USB-Installationsmedien und ‘Windows Information Protection’

[English]Interessanter Tipp von Microsoft für Administratoren, die häufig USB-Installationsmedien in Umgebungen erstellen, in denen Windows Information Protection (WIP) erzwungen wird. Dann schießt WIP dazwischen und verhindert, dass die USB-Installationsmedien booten oder das Setup ausgeführt werden kann.


Anzeige

Windows Information Protection (WIP)

Windows Information Protection (WIP) ist eine Funktion, die ab Windows 10 V1607 zur Verfügung steht. WIP nimmt sich des Problems an, dass mit der Zunahme privater Mitarbeitergeräte in Unternehmen auch das Risiko versehentlicher Datenverluste durch Apps und Dienste, die nicht der Kontrolle des Unternehmens unterliegen, z.B. E-Mail, soziale Medien und die öffentliche Cloud, steigt. Ein solcher Datenverlust liegt vor, wenn ein Mitarbeiter beispielsweise die neuesten technischen Zeichnungen an sein persönliches E-Mail-Konto sendet, Produktinformationen kopiert und in einen Tweet einfügt oder einen aktuellen Vertriebsbericht in seinem öffentlichen Cloud-Speicher ablegt.

Windows Information Protection (WIP) trägt zum Schutz vor diesen potenziellen Datenlecks bei, ohne die Mitarbeiter zu beeinträchtigen. Dazu werden Dokumente vor dem Speichern verschlüsselt werden. WIP schützt zudem Unternehmens-Apps und -daten auf unternehmenseigenen Geräten und auf persönlichen Geräten, die Mitarbeiter mit zur Arbeit bringen, vor versehentlichem Datenverlust. Das Ganze wird über Microsoft Intune oder den System Center Konfigurations-Manager (SCCM) verwaltet und über Richtlinien durchgesetzt. Microsoft hat hier und hier z.B. weitere Hinweise veröffentlicht.

USB-Medien und der WIP-Schutz

Administratoren, die häufig Windows-Installationsabbilder auf USB-Medien stellen, können in Umgebungen, die Windows Information Protection (WIP) verwenden, auf Probleme stoßen. Darauf weist Microsoft Mitarbeiter Michael Niehaus in einem Beitrag und folgendem Tweet hin.

Wird dieser USB-Stick auf einem Windows 10-Gerät mit WIP-Richtlinien erstellt, werden die gespeicherten Dateien, basierend auf ihrem Dateityp, automatisch verschlüsselt. Das kann aber dazu führen, dass USB-Medien mit Installationsabbildern nicht mehr funktionieren. Diese booten entweder nicht, oder können das Setup nicht ausführen. Es kommt zu den seltsamsten Fehlern wie die Meldung "access denied".

Sobald Dateien auf den USB-Medien verschlüsselt werden, können diese nicht mehr auf einem anderen Computer oder in Windows PE verwendet werden. Die Deaktivierung der Verschlüsselung durch WIP für die betreffenden Medien ist aus Sicherheitsgründen meist verpönt.

Dateibesitz persönlich zuweisen

Was man aber zulassen kann: Der Benutzer darf Dateien auf dem USB-Medium überschreiben und in den Status 'persönlich' ändern, so dass diese entschlüsselt werden. Dazu ist die Daten im Datei-Explorer mit der rechten Maustaste anzuwählen und im Kontextmenü der Befehl "Dateibesitz"-"Persönlich" zu wählen (siehe Abbildung).

Dateibesitz persönlich
(Quelle: Microsoft)


Anzeige

Installationsmedien entschlüsseln

Leider gibt es keine einfache Möglichkeit , diese Entschlüsselung für viele Unterordner im Datei-Explorer vorzunehmen (man kann höchstens einige Dateien in einem Ordner markieren und per Kontextmenü als Persönlich deklarieren). Die Lösung kommt mit dem Befehlszeilen-Tool cipher.exe, welches in allen Windows-Versionen enthalten ist und Dateien entschlüsseln kann. Der folgende Befehl entschlüsselt beispielsweise alle Dateien auf dem USB-Medium mit dem logischen Laufwerksbuchstaben D:

cipher.exe /d /s:D:\ *.*

Nach Anwendung des Befehls liegen die Dateien unverschlüsselt vor und sind als Personal deklariert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.