Bloqueio de portas USB de desktop

8

Como você bloqueia as portas USB nos PCs de mesa para que possamos evitar o uso de unidades USB nos desktops?

Devo esclarecer que esses são desktops do Windows XP.

Também devemos supor que, como a maioria dos novos desktops, muitos estão usando USB para teclados e / ou mouses.

    
por Mike Wills 06.05.2009 / 20:15

13 respostas

7

Deve haver um objeto de política de grupo para isso, você pode enviá-lo pelo Active Directory. Veja em gpedit.msc no WinXP Pro.

    
por 06.05.2009 / 20:18
8

Se eles são áreas de trabalho do Windows, você pode usar a política local (ou política de grupo, se for o Active Directory). Não existe uma configuração padrão, mas o modelo fornecido pela MS pode ser encontrado em MSKB 555324 .

    
por 06.05.2009 / 20:23
6

Você deve conseguir desativar as portas USB do BIOS do computador. Você também pode, desconecte os cabos deles para a placa-mãe.

    
por 06.05.2009 / 20:17
5

Eu não acho que desabilitar as portas realmente vai fazer o que você parece querer. Não, a menos que esses computadores usem mouses e teclados PS2. Contanto que você tenha portas USB disponíveis para o teclado e o mouse, alguém pode simplesmente conectar um hub e conectar sua unidade USB nele. O que você realmente quer fazer é impedir que o computador reconheça dispositivos de armazenamento USB (mas não outros dispositivos USB) conectados via USB.

    
por 06.05.2009 / 20:23
5

Se os usuários tiverem direitos administrativos em seus PCs, eles poderão substituir tudo o que você fizer para evitar isso. No entanto, você pode seguir o link abaixo para a solução recomendada da Microsoft:

link

Você também pode impedir a inicialização de um pendrive na BIOS, como já foi mencionado.

    
por 06.05.2009 / 20:59
4

Se você estiver preocupado em usar uma solução de software, poderá comprar alguns bloqueios de hardware.

Bloqueador de portas USB

Isso pressupõe que você tenha o orçamento para obtê-los para cada máquina. Talvez você também precise impedir que as pessoas desconectem o teclado e o mouse se eles também forem USB.

    
por 07.05.2009 / 00:34
3

Duas soluções que vi em sites de clientes:

  • (Linux) Bloqueie os módulos do kernel USB relevantes (usb_storage) no arquivo /etc/modprobe.conf do tipo
  • pistola de cola quente
por 06.05.2009 / 20:25
3

No BIOS, defina o dispositivo de inicialização para inicializar somente a partir do disco rígido e proteger com senha o BIOS. No BIOS, desabilite todos os dispositivos USB que você pode usar. Para impedir que bastões USB sejam montados, você precisará tomar outras medidas. Você pode colocar o computador em uma caixa com apenas os cabos do teclado e do mouse saindo? Então não há porta USB disponível para eles mexerem.

O resultado é que, desde que você não confie em pessoas que tenham acesso físico à máquina, você só poderá melhorar a segurança, mas não conseguirá segurança absoluta.

    
por 06.05.2009 / 20:37
3

Eu tive que fazer isso em máquinas autônomas, bem como em várias máquinas de domínio. O GPO seria o melhor caminho a percorrer, mas eu não tive o luxo de fazer isso dessa maneira. Obviamente, se alguém tivesse direitos de administrador sobre a máquina e um pouco de conhecimento, ela poderia desfazer isso.

Na época em que eu usava isso, tínhamos todas as máquinas XP. Nenhum usuário possuía direitos de administrador. Nenhum usuário é [suposto ser] Usuários Avançados. Para ajudar a impedir que os usuários usem dispositivos de armazenamento em massa USB, alguns outros administradores excluíram o USBSTOR.SYS. Então, se eu precisar reativar os dispositivos de armazenamento em massa USB, também preciso restaurar o arquivo do driver. (Então eu mantive uma cópia atual acessível junto com os arquivos abaixo). Minha cópia do "Enable.bat" tem uma linha - eu comentei aqui - para restaurar o arquivo conforme necessário.

Disable.bat:

(Pode ser necessário adicionar "BUILTIN \ Administrators" aos comandos CACLS. Eu não precisava no meu ambiente)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Pode ter que adicionar outro conjunto de comandos CACLS para "BUILTIN \ Administrators". Eu não precisava no meu ambiente)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Algo semelhante pode funcionar para o Vista - MAS NÃO TENHO TENTADO.

    
por 29.10.2009 / 01:42
2

Eu prefiro treinar os usuários quanto ao que é aceitável e o que não é aceitável. Se você não pode confiar em seus usuários tão longe, tire seus PCs e configure um sistema thin client conectando-se a algo como um servidor Citrix executando todos os seus aplicativos. A única outra solução que posso pensar é colocar o PC real em um gabinete trancado com apenas os cabos para o teclado, mouse e monitor saindo. Em todos os casos, acho que você acabará criando mais trabalho para você mesmo.

    
por 06.05.2009 / 21:55
0

Se você está procurando efetivamente 'remover' essas portas do computador (e você precisa de USB em tudo), E se você estiver disposto a modificar o computador, posso sugerir 2 partes de epóxi? Cubra o conector com epóxi e ninguém nunca vai ligar nada lá novamente. A cola Hot Melt é um pouco menos permanente, mas ainda assim bastante eficaz.

Supondo que você ainda precise de portas USB para teclado / mouse, terá que deixar uma ou duas portas descobertas.

    
por 19.08.2009 / 15:59
0

Drivelock . Também espelha arquivos de pendrives, se desejado, e permite listas de permissões e listas negras de dispositivos, tipos de arquivos e usuários.

    
por 29.10.2009 / 00:02
0

Você pode desativar o armazenamento de USB via:

link

Também é possível tornar o armazenamento USB somente leitura . Isso geralmente é um bom compromisso, pois permite que os usuários leiam dados de um dispositivo USB - como fotos de uma câmera, mas impede que eles copiem o banco de dados corporativo para o cartão de memória.

link

Provavelmente não é aconselhável tentar desativar o USB por completo, já que coisas como teclados e mouses geralmente exigem USB nos dias de hoje. Ambas as opções acima podem ser definidas por meio de uma entrada de registro ou de um arquivo de política. A força dessas configurações será tão strong quanto a política do Windows e as configurações de grupo.

    
por 29.10.2009 / 07:03