Khóa cổng USB máy tính để bàn

Làm cách nào để khóa cổng USB trên máy tính để bàn để chúng tôi có thể ngăn việc sử dụng ổ USB trên máy tính để bàn.

Tôi nên làm rõ rằng đây là những máy tính để bàn Windows XP.

Chúng ta cũng nên cho rằng giống như hầu hết các máy tính để bàn mới, nhiều người đang sử dụng USB cho bàn phím và / hoặc chuột.

Cần có một Đối tượng chính sách nhóm cho việc này, bạn có thể đẩy nó qua Active Directory. Xem gpedit.msctrên WinXP Pro.

Nếu chúng là máy tính để bàn Windows, bạn có thể sử dụng chính sách cục bộ (hoặc chính sách nhóm, nếu đó là Active Directory). Không có cài đặt mặc định cho nó, nhưng mẫu do MS cung cấp có thể được tìm thấy trong MSKB 555324 .

Bạn sẽ có thể vô hiệu hóa các cổng usb từ BIOS của máy tính. Bạn cũng có thể, rút ​​cáp từ chúng sang bo mạch chủ.

Tôi không nghĩ việc vô hiệu hóa các cổng thực sự sẽ làm những gì bạn muốn. Không trừ khi các máy tính này sử dụng chuột và bàn phím PS2. Miễn là bạn có sẵn các cổng USB cho bàn phím và chuột, ai đó chỉ cần cắm một hub và cắm ổ USB của họ vào đó. Những gì bạn thực sự muốn làm là ngăn máy tính nhận ra các thiết bị lưu trữ USB (chứ không phải các thiết bị USB khác) được cắm qua USB.

Nếu người dùng có quyền quản trị đối với PC của họ, họ có thể ghi đè bất cứ điều gì bạn làm để ngăn chặn điều này. Tuy nhiên, bạn có thể theo liên kết dưới đây để giải pháp được đề xuất của Microsoft:

http://support.microsoft.com/kb/823732

Bạn cũng có thể ngăn việc khởi động từ thanh USB trong BIOS, như đã được đề cập.

Nếu bạn lo lắng về việc sử dụng giải pháp phần mềm, bạn có thể mua một số khóa phần cứng.

Trình chặn cổng USB

Điều này giả định rằng bạn có ngân sách để có được những thứ này cho mỗi máy. Bạn cũng có thể cần ngăn mọi người rút bàn phím và chuột nếu chúng cũng là USB.

Hai giải pháp mà tôi đã thấy tại các trang web của khách hàng:

• (Linux) Danh sách đen các mô-đun hạt nhân USB có liên quan (usb_st Storage) trong tệp /etc/modprobe.conf -type thích hợp
• Súng bắn keo nóng

Trong BIOS, Đặt thiết bị khởi động chỉ khởi động từ đĩa cứng và mật khẩu bảo vệ BIOS. Trong BIOS, vô hiệu hóa tất cả các thiết bị USB mà bạn có thể thoát khỏi. Để ngăn các thanh USB thậm chí được gắn, bạn sẽ cần thực hiện các biện pháp khác. Bạn có thể đặt máy tính trong một hộp chỉ có dây cáp bàn phím và chuột không? Sau đó, không có cổng USB có sẵn để họ mân mê.

Điểm mấu chốt là miễn là bạn không tin tưởng những người có quyền truy cập vật lý vào máy, bạn chỉ có thể cải thiện bảo mật nhưng bạn không thể có được bảo mật tuyệt đối.

Tôi đã phải làm điều này trên các máy độc lập cũng như trên một số máy miền. GPO sẽ là một cách tốt hơn để đi nhưng tôi không có sự sang trọng để làm theo cách đó. Rõ ràng nếu ai đó có quyền quản trị viên trên máy và một chút kiến ​​thức họ có thể hoàn tác việc này.

Vào thời điểm tôi đang sử dụng, chúng tôi có tất cả các máy XP. Không có người dùng có quyền quản trị. Không có người dùng nào [được cho là] Người dùng quyền lực. Để giúp người dùng không sử dụng các thiết bị lưu trữ dung lượng lớn USB, một số quản trị viên khác đã xóa USBSTOR.SYS. Vì vậy, nếu tôi cần thiết lập lại các thiết bị lưu trữ dung lượng lớn USB, tôi cũng cần khôi phục tệp trình điều khiển. (Vì vậy, tôi đã giữ một bản sao hiện tại tiện dụng cùng với các tệp bên dưới). Bản sao "Enable.bat" của tôi có một dòng - Tôi đã nhận xét ở đây - để khôi phục tệp khi cần thiết.

Vô hiệu hóa.bat:

(Có thể phải thêm "BUILTIN \ Quản trị viên" vào các lệnh CACLS. Tôi không phải ở trong môi trường của mình)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Vô hiệu hóa.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Cho phép

(Có thể phải thêm một nhóm lệnh CACLS khác cho "BUILTIN \ Quản trị viên". Tôi không phải ở trong môi trường của mình)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Cho phép.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Một cái gì đó tương tự có thể hoạt động cho Vista - NHƯNG TÔI ĐÃ KIẾM ĐƯỢC NÓ.

Tôi thích đào tạo người dùng như những gì được chấp nhận và những gì không được chấp nhận. Nếu bạn không thể tin tưởng người dùng của mình đến mức đó, thì hãy lấy đi PC của họ và thiết lập một hệ thống máy khách mỏng kết nối lại với thứ gì đó như máy chủ Citrix chạy tất cả các ứng dụng của bạn. Giải pháp duy nhất khác mà tôi có thể nghĩ đến là đặt PC thực sự vào một chiếc tủ có khóa chỉ với dây cáp cho bàn phím, chuột và màn hình sắp ra. Trong mọi trường hợp tôi nghĩ bạn sẽ chỉ tạo ra nhiều công việc hơn cho bản thân.

Nếu bạn đang tìm cách 'loại bỏ' các cổng đó khỏi máy tính một cách hiệu quả (và bạn hoàn toàn cần USB), VÀ nếu bạn sẵn sàng sửa đổi máy tính, tôi có thể đề xuất 2 phần epoxy không? Che đầu nối bằng epoxy và không ai được cắm bất cứ thứ gì vào đó nữa. Keo nóng chảy ít lâu hơn một chút, nhưng vẫn khá hiệu quả.

Giả sử bạn vẫn cần cổng USB cho bàn phím / chuột, bạn sẽ phải để lại một hoặc hai cổng.

Drivelock . Đồng thời phản chiếu các tệp từ thẻ nhớ USB nếu muốn và cho phép đưa vào danh sách trắng và danh sách đen các thiết bị, loại tệp và người dùng.

Bạn có thể tắt bộ nhớ USB thông qua:

http://support.microsoft.com/kb/823732

Cũng có thể làm cho bộ lưu trữ USB chỉ đọc . Đây thường là một sự thỏa hiệp tốt, vì nó cho phép người dùng đọc dữ liệu từ thiết bị USB - giống như ảnh từ máy ảnh, nhưng ngăn họ sao chép cơ sở dữ liệu công ty của bạn vào thẻ nhớ.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Có lẽ không nên cố gắng vô hiệu hóa hoàn toàn USB, vì những thứ như bàn phím và chuột thường yêu cầu USB trong những ngày này. Cả hai điều trên có thể được đặt thông qua mục đăng ký hoặc tệp chính sách. Sức mạnh của các cài đặt này sẽ mạnh như chính sách và cài đặt nhóm của Windows.