{"id":313235,"date":"2025-07-05T00:01:21","date_gmt":"2025-07-04T22:01:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313235"},"modified":"2025-07-07T00:49:49","modified_gmt":"2025-07-06T22:49:49","slug":"windows-10-11-removablestoragedevice-blocking-funktioniert-nicht-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/05\/windows-10-11-removablestoragedevice-blocking-funktioniert-nicht-mehr\/","title":{"rendered":"Windows 10\/11: RemovableStorageDevice-Blocking funktioniert nicht mehr"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ein Leser hat mich darauf hingewiesen, dass das RemovableStorageDevice-Blocking<\/em> in Windows 10 und 11 kaputt sei. USB-Device-Control via GPO funktioniert seit dem April 2025-Patchday schlicht nicht mehr. Das ist durch Microsoft best\u00e4tigt, ein Fix ist in Arbeit. Ich stelle die Information mal hier im Blog ein, falls andere Administratoren \u00fcber den Sachverhalt stolpern.<\/p>\n

<\/p>\n

RemovableStorageDevice-Blocking per GPO<\/h2>\n

\"\"In Firmenumgebungen m\u00f6chten Administratoren aus Sicherheitsgr\u00fcnden oft den Zugriff auf USB-Wechselmedien (USB-Sticks, USB-Festplatten) sperren. Soll verhindern, dass \u00fcber USB-Sticks was an Malware eingeschleppt wird, oder dass etwas \u00fcber USB-Medien Daten nach drau\u00dfen geschleppt werden.<\/p>\n

Funktioniert unter Windows 10\/11 mit Bordmitteln \u00fcber Gruppenrichtlinien (GPOs). In gpedit.msc<\/em> sollten sich unter\u00a0<\/em>Computerkonfiguration – Administrative Vorlagen – System – Wechselmedienzugriff <\/em>die betreffenden Richtlinien \"Wechseldatentr\u00e4ger …\" f\u00fcr ausf\u00fchren, lesen und schreiben setzen lassen.<\/p>\n

Zum Nachlesen gibt es den Microsoft Lern-Beitrag hier<\/a>, und ggf. diesen Beitrag<\/a> mit einer \u00e4lteren, allerdings bebilderten Anleitung.<\/p>\n

RemovableStorageDevice-Blocking per GPO kaputt<\/h2>\n

Blog-Leser Marcel hat sich zum 4. Juli 2025 bei mir per E-Mail gemeldet (danke daf\u00fcr) und schrieb, dass es derzeit ein Problem zum Thema USB Device Control<\/em> gibt.\u00a0Als KRITIS Einrichtung m\u00fcssen die IT-Administratoren in Marcels Umfeld den Zugriff auf Wechseldatentr\u00e4ger einschr\u00e4nken.<\/p>\n

Blocken per Richtlinie<\/h3>\n

Das passiere derzeit mit Windows Bordmitteln, \u00fcber\u00a0 eine Gruppenrichtlinie. Die IT erstellt drei Registrierungseintr\u00e4ge unter:<\/p>\n

HKCU\\SOFTWARE\\Policies\\Microsoft\\Windows\\RemovableStorageDevices\\\\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\r\n\r\nDeny_Execute - REG_DWORD - 1\r\n\r\nDeny_Read - REG_DWORD - 1\r\n\r\nDeny_Write - REG_DWORD \u2013 1<\/pre>\n
Diese drei Eintr\u00e4ge sollen verhindern, dass der Benutzer auf einen Wechseldatentr\u00e4ger zugreifen kann. Je nachdem, welche der drei Registrierungs-Eintr\u00e4ge gesetzt werden, kann beispielsweise auch nur Schreibzugriff geblockt werden. \"Somit k\u00f6nnen wir dies flexibel, je nach Anwendungsfall steuern.\" schrieb der Leser.<\/p>\n
Das Blockieren funktioniert nicht mehr<\/h3>\n
Nun kommt der Punkt, vor dem ein Administrator von Microsoft-Software immer zittern sollte: Ein Update setzt eine gesetzte GPO au\u00dfer Kraft. Der Leser schrieb, dass man festgestellt habe, dass das RemovableStorageDevice<\/em>-Blocking seit Installation der kumulativen Sicherheitsupdates seit einem der letzten Updates (konkret seit April 2025 )nicht mehr funktioniere.<\/p>\n
Dieses Fehlverhalten ist reproduzierbar unter Windows 10 22H2 und Windows 11 23H2. Auch das Setzen der Registrierungseintr\u00e4ge im HKLM-Zweig funktioniert laut Leser seit dem April 2025-Update nicht mehr.<\/p>\n
Das Einzige was hier hilft, schrieb der Leser, ist die Deinstallation des aktuellen kumulativen Updates, oder das \"Blockieren der oberen Ger\u00e4teklasse\", welches aber weitere Ger\u00e4te blockieren kann. Das Deinstallieren der kumulativen Updates sei nat\u00fcrlich aus Sicherheitssicht, keine Option, so der Leser.<\/p>\n
Supportfall bei Microsoft er\u00f6ffnet<\/h3>\n
Mit diesem Problem sind die IT-Mitarbeiter des Unternehmens vergangene Woche an Microsoft herangetreten und haben einen Support-Fall hierzu er\u00f6ffnet. Nach dem initialen Gespr\u00e4ch, erhielten die IT-Administratoren zum 3. Juni 2025 eine Antwort von Microsoft mit der Best\u00e4tigung, dass es sich hierbei um einen Bug, seit dem April 2025-Patchday\u00a0 vorhanden, handelt. Die Erkl\u00e4rung Microsofts dazu:<\/p>\n
Im April hat Microsoft seine Infrastruktur f\u00fcr die Treibersignierung in der \"Pre-Production\" aufgrund des Auslaufens der Zertifikate der Zertifizierungsstelle umgestellt.<\/p>\n
Diese \u00c4nderung wirkt sich darauf aus, wie Treiber validiert werden und kann sich auf Mechanismen zur Durchsetzung von Gruppenrichtlinien auf Treiberebene auswirken.<\/p><\/blockquote>\n
Microsoft best\u00e4tigt, dieses Problem nicht nur erkannt zu haben, sondern will dies irgendwann in einem zuk\u00fcnftigen kumulativen Update beheben, hei\u00dft es in der Antwort aus Redmond, die mir vorliegt und die ich nachfolgend einstelle.<\/p>\n
Marcel schrieb mir dazu:\u00a0Ich denke der Eine oder Andere wird vielleicht ebenfalls mit diesem Problem zu k\u00e4mpfen haben, weshalb ich Sie bitten m\u00f6chte \u00fcber dieses Problem in Ihrem Blog zu informieren. Habe ich hiermit erledigt – ich denke, der Dank der Leserschaft geht an Marcel f\u00fcr den Hinweis. Nachfolgend noch die anonymisierte E-Mail des Microsoft-Supports.<\/p>\n
Thank you for your patience as we've worked to understand the issue affecting USB Group Policy enforcement after recent Windows updates.<\/p>\n
Summary of the Issue<\/strong>
\nWe understand how important it is for your organization to maintain strict control over USB device access. Following the installation of cumulative update KB5060999 (May 2025) on Windows 11 23H2, and similar updates on Windows 10 22H2, Group Policy settings that previously blocked USB removable storage devices are no longer functioning as expected. Uninstalling the update restores the intended behavior.<\/p>\n
We've confirmed this is a known issue currently under investigation by Microsoft.<\/p>\n
Background<\/strong>
\nMicrosoft is transitioning its pre-production driver signing infrastructure due to the expiration of long-lived certificate authorities (CAs). This change affects how drivers are validated and may impact Group Policy enforcement mechanisms that rely on driver-level control.<\/p>\n
Key points:
\n<\/strong>A new certificate authority (\"Microsoft Windows Component Preproduction CA 2024\") is being introduced starting June 9, 2025.<\/p>\n
A servicing update released on June 10, 2025 is required to ensure continued trust in pre-production drivers.<\/p>\n
Until this transition is fully implemented, some Group Policy settings\u2014particularly those related to device control\u2014may not behave as expected.<\/p>\n
You can find more technical details here:\u00a0Changes to Pre-Production Driver Signing | Microsoft Community Hub<\/a><\/p>\n
Recommended Actions<\/strong>
\nWhile we await a permanent fix from Microsoft, we suggest the following steps to help mitigate the issue:<\/p>\n
Recreate and Reapply the Group Policy
\nIn some cases, recreating the policy from scratch and reapplying it to affected devices has helped restore enforcement.<\/p>\n
Verify Device GUIDs<\/strong>
\nPlease confirm that the GUID {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} used in your registry settings is still valid. The update may have changed how USB devices are classified, which could affect how the policy is applied.<\/p>\n
Submit Feedback via Feedback Hub<\/strong>
\nWe strongly encourage submitting this issue through the  Feedback Hub<\/a>. This helps Microsoft prioritize the issue and ensures your experience is considered in future updates.<\/p>\n
Monitor for Future Updates<\/p>\n
Microsoft is actively working on a resolution. A fix is expected in a future cumulative update, though no specific release date has been announced yet.<\/p>\n
We truly understand how disruptive this issue can be and appreciate your efforts in helping us investigate it thoroughly.<\/p>\n
Please don't hesitate to reach out if you need assistance with any of the above steps or if you'd like help submitting feedback to Microsoft<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"
[English]Ein Leser hat mich darauf hingewiesen, dass das RemovableStorageDevice-Blocking in Windows 10 und 11 kaputt sei. USB-Device-Control via GPO funktioniert seit dem April 2025-Patchday schlicht nicht mehr. Das ist durch Microsoft best\u00e4tigt, ein Fix ist in Arbeit. Ich stelle die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,185,301],"tags":[24,4315,3288],"class_list":["post-313235","post","type-post","status-publish","format-standard","hentry","category-problem","category-update","category-windows","tag-problem","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313235"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313235\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}