[English]Ein Leser hat mich darauf hingewiesen, dass das RemovableStorageDevice-Blocking in Windows 10 und 11 kaputt sei. USB-Device-Control via GPO funktioniert seit dem April 2025-Patchday schlicht nicht mehr. Das ist durch Microsoft bestätigt, ein Fix ist in Arbeit. Ich stelle die Information mal hier im Blog ein, falls andere Administratoren über den Sachverhalt stolpern.
RemovableStorageDevice-Blocking per GPO
In Firmenumgebungen möchten Administratoren aus Sicherheitsgründen oft den Zugriff auf USB-Wechselmedien (USB-Sticks, USB-Festplatten) sperren. Soll verhindern, dass über USB-Sticks was an Malware eingeschleppt wird, oder dass etwas über USB-Medien Daten nach draußen geschleppt werden.
Funktioniert unter Windows 10/11 mit Bordmitteln über Gruppenrichtlinien (GPOs). In gpedit.msc sollten sich unter Computerkonfiguration – Administrative Vorlagen – System – Wechselmedienzugriff die betreffenden Richtlinien "Wechseldatenträger …" für ausführen, lesen und schreiben setzen lassen.
Zum Nachlesen gibt es den Microsoft Lern-Beitrag hier, und ggf. diesen Beitrag mit einer älteren, allerdings bebilderten Anleitung.
RemovableStorageDevice-Blocking per GPO kaputt
Blog-Leser Marcel hat sich zum 4. Juli 2025 bei mir per E-Mail gemeldet (danke dafür) und schrieb, dass es derzeit ein Problem zum Thema USB Device Control gibt. Als KRITIS Einrichtung müssen die IT-Administratoren in Marcels Umfeld den Zugriff auf Wechseldatenträger einschränken.
Blocken per Richtlinie
Das passiere derzeit mit Windows Bordmitteln, über eine Gruppenrichtlinie. Die IT erstellt drei Registrierungseinträge unter:
HKCU\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
Deny_Execute - REG_DWORD - 1
Deny_Read - REG_DWORD - 1
Deny_Write - REG_DWORD – 1
Diese drei Einträge sollen verhindern, dass der Benutzer auf einen Wechseldatenträger zugreifen kann. Je nachdem, welche der drei Registrierungs-Einträge gesetzt werden, kann beispielsweise auch nur Schreibzugriff geblockt werden. "Somit können wir dies flexibel, je nach Anwendungsfall steuern." schrieb der Leser.
Das Blockieren funktioniert nicht mehr
Nun kommt der Punkt, vor dem ein Administrator von Microsoft-Software immer zittern sollte: Ein Update setzt eine gesetzte GPO außer Kraft. Der Leser schrieb, dass man festgestellt habe, dass das RemovableStorageDevice-Blocking seit Installation der kumulativen Sicherheitsupdates seit einem der letzten Updates (konkret seit April 2025 )nicht mehr funktioniere.
Dieses Fehlverhalten ist reproduzierbar unter Windows 10 22H2 und Windows 11 23H2. Auch das Setzen der Registrierungseinträge im HKLM-Zweig funktioniert laut Leser seit dem April 2025-Update nicht mehr.
Das Einzige was hier hilft, schrieb der Leser, ist die Deinstallation des aktuellen kumulativen Updates, oder das "Blockieren der oberen Geräteklasse", welches aber weitere Geräte blockieren kann. Das Deinstallieren der kumulativen Updates sei natürlich aus Sicherheitssicht, keine Option, so der Leser.
Supportfall bei Microsoft eröffnet
Mit diesem Problem sind die IT-Mitarbeiter des Unternehmens vergangene Woche an Microsoft herangetreten und haben einen Support-Fall hierzu eröffnet. Nach dem initialen Gespräch, erhielten die IT-Administratoren zum 3. Juni 2025 eine Antwort von Microsoft mit der Bestätigung, dass es sich hierbei um einen Bug, seit dem April 2025-Patchday vorhanden, handelt. Die Erklärung Microsofts dazu:
Im April hat Microsoft seine Infrastruktur für die Treibersignierung in der "Pre-Production" aufgrund des Auslaufens der Zertifikate der Zertifizierungsstelle umgestellt.
Diese Änderung wirkt sich darauf aus, wie Treiber validiert werden und kann sich auf Mechanismen zur Durchsetzung von Gruppenrichtlinien auf Treiberebene auswirken.
Microsoft bestätigt, dieses Problem nicht nur erkannt zu haben, sondern will dies irgendwann in einem zukünftigen kumulativen Update beheben, heißt es in der Antwort aus Redmond, die mir vorliegt und die ich nachfolgend einstelle.
Marcel schrieb mir dazu: Ich denke der Eine oder Andere wird vielleicht ebenfalls mit diesem Problem zu kämpfen haben, weshalb ich Sie bitten möchte über dieses Problem in Ihrem Blog zu informieren. Habe ich hiermit erledigt – ich denke, der Dank der Leserschaft geht an Marcel für den Hinweis. Nachfolgend noch die anonymisierte E-Mail des Microsoft-Supports.
Thank you for your patience as we've worked to understand the issue affecting USB Group Policy enforcement after recent Windows updates.
Summary of the Issue
We understand how important it is for your organization to maintain strict control over USB device access. Following the installation of cumulative update KB5060999 (May 2025) on Windows 11 23H2, and similar updates on Windows 10 22H2, Group Policy settings that previously blocked USB removable storage devices are no longer functioning as expected. Uninstalling the update restores the intended behavior.We've confirmed this is a known issue currently under investigation by Microsoft.
Background
Microsoft is transitioning its pre-production driver signing infrastructure due to the expiration of long-lived certificate authorities (CAs). This change affects how drivers are validated and may impact Group Policy enforcement mechanisms that rely on driver-level control.Key points:
A new certificate authority ("Microsoft Windows Component Preproduction CA 2024") is being introduced starting June 9, 2025.A servicing update released on June 10, 2025 is required to ensure continued trust in pre-production drivers.
Until this transition is fully implemented, some Group Policy settings—particularly those related to device control—may not behave as expected.
You can find more technical details here: Changes to Pre-Production Driver Signing | Microsoft Community Hub
Recommended Actions
While we await a permanent fix from Microsoft, we suggest the following steps to help mitigate the issue:Recreate and Reapply the Group Policy
In some cases, recreating the policy from scratch and reapplying it to affected devices has helped restore enforcement.Verify Device GUIDs
Please confirm that the GUID {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} used in your registry settings is still valid. The update may have changed how USB devices are classified, which could affect how the policy is applied.Submit Feedback via Feedback Hub
We strongly encourage submitting this issue through the Feedback Hub. This helps Microsoft prioritize the issue and ensures your experience is considered in future updates.Monitor for Future Updates
Microsoft is actively working on a resolution. A fix is expected in a future cumulative update, though no specific release date has been announced yet.
We truly understand how disruptive this issue can be and appreciate your efforts in helping us investigate it thoroughly.
Please don't hesitate to reach out if you need assistance with any of the above steps or if you'd like help submitting feedback to Microsoft
MVP: 2013 – 2016
> Das Deinstallieren der kumulativen Updates sei natürlich
> aus Sicherheitssicht, keine Option
Man könnte natürlich diskutieren, was unsicherer ist:
– plötzlich freier Zugriff auf beliebige USB-Sticks für alle;
– das Deinstallieren des bewiesendermaßen fehlerhaften Updates.
So langsam fragt man sich doch ob es überhaupt noch fehlerfreie Updates von Microsoft gibt. Da werden Sicherheitslücken aufgerissen wo es doch heißt Updates wären zur Erhöhung der Sicherheit installiert.
Die USB blockieren Lösung von Microsoft ist sehr unflexibel. Daher setze ich auf eine Dritt Anbieter Lösung.
Das es seit April kaputt ist und niemand gemerkt hat ist umso schlimmer.
Danke für diese wichtige Info
Welche Lösung hast du da im Einsatz?
nutze Drivelock, da muss ich aber leider sagen das hier immer noch auf mmc konsolen gesetzt wird für gewisse Konfig anpassen. Der Rest ist schon als Web GUI umgesetzt. Da war ich sehr verstimmt, das wurde nämlich bei der Produktvorstellung verschwiegen. Ich hab dann nochmals einen Rabatt ausgehandelt. Das grenzte schon an Betrug.
Angeblich soll bis nächstes Jahr die MMC entschwunden sein.
Ansonstein ein Rundes Produkt im Tagesbetrieb, der Support antwortet auch schnell mit entsprechenden Lösungen.
Auf Windows 10 IoT Enterprise 2021 LTSC (v21H2) funktioniert die Sperre der USB-Anschlüsse per Gruppenrichtlinie noch.
Warum betrifft es aber Windows 10 v22H2, obwohl doch beide Versionen keine Funktionsupdates bekommen sollen?
Warum betrifft es Win10 v21H2 und Win11 v24H2 nicht, obwohl die Treibersignatur doch generell geändert werden sollte aufgrund des ablaufenden Zertifikats?
Entweder zieht man (Microsoft) so eine Änderung durch sämtliche supportete Windows-Versionen durch oder da stimmt etwas am Konzept nicht.
Letzteres.
Ohne gehässig zu sein, aber bei Microsoft trifft aus meiner Sicht oft eher letzteres zu
Oder auch irgendein Dienst oder andere Dritte nehmen Einfluss darauf, was/wo/wann/wie/welche Ausnahmen bzw. Zielgruppen o.ä. für so eine Änderungen vorzusehen sind.
Gibt es eine Möglichkeit mit devcon.exe oder pnputil oder einem anderen Tool einen einzelnen USB-Port zu sperren?
Zum Beispiel diesen Port:
"Port_#0001.Hub_#0004"
Ein USB-Controller oder der USB-Hub steuert meistens mehr als nur einen einzelnen Port, daher möchte ich nicht den Controller oder den Hub deaktivieren.
nur gebastelt. du baust einen Task, der auf plugin reagiert und dann anhand einer Liste zulässiger Geräte alle wieder rauswirft, die nicht auf der Liste stehen.
ich habe das Mal (ähnlich) für usb Sticks gebaut, die vom zwang der Verschlüsselung exkludiert werden sollen.
was anderes machen Drittanbieter auch nicht, nur das sie einen Dienst oder Treiber etablieren, statt eines scripts ;-)
mit keinem Wort geht Microsoft auf WIN11 24H2 ein. Ist es da auch defekt?
"Die IT erstellt drei Registrierungseinträge unter:
HKCU\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
AUTSCH: unter HKCU\Software\Policies\ gesetzte Richtlinien können unprivilegierte Benutzer mit Windows-Bordwerkzeugen aushebeln!
Siehe https://skanthak.hier-im-netz.de/blunder.html#blunder91 bzw. https://www.borncity.com/blog/2025/06/02/windows-schwachstelle-ermoeglicht-user-group-policies-auszuhebeln/