Блокировка настольных USB-портов

Как заблокировать порты USB на настольных ПК, чтобы мы могли предотвратить использование USB-накопителей на настольных ПК.

Я должен уточнить, что это рабочие столы Windows XP.

Следует также предположить, что, как и большинство новых настольных компьютеров, многие используют USB для клавиатур и / или мышей.

Для этого должен быть объект групповой политики, вы можете протолкнуть его через Active Directory. Смотрите в gpedit.mscWinXP Pro.

Если это рабочие столы Windows, вы можете использовать локальную политику (или групповую политику, если это Active Directory). Для него нет настройки по умолчанию, но предоставленный MS шаблон можно найти в MSKB 555324 .

Вы должны быть в состоянии отключить USB-порты из BIOS компьютера. Вы также можете отключить кабели от них к материнской плате.

Я не думаю, что отключение портов действительно будет делать то, что вы, кажется, хотите. Только если на этих компьютерах используются мыши и клавиатуры PS2. Если у вас есть доступные USB-порты для клавиатуры и мыши, кто-то может просто подключить концентратор и подключить к нему свой USB-накопитель. Что вы действительно хотите сделать, так это запретить компьютеру распознавать запоминающие устройства USB (но не другие USB-устройства), подключенные через USB.

Если пользователи имеют права администратора на своих ПК, они могут переопределить все, что вы делаете, чтобы предотвратить это. Тем не менее, вы можете перейти по ссылке ниже, чтобы рекомендовать решение Microsoft:

http://support.microsoft.com/kb/823732

Вы также можете предотвратить загрузку с USB-накопителя в BIOS, как уже упоминалось.

Если вы обеспокоены использованием программного решения, вы можете купить некоторые аппаратные блокировки.

USB Port Blocker

Это предполагает, что у вас есть бюджет, чтобы получить их для каждой машины. Вам также может потребоваться, чтобы люди не отключали клавиатуру и мышь, если они также USB.

Два решения, которые я видел на сайтах клиентов:

• (Linux) Черный список соответствующих модулей ядра USB (usb_storage) в соответствующем файле /etc/modprobe.conf -type
• Горячий клеевой пистолет

В BIOS установите загрузочное устройство для загрузки только с жесткого диска и защитите паролем BIOS. В BIOS отключите все USB-устройства, которые вы можете использовать. Чтобы не допустить подключения USB-накопителей, вам необходимо принять другие меры. Можете ли вы положить компьютер в коробку с выходящими только кабелями клавиатуры и мыши? Тогда нет доступного USB-порта для них.

Суть в том, что пока вы не доверяете людям, у которых есть физический доступ к компьютеру, вы можете только повысить безопасность, но не сможете получить абсолютную безопасность.

Я должен был сделать это на отдельных машинах, а также на нескольких машинах домена. GPO был бы лучшим способом, но у меня не было такой роскоши. Очевидно, что если у кого-то есть права администратора на машину и немного знаний, они могут отменить это.

В то время, когда я использовал это, у нас были все машины XP. Ни один пользователь не имел прав администратора. Ни один из пользователей [не должен быть] опытным пользователем. Чтобы пользователи не могли использовать запоминающие устройства USB, некоторые другие администраторы удалили USBSTOR.SYS. Поэтому, если мне когда-нибудь понадобилось включить запоминающие устройства USB, мне нужно было также восстановить файл драйвера. (Поэтому я держал текущую копию под рукой вместе с файлами ниже). Моя копия «Enable.bat» имеет строку - я закомментировал здесь - чтобы восстановить файл по мере необходимости.

Disable.bat:

(Возможно, придется добавить «BUILTIN \ Администраторы» к командам CACLS. Мне не нужно было в моей среде)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Возможно, придется добавить еще один набор команд CACLS для «BUILTIN \ Администраторы». Мне не нужно было в моей среде)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Нечто подобное может работать для Vista, но я не пробовал.

Я предпочитаю обучать пользователей тому, что приемлемо, а что нет. Если вы не можете доверять своим пользователям настолько далеко, то заберите их ПК и настройте системы тонкого клиента, подключающиеся обратно к серверу Citrix, на котором выполняются все ваши приложения. Единственное другое решение, которое я могу придумать, - это поместить настоящий ПК в запертый шкаф, в котором есть только кабели для клавиатуры, мыши и монитора. Во всех случаях, я думаю, вы просто создадите больше работы для себя.

Если вы хотите эффективно «удалить» эти порты с компьютера (и вам вообще нужен USB), И если вы хотите модифицировать компьютер, могу ли я предложить двухкомпонентную эпоксидную смолу? Покройте разъем эпоксидной смолой, и никто больше ничего не подключит. Клей Hot Melt немного менее стойкий, но все же довольно эффективный.

Предполагая, что вам все еще нужны порты USB для клавиатуры / мыши, вам придется оставить один или два порта незакрытыми.

Drivelock . Также при желании зеркалирует файлы с USB-накопителей и позволяет создавать белые и черные списки устройств, типов файлов и пользователей.

Вы можете отключить USB- накопитель через:

http://support.microsoft.com/kb/823732

Также возможно сделать USB-накопитель только для чтения . Часто это хороший компромисс, поскольку он позволяет пользователям считывать данные с USB-устройства - например, фотографии с камеры, но не позволяет им копировать корпоративную базу данных на карту памяти.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Вероятно, не рекомендуется пытаться полностью отключить USB, поскольку такие устройства, как клавиатуры и мыши, обычно требуют USB в наши дни. Оба вышеперечисленных могут быть установлены через запись реестра или файл политики. Сила этих настроек будет такой же сильной, как ваши настройки политики Windows и группы.