HOWTO: Blockieren von USB-Sticks via der Endpoint Gerätesteuerung

Gilt für WatchGuard Advanced EPDR, EPDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).

Die Gerätesteuerung (Device Control) ist ein zentrales Sicherheitsfeature von WatchGuard Endpoint Security. Sie dient dazu, das Risiko von Datenabfluss (Data Leakage) und das Einschleppen von Schadsoftware über physische Schnittstellen wie USB zu minimieren.

Die Gerätesteuerung (Windows Only) fungiert als Türsteher für Endpunkte. Sie überwacht den Bus-Typ und die Geräteklasse, sobald ein Medium angeschlossen wird. WatchGuard bedient sich hierbei am Windows Betriebssystem und liest die jeweiligen „Geräteinstanzpfade“ oder wenn diese nicht vorhanden sind die „Hardware IDs“ im Windows Geräte-Manager aus.

Es können verschiedene Gerätekategorien per Regeln festlegt werden.

Der nachfolgende Artikel beschreibt das Whitelisting von USB-Geräten.

1. Ziel

Es sollen nur vom Administrator definierte USB-Sticks (in diesem Beispiel Kingston DataTraveler 2.0) erlaubt werden. Sonstige USB-Sticks sollen geblockt werden.

2. Umsetzung

1. Zunächst muss unter den Sicherheitseinstellungen „Einstellungen“ -> „Workstations und Server“ ein Profil angelegt werden. In unserem Fall wählen wir das schon existierende Sicherheitsprofil „3. Best-Practice_Lock-Mode (Full-Security)“ aus. Die komplette Konfiguration dieses Profils können Sie aus dem bereits existierenden Blog-Artikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EPDR entnehmen:
   
2. Unter dem Menüpunkt „Gerätesteuerung (Windows-Computer)“ aktivieren wir den Schieber bei „Gerätesteuerung aktivieren“. Anschließend wählen wir bei „Wechseldatenträger“ die Aktion „blockieren“ aus und klicken auf den Button „Speichern“:
   
   Hinweis: Zugelassene externe Geräte (wie USB-Sticks) werden in der Cloud-Console nicht dargestellt. Alle blockierten Geräte werden jedoch in einer Liste erfasst.
3. Anschließend stecken wir den gewünschten USB-Stick am Test-Client ein. Kurz darauf wird folgende Meldung auf dem Client angezeigt:
   
4. Nach spätestens 15 Minuten taucht das Ereignis in der WatchGuard Cloud auf. Anschließend fügen wir den USB-Stick Kingston DataTraveler 2.0 zur Liste der „Erlaubten Geräte“ hinzu und speichern das Ganze ab. Ab sofort kann auf diesen USB-Stick zugegriffen werden:
   
   
   

Wichtige Hinweise

• Bei Funktionsupdates des Windows Betriebssystems (z. B. Version 25H2 von Windows 11) via WatchGuard Patch Management muss das virtuelle DVD-Laufwerk zur Whitelist hinzugefügt werden, sofern die Blockierung von Wechseldatenträgern aktiv ist:
  
• Manche USB-Festplatten werden im Betriebssystem als SCSI-Laufwerk identifiziert (abhängig von der Festplatte und dem entsprechenden Treiber). SCSI-Festplatten können nicht via Geräte-Steuerung blockiert werden. Weitere Informationen hierzu siehe WatchGuard Knowledge Base Artikel: >> Device Control in Endpoint Security does not block some USB-connected hard drives.
• Beim Export und anschließendem Import von erlaubten Geräten wird der ursprüngliche Name als unbekannt angezeigt:
  
• Neue Geräte können vorab via Geräteinstanzpfad oder der Hardware-ID (Windows Geräte Manager) zur Liste der erlaubten Geräte hinzugefügt werden. Dazu muss der Geräteinstanzpfad in einer TXT-Datei gespeichert und bei „Erlaubte Geräte“ importiert werden:
  
  
• Auch wenn Sie keine externen Geräte verbieten wollen/können, empfehlen wir aus Sicherheitsgründen immer, „AutoPlay“ zu deaktivieren.
• Zusätzlich empfehlen wir auch Wechseldatenträger immer zu verschlüsseln (Zusatzmodul WatchGuard Full Encryption erforderlich):
  

Unser Tipp

Erzeugen Sie sich auf dem Dashboard eine Liste mit Blockierten Geräten, um schnell eine Übersicht zu bekommen. Die erzeugte Liste kann auf Wunsch auch als geplanter Bericht via Mail zugestellt werden:

Weitere Informationen

• Configure Device Control (Windows Computers) (WatchGuard Help Center)