Как заблокировать USB-порты на настольных ПК, чтобы мы могли предотвратить использование USB-накопителей на настольных ПК?
Уточняю, что это рабочие столы Windows XP.
Мы также должны предположить, что, как и большинство новых настольных компьютеров, многие используют USB для клавиатуры и / или мышей.
Если это рабочие столы Windows, вы можете использовать локальную политику (или групповую политику, если это Active Directory). Для него нет настройки по умолчанию, но предоставленный MS шаблон можно найти в MSKB. 555324.
Для этого должен быть объект групповой политики, вы можете протолкнуть его через Active Directory. Смотрите в gpedit.msc на WinXP Pro.
Вы должны иметь возможность отключить порты USB в BIOS компьютера. Вы также можете отсоединить кабели от материнской платы.
Если у пользователей есть права администратора на своих компьютерах, они могут отменить все, что вы делаете, чтобы предотвратить это. Однако вы можете перейти по следующей ссылке на рекомендованное решение Microsoft:
http://support.microsoft.com/kb/823732
Вы также можете запретить загрузку с USB-накопителя в BIOS, как уже упоминалось.
Я не думаю, что отключение портов действительно поможет вам. Нет, если эти компьютеры не используют мыши и клавиатуры PS2. Если у вас есть доступные USB-порты для клавиатуры и мыши, кто-то может просто подключить концентратор и подключить к нему свой USB-накопитель. Что вы действительно хотите сделать, так это запретить компьютеру распознавать USB-накопители (но не другие USB-устройства), подключенные через USB.
Если вас беспокоит использование программного обеспечения, вы можете купить аппаратные замки.
Это предполагает, что у вас есть бюджет, чтобы получить их для каждой машины. Вам также может потребоваться запретить людям отключать клавиатуру и мышь, если они тоже USB.
Два решения, которые я видел на сайтах клиентов:
В BIOS установите загрузочное устройство на загрузку только с жесткого диска и защитите BIOS паролем. В BIOS отключите все USB-устройства, которые вам могут сойти с рук. Чтобы предотвратить даже установку USB-накопителей, вам необходимо принять другие меры. Можете ли вы поместить компьютер в коробку с выходом только кабеля клавиатуры и мыши? Тогда у них нет доступного USB-порта, с которым можно было бы возиться.
Суть в том, что до тех пор, пока вы не доверяете людям, имеющим физический доступ к машине, вы можете только повысить безопасность, но не сможете добиться абсолютной безопасности.
Мне приходилось делать это на автономных машинах, а также на нескольких машинах домена. GPO было бы лучше, но у меня не было такой роскоши. Очевидно, что если бы у кого-то были права администратора на машине и немного знаний, они могли бы это отменить.
В то время, когда я использовал это, у нас были все машины XP. Ни у одного пользователя не было прав администратора. Никакие пользователи не [должны быть] опытными пользователями. Чтобы помочь пользователям не использовать запоминающие устройства USB, некоторые другие администраторы удалили USBSTOR.SYS. Поэтому, если мне когда-либо требовалось повторно включить запоминающие устройства USB, мне также нужно было восстановить файл драйвера. (Так что я сохранил под рукой текущую копию вместе с файлами ниже). В моей копии «Enable.bat» есть строка - я здесь закомментировал - для восстановления файла по мере необходимости.
Disable.bat:
(Возможно, придется добавить "BUILTIN \ Administrators" к командам CACLS. В моей среде этого не было)
@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"
Disable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Enable.bat
(Возможно, придется добавить еще один набор команд CACLS для "BUILTIN \ Administrators". В моей среде этого не было)
@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"
Enable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Что-то похожее может работать в Vista - НО Я ЭТО НЕ ПЫТАЛ.
Я предпочитаю обучать пользователей тому, что приемлемо, а что нет. Если вы не можете доверять своим пользователям так далеко, то заберите их компьютеры и настройте системы тонких клиентов, подключенные к чему-то вроде сервера Citrix, на котором запущены все ваши приложения. Единственное другое решение, которое я могу придумать, - это разместить настоящий компьютер в запертом шкафу с выходом только кабелей для клавиатуры, мыши и монитора. В любом случае, я думаю, вы просто создадите больше работы для себя.
Если вы хотите эффективно «удалить» эти порты из компьютера (и вам вообще нужен USB), И если вы хотите модифицировать компьютер, могу ли я предложить двухкомпонентную эпоксидную смолу? Покройте разъем эпоксидной смолой, и никто больше ничего не вставит. Клей-расплав менее стойкий, но все же довольно эффективен.
Предполагая, что вам все еще нужны USB-порты для клавиатуры / мыши, вам придется оставить один или два порта открытыми.
Drivelock. Также, при желании, зеркалирует файлы с USB-накопителей и позволяет заносить в белый и черный список устройства, типы файлов и пользователей.
Вы можете отключить USB место хранения через:
http://support.microsoft.com/kb/823732
Также возможно сделать USB-накопитель только чтение. Часто это хороший компромисс, поскольку он позволяет пользователям считывать данные с USB-устройства, например фотографии с камеры, но не позволяет им копировать вашу корпоративную базу данных на свою карту памяти.
http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm
Вероятно, не рекомендуется полностью отключать USB, так как в наши дни такие вещи, как клавиатуры и мыши, обычно требуют USB. Оба из вышеперечисленных могут быть установлены через запись реестра или файл политики. Сила этих параметров будет такой же сильной, как ваша политика и параметры группы Windows.