The IceMan Blog

חסימת גישה להתקני USB

נכתב על ידי בתאריך: 12/05/2008
תחת הקטגוריות: Windows, אבטחה

נושא האבטחה תופס תאוצה רבה בשנים האחרונות, כחו לדוגמא את ויסטא … טוב בעצם זו דוגמא לא כל כך טובה, אבל הכוונה היתה נכונה. בקיצור התקני USB כמו Disk On Key או נגני FLASH שמזוהים במערכת ההפעלה כהתקני איחסון יכולים להחזיק כמות נכבדת של מידע. בינהם תוכנות לגניבת פרטים אישים כמו סיסמאות, מספרי חשבון בנק, קבצים אישים. והיד עוד נטויה עד הגבלת גודל הכונן. וזה לא כולל את האפשרות המהירה להחדרת וירוסים וסוסים טרויאנים. לא מזמן נתקלתי בתוכנה שברגע שמחברים לך DOK למחשב, היא מתחילה להעתיק את כל התוכן שלו למחשב, או גרסה הפוכה שלו שמעתיקה נקודות מפתח מהמחשב ל-DOK.
כל זה בלי עוד אפילו להכנס לנושא אבטחת מידע בחברות, שאיזה עובד ממורמר יחליט לגנוב מידע על ה-DOK שלו ולמכור אותו לחברה מתחרה. או סתם למנוע הצפה של המחשבים בחברה בשירים :)…

את מה האפשרויות שעומדות לפנינו ?

 

ישנם מספר דרכים למנוע גישה של התקני USB

הדרך הקלה – לכבות את התמיכה ב-USB מה-BIOS

האופציה הזאת נועלת את היציאות USB ברמת ה-BIOS כך שאין הרבה מה לומר בנדון. החסרון היחיד באופציה הזאת היא שהיא נתנת לעקיפה די בקלות אם יש גישה ל-BIOS, ישנם דרכים די פשוטות לאפס את ה-BIOS. זה פשוט וזה קל, ולא דורש ממש ידע כל שהוא.

הדרך הקשה – למנוע גישה למנהל ההתקנים של USB

הדרך הזאת טיפה יותר מלוכלת, בגדול אנחנו בעצם מונעים מ-WINDOWS להשתמש במנהל ההתקן של USB, וכשאין מנהל התקן… אז ההתקן לא יעבוד.

  1. דבר ראשון יש לוודא שניתן לראות קבצים מוסתרים, את זה ניתן לקבוע דרך הגדרות תיקיה בטאב של תצוגה.
  2. שנית לבטל את האפשרות "שיתוף פשוט", על מנת שתהיה לנו גישה לטאב באבטחה במאפיני קבצים.
  3. לפתוח את המאפינים של הקובץ
    %systemroot%\Inf\Usbstor.inf

    , כאשר systemroot היא תקית מערכת ההפעלה, שזה לרוב C:\Windows.

  4. לגשת לטאב של אבטחה ולבחור את הרשומה "Everyone" ולשנות את ההרשאות שלה ל-Deny.
  5. כנ"ל עבור הקובץ
    %systemroot%\Inf\Usbstor.pnf
  6. אם לא נעשה שימוש בהתקני USB עדין על המחשב אפשר לדלג על הצעדים 7 ו-8.
  7. יש לגשת ב-Registry למפתח
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
  8. לפתוח את המפתח בשם "Start" ולשנות לו את הערך ל-4.

והדרך האלגנטית – דרך Group Policy

זו כבר אופציה למנהלי רשתות יותר, היא מיושמת מהשרת ונתמך על כל מערכת הפעלה מ-Windows 2000 ומעלה

  1. פתחו את gpEdit.msc, ובתפריט VIEW לבחור ב-Filtering
  2. להסיר את הסימון מ-"Only show policy settings that can be fully managed" ולאשר
  3. כעת תוכלו לראות את האפשרויות החדשות בפנל מימין. Computer Conficguration > Administrative Templates > Costom Policy Settings > Restrict Drives
  4. נשאר רק לשנות את הסטאטוס ללא פעיל.

יש צעד אחד נוסף שהוא, להסיר את ההרשאות של חשבון SYSTEM מהקבצים שצינתי למעלה.

  • usbstor.sys
  • usbstor.inf

למידע נוסף ניתן לגשת למאמר KB555324 באתר מיקרוסופט


פוסטים קשורים או דומים:

:, , ,

10 תגובות לפוסט זה

השאר תגובה

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!

Blogroll

A few highly recommended websites...

Too Cool for Internet Explorer