Sperren von Desktop-USB-Anschlüssen

Wie sperren Sie die USB-Anschlüsse der Desktop-PCs, um die Verwendung von USB-Laufwerken auf den Desktops zu verhindern?

Ich sollte klarstellen, dass dies Windows XP-Desktops sind.

Wir sollten auch davon ausgehen, dass wie die meisten neuen Desktops viele USB für Tastaturen und / oder Mäuse verwenden.

Hierfür sollte ein Gruppenrichtlinienobjekt vorhanden sein, das Sie über Active Directory übertragen können. Sehen Sie sich gpedit.mscWinXP Pro an.

Wenn es sich um Windows-Desktops handelt, können Sie die lokale Richtlinie (oder die Gruppenrichtlinie, wenn es sich um Active Directory handelt) verwenden. Es gibt keine Standardeinstellung dafür, aber die von MS bereitgestellte Vorlage finden Sie unter MSKB 555324 .

Sie sollten in der Lage sein, die USB-Ports im BIOS des Computers zu deaktivieren. Sie können auch die Kabel vom Motherboard abziehen.

Ich denke nicht, dass das Deaktivieren von Ports wirklich das tun wird, was Sie zu wollen scheinen. Nur wenn diese Computer PS2-Mäuse und -Tastaturen verwenden. Solange Sie über USB-Anschlüsse für Tastatur und Maus verfügen, kann jemand einfach einen Hub anschließen und sein USB-Laufwerk daran anschließen. Was Sie wirklich tun möchten, ist zu verhindern, dass der Computer USB-Speichergeräte (aber keine anderen USB-Geräte) erkennt, die über USB angeschlossen sind.

Wenn die Benutzer Administratorrechte für ihre PCs haben, können sie alles überschreiben, was Sie tun, um dies zu verhindern. Sie können jedoch dem folgenden Link zur von Microsoft empfohlenen Lösung folgen:

http://support.microsoft.com/kb/823732

Sie können auch das Booten von einem USB-Stick im BIOS verhindern, wie bereits erwähnt.

Wenn Sie Bedenken hinsichtlich der Verwendung einer Softwarelösung haben, können Sie einige Hardware-Sperren kaufen.

USB Port Blocker

Dies setzt voraus, dass Sie über das Budget verfügen, um diese für jede Maschine zu erhalten. Möglicherweise müssen Sie auch verhindern, dass Benutzer die Tastatur und die Maus ausstecken, wenn sie ebenfalls über USB angeschlossen sind.

Zwei Lösungen, die ich bei Kunden gesehen habe:

• (Linux) Blacklist der relevanten USB-Kernelmodule (usb_storage) in der entsprechenden Datei /etc/modprobe.conf
• Heißklebepistole

Stellen Sie im BIOS das Startgerät so ein, dass es nur von der Festplatte startet, und schützen Sie das BIOS mit einem Kennwort. Deaktivieren Sie im BIOS alle USB-Geräte, mit denen Sie durchkommen können. Um zu verhindern, dass USB-Sticks überhaupt montiert werden, müssen Sie andere Maßnahmen ergreifen. Können Sie den Computer in eine Box legen, in der nur die Tastatur- und Mauskabel herauskommen? Dann gibt es keinen verfügbaren USB-Anschluss, an dem sie herumspielen können.

Das Fazit ist, dass Sie, solange Sie Personen nicht vertrauen, die physischen Zugriff auf den Computer haben, nur die Sicherheit verbessern können, aber keine absolute Sicherheit erhalten können.

Ich musste dies sowohl auf eigenständigen Computern als auch auf mehreren Domänencomputern tun. GPO wäre ein besserer Weg, aber ich hatte nicht den Luxus, es so zu machen. Wenn jemand Administratorrechte für den Computer und ein wenig Wissen hätte, könnte er dies natürlich rückgängig machen.

Zu der Zeit, als ich das benutzte, hatten wir alle XP-Maschinen. Kein Benutzer hatte Administratorrechte. Keine Benutzer sind Hauptbenutzer. Einige Benutzer haben USBSTOR.SYS gelöscht, um Benutzer davon abzuhalten, USB-Massenspeichergeräte zu verwenden. Wenn ich also jemals USB-Massenspeichergeräte wieder aktivieren musste, musste ich auch die Treiberdatei wiederherstellen. (Also habe ich eine aktuelle Kopie zusammen mit den folgenden Dateien griffbereit gehalten). Meine Kopie von "Enable.bat" enthält eine Zeile - die ich hier auskommentiert habe -, um die Datei nach Bedarf wiederherzustellen.

Disable.bat:

(Möglicherweise muss "BUILTIN \ Administrators" zu den CACLS-Befehlen hinzugefügt werden. Ich musste dies nicht in meiner Umgebung tun.)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Möglicherweise muss ein weiterer Satz von CACLS-Befehlen für "BUILTIN \ Administrators" hinzugefügt werden. Ich musste dies nicht in meiner Umgebung tun.)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Ähnliches könnte für Vista funktionieren - ABER ich habe es nicht versucht.

Ich ziehe es vor, die Benutzer darin zu schulen, was akzeptabel ist und was nicht. Wenn Sie Ihren Benutzern nicht so weit vertrauen können, nehmen Sie ihre PCs weg und richten Sie ein Thin Client-System ein, das eine Verbindung zu einem Citrix Server herstellt, auf dem alle Ihre Apps ausgeführt werden. Die einzige andere Lösung, die ich mir vorstellen kann, besteht darin, den eigentlichen PC in einem verschlossenen Schrank zu platzieren, wobei nur die Kabel für Tastatur, Maus und Monitor herauskommen. In allen Fällen denke ich, dass Sie am Ende einfach mehr Arbeit für sich selbst schaffen werden.

Wenn Sie diese Anschlüsse effektiv vom Computer entfernen möchten (und überhaupt USB benötigen) UND wenn Sie bereit sind, den Computer zu ändern, kann ich zweiteiliges Epoxid vorschlagen? Decken Sie den Stecker mit Epoxidharz ab und niemand steckt dort jemals wieder etwas ein. Heißschmelzkleber ist etwas weniger dauerhaft, aber immer noch ziemlich effektiv.

Angenommen, Sie benötigen noch USB-Anschlüsse für Tastatur / Maus, müssen Sie ein oder zwei Anschlüsse unbedeckt lassen.

Drivelock . Spiegelt auf Wunsch auch Dateien von USB-Sticks und ermöglicht das Whitelisting und Blacklisting von Geräten, Dateitypen und Benutzern.

Sie können den USB- Speicher deaktivieren über:

http://support.microsoft.com/kb/823732

Es ist auch möglich, USB-Speicher schreibgeschützt zu machen . Dies ist oft ein guter Kompromiss, da Benutzer Daten von einem USB-Gerät lesen können - wie Fotos von einer Kamera -, aber verhindern können, dass sie Ihre Unternehmensdatenbank auf ihren Memory Stick kopieren.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Es ist wahrscheinlich nicht ratsam, zu versuchen, USB vollständig zu deaktivieren, da Dinge wie Tastaturen und Mäuse heutzutage im Allgemeinen USB erfordern. Beide oben genannten Optionen können über einen Registrierungseintrag oder eine Richtliniendatei festgelegt werden. Die Stärke dieser Einstellungen ist so stark wie Ihre Windows-Richtlinien- und Gruppeneinstellungen.