Как я могу полностью отключить поддержку USB / съемного диска исключительно с помощью программного обеспечения?
Например, в Windows я знаю, что могу отключить соответствующее оборудование в диспетчере устройств, и пользователи не смогут это отменить. Это будет работать по большей части.
Как насчет сценария, в котором используется локальный эксплойт привилегий, который позволяет пользователю затем включать USB-порты?
Есть ли способ отключить порты USB или съемные драйверы на более низком уровне ОС или поднять предупреждение, если он вставлен?
Вы забыли упомянуть, о какой ОС или аппаратном обеспечении вы говорили («Windows например» не является спецификацией.
В любом случае, многие BIOSen позволяют отключать USB-порты или съемные носители ниже уровня ОС.
Вы могли бы сказать: «Эй, но я сказал в программном обеспечении», ну, многие BIOSen также позволяют выполнять настройку из ОС конфигурации BIOS.
Вы могли бы сказать: «Эй, но я сказал, что использовать локальные привилегии», ну, тот же самый BIOSen, который позволяет конфигурировать, обычно может разрешить парольную защиту BIOS. Таким образом, вы можете на уровне ОС отключить в BIOS и установить пароль / Тогда вы защищены от повторного включения без знания пароля или разборки машины.
Для конкретных методов отключения USB-портов / креплений в операционной системе (которые обычно можно восстановить на уровне ОС), это одна из многих вещей, которые DoD STIG предписывают и проверяют, так что вы можете почерпнуть из этого идеи.
Это обычно становится особенностью антивирусных пакетов. Symantec Endpoint и Trend Micro Worry Free предоставляют возможность отключать доступ к USB-накопителям.
Существуют различные программы, которые отключают USB и / или регистрируют включение / использование портов USB. Но, как упоминалось выше, если это часть программного обеспечения, теоретически ее можно отключить. Одна из возможных идей - это клиент-серверное решение (например, как работает множество корпоративных антивирусных программ), где программное обеспечение применяет политику на клиенте, а сервер опрашивает клиента, чтобы проверить его текущие настройки. Таким образом, существуют удаленные журналы, которых нет на скомпрометированном клиенте.