Mengunci Port USB Desktop

Bagaimana Anda mengunci port USB pada PC desktop sehingga kami dapat mencegah penggunaan drive USB pada desktop.

Saya harus mengklarifikasi bahwa ini adalah desktop Windows XP.

Kita juga harus berasumsi bahwa seperti kebanyakan desktop baru, banyak yang menggunakan USB untuk keyboard dan / atau mouse.

Seharusnya ada Objek Kebijakan Grup untuk ini, Anda bisa mendorongnya melalui Active Directory. Lihat di gpedit.mscWinXP Pro.

Jika itu desktop Windows, Anda dapat menggunakan kebijakan lokal (atau kebijakan grup, jika itu Active Directory). Tidak ada pengaturan default untuk itu, tetapi template yang disediakan MS dapat ditemukan di bawah MSKB 555324 .

Anda harus dapat menonaktifkan port usb dari BIOS komputer. Anda juga bisa, cabut kabel dari mereka ke motherboard.

Saya tidak berpikir menonaktifkan port benar-benar akan melakukan apa yang Anda inginkan. Tidak, kecuali komputer ini menggunakan mouse dan keyboard PS2. Selama Anda memiliki port USB yang tersedia untuk keyboard dan mouse, seseorang hanya dapat mencolokkan hub dan pasang drive USB mereka ke dalamnya. Yang benar-benar ingin Anda lakukan adalah mencegah komputer mengenali perangkat penyimpanan USB (tetapi bukan perangkat USB lain) yang terhubung melalui USB.

Jika pengguna memiliki hak administratif untuk PC mereka, mereka dapat menimpa apa pun yang Anda lakukan untuk mencegah hal ini. Namun, Anda dapat mengikuti tautan di bawah ini ke solusi yang direkomendasikan Microsoft:

http://support.microsoft.com/kb/823732

Anda juga dapat mencegah booting dari stik USB di BIOS, seperti yang telah disebutkan.

Jika Anda khawatir tentang menggunakan solusi perangkat lunak, Anda dapat membeli beberapa kunci perangkat keras.

Pemblokir Port USB

Ini mengasumsikan bahwa Anda memiliki anggaran untuk mendapatkan ini untuk setiap mesin. Anda juga mungkin perlu menjaga orang agar tidak mencabut keyboard dan mouse jika mereka juga menggunakan USB.

Dua solusi yang saya lihat di situs pelanggan:

• (Linux) Daftar hitam modul-modul kernel USB yang relevan (usb_storage) di file -etet /etc/modprobe.conf yang sesuai
• Pistol lem panas

Di BIOS, Setel perangkat boot untuk boot hanya dari hard disk dan kata sandi melindungi BIOS. Di BIOS, nonaktifkan semua perangkat USB yang dapat Anda gunakan. Untuk mencegah stik USB tidak terpasang, Anda harus mengambil tindakan lain. Bisakah Anda memasukkan komputer ke dalam kotak dengan hanya kabel keyboard dan mouse yang keluar? Lalu tidak ada port USB yang tersedia untuk mereka mainkan.

Intinya adalah selama Anda tidak mempercayai orang yang memiliki akses fisik ke mesin, Anda hanya dapat meningkatkan keamanan tetapi Anda tidak bisa mendapatkan keamanan absolut.

Saya harus melakukan ini pada mesin yang berdiri sendiri maupun pada beberapa mesin domain. GPO akan menjadi cara yang lebih baik untuk pergi tetapi saya tidak memiliki kemewahan melakukannya dengan cara itu. Jelas jika seseorang memiliki hak admin atas mesin dan sedikit pengetahuan mereka dapat membatalkan ini.

Pada saat saya menggunakan ini, kami memiliki semua mesin XP. Tidak ada pengguna yang memiliki hak admin. Tidak ada pengguna yang [seharusnya] Pengguna Kuat. Untuk mencegah pengguna menggunakan perangkat penyimpanan massal USB, beberapa admin lainnya menghapus USBSTOR.SYS. Jadi jika saya perlu mengaktifkan kembali perangkat penyimpanan massal USB, saya perlu mengembalikan file driver juga. (Jadi saya menyimpan salinan saat ini berguna bersama dengan file di bawah). Salinan saya "Enable.bat" memiliki garis - saya berkomentar di sini - untuk mengembalikan file yang diperlukan.

Disable.bat:

(Mungkin harus menambahkan "BUILTIN \ Administrator" ke perintah CACLS. Saya tidak harus melakukannya di lingkungan saya)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Mungkin harus menambahkan set perintah CACLS lain untuk "BUILTIN \ Administrator". Saya tidak harus melakukannya di lingkungan saya)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Hal serupa mungkin berfungsi untuk Vista - TETAPI SAYA TIDAK MENCOBANYA.

Saya lebih suka melatih pengguna tentang apa yang dapat diterima dan apa yang tidak dapat diterima. Jika Anda tidak dapat mempercayai pengguna Anda sejauh itu, maka singkirkan PC mereka dan buat sistem klien tipis yang menghubungkan kembali ke sesuatu seperti server Citrix yang menjalankan semua aplikasi Anda. Satu-satunya solusi lain yang bisa saya pikirkan adalah menempatkan PC yang sebenarnya di kabinet yang terkunci hanya dengan kabel untuk keyboard, mouse, dan monitor yang keluar. Dalam semua kasus saya pikir Anda hanya akan berakhir dengan menciptakan lebih banyak pekerjaan untuk diri Anda sendiri.

Jika Anda ingin secara efektif 'menghapus' port-port itu dari komputer (dan Anda memerlukan USB sama sekali), DAN jika Anda bersedia memodifikasi komputer, bolehkah saya menyarankan 2 bagian epoksi? Tutupi konektor dengan epoksi dan tidak ada yang pernah memasukkan apapun lagi di sana. Lem Hot Melt agak kurang permanen, tetapi masih cukup efektif.

Dengan asumsi Anda masih membutuhkan port USB untuk keyboard / mouse, Anda harus membiarkan satu atau dua port terbuka.

Drivelock . Juga mencerminkan file dari stik USB jika diinginkan, dan memungkinkan daftar putih perangkat dan daftar hitam perangkat, tipe file, dan pengguna.

Anda dapat menonaktifkan penyimpanan USB melalui:

http://support.microsoft.com/kb/823732

Penyimpanan USB hanya dapat dibaca . Ini sering merupakan kompromi yang baik, karena memungkinkan pengguna untuk membaca data dari perangkat USB - seperti foto dari kamera, tetapi mencegah mereka dari menyalin database perusahaan Anda ke memory stick mereka.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Mungkin tidak disarankan untuk mencoba menonaktifkan USB sepenuhnya, karena hal-hal seperti keyboard dan mouse umumnya memerlukan USB saat ini. Kedua hal di atas dapat diatur melalui entri registri atau file kebijakan. Kekuatan pengaturan ini akan sekuat pengaturan kebijakan dan grup Windows Anda.