/
  • Last updated
/
  • 11 min read

So konfigurieren Sie den Schreibzugriff auf nicht durch BitLocker geschützte Wechsellaufwerke in Windows

  • von Bea Fernandez   |  übersetzt von Sila Willsch
Konfigurieren des Schreibzugriffs auf nicht durch BitLocker geschützte Wechsellaufwerke - Blog-Bannerbild

Obwohl sie als schreibgeschützte Geräte gemountet sind, können die Berechtigungen für nicht durch BitLocker geschützte Laufwerke geändert werden. Dies kann die Zugänglichkeit erhöhen, die Sicherheit verbessern oder die Arbeitsabläufe vereinfachen. Wir zeigen Ihnen, wie Sie den Schreibzugriff aufnicht durch BitLocker geschützteWechsellaufwerke konfigurieren und geben Empfehlungen für die Verwaltung und Sicherung dieser Laufwerke.

So konfigurieren Sie den Schreibzugriff für Nicht-BitLocker-Laufwerke

Hier sind die verschiedenen Methoden zur Konfiguration des Zugriffs auf Ihr unverschlüsseltes Laufwerk.

Verwendung des Gruppenrichtlinien-Editors

Gehen Sie folgendermaßen vor, um den Schreibzugriff auf ein nicht durch BitLocker geschütztes Wechsellaufwerk mithilfe des Gruppenrichtlinieneditors zu ändern:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien , indem Sie die Tasten Win + R drücken, „gpedit.msc“ eingeben und auf OK klicken.
  2. Navigieren Sie im linken Bereich zum Ordner Removable Data Drives und gehen Sie wie folgt vor:

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → BitLocker-Laufwerkverschlüsselung → Wechseldatenlaufwerke

  1. Doppelklicken Sie im rechten Abschnitt auf Schreibzugriff auf nicht durch BitLocker geschützte Wechsellaufwerke verweigern.
  2. Um den Schreibzugriff zu aktivieren, wählen Sie Nicht konfiguriert (die Standardeinstellung) oder Deaktiviert und klicken Sie dann auf OK. Um den Schreibzugriff zu deaktivieren, wählen Sie Aktiviert und klicken dann auf OK.

Wenn Sie diese Richtlinie auf bestimmte Benutzer oder Gruppen anwenden möchten, erstellen Sie eine benutzerdefinierte Microsoft Management Console (MMC), die diese einschließt. Von dieser MMC aus können Sie den Schreibzugriff auf Wechsellaufwerke konfigurieren, indem Sie die oben genannten Schritte ausführen.

Verwendung des Registrierungseditors (regedit)

Dies sind die Schritte, um den Schreibzugriff auf USB-Laufwerke und ähnliche Wechsellaufwerke in Windows mit Hilfe des Registrierungseditors zuzulassen oder zu verhindern:

  1. Öffnen Sie den Registrierungs-Editor , indem Sie Win + R drücken, „regedit eintippen und die Eingabetaste drücken.
  2. Navigieren Sie über diese Route zu einem bestimmten Ordner:

HKEY_LOCAL_MACHINE → SOFTWARE → Policies → Microsoft → Windows → RemovableStorageDevices → {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

  1. Erstellen Sie einen neuen 32-Bit-DWORD-Wert und nennen Sie ihn Deny_Write.
  2. Weisen Sie einen der folgenden Werte zu, bevor Sie auf OK klicken:
    • 0 – Schreibzugriff freigeben
    • 1 – Schreibzugriff deaktivieren
  1. Schließen Sie Registry Editor und starten Sie Ihren Computer neu.

Obwohl es nur vier Bytes sind, ist jeder DWORD-Wert in der Windows-Registrierung wichtig für den reibungslosen Betrieb Ihres Betriebssystems. Daher ist es wichtig, dass Sie Ihren DWORD-Werten die richtigen Namen und Funktionen – entweder wahr (1) oder falsch (0) – zuweisen.

Lokale Sicherheitsrichtlinien verwenden

Sie können die lokale Sicherheitsrichtlinie verwenden, um den USB-Schreibzugriff ohne BitLocker und für andere Wechsellaufwerke, die nicht durch BitLocker geschützt sind, zu deaktivieren oder zu aktivieren.

  1. Öffnen Sie die Konsole Lokale Sicherheitsrichtlinie , indem Sie die Windows-Taste + R drücken, „secpol.msc“ eintippen und die Eingabetaste drücken.
  2. Rufen Sie auf diesem Weg den Ordner Removable Storage Access auf:

Computerkonfiguration → Administrative Vorlagen → System → Zugriff auf Wechseldatenträger

  1. Doppelklicken Sie in der Spalte Policy auf Removable Disks: Schreibzugriff verweigern Richtlinie zu bearbeiten.
  2. Klicken Sie in der Spalte Sicherheitseinstellung mit der rechten Maustaste und wählen Sie Aktiviert , um den Schreibzugriff zu verweigern, oder Deaktiviert , um den Schreibzugriff zu erlauben.
  3. Schließen Sie die Konsole und starten Sie Ihren Computer neu.

Testen und Verifizieren der Konfiguration für den Schreibzugriff auf Wechsellaufwerke

So überprüfen Sie, ob die Richtlinie korrekt angewendet wird

Nachdem Sie die Sicherheitseinstellungen für Ihre Windows-Wechsellaufwerke konfiguriert haben, können Sie überprüfen, ob sie korrekt angewendet wurden.

  1. Schließen Sie Ihr Wechsellaufwerk (z. B. USB-Flash-Laufwerk, SD-Karte) an Ihren Computer an.
  2. Öffnen Sie File Explorer. Klicken Sie mit der rechten Maustaste auf das Laufwerk und wählen Sie Eigenschaften.
  3. Klicken Sie auf die Registerkarte Sicherheit . Wählen Sie unter Gruppen- und Benutzernamen den Benutzer oder die Gruppe, für die diese Einstellung/Richtlinie gilt.
  4. Im Fenster mit den Zugriffsrechten sollte je nach Art des Zugriffs ein Häkchen in der Spalte „Zulassen“ neben „Schreiben“ zu sehen sein (oder auch nicht)

Sie können auch das Fenster Gruppen- und Benutzernamen verwenden, um verschiedene Benutzer oder Gruppen auszuwählen und ihre Sicherheitseinstellungen zu überprüfen, z. B. um festzustellen, ob eine Gruppe Schreibzugriff auf Wechsellaufwerke hat und eine andere nicht.

Allgemeine Schritte zur Fehlerbehebung, wenn die Einstellung nicht wirksam wird

Falls sich der Status „schreibgeschützt“ eines Laufwerks nicht geändert hat, wenn Sie den Schreibzugriff auf Wechsellaufwerke konfigurieren, versuchen Sie eine der folgenden Aktionen:

  • Prüfen Sie, ob ein physischer Schalter vorhanden ist: USB-Flash-Laufwerke und SD-Karten sind in der Regel mit Schiebeschaltern ausgestattet, um den Schreibzugriff zu sperren oder freizugeben. Wenn Ihr Laufwerk eine solche Funktion hat, stellen Sie sicher, dass sie richtig eingestellt ist.
  • Überprüfen Sie den Speicher Ihres Laufwerks: Wenn der freie Speicherplatz erschöpft ist, wird Ihr Laufwerk automatisch in den „Nur-Lese-Modus“ versetzt. Wenn dies der Fall ist, übertragen Sie die Dateien Ihres Laufwerks undsichern Sie sie unter  , bevor Sie den Schreibzugriff konfigurieren.
  • Prüfen Sie auf Viren: Das Vorhandensein von Viren oder Malware auf Ihrem Wechsellaufwerk könnte den Schreib- (und sogar den Lese-) Zugriff auf dieses Laufwerk verhindern. Um sicherzugehen, sollten Sie das Laufwerk mit dem Antivirenprogramm Ihres Computers scannen und alle vorhandenen Bedrohungen sofort beseitigen oder entfernen.

Sicherheits- und Compliance-Überlegungen bei der Konfiguration des Schreibzugriffs auf Wechsellaufwerke

Um die Sicherheitsrisiken zu verringern, die mit der Aktivierung des Schreibzugriffs für ein Wechsellaufwerk ohne BitLocker verbunden sind, sollten Sie die folgenden Sicherheits- und Compliance-Überlegungen und -Maßnahmen beachten.

Wie man Sicherheitsbedrohungen (z. B. Schadsoftware, unbefugte Datenübertragung) eindämmt

  • Nutzen Sie das Antivirenprogramm Ihres Geräts in vollem Umfang. Aktivieren Sie den Echtzeitschutz, richten Sie eine Firewall ein, und scannen Sie Ihr Gerät und Ihre Laufwerke regelmäßig auf mögliche Malware.
  • Aktualisieren Sie Ihre Geräte ständig. Dies gilt nicht nur für die Software Ihres Computers, sondern auch für die Treiber Ihrer Wechseldatenträger.
  • Seien Sie vorsichtig bei unbekannten und verdächtigen Dateien auf Ihrem Laufwerk. Klicken Sie nicht direkt auf diese Dateien. Scannen Sie stattdessen Ihr Laufwerk und beachten Sie die von Ihrem Antivirenprogramm vorgeschlagenen Maßnahmen.

Verstehen von BitLocker und Richtlinien für Wechsellaufwerke

Was ist BitLocker?

BitLocker ist eine integrierte Windows-Sicherheitsfunktion, die Ihr Laufwerk durch Datenverschlüsselung vor unberechtigtem Zugriff schützt. Ohne den richtigen Schlüssel und/oder das richtige Kennwort zur Entschlüsselung Ihres Laufwerks erscheinen die darauf befindlichen Daten verschlüsselt und sind für Außenstehende unzugänglich. Bitlocker ist besonders nützlich, wenn Ihr Laufwerk verloren geht, gestohlen oder außer Betrieb genommen wird.

Wie BitLocker Wechsellaufwerke schützt

Die BitLocker-Laufwerksverschlüsselung gilt über die BitLocker To Go-Funktion auch für Wechselspeicher. Es eignet sich für USB-Flash-Laufwerke, SD-Karten, externe Festplatten und andere Laufwerke, die mit den Dateisystemen NTFS, FAT16, FAT32 und exFAT formatiert sind. Wie bei festen Laufwerken verschlüsselt BitLocker die Daten auf Ihrem Wechselmedium und fordert Sie auf, entweder ein Kennwort zu erstellen oder einen generierten Wiederherstellungsschlüssel zu speichern, damit Sie wieder auf die Daten zugreifen können.

Risiken des Schreibzugriffs auf ungeschützte Laufwerke

Die Konfiguration des Schreibzugriffs auf ein unverschlüsseltes Laufwerk verringert zwar die Schritte, die Sie unternehmen müssen, um die darauf befindlichen Daten zu ändern, macht das Laufwerk jedoch anfällig für zahlreiche Sicherheitsrisiken, einschließlich aber nicht beschränkt auf die folgenden:

  • Datendiebstahl: Sensible Daten, wie z. B. persönliche und finanzielle Aufzeichnungen, können von unbefugten Benutzern leicht gestohlen oder sogar unbemerkt verändert werden.
  • Versehentliche Löschung: Eine unverantwortliche Nutzung des Schreibzugriffs kann dazu führen, dass Sie wichtige Dateien oder Ordner versehentlich löschen und kaum Möglichkeiten haben, sie wiederherzustellen.
  • Verbreitung von Malware: Durch den ungehinderten Schreibzugriff kann Ihr Laufwerk zu einem Wirt für Malware werden, die von verdächtigen Parteien physisch oder digital eingeschleust wird.

Gruppenrichtlinien- und Registrierungseinstellungen für die Verwaltung von Wechselspeichern

Wenn mehrere Endbenutzer in einem Unternehmen sensible arbeitsbezogene Daten auf USB-Laufwerken speichern, ist die ordnungsgemäße Konfiguration des Lese- und/oder Schreibzugriffs auf diese Laufwerke für die Cybersicherheit des Unternehmens entscheidend. IT-Experten können diesen Zugriff über Gruppenrichtlinien und Registrierungseinstellungen verwalten und benötigen dazu Administratorrechte.

Bewährte Verfahren für Unternehmen, die Richtlinien für Wechselspeicher verwalten

Für Organisationen und Unternehmensumgebungen, in denen Einzelpersonen häufig mit externen Speichermedien umgehen, die sensible Daten enthalten, gibt es folgende bewährte Verfahren für die Verwaltung von Berechtigungen für Wechsellaufwerke in Windows:

  • Stellen Sie sicher, dass die richtigen Richtlinien für die richtigen Benutzer und Gruppen gelten. Wenn Sie beispielsweise unbefugten Benutzern Schreibzugriff auf unverschlüsselte Laufwerke gewähren, kann dies zum Verlust oder zur falschen Handhabung wichtiger arbeitsbezogener Daten auf diesen Laufwerken führen.
  • Legen Sie den „Nur-Lese“-Zugriff als Standard fest und deaktivieren Sie Autorun. Der Schreibzugriff auf Wechsellaufwerke sollte so weit wie möglich denjenigen vorbehalten sein, die über Administratorrechte verfügen. Außerdem wird durch die Deaktivierung von Autorun verhindert, dass bösartige Programme automatisch ausgeführt werden, wenn das Laufwerk an einen Computer angeschlossen ist.
  • Fördern Sie die sichere Aufbewahrung von Wechsellaufwerken. Erinnern Sie die Endbenutzer daran, ihre Flash-Laufwerke, SD-Karten und externen Festplatten an kühlen und geschützten Orten aufzubewahren, z. B. in Safes und verschlossenen Schubladen.

Auswirkungen auf die Einhaltung von Vorschriften (z. B. GDPR, HIPAA, NIST-Empfehlungen)

Unabhängig davon, ob Sie den Schreibzugriff auf Wechsellaufwerke, die nicht zu BitLocker gehören, aktiviert oder deaktiviert haben, müssen Sie bestimmte Behörden und Richtlinien zum ordnungsgemäßen Umgang mit Daten einhalten. Zu diesen Vorschriften gehören die folgenden:

  • GDPR – Gemäß Artikel 5(e) der Allgemeinen Datenschutzverordnung (GDPR) über die Beschränkung der Speicherung sollten personenbezogene Daten, die für Archivierungs-, Forschungs- oder statistische Zwecke verarbeitet werden, nicht unbegrenzt aufbewahrt werden, sondern nur so lange, wie es ihr Nutzen erlaubt. Dies dient dem Schutz der Privatsphäre und der Sicherheit der Eigentümer dieser Daten.
  • HIPAA – Part 164.310 der Health Insurance Portability and Accountability Act’s (HIPAA’s) Security Rule betont, dass Einrichtungen, die mit elektronisch geschützten Gesundheitsinformationen (ePHI) umgehen, Maßnahmen zum Schutz des Transports, der Nutzung und der Verwaltung von Geräten und Medien, die ePHI enthalten, ergreifen sollten. Zu diesen Maßnahmen gehören eine ordnungsgemäße Datensicherung und -speicherung.
  • NIST – Die Sonderveröffentlichung 800-88 des National Institute of Standards and Technology (NIST) enthält umfassende Richtlinien für die „Bereinigung“ verschiedener Arten elektronischer Medien, einschließlich des „Schutzes [der Daten] gegen … Wiederherstellungstechniken . . durch die standardmäßigen Lese- und Schreibbefehle für das Speichergerät“

Alternative Sicherheitsmaßnahmen für unverschlüsselte Wechsellaufwerke

Um Wechsellaufwerke zu sichern, verwenden Sie die richtigen Programme und Tools, um sie zu sperren und zu verschlüsseln. Im Folgenden finden Sie einige Maßnahmen, die Sie ergreifen können, um sicherzustellen, dass Ihre Wechsellaufwerke (oder die von anderen Endbenutzern) vor bösartigen Akteuren geschützt sind.

Erzwingen der BitLocker-Verschlüsselung für alle Wechsellaufwerke

Die vielleicht zuverlässigste Methode ist die Verwendung der Windows-eigenen Verschlüsselungsfunktion, insbesondere BitLocker To Go, für Wechselspeicher. Benutzer können durch BitLocker geschützte Laufwerke mit den Kennwörtern und Wiederherstellungsschlüsseln, die zum Entschlüsseln erforderlich sind, lesen und beschreiben. Wenn Sie BitLocker nicht bevorzugen, können Sie Verschlüsselungstools von Drittanbietern verwenden, um Ihre Wechsellaufwerke unter Verschluss zu halten.

Implementierung von Richtlinien zum Schutz vor Datenverlust (DLP)

Wenn sie durchgesetzt werden, identifizieren und schützen DLP-Richtlinien sensible Daten – von persönlichen Informationen bis hin zu Finanzdaten – über mehrere Endpunkte hinweg als zusätzliche Sicherheitsebene. Diese Richtlinien können je nach den Zielen und Ressourcen Ihres Unternehmens sowie der Art der Daten, die Sie vor unbefugten Parteien und Angreifern schützen möchten, angepasst werden.

Überwachung des Zugriffs auf Wechseldatenträger über die Windows Ereignisanzeige

Schließlich können Sie die Windows-Ereignisanzeige verwenden, um den Zugriff auf Wechsellaufwerke anhand dieser Schritte manuell zu dokumentieren:

  1. Öffnen Sie Windows Event Viewer , indem Sie auf die Schaltfläche Start klicken, „Event Viewer“ eingeben und Event Viewer auswählen.
  2. Klicken Sie im linken Fensterbereich unter dem Ordner Windows Logs auf Security.
  3. Verwenden Sie die folgenden Ereignis-IDs, um erfolgreiche oder fehlgeschlagene Lese- und Schreibversuche auf Wechsellaufwerken zu verfolgen:
    • Ereignis 4663 – Erfolg
    • Ereignis 4656 – Misserfolg

Anhand dieser Protokolle können Sie Richtlinien für den Schreibzugriff auf Wechselspeicher für Endgeräte erstellen oder anpassen.

Wann der Schreibzugriff auf ungeschützte Wechsellaufwerke erlaubt oder eingeschränkt werden soll

Die Festlegung, wer Schreibzugriff auf Wechsellaufwerke erhalten darf, kann von der Struktur, den Zielen und den Arbeitsabläufen eines Unternehmens abhängen (die durch die Gewährung eines solchen Zugriffs auch für ungeschützte Speicher optimiert werden können). Denken Sie immer daran, dass diese Maßnahme mit erheblichen Risiken verbunden ist, unter anderem mit einer erhöhten Anfälligkeit sensibler Daten für Diebstahl und Missbrauch.

Wenn der Schreibzugriff auf ungeschützte Laufwerke nicht unbedingt erforderlich ist, empfehlen wir dringend, alle Arten von Wechselspeichern mit BitLocker oder einem anderen Verschlüsselungstool eines Drittanbieters zu schützen und die Speicherrichtlinien für die entsprechenden Benutzer und Gruppen ständig zu aktualisieren.

Starten Sie Ihre kostenlose Testphase

Das könnte Sie auch interessieren

Compliance-Audit

Was ist ein Compliance-Audit? Definition und Bedeutung

Hardware-ID herausfinden

So finden Sie die Hardware-ID auf Ihrem Gerät heraus

Ein Bild von Personen, die Zuverlässigkeitstests durchführen.

Zuverlässigkeitstests: Wie man die Zuverlässigkeit von IT-Lösungen bewertet

Hinzufügen oder Entfernen des primären NVMe-Idle-Timeouts Blog-Bannerbild

Hinzufügen oder Entfernen von „Primary NVMe Idle Timeout“ aus den Energieoptionen in Windows 10

Deaktivieren der CPU-Drosselung in Windows Blog-Bannerbild

So deaktivieren Sie die CPU-Drosselung in Windows

Verwaltung der Speicher-Integrität der Kernisolierung in Windows 10

Wie man die Speicher-Integrität der Kernisolierung in Windows 10 konfigurieren kann

Zurück zur Blog-Startseite
Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
Kostenlose Testversion starten
Produktvorstellung erhalten
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche „Ich akzeptiere“ klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird „wie gesehen“ und „wie verfügbar“ bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).
Ich akzeptiere