Blockieren von USB-Ports und USB-Laufwerken

Das Blockieren von USB-Ports und die Kontrolle von Datenträgern, die an einen Computer angeschlossen werden, helfen dabei, das Risiko eines unbefugten Kopierens von Daten aus dem Unternehmen zu verringern. In der Praxis betrifft das vor allem USB-Sticks, externe USB-Laufwerke und Mobiltelefone, die als Massenspeicher verbunden werden. Diese Funktion ist Teil des Monitoring-Mechanismus in Ewida Audit.

Um diesen Konfigurationsbereich zu nutzen, muss der Agent auf dem überwachten Computer installiert sein. Ewida Audit ist eine Windows-Desktop-Lösung, daher erfolgen das Blockieren und die Autorisierung von Geräten direkt auf den Arbeitsstationen, auf denen der Agent läuft.

In der Praxis lassen sich zwei grundlegende Arbeitsmodelle anwenden:

  • vollständige Sperrung des USB-Zugriffs — alle ausgewählten USB-Geräte werden blockiert,
  • Autorisierung von USB-Datenträgern — nur Geräte, die zuvor freigegeben wurden, dürfen verwendet werden.

Wo USB-Autorisierung und USB-Blockierung konfiguriert werden

Um Zugriffsregeln für USB-Datenträger zu konfigurieren, öffnen Sie in Ewida Audit die Programmeinstellungen, wechseln Sie zum Bereich Agent und wählen Sie dann die Einstellungen für das USB-Monitoring aus. Dort legen Sie fest, ob der Agent die Nutzung von Geräten nur protokollieren oder sie auch aktiv einschränken soll.

In diesem Teil der Konfiguration stehen drei Hauptbereiche zur Verfügung:

  • USB - Autorisierung,
  • USB - Deaktiviert,
  • Ausgeschlossene Hosts.

Diese Struktur ermöglicht es, die Liste der zugelassenen Datenträger, Computer mit vollständig blockiertem USB-Zugriff und Ausnahmen von den allgemeinen Regeln getrennt zu verwalten.

Neue USB-Datenträger autorisieren

Damit nur zuvor freigegebene Geräte verwendet werden können, aktivieren Sie die Option Nur autorisierte Laufwerke dürfen verwendet werden. Nach dem Einschalten wird die Schaltfläche Neues USB-Laufwerk autorisieren aktiv.

Nach dem Start dieser Funktion wartet das Programm darauf, dass das Gerät angeschlossen wird, das autorisiert werden soll. Wenn ein USB-Stick oder ein Telefon erkannt wird, wird seine Seriennummer automatisch zur Liste der autorisierten Geräte hinzugefügt. Dadurch kann dieser Datenträger anschließend gemäß der im Unternehmen geltenden Richtlinie weiterverwendet werden.

Diese Lösung ist praktisch, weil Gerätekennungen nicht manuell eingegeben werden müssen. Der Administrator schließt einfach den Datenträger an, der freigegeben werden soll, und das Programm speichert seine Identifikationsdaten.

Monitoring und Blockierung - ein wichtiger Unterschied

Standardmäßig ist die Funktion zur Autorisierung von USB-Datenträgern deaktiviert. Das bedeutet, dass der Agent alle Geräte zulässt, sofern keine zusätzliche Regel zur Zugriffsbeschränkung aktiviert wurde.

Es ist wichtig, zwischen USB-Monitoring und USB-Blockierung zu unterscheiden. Standardmäßig protokolliert aktives Monitoring nur die Nutzung von Datenträgern und Mobiltelefonen, blockiert deren Betrieb aber nicht. Wenn das Unternehmen USB-Geräte vollständig blockieren oder nur autorisierte Hardware zulassen will, müssen diese Funktionen bewusst in den Einstellungen aktiviert werden.

Das ist ein wichtiger Unterschied, denn allein das Vorhandensein von Protokollen bedeutet noch nicht, dass der Benutzer beim Anschließen eines Geräts eingeschränkt wurde.

Hosts mit Blockierung und ausgeschlossene Hosts

Mit der Einstellung USB - Disabled lassen sich Hosts, also Computer, festlegen, auf denen der USB-Zugriff vollständig blockiert werden soll. Das ist eine gute Lösung für Arbeitsstationen, bei denen die Sicherheitsrichtlinie verlangt, dass der USB-Zugriff komplett deaktiviert wird.

Der Bereich Ausgeschlossene Hosts ermöglicht es dagegen, Computer festzulegen, für die das USB-Monitoring vollständig deaktiviert werden soll. Eine solche Ausnahme kann zum Beispiel für administrative, Service- oder Test-Arbeitsplätze erforderlich sein, bei denen die Standardregeln nicht gelten sollen.

Dadurch lässt sich die Konfiguration nicht nur global, sondern auch individuell für ausgewählte Computer anpassen. In der Praxis ist das meist der wirksamste Ansatz: eine allgemeine Richtlinie für die meisten Arbeitsstationen und Ausnahmen dort, wo sie wirklich benötigt werden.