nicht akzeptiert. So können einheitliche Service-USB-Sticks für die Wartung der Geräte definiert werden, die nur freigegebene Anwendungen enthalten und regelmäßig überprüft werden. Nicht anwendungsspezifische (z. B. private) USB-Sticks können so keinen Schaden anrichten. Der USB-Filter dient dabei allen Geräten, die über USB angeschlossen werden. Dazu zählen z. B. auch HID Geräte wie Maus/Tastatur, alle Speichermedien wie USB-Sticks, Festplatten und Card-Reader.

Die USB-Filter in einem Betriebssystem beziehen sich jedoch auf Hersteller- und Produkt-ID (Vendor ID [VID] / Product ID [PID]) im USB, die keine kryptographische Absicherung haben und gefälscht werden können.

Um externe Schnittstellen wie USB zu blockieren, können diese physikalisch, z. B. durch einen Schaltschrank gesichert werden. Aber auch wenn das Gerät in einem Schaltschrank verbaut ist, gibt es Situationen, in denen ein USB-Port ausgeführt wurde bzw. werden muss. Um die dadurch vorhandene Angriffsfläche zu verkleinern, sollte die Nutzung der Schnittstelle im Betriebssystem eingestellt und beschränkt werden.

Die bei den USB Filtern verwendeten IDs sind allerdings nicht kryptographisch gesichert, sodass bösartige Angriffe mit präparierten USB Geräten die USB Filter umgehen können.

Es gibt verschiedene Wege, um USB-Device auf Betriebssystemebene einzuschränken:

• Wenn das Gerät noch nicht installiert wurde, kann die Installation verhindert werden, indem dem aktuellen Benutzer und dem Benutzer SYSTEM der Zugriff auf die folgenden Dateien entzogen wird:
• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf
• %SystemRoot%\System32\DriverStore\Usbstor.inf*
• Um die generelle Verwendung von USB-Massenspeichergeräten zu unterbinden, kann in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSer\services\USBSTOR der Eintrag „ImagePath“ auf einen ungültigen Pfad gesetzt werden.
• Wie die Nutzung von USB-Geräten granularer über Policy-Einstellungen (Group Policy) eingeschränkt werden kann, wird hier beschrieben.
• USB-Schnittstellen können auch im BIOS abgeschaltet werden. Beachten Sie dabei, dass über die abgeschalteten Schnittstellen auch Eingabegeräte, wie Tastatur und Maus, nicht mehr funktionieren.

Zu beachten ist, dass über die Registry eingestellte Werte NICHT automatisch mit denen in der Gruppenrichtlinie, eingestellten Werte synchronisiert werden. Es wird empfohlen, die Einstellungen ausschließlich über die Gruppenrichtlinie durchzuführen.