Blocco delle porte USB del desktop


8

Come bloccare le porte USB sui PC desktop in modo da impedire l'uso delle unità USB sui desktop.

Dovrei chiarire che si tratta di desktop Windows XP.

Dovremmo anche presumere che, come la maggior parte dei nuovi desktop, molti utilizzino USB per tastiere e / o mouse.


1
hanno mouse / tastiere USB?
pjz,

Dai un'occhiata alle risposte a questa domanda .
epotter

Risposte:


7

Dovrebbe esserci un oggetto Criteri di gruppo per questo, è possibile inviarlo tramite Active Directory. Vedi gpedit.mscsu WinXP Pro.


1
Non penso che impedirà alle persone di avviarsi da una chiavetta USB.
pjz,

5
+1 Sebbene l'avvio da uno di questi problemi? Ciò potrebbe essere modificato nel BIOS Setup e quindi protetto da password ...
Oskar Duveborn,

Di quali impostazioni si tratta?
epotter,

Quale impostazione dipende dal BIOS. Cerca le funzionalità che abilitano / disabilitano l'avvio USB e / o la selezione delle unità di avvio all'avvio.
lexu,

8

Se sono desktop Windows, è possibile utilizzare i criteri locali (o criteri di gruppo, se è Active Directory). Non esiste un'impostazione predefinita per esso, ma il modello fornito da MS si trova in MSKB 555324 .


1
Quel collegamento è rotto. Immagino che sia .com non .cim.
Mike Wills,

1
Questo è solo un discorso folle.
Kara Marfia,

6

Dovresti essere in grado di disabilitare le porte USB dal BIOS del computer. È inoltre possibile scollegare i cavi da essi alla scheda madre.


1
Cosa succede se la tastiera e / o il mouse sono USB? Non funzionerebbe.
Mike Wills,

1
Quindi dovrai utilizzare un convertitore da USB a PS / 2.
Adam Gibbins,

1
@ Mike Wills, vero, tuttavia se non disabiliti tutte le porte come Chris Upchurch (vedi sotto) ha detto che continuerai a riscontrare il problema che stai cercando di evitare. Tutto può dipendere da quanto esperti di computer sono i tuoi utenti. Se non si desidera che inseriscano unità USB "sporche", scollegare il connettore anteriore potrebbe essere sufficiente.
RateControl,

7
@Adam: molti computer non hanno nemmeno porte PS / 2 al giorno d'oggi.
Chris Upchurch,

2
La soluzione giusta è disabilitare l'uso di dispositivi di archiviazione USB rimovibili, qualsiasi altra cosa avrà buchi vuoti che puoi guidare attraverso un camion. Dato che si tratta di un problema di sicurezza, si vuole sicuramente farlo bene piuttosto che un po ', per lo più giusto.
Wedge

5

Non credo che disabilitare le porte farà davvero quello che sembra voler. A meno che questi computer non utilizzino mouse e tastiere PS2. Finché hai a disposizione porte USB per tastiera e mouse, qualcuno può semplicemente collegare un hub e collegare la propria unità USB. Quello che vuoi davvero fare è impedire al computer di riconoscere i dispositivi di archiviazione USB (ma non altri dispositivi USB) collegati tramite USB.


5

Se gli utenti dispongono dei diritti amministrativi per i loro PC, possono ignorare qualsiasi cosa tu faccia per impedirlo. Tuttavia, è possibile seguire il collegamento seguente alla soluzione consigliata di Microsoft:

http://support.microsoft.com/kb/823732

È inoltre possibile impedire l'avvio da una chiavetta USB nel BIOS, come già accennato.


4

Se sei preoccupato per l'utilizzo di una soluzione software, potresti acquistare alcuni blocchi hardware.

USB Port Blocker

Questo presuppone che tu abbia il budget per ottenerli per ogni macchina. Potrebbe anche essere necessario impedire alle persone di scollegare la tastiera e il mouse anche se sono USB.


3

Due soluzioni che ho visto nei siti dei clienti:

  • (Linux) Inserisce nella blacklist i relativi moduli del kernel USB (usb_storage) nell'apposito file /etc/modprobe.conf -type
  • Pistola per colla a caldo

3

Nel BIOS, impostare il dispositivo di avvio per l'avvio solo dal disco rigido e proteggere con password il BIOS. Nel BIOS, disabilitare tutti i dispositivi USB con cui è possibile cavarsela. Per evitare che anche le chiavette USB possano essere montate, dovrai prendere altre misure. Puoi mettere il computer in una scatola con solo i cavi della tastiera e del mouse che escono? Quindi non c'è una porta USB disponibile per giocherellare.

La linea di fondo è che fino a quando non ti fidi delle persone che hanno accesso fisico alla macchina, puoi solo migliorare la sicurezza ma non puoi ottenere la sicurezza assoluta.


3

Ho dovuto farlo su macchine autonome e su diverse macchine di dominio. L'oggetto Criteri di gruppo sarebbe un modo migliore di procedere, ma non avevo il lusso di farlo in quel modo. Ovviamente se qualcuno avesse i diritti di amministratore sulla macchina e un po 'di conoscenza, potrebbe annullarlo.

Al momento in cui stavo usando questo, avevamo tutte le macchine XP. Nessun utente aveva i diritti di amministratore. Nessun utente [dovrebbe essere] Power Users. Per impedire agli utenti di utilizzare dispositivi di archiviazione di massa USB, alcuni altri amministratori hanno eliminato USBSTOR.SYS. Quindi, se mai avessi bisogno di riattivare i dispositivi di archiviazione di massa USB, avrei dovuto ripristinare anche il file del driver. (Quindi ho tenuto a portata di mano una copia corrente insieme ai file seguenti). La mia copia di "Enable.bat" ha una riga - ho commentato qui - per ripristinare il file, se necessario.

Disable.bat:

(Potrebbe essere necessario aggiungere "BUILTIN \ Administrators" ai comandi CACLS. Non è necessario nel mio ambiente)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Potrebbe essere necessario aggiungere un altro set di comandi CACLS per "BUILTIN \ Administrators". Non è necessario nel mio ambiente)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Qualcosa di simile potrebbe funzionare per Vista - MA NON LO HO PROVATO.


2

Preferisco addestrare gli utenti su ciò che è accettabile e ciò che non è accettabile. Se non puoi fidarti così tanto dei tuoi utenti, quindi togli i loro PC e imposta un sistema thin client che si ricolleghi a qualcosa come un server Citrix che esegue tutte le tue app. L'unica altra soluzione che mi viene in mente è quella di posizionare il PC reale in un armadio chiuso con solo i cavi per tastiera, mouse e monitor in uscita. In tutti i casi penso che finirai per creare più lavoro per te stesso.


1
Vivi in ​​un mondo ideale ...
Josh,

0

Se stai cercando di "rimuovere" efficacemente quelle porte dal computer (e hai bisogno di USB), E se sei disposto a modificare il computer, posso suggerire una resina epossidica in 2 parti? Coprire il connettore con resina epossidica e nessuno vi ricollegherà mai più nulla. La colla a caldo è un po 'meno permanente, ma comunque piuttosto efficace.

Supponendo che abbiate ancora bisogno di porte USB per tastiera / mouse, dovrete lasciare una o due porte scoperte.


Questa è una risposta legittima in alcune circostanze.
duffbeer703,

0

Drivelock . Se lo si desidera, esegue anche il mirroring dei file dalle chiavette USB e consente la whitelist e la blacklist di dispositivi, tipi di file e utenti.


0

È possibile disabilitare l' archiviazione USB tramite:

http://support.microsoft.com/kb/823732

È anche possibile rendere l'archiviazione USB di sola lettura . Questo è spesso un buon compromesso, in quanto consente agli utenti di leggere i dati da un dispositivo USB, ad esempio foto da una fotocamera, ma impedisce loro di copiare il database aziendale sulla loro memory stick.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Probabilmente non è consigliabile tentare di disabilitare completamente l'USB, dato che cose come tastiere e mouse generalmente richiedono l'USB in questi giorni. Entrambi i precedenti possono essere impostati tramite una voce di registro o un file di criteri. Il punto di forza di queste impostazioni sarà forte quanto i criteri di Windows e le impostazioni di gruppo.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.