חסימת גישה להתקני USB

נושא האבטחה תופס תאוצה רבה בשנים האחרונות, כחו לדוגמא את ויסטא … טוב בעצם זו דוגמא לא כל כך טובה, אבל הכוונה היתה נכונה. בקיצור התקני USB כמו Disk On Key או נגני FLASH שמזוהים במערכת ההפעלה כהתקני איחסון יכולים להחזיק כמות נכבדת של מידע. בינהם תוכנות לגניבת פרטים אישים כמו סיסמאות, מספרי חשבון בנק, קבצים אישים. והיד עוד נטויה עד הגבלת גודל הכונן. וזה לא כולל את האפשרות המהירה להחדרת וירוסים וסוסים טרויאנים. לא מזמן נתקלתי בתוכנה שברגע שמחברים לך DOK למחשב, היא מתחילה להעתיק את כל התוכן שלו למחשב, או גרסה הפוכה שלו שמעתיקה נקודות מפתח מהמחשב ל-DOK.
כל זה בלי עוד אפילו להכנס לנושא אבטחת מידע בחברות, שאיזה עובד ממורמר יחליט לגנוב מידע על ה-DOK שלו ולמכור אותו לחברה מתחרה. או סתם למנוע הצפה של המחשבים בחברה בשירים :)…

את מה האפשרויות שעומדות לפנינו ?

 

ישנם מספר דרכים למנוע גישה של התקני USB

הדרך הקלה – לכבות את התמיכה ב-USB מה-BIOS

האופציה הזאת נועלת את היציאות USB ברמת ה-BIOS כך שאין הרבה מה לומר בנדון. החסרון היחיד באופציה הזאת היא שהיא נתנת לעקיפה די בקלות אם יש גישה ל-BIOS, ישנם דרכים די פשוטות לאפס את ה-BIOS. זה פשוט וזה קל, ולא דורש ממש ידע כל שהוא.

הדרך הקשה – למנוע גישה למנהל ההתקנים של USB

הדרך הזאת טיפה יותר מלוכלת, בגדול אנחנו בעצם מונעים מ-WINDOWS להשתמש במנהל ההתקן של USB, וכשאין מנהל התקן… אז ההתקן לא יעבוד.

  1. דבר ראשון יש לוודא שניתן לראות קבצים מוסתרים, את זה ניתן לקבוע דרך הגדרות תיקיה בטאב של תצוגה.
  2. שנית לבטל את האפשרות "שיתוף פשוט", על מנת שתהיה לנו גישה לטאב באבטחה במאפיני קבצים.
  3. לפתוח את המאפינים של הקובץ , כאשר systemroot היא תקית מערכת ההפעלה, שזה לרוב C:\Windows.
  4. לגשת לטאב של אבטחה ולבחור את הרשומה "Everyone" ולשנות את ההרשאות שלה ל-Deny.
  5. כנ"ל עבור הקובץ
  6. אם לא נעשה שימוש בהתקני USB עדין על המחשב אפשר לדלג על הצעדים 7 ו-8.
  7. יש לגשת ב-Registry למפתח
  8. לפתוח את המפתח בשם "Start" ולשנות לו את הערך ל-4.

והדרך האלגנטית – דרך Group Policy

זו כבר אופציה למנהלי רשתות יותר, היא מיושמת מהשרת ונתמך על כל מערכת הפעלה מ-Windows 2000 ומעלה

  1. פתחו את gpEdit.msc, ובתפריט VIEW לבחור ב-Filtering
  2. להסיר את הסימון מ-"Only show policy settings that can be fully managed" ולאשר
  3. כעת תוכלו לראות את האפשרויות החדשות בפנל מימין. Computer Conficguration > Administrative Templates > Costom Policy Settings > Restrict Drives
  4. נשאר רק לשנות את הסטאטוס ללא פעיל.

יש צעד אחד נוסף שהוא, להסיר את ההרשאות של חשבון SYSTEM מהקבצים שצינתי למעלה.

  • usbstor.sys
  • usbstor.inf

למידע נוסף ניתן לגשת למאמר KB555324 באתר מיקרוסופט


פוסטים קשורים או דומים:

10 thoughts on “חסימת גישה להתקני USB

  1. תודה רבה! אצלינו במוסד יש שרת+70 עמדות ורק אפשר לתאר את חגיגת הוירוסים וסוף סוף הצלחנו לחסום את הכניסה של ה-usb
    האם אפשר באותה דרך לחסום גם את התקני הcd וה-dvd פשוט סגרתי אותם כך אבל המחשב בכל הפעלה מחדש מזהה חומרה חדשה וכו' וזה עולה על העצבים. האם יש דרך לבטל את הזיהוי האוטומאטי של חומרה חדשה בwinxp?

  2. אצלנו פשוט ניתקו כונני CD\DVD – למרות שהיו חכמולוגים שפתחו וחיברו אותם אבל זה היה האמצעי הראשון.

    שלב שני היה לחסום את הזיהוי ב-BIOS, אבל שוב מי שכבר פתח את המחשב, ידע גם איך לאפס את ה-BIOS כדי לעקוף את המגבלה הזאת…

    אופציה שלישית היא לתת למערכת לזהות את הכוננים ואז לבצע עליהם DISABLE – ארוך ודורש עבודה ידנית על כל מחשב בנפרד אבל עובד.

    אופציה רביעית היא מה שהצעתי לבדוק במאמר של $M – http://support.microsoft.com/kb/555324 – HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers

    מקווה שעזר לך,

  3. הכי פשוט זה לעשות את זה דרך ה-GP.
    רק שכחת לציין, שאותו ערך של "Disable USB / CD / FLOPPY" לא נמצא ב-GP, ויש להוסיף אותו ידנית.
    בקשר לרשת, שם עדיף לעשות סקריפט ופשוט להריץ אותו דרך ה-DC.

  4. לי יש בעיה הפוכה, מחשב שנחסמה לו יציאת הUSB ע"י טכנאי,
    ואין לי מושג באיזה דרך הוא עשה את זה?

    איך אני יכולה לדעת? ולהחזיר את היציאה לשימוש?

    1. בדיקה ראשונה זה לראות אם היציאה מכובה ע"י מנהל ההתקנים. תוכלי לבדוק זאת ע"י לחיצה ימנית על האיקון של "המחשב שלי" לבחור באפשרות ניהול, ובחלון שיפתח לבחור את מנהל ההתקנים . שם את אמורה לראות רשימה של ההתקנים במחשב שלך, אם את רואה התקן מסומן בסימן קריאה צהוב או סמן של X אדום, תתחילי לבדוק משם. אם את צריכה עזרה תעלי תמונה של מה שאת רואה.

  5. שלום.
    אני מעוניין לדעת עם אפשרי לעשות שברגע שמישהו מחבר למחשב Disk On Key דרך ה usb האם אפשר לעשות שהמחשב יבקש סיסמא ?

      1. שלום The iceMan

        עבורי ושרק אדמין יכול יהיה לפתוח את הפורט בעזרת סיסמא..

          1. תודה על העזרה.
            בסוף השתמשתי בדרך שנתתה פה בפוסט "הדרך הקשה"
            תאמת שזה בכלל לא מסובך ולא קשה…

            תודה על הכול.

Leave a Comment

האימייל לא יוצג באתר. שדות החובה מסומנים *

*
*