In der Zeitschrift "Windows IT Pro" las ich einen Test über Software mit der man zentral steuern kann, welche Rechner USB-Devices erlauben und welche nicht. Wer sich wundert, was das soll: Damit kann man seinen Mitarbeitern den Datendiebstahl erschweren. Das wäre beispielsweise dann lukrativ, falls ein Angestellter plant sich selbstständig zu machen. Dann wäre ein illegal beschaffter Adressenstamm schon interessant…

Naja, jedenfalls war in dem Artikel auch ein Hinweis auf eine Beschreibung, wie man seit Windows-XP-SP2 generell einstellen kann, dass alle USB-Devices nur lesende Zugriffe erlauben: "Q. How can I mark my USB storage devices as read-only?"

Am einfachsten geht das mit einer REG-Datei (Inhalt in Datei mit Endung REG kopieren):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Dazu muss man natürlich Admin-Rechte haben. Rückgängig machen können das Admins indem der Wert auf "0" gesetzt wird…

Falls jemand tiefer einsteigen will: Im Dokument "Guide to Preventing Information Leaks (Windows)" werden auch noch andere Möglichkeiten beschrieben. Will man komplett verhindern, dass USB-Gerät angeschlossen werden können, dann findet man die Beschreibung im KB-Artikel 823732.

Update 7.7.2008: Mein Kollege Michael wies mich darauf hin, dass diese Methode nicht 100% sicher ist. Microsoft selber schreibt dazu:

Dieser Registrierungsschlüssel bietet einen teilweisen Schutz vor ernsthaften Bedrohungen. Einem erfahrenen Angreifer stehen jedoch noch viele andere Möglichkeiten zur Verfügung, um Daten mit einem USB-Gerät zu stehlen. Zur Umgehung dieser Sicherheitsmaßnahme kann ein USB-Gerät z. B. so programmiert werden, dass es nicht als Blockspeichergerät, sondern beispielsweise als Drucker oder CD-ROM-Gerät aufgelistet wird.

Es ist also so, dass es nur vor dem "alltäglichen" Bedrohungsszenario schützt: Ein edv-mäßig normal begabterer Mitarbeiter kann keine Daten auf einen USB-Stick kopieren.
Vor dem Szenario des professionellen Angriffs schützt es nicht: ein mit speziell präpariertem USB-Datenträger ausgerüsteter Datendieb kann immer noch Lücken ausnutzen. Das kann natürlich auch ein bestochener Mitarbeiter sein… 😉