USB-Policies

Bereits installierte USB-Geräte verbieten: Windows bereits bekannte USB-Geräte kann man in vielen Fällen sehr einfach durch einen Registry-Eingriff verbieten. Der Schlüssel heisst

Hkey_Local_Machine\System\CurrentControlSet\Services\USBSTOR

Der zugehörige Dword-Eintrag „Start“ wird auf Wert „4“ gesetzt. Die Einstellung wirkt sofort (ohne Neuanmeldung, Neustart) – unter Umständen jedoch gar nicht, wie ich auf einem Rechner mit USB-Hub beobachten musste.

Cmd-Befehl (Admin-Rechte notwendig):
reg add HKLM\SYSTEM\CurrentControlSet\services\USBSTOR /f /t reg_dword /v Start /d 0x4
Zurück auf Standard mit:
reg add HKLM\SYSTEM\CurrentControlSet\services\USBSTOR /f /t reg_dword /v Start /d 0x2

Neue USB-Geräte verbieten: Der Anschluss bisher unbekannter USB-Geräte ist mit sanften Mitteln nicht zu verbieten, weil dies den unvermeidlichen Plug & Play-Dienst auf den Plan ruft. Es gibt aber eine sehr simple Methode, neue USB-Geräte fernzuhalten – einfach die Datei Usbstor.inf unter \Windows\Inf umbenennen. Konten mit eingeschränkten Benutzerrechten können diesen Vorgang nicht rückgängig machen (selbst wenn die Benutzer den Vorgang durchschauen). PC-Administratoren, die ein neues USB-Gerät anschließen wollen, müssen der INF-Datei vorher wieder ihren Originalnamen geben. Mit dem Tool USBDeview (Nirsoft) lässt sich prüfen, welche USB-Geräte auf dem System bereits installiert sind und gegebenenfalls deinstallieren. Dazu muss USBDeview mit Admin-Rechten gestartet sein.

Schreiben via USB verbieten: Windows kann seit XP per einfacher Registry-Regel alle USB-Geräte schreibschützen. Der einschlägige Schlüssel lautet

Hkey_Local_Machine\System\CurrentControlSet\Control\StorageDevicePolicies

und der dort notwendige DWORD-Eintrag „WriteProtect“ mit Wert „1“.

Cmd-Befehl (Admin-Rechte notwendig):
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /f /t reg_dword /v WriteProtect /d 0x1
Zurück auf Standard mit:
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /f /t reg_dword /v WriteProtect /d 0x0