May 12

חסימת גישה להתקני USB

קטגוריה: Windows,אבטחה

נושא האבטחה תופס תאוצה רבה בשנים האחרונות, כחו לדוגמא את ויסטא … טוב בעצם זו דוגמא לא כל כך טובה, אבל הכוונה היתה נכונה. בקיצור התקני USB כמו Disk On Key או נגני FLASH שמזוהים במערכת ההפעלה כהתקני איחסון יכולים להחזיק כמות נכבדת של מידע. בינהם תוכנות לגניבת פרטים אישים כמו סיסמאות, מספרי חשבון בנק, קבצים אישים. והיד עוד נטויה עד הגבלת גודל הכונן. וזה לא כולל את האפשרות המהירה להחדרת וירוסים וסוסים טרויאנים. לא מזמן נתקלתי בתוכנה שברגע שמחברים לך DOK למחשב, היא מתחילה להעתיק את כל התוכן שלו למחשב, או גרסה הפוכה שלו שמעתיקה נקודות מפתח מהמחשב ל-DOK.
כל זה בלי עוד אפילו להכנס לנושא אבטחת מידע בחברות, שאיזה עובד ממורמר יחליט לגנוב מידע על ה-DOK שלו ולמכור אותו לחברה מתחרה. או סתם למנוע הצפה של המחשבים בחברה בשירים :)

את מה האפשרויות שעומדות לפנינו ?

 



ישנם מספר דרכים למנוע גישה של התקני USB

הדרך הקלה - לכבות את התמיכה ב-USB מה-BIOS

האופציה הזאת נועלת את היציאות USB ברמת ה-BIOS כך שאין הרבה מה לומר בנדון. החסרון היחיד באופציה הזאת היא שהיא נתנת לעקיפה די בקלות אם יש גישה ל-BIOS, ישנם דרכים די פשוטות לאפס את ה-BIOS. זה פשוט וזה קל, ולא דורש ממש ידע כל שהוא.

הדרך הקשה - למנוע גישה למנהל ההתקנים של USB

הדרך הזאת טיפה יותר מלוכלת, בגדול אנחנו בעצם מונעים מ-WINDOWS להשתמש במנהל ההתקן של USB, וכשאין מנהל התקן… אז ההתקן לא יעבוד.

  1. דבר ראשון יש לוודא שניתן לראות קבצים מוסתרים, את זה ניתן לקבוע דרך הגדרות תיקיה בטאב של תצוגה.
  2. שנית לבטל את האפשרות "שיתוף פשוט", על מנת שתהיה לנו גישה לטאב באבטחה במאפיני קבצים.
  3. לפתוח את המאפינים של הקובץ %systemroot%\Inf\Usbstor.inf, כאשר sys­tem­root היא תקית מערכת ההפעלה, שזה לרוב C:\Windows.
  4. לגשת לטאב של אבטחה ולבחור את הרשומה "Every­one" ולשנות את ההרשאות שלה ל-Deny.
  5. כנ"ל עבור הקובץ %systemroot%\Inf\Usbstor.pnf
  6. אם לא נעשה שימוש בהתקני USB עדין על המחשב אפשר לדלג על הצעדים 7 ו-8.
  7. יש לגשת ב-Reg­istry למפתח HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
  8. לפתוח את המפתח בשם "Start" ולשנות לו את הערך ל-4.

והדרך האלגנטית - דרך Group Policy

זו כבר אופציה למנהלי רשתות יותר, היא מיושמת מהשרת ונתמך על כל מערכת הפעלה מ-Win­dows 2000 ומעלה

  1. פתחו את gpEdit.msc, ובתפריט VIEW לבחור ב-Filtering
  2. להסיר את הסימון מ-"Only show pol­icy set­tings that can be fully managed" ולאשר
  3. כעת תוכלו לראות את האפשרויות החדשות בפנל מימין. Com­puter Con­ficgu­ra­tion > Admin­is­tra­tive Tem­plates > Cos­tom Pol­icy Set­tings > Restrict Drives
  4. נשאר רק לשנות את הסטאטוס ללא פעיל.

יש צעד אחד נוסף שהוא, להסיר את ההרשאות של חשבון SYSTEM מהקבצים שצינתי למעלה.

  • usbstor.sys
  • usbstor.inf

למידע נוסף ניתן לגשת למאמר KB555324 באתר מיקרוסופט

 

del.icio.us Tags: ,,,

פוסטים קשורים או דומים:

שתף עם אחרים:
  • Digg
  • del.icio.us
  • Google Bookmarks
  • StumbleUpon
  • Facebook
  • Live
Print
3 תגובות

3 תגובות עד כה

  1. חיה February 13th, 2009 10:21

    תודה רבה! אצלינו במוסד יש שרת+70 עמדות ורק אפשר לתאר את חגיגת הוירוסים וסוף סוף הצלחנו לחסום את הכניסה של ה-usb
    האם אפשר באותה דרך לחסום גם את התקני הcd וה-dvd פשוט סגרתי אותם כך אבל המחשב בכל הפעלה מחדש מזהה חומרה חדשה וכו' וזה עולה על העצבים. האם יש דרך לבטל את הזיהוי האוטומאטי של חומרה חדשה בwinxp?

  2. The IceMan February 13th, 2009 12:16

    אצלנו פשוט ניתקו כונני CD\DVD - למרות שהיו חכמולוגים שפתחו וחיברו אותם אבל זה היה האמצעי הראשון.

    שלב שני היה לחסום את הזיהוי ב-BIOS, אבל שוב מי שכבר פתח את המחשב, ידע גם איך לאפס את ה-BIOS כדי לעקוף את המגבלה הזאת…

    אופציה שלישית היא לתת למערכת לזהות את הכוננים ואז לבצע עליהם DISABLE - ארוך ודורש עבודה ידנית על כל מחשב בנפרד אבל עובד.

    אופציה רביעית היא מה שהצעתי לבדוק במאמר של $M - http://support.microsoft.com/kb/555324 - HOWTO: Use Group Pol­icy to dis­able USB, CD-ROM, Floppy Disk and LS-120 drivers

    מקווה שעזר לך,

  3. Walla March 19th, 2009 18:02

    הכי פשוט זה לעשות את זה דרך ה-GP.
    רק שכחת לציין, שאותו ערך של "Dis­able USB / CD / FLOPPY" לא נמצא ב-GP, ויש להוסיף אותו ידנית.
    בקשר לרשת, שם עדיף לעשות סקריפט ופשוט להריץ אותו דרך ה-DC.

השאר תגובה