[English]Externe USB-Speichermedien und USB-Geräte sind zwar in der täglichen Praxis im Einsatz, stellen aber eine Bedrohung für Unternehmensdaten dar. Zu schnell können Daten kopiert werden. Und es besteht das Risiko, dass Malware über USB-Sticks oder andere USB-Speichermedien eingeschleppt wird. Microsoft hat daher den Microsoft Defender for Endpoint um eine Reihe von Funktionen zur Kontrolle solcher Geräte unter Windows eingeführt.
Anzeige
Ich bin vor einigen Tage bereits über diesen Beitrag von Martin Geuß auf das Thema gestoßen. Microsoft hat dem Thema am 21. November 2022 einen Techcommunity-Beitrag Announcing new removable storage management features on Windows gewidmet, wo die Details erläutert werden.
Risiko USB-Speichermedien
Microsoft erwähnt, dass externe Geräte wie USB-Speichermedien gängige Hilfsmittel für die tägliche Arbeit sind. So lassen sich Daten täglich sehr einfach auf eine USB-Festplatte oder einen USB-Stick sichern. Aber diese Medien stellen auch eine Bedrohung von zwei Seiten dar.
- So besteht die Gefahr, dass Mitarbeiter Malware über infizierte USB-Sticks und Medien auf die Systeme einschleppen.
- Die zweite Gefahr besteht darin, dass Mitarbeiter unbefugt Unternehmensdaten kopieren und diese unbemerkt abfließen.
Für beide Risiken machen Administratoren gewisse Klimmzüge, um deren Ausnutzung unter Windows zu verhindern. In manchen Firmen werden USB-Buchsen daher mechanisch unbrauchbar gemacht. Microsoft geht einen andere Weg und ergänzt den Defender for Endpoint um eine Reihe von Funktionen zur Kontrolle solcher Geräte unter Windows.
Defender for Endpoint Erweiterungen
Der Beitrag Announcing new removable storage management features on Windows legt offen, dass Microsoft in den letzten Monaten bereits damit begonnen hat, diese Kontrollfunktionen im Microsoft Defender for Endpoint unter Windows zu implementieren. Zu den von unterstützten häufigen Anwendungsfällen gehört es, bestimmten Benutzern Folgendes zu erlauben
Anzeige
- Schreibzugriff auf bestimmte Wechselspeichergeräte zu erhalten
- Die Verwendung bestimmter Wechselspeichergeräte auf bestimmten Rechnern
- Lese-, Schreib- und Ausführungszugriff auf bestimmte Dateien auf Wechseldatenträgern
- Schreib- und Ausführungszugriff auf bestimmte Wechseldatenträger, wenn der Rechner mit dem Unternehmensnetzwerk oder über ein VPN verbunden ist
Defender for Endpoint ermöglicht es Administratoren in Unternehmen jetzt , den Lese-, Schreib- und Ausführungszugriff von Benutzern auf bestimmte Dateien auf Wechselmedien besser zu kontrollieren. Durch die Verwendung von Dateiname/Pfad/Erweiterung kann Defender for Endpoint beispielsweise die Ausführung von Dateien mit INK-, BAT-, BIN-, CHM-, CMD-, COM-, CPL- und EXE-Erweiterungen durch Endbenutzer verhindern. Das ist sowohl per Intune als auch über Gruppenrichtlinien in Windows möglich.
Ein Administrator kann zudem auf Azure AD-Maschinen den Zugriff auf Wechseldatenträger sowohl für Benutzer als auch für diese Maschinen einschränken. Ein Beispiel hierfür wäre, nur bestimmten Benutzern die Interaktion mit bestimmten Wechselspeichergeräten auf einer bestimmten Maschine zu erlauben. In diesem Fall darf der qualifizierte Benutzer nur ein autorisiertes Wechseldatenträgergerät auf einem autorisierten Rechner initiieren. Weitere Details und Links zu Dokumenten für Intune oder Gruppenrichtlinien lassen sich dem Announcing new removable storage management features on Windows entnehmen.
heise hat Ende November 2022 zudem diesen Artikel zu Sicherheitsfunktionen für Microsoft Defender for Endpoint veröffentlicht. Dieser Beitrag verweist aber auf dieses Microsoft-Dokument von Oktober 2022.
Anzeige
Ich gehe mal davon aus, das ich dafür wieder eines der MS365 Bussines Abos benötige und/oder eine Enterprise Version?
Oder kann ich diese neuen Funktionen auch in meiner ganz Normalen Domain mit GPO nutzen?
Ja und Ja. GPOs sind aber in dem Fall ein mühsammes Brot. Es gibt aber von einem deutschen Hersteller ein Zusatzprodukt, mit dem man das alles machen kann. ich nenne aber jetzt keinen Namen.
@1ST1: Meinst Du mit "Zusatzprodukt" ein Produkt, mit dem GPOs einfacher verwaltet werden können, oder geht es speziell um Kontrollmechanismen für USB-Sticks?
Es geht da speziell um USB-Laufwerke (und Bluetooth) und die können rund um Defender/Bitlocker/… noch mehr anbieten.
So etwas gibt es schon seit vielen Jahren von Drittanbietern.
Da werden dann die Daten verschlüsselt auf den USB-Medien abgespeichert, damit man die nicht auf fremden Geräten lesen kann, sondern nur auf authorisierten Geräten.
Und was das mechanisch unbrauchbar machen von USB-Anschlüssen angeht:
Das funktioniert aber nicht durchgängig, denn heutzutage werden ja Tastatur und Maus per USB an den Rechner angeschlossen. PS/2-Anschlüsse sind ausgestorben.
Und dann kann man einfach z.B. die Tastatur abstecken, einen USB-Stick rein und schon hat man das ausgehebelt.
Der Schutz muß also schon softwareseitig erfolgen, damit er effektiv ist.
Guter Punkt! Schön, dass du das erwähnst!
PS/2 Anschlüsse kann man aus ebend diesen Gründen immer noch in die hochwertige Hardware konfigurieren.
Sobald der Rechner aber PCIe slots hat könnte ein User eine USB Karte einstecken. Die Treiber kennt Windows, keine Admin Rechte nötig… Also muss das verriegelt sein.
Auch muß die Festplatte verschlüsselt sein, man könnte Linux booten..
Daher muß auch das BIOS geschützt sein…
Wenn man das weiterdenkt:
Warum nicht x-Window?
Ich vermute mal das 99% aller beruflichen Rechner eh nur Schreibmaschinen mit 3,5GHz sind.
Warum dann nicht dumme Terminals hinstellen mit x-window?
Ok, kann nicht so viel dran verdienen wir mit noch einem Pflaster
Da hast du jetzt aber ein Buzzwort "x-window" in die Runde geschmissen. Das habe ich schon 20 Jahre nicht mehr gehört! Du meinst sicher Thin-Clients mit einem Citrix-Terminalserver (auch Windows basiert) dahinter. Aber auch da muss man erstmal per Gruppenrichtlinien die USB-Ports und lokale Laufwerke/Drucker abschalten.
In der Pro-Version von Windows müsstest du zumindest fordern können per Gruppenrichtlinie, dass alle externen Datenträger Bitlocker-verschlüsselt sein müssen. Aber dann kommst du selbst als Admin auch an keine unverschlüsselten mehr. Somit macht das ganze ohnehin nur im Enterprise-Umfeld Sinn, und da sollte (Azure) Active Directory ohnehin Standard sein.
Im Verlinkten Artikel steht ja auch, dass es ein Feature von Defender for Endpoint in Verbindung somit auch mit Intune ist. D. h. Microsoft 365 Business Premium oder Enterprise.
https://www.microsoft.com/de-de/microsoft-365/business/compare-all-microsoft-365-business-products?market=de
es ist unglaublich lächerlich. Seit XP steht es auf der Wunschliste zur Verwaltung der Richtlinien der Wechseldatenträger. 20 Jahre kommt nichts. der Markt ist längst mit Drittanbietern gesättigt.
wir haben gelernt: kein Mensch braucht ein Regelwerk ohne feedback für adhoc Freigaben.
Firmendaten wandern längst in die Cloud. die Firmen haben onedrive mit 5 Terra freigeschaltet, die der User bequem vom Heimrechner zu Hause kopiert.
Ransomware lässt sich sinnvoller mit Applikation Allowlisting, bzw in diesem Fall Blocklisting verhindern.
was es gebraucht hätte: Wechseldatenträger erzwungen verschlüsseln (gibt es schon) und Ausnahmen von dieser Regel pro Device (gibt es nicht)
Setzen. 6.
Man kann aber das OneDrive auch so konfigurieren, dass mit Fremd/Privat-PCs kein Zugriff möglich ist. Man muss es nur machen.
Und man kann eine Firmenrichtlinie den Mitsarbeitern vorlegen, die einzuhalten ist, dass keine DSGVO-relevanten Daten in die Cloud gespeichert werden dürfen. Man muss es nur machen.
Schlimm, daß es soweit kommen mußte. Vom Paradigma des "Personal Computers" ist fast nichts mehr übrig, Wir sind wieder bei zebtral bereitgestellten Diensten anbelangt frei nach dem Motto "wir haben alles was sSie brauchen, was wir nicht haben brauchen Sie nicht. Die Produktivität und die Fähigkeit zur Innovation geht eben den Bach runter, Schuld daran sind ie Softwareherstellerm allen voran Microsoft, die mit ihrer ranzigen Kacksoftware den PC zum Hort der Malware gemacht haben. Eine einst gute Idee wird ad absurdum geführt.
Zweitens, wenn Unternehmen fürchten müssen, daß die Mitarbeiter Daten abziehen, dann haben sie wohl die falschen Mitarbeiter eingestellt bzw. diese schlecht behandelt. Aber das kommt in unserer Arbeitswelt ja nicht vor, damit gibt es auch keinen Grund zur Sorge. Mir ist übrigens kein Arbeitsvertrag bekannt, der nicht die Wahrung von Betriebsgeheimnissen beinhaltet.
Stimmt so nicht, wir haben beides auf einmal und können in der Theorie selbst entscheiden, was wir wofür verwenden.
Ein Problem, was ich allerdings sehe, und da bin ich auf MS richtig böse, habe ich im privaten Umfeld jetzt mehrfach beobachtet:
Man hat sich einst bei der ersten Anmeldung am PC für ein lokales Benutzerprofil entschieden, und nach irgendeinem Update fragt Windows wieder, ob man nicht doch in der Cloud speichern will. Das passiert auch bei eigentlioch besonders schützenswerten Kinderaccounts, die per Microsoft-Family verwaltet werden, und das passiert auch bei Benutzern, die kein kostenpflichtiges M365-Abo haben und somit nur 5 GB OneDrive haben. Und vielfach wird dann leider ohne zu lesen einfach auf "Weiter" geklickt und die ehemals lokal gespeicherten Daten einschließlich Desktop werden ins OneDrive verschoben. DAS GEHT GARNICHT. Da habe ich mit MS noch eine Rechnung offen, die beiden PCs meiner beiden Kids werde ich demnächst nach lokaler Datensicherung resetten müssen…
Ca. 80% aller Angriffe auf die IT einer Firma kommen aus der Firma selbst!
Da helfen auch keine Arbeitsverträge.
Man kann den Mitarbeiter zwar feuern und verklagen, aber den Schaden rückgängig machen kann man nicht.
'Nicht geht mehr': Windows Defender Advanced Application Guard Companion
WDAG-Bericht – Container: Fehler: 0x80070512, Erw. Fehler: 0x00000008; RDP: Fehler: 0x00000003, Erw. Fehler: 0x00000011 Speicherort: 0x00000000
sämtliche Desktop's hier sind seit heute als das Update KB5020030 plötzlich nochmal von MS per Windows Update eingesielt wurde – DEAD – mit BLUE SCREEN
Ist ja toll das man endlich genau regeln kann was der angemeldete User mit dem Stick anfangen darf.
Aber was ist, wenn der böse Kollege zur Mittagspause den Stick zieht und mit seinem Handy böse Daten auf den Stick spielt und wieder zurücksteckt.
Also müsste der Stick verschlüsselt sein.
Das würde dem Viren-Scanner ersparen den Stick immer ind immer wieder zuscannen.
Fremde Sticks hätten null Chancen Daten einzuschmuggeln, schon mal gut.
Wie trage ich die Daten zu einem Kollegens Rechner?
Haben wir beide dann Rechte drauf?
Ok, nun braucht man die Daten aber an einem fremden Rechner, beim Kunden oder im Beamer, wie das?
Wie geht das da?
Dafür gibt es Lösungen, diverse moderne Antivirensoftware und Zusätze für Defender können das.
Ach wie war das schön.
50 serielle Schnittstellen am Terminal Server und 50 VT100 terminals…und ein Unix
Keine Viren
Und rechnen konnte man trotzdem.
Ein batch war tatsächlich ein in Stapel Lochkarten, selbst gestanzt.
Heute fürchten Unternehmen, das ihre zentralen Server verschlüsselt werden und sie erpresst werden.
Und völlig paranoid, kirregemacht, dumm und ahnungslos/inkompetent lassen sie sich immer neue Schichten Schlagenöl andrehen und auftragen.
Wie ging noch mal die Story vom toten Pferd das man unbedingt reiten wollte?
"Wie ging noch mal die Story vom toten Pferd das man unbedingt reiten wollte?"
Linux?