Bloqueio de portas USB da área de trabalho

Como você bloqueia as portas USB nos PCs de mesa para impedir o uso de unidades USB nas áreas de trabalho.

Devo esclarecer que esses são os desktops do Windows XP.

Também devemos assumir que, como a maioria dos novos desktops, muitos estão usando USB para teclados e / ou mouses.

Deve haver um objeto de diretiva de grupo para isso; você pode enviá-lo através do Active Directory. Veja no gpedit.mscWinXP Pro.

Se forem áreas de trabalho do Windows, você pode usar a política local (ou política de grupo, se for o Active Directory). Não existe uma configuração padrão para isso, mas o modelo fornecido pela MS pode ser encontrado no MSKB 555324 .

Você deve conseguir desativar as portas usb do BIOS do computador. Você também pode desconectar os cabos deles na placa-mãe.

Eu não acho que desabilitar portas realmente fará o que você parece querer. A menos que esses computadores usem mouses e teclados PS2. Contanto que você tenha portas USB disponíveis para o teclado e o mouse, alguém pode simplesmente conectar um hub e conectar sua unidade USB. O que você realmente deseja fazer é impedir que o computador reconheça dispositivos de armazenamento USB (mas não outros dispositivos USB) conectados via USB.

Se os usuários tiverem direitos administrativos em seus PCs, eles poderão substituir qualquer coisa que você faça para evitar isso. No entanto, você pode seguir o link abaixo para a solução recomendada da Microsoft:

http://support.microsoft.com/kb/823732

Você também pode impedir a inicialização a partir de um pendrive no BIOS, como já foi mencionado.

Se você estiver preocupado em usar uma solução de software, poderá comprar alguns bloqueios de hardware.

Bloqueador de porta USB

Isso pressupõe que você tenha o orçamento para obtê-los para cada máquina. Talvez você também precise impedir que as pessoas desconectem o teclado e o mouse, se também forem USB.

Duas soluções que eu já vi nos sites dos clientes:

• (Linux) Lista negra dos módulos relevantes do kernel USB (usb_storage) no arquivo /etc/modprobe.conf -type apropriado
• Pistola de cola quente

No BIOS, defina o dispositivo de inicialização para inicializar apenas a partir do disco rígido e proteja com senha o BIOS. No BIOS, desative todos os dispositivos USB com os quais você pode se safar. Para impedir que os pendrives sejam montados, você precisará tomar outras medidas. Você pode colocar o computador em uma caixa com apenas os cabos do teclado e do mouse saindo? Então não há porta USB disponível para eles mexerem.

A conclusão é que, desde que você não confie nas pessoas que têm acesso físico à máquina, você só pode melhorar a segurança, mas não pode obter segurança absoluta.

Eu tive que fazer isso em máquinas independentes, bem como em várias máquinas de domínio. O GPO seria o melhor caminho a percorrer, mas não tive o luxo de fazê-lo dessa maneira. Obviamente, se alguém tivesse direitos de administrador sobre a máquina e um pouco de conhecimento, poderia desfazer isso.

No momento em que eu estava usando isso, tínhamos todas as máquinas XP. Nenhum usuário tinha direitos de administrador. Nenhum usuário deve ser usuário avançado. Para ajudar a impedir que os usuários usem dispositivos de armazenamento em massa USB, alguns outros administradores excluíram o USBSTOR.SYS. Portanto, se eu precisava reativar os dispositivos de armazenamento em massa USB, também precisava restaurar o arquivo do driver. (Então, eu mantive uma cópia atual à mão junto com os arquivos abaixo). Minha cópia do "Enable.bat" tem uma linha - comentei aqui - para restaurar o arquivo conforme necessário.

Disable.bat:

(Pode ser necessário adicionar "BUILTIN \ Administrators" aos comandos do CACLS. Não era necessário no meu ambiente)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Pode ser necessário adicionar outro conjunto de comandos CACLS para "BUILTIN \ Administrators". Não era necessário no meu ambiente)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Algo semelhante pode funcionar para o Vista - mas ainda não o tentei.

Prefiro treinar os usuários sobre o que é aceitável e o que não é aceitável. Se você não pode confiar nos usuários até agora, retire seus PCs e configure sistemas thin client que se conectem a algo como um servidor Citrix executando todos os seus aplicativos. A única outra solução em que posso pensar é colocar o PC real em um gabinete trancado, com apenas os cabos do teclado, mouse e monitor saindo. Em todos os casos, acho que você acabará criando mais trabalho para si mesmo.

Se você deseja efetivamente 'remover' essas portas do computador (e você precisa de USB), E se estiver disposto a modificar o computador, posso sugerir 2 partes de epóxi? Cubra o conector com epóxi e ninguém nunca mais voltará a conectar nada. A cola Hot Melt é um pouco menos permanente, mas ainda bastante eficaz.

Supondo que você ainda precise de portas USB para teclado / mouse, precisará deixar uma porta ou duas descobertas.

Drivelock . Também espelha arquivos de pen drives, se desejado, e permite a lista de permissões e a lista negra de dispositivos, tipos de arquivos e usuários.

Você pode desativar o armazenamento USB via:

http://support.microsoft.com/kb/823732

Também é possível fazer o armazenamento USB somente para leitura . Geralmente, esse é um bom compromisso, pois permite aos usuários ler dados de um dispositivo USB - como fotos de uma câmera, mas impede que eles copiem o banco de dados corporativo para o cartão de memória.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Provavelmente, não é aconselhável tentar desativar completamente o USB, pois coisas como teclados e mouses geralmente exigem USB atualmente. Ambos os itens acima podem ser definidos por meio de uma entrada do Registro ou de um arquivo de políticas. A força dessas configurações será tão forte quanto a política do Windows e as configurações de grupo.