Fizička zaštita USB portova: kako blokirati i osigurati vaše Windows računare

  • Kombinuje izvorne Windows politike sa Intune-om i Defender-om za granularnu kontrolu USB-a.
  • Zahtijeva BitLocker enkripciju i koristi DLP kako bi spriječio curenje podataka na osnovu osjetljivosti podataka.
  • Upravljajte izuzecima po uređaju, korisniku i mreži, uz reviziju i upozorenja u realnom vremenu.
Daniel Terrasa

11 minuta

Zaštita USB porta u Windowsu

U doba rada na daljinu i mobilnih uređaja, USB portovi ostaju vrata za unos i izlaz podataka koja treba pažljivo pratiti. Kontrolirajte, ograničite ili blokirajte njegovu upotrebu u Windowsu Može spriječiti veće probleme: od zlonamjernog softvera koji se ušunja za nekoliko sekundi do neovlaštenog kopiranja osjetljivih datoteka.

Ako se pitate kako isključivanje slavine na USB diskovimaAko su vam potrebni eksterni tvrdi diskovi, telefoni ili štampači bez ometanja produktivnosti, na pravom ste mjestu. Objašnjavamo izvorne metode Windowsa 10 i Windowsa 11 (Upravitelj uređaja, Registar, Lokalne i grupne politike), opcije za preduzeća s Intuneom i Microsoft Defenderom za Endpoint, te profesionalni alati trećih strana. Također ćete vidjeti stvarni scenariji (USB, štampači, Bluetooth), zahtjevi za verzije i smjernice za naslijeđene sisteme.

Zašto se isplati zaštititi USB portove

Uklonjivi stalci su vrlo praktični, ali i klasičan izvor rizika: širenje zlonamjernog softveraOni olakšavaju curenje informacija I omogućavaju napadima da zaobiđu sigurnosne mjere ako se njima ne upravlja pravilno. Nedavni slučajevi u industrijskim i korporativnim okruženjima potvrđuju da su USB diskovi ponavljajući i efikasan vektor napada.

Nadalje, jednostavan USB disk može pokrenuti računar i zaobići pristupne podatke ako tvrdi disk nije prisutan. enkripcija. Blokiraj ili ograniči pristup U zavisnosti od konteksta (korisnik, lokacija, vrsta operacije), drastično smanjuje površinu napada bez paraliziranja svakodnevnih operacija.

  • Ulazak zlonamjernog softvera putem zaraženih uređaja
  • Izdvajanje povjerljivih podataka bez ostavljanja vidljivog traga
  • Vanjsko pokretanje za zaobilaženje lozinki na nešifriranim diskovima
  • Povezivanje neodobrenih perifernih uređaja otvara nove ranjivosti

Ove prijetnje ne pogađaju samo velike korporacije; u kućanskim aparatima i malim i srednjim preduzećima Izloženost je slična ako ne postoji jasna politika korištenja i mehanizmi kontrole.

Kvarovi napajanja USB-5 portova

Brze opcije u Windowsu 10 i Windowsu 11

Windows nudi nekoliko načina za "zatvaranje" portova za uređaje za pohranu podataka. Odaberite metodu prema vašoj verziji Windowsa (Kućni, Profesionalni, Poslovni) i nivo kontrole koji vam je potreban.

Onemogući iz Upravitelja uređaja

To je najdirektniji način kada želite da napravite potpuni raskid sa određenim timom. Onemogućavate kontrolere univerzalne serijske magistrale I to je to, bez diranja globalnih politika ili Registra.

  1. Desnim klikom miša na Start otvorite "Upravitelj uređaja".
  2. Prikazuje "Kontroleri univerzalne serijske magistrale".
  3. U svakom "USB Host Controlleru" kliknite desnim tasterom miša i izaberite "Onemogući uređaj".
  4. Ponovite na svim USB host kontrolerima.
  5. Ponovo pokrenite računar da primenite promene.

Imajte na umu da ova radnja može uticati legitimni USB periferni uređaji (tastature, miševi, štampačiAko vam je potrebna granularnost, razmotrite druge metode pravila ili liste dozvoljenih sadržaja.

Blokiranje upravljačkih programa pomoću uređivača registra

Ako vaše izdanje ne uključuje uređivač pravila, Registar je vaš saveznik. Promjena u USBSTOR ključu Ovo je dovoljno da spriječi sistem da učita USB kontroler za pohranu.

  1. Pritisnite Windows + R, ukucajte "regedit" i potvrdite.
  2. Idite na: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
  3. Otvorite vrijednost "Start" i postavite je na 4 da biste deaktivirali (koristite 3 za ponovnu aktivaciju).

Prije dodirivanja, izvršite backup: pogrešna promjena u Registru Ova postavka vas može ostaviti bez sistema neko vrijeme. Blokira USB memoriju, ali ne sprječava rad drugih perifernih uređaja poput miševa ili tastatura.

Lokalna sigurnosna direktiva i Grupna sigurnosna direktiva

Ako koristite Windows 10/11 Pro ili Enterprise, možete primijeniti pravila bez instaliranja ičega. Najčišći način zabrane pristupa Izmjenjiva memorija se vrši pomoću administrativnih predložaka.

  1. Otvorite gpedit.msc (ili secpol.msc za lokalnu sigurnost).
  2. Idite na Konfiguracija računara > Administrativni predlošci > Sistem > Pristup izmjenjivim memorijskim uređajima.
  3. Omogući "Sve klase prenosivih memorija: zabrani sav pristup".

Na istom ovom čvoru možete razlikovati čitanje, pisanje i izvršavanje po vrsti medija. Korisno za scenarije "samo za čitanje" ili za ograničavanje CD-ova/DVD-ova i WPD-ova (prijenosnih uređaja) bez blokiranja svega ostalog.

Centralizirana kontrola za organizacije

Kada upravljate više timova, potrebna vam je konzistentnost, revizija i izuzeci. Microsoft nudi tri stuba koji pokrivaju sve, od instalacije uređaja do rukovanja osjetljivim informacijama.

Ograničenja instalacije Intune-a i uređaja

Pomoću Intune-a možete spriječiti instalaciju drajvera na osnovu više hardverskih atributa: ID uređaja, instanca ili klasaIdealno za strategiju "dozvoli po listi i isključi ostalo".

  • Administracija putem ADMX predložaka, uključujući opcije za USB
  • Kompatibilnost s BitLockerom za prinudno šifriranje na prijenosnim medijima
  • Ujedinjeno upravljanje politikama na Windows krajnjim tačkama

Ako više volite GPO, Windows ga također dozvoljava. upravljajte instalacijom uređaja grupnim pravilima, koristeći istu logiku kao i liste dozvoljenih i blokiranih.

Kontrola uređaja u programu Microsoft Defender za krajnju tačku

Modul za kontrolu uređaja Defender for Endpoint je skok u finu granularnost. Vi kontrolišete koji uređaj, kojeg korisnika, koju operaciju i na kojoj mrežiOsim toga, dobijate vidljivost i napredno pretraživanje.

  • Pravila prema vrsti uređaja (WPD, pohrana, pisači), VID/PID-u, serijskom broju ili putanji instance
  • Odvojene operacije: čitanje, pisanje, izvršavanje
  • Opseg po korisničkim grupama, mrežnoj lokaciji ili vrsti datoteke
  • Administracija putem Intune-a ili GPO-a

U svrhu revizije, napredna pretraga prikuplja korisne događaje. Kada je uređaj zaključan zbog ograničenja instalacijeVidjet ćete PnP događaje povezane s blokiranjem.

DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Ako je ono što se procjenjuje politika prijenosnih memorija U Defenderu (dozvoli/zabrani), možete provjeriti okidač politike i njenu presudu.

DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend VID = tostring(parsed.VendorId)
| extend PID = tostring(parsed.ProductId)
| extend VID_PID = strcat(VID, "_", PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess, RemovableStoragePolicyVerdict, SerialNumberId, VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Da bi Kontrola uređaja radila, provjerava minimalne verzije Defender antimalware klijenta. Windows 10/11 sa verzijom 4.18.2103.3 ili novijom Ovo je početna tačka; kasnije verzije dodaju poboljšanja kao što su podrška za džoker znakove, WPD, politike po datoteci ili svijest o mreži/VPN-u.

  • 4.18.2104+: SerijskiNumberId i kombinacija SID-a računara/korisnika
  • 4.18.2105+: Džoker znakovi u podršci za HardwareId/DeviceId/InstancePathId i UAS
  • 4.18.2107+: Podrška za WPD i polje AccountName u lovu
  • 4.18.2205+: Štampači uključeni u zadani opseg
  • 4.18.2207+: Pravila prema vrsti datoteke i stanju mreže/VPN-a

Trenutno se kontrola uređaja u Defenderu ne odnosi na Windows servere. U macOS-u postoji ekvivalentan modul. sa vlastitim vodičem za implementaciju.

Endpoint DLP (Microsoft Purview)

Ako vam cilj nije samo blokiranje hardvera, već spriječiti odlazak osjetljivih informacijaEndpoint DLP je pravi sloj. Omogućava vam primjenu akcija na osnovu klasifikacije podataka i konteksta korištenja, kao i snimanje arhivskih dokaza kada je to prikladno.

Kombinacija kontrole uređaja i DLP-a pokriva dva fronta: ko povezuje koji uređaj i koja vrsta sadržaja se na njemu obrađuje. Ovo sprečava i neovlaštene fizičke veze i kopiranje povjerljivih dokumenata.

bitlocker

BitLocker kao kriterij za pristup prenosivim medijima

Jedna vrlo efikasna taktika je zahtijevati da prenosivi uređaji za pohranu podataka budu šifrirani. Windows dozvoljava zabranu pisanja na medije bez BitLockera. ili direktno zabraniti svo pisanje na prenosive diskove.

Intune olakšava implementaciju politika koje nameću šifriranje na Windows USB diskovima. Zaštitnik za krajnju tačku Može čak i uvjetovati pristup na osnovu stanja šifriranja (BitLocker ili običan tekst) i kreirati dobro definirane izuzetke.

Uobičajeni scenariji izvan USB-a: štampači i Bluetooth

Periferni uređaji za štampanje su takođe kanal za izlaz podataka. Windows vam omogućava da ograničite njegovu instalaciju s istim tehnikama instalacije uređaja, a Defender pruža kontrolu putem VID/PID-a ili tipa (mreža, USB, korporativni).

Pomoću Kontrole uređaja možete ograničiti koje vrste datoteka se štampaju i gdje (na primjer, sprečavanje štampanja izvan korporativne mreže). DLP pruža aspekt klasifikacije: blokiranje ili evidentiranje štampanja dokumenata označenih kao povjerljivi.

U Bluetoothu, administratori imaju preciznu kontrolu nad uslugom: oglasi, otkrivanje i dozvoljene uslugeAko želite spriječiti kopiranje dokumenata na bilo koji bežični uređaj, DLP je još jednom idealan mehanizam.

USBLockRP

Specijalizovani alati trećih strana

Kada vam je potrebna namjenska konzola, brzo postavljanje i vrlo precizne politike, postoje zrela rješenja koja savršeno pristaju. USB brava RP i zaštita krajnje tačke Ovo su dva dobro poznata primjera u Windows okruženjima.

USB Lock RP: Lokalna kontrola USB porta

USB brava RP je sistem Kontrola USB uređaja za poslovanje Radi 100% lokalno. Njegova centralna konzola upravlja i prati u realnom vremenu pristup prenosivim diskovima, mobilnim uređajima i bežičnim adapterima na serverima, radnim stanicama i laptopima.

Klijent je lagan i radi autonomno. Omogućava vam kreiranje lista autorizovanih uređaja Možete autorizirati USB disk pomoću hardverskog ID-a i blokirati ostale bez ometanja bezopasnih perifernih uređaja. Možete autorizirati USB disk za određeni računar, grupu ili cijelu mrežu.

Uključuje trenutna upozorenja, evidentiranje događaja i detaljno praćenje USB-a odobrenih transfera. Sve s opcionim automatskim šifriranjem podataka koji idu prema ovlaštenim jedinicama, što djeluje kao DLP mjera kako bi se osiguralo da sadržaj putuje zaštićeno.

Također se možete prijaviti samo za čitanje u realnom vremenu na specifične jedinice, omogućavajući da se neke mogu uređivati, a druge zaštititi od pisanja na istoj mašini. Paket se lako implementira putem GPO-a ili MSI-ja i ne zavisi od oblaka, čime se smanjuje površina za napad.

Endpoint Protector DLP: detaljne i višeplatformske politike

Endpoint Protector Uključuje modul od Kontrola uređaja Može potpuno blokirati USB portove i periferne uređaje ili primijeniti nivoe povjerenja na osnovu enkripcije. Politike se mogu dodijeliti korisnicima, grupama ili računarima i fino podesiti s izuzecima.

Razlikujuća vrijednost je njena aplikacija izvan korporativne mrežePravila ostaju aktivna kod kuće, u roamingu ili izvan radnog vremena. Možete definirati vremenske zone, DNS postavke ili identifikatore korporativne mreže i pooštriti uvjete kada tim nije u uredu.

U slučaju vanredne situacije, administracija dozvoljava stvaranje privremena lozinka za offline pristup Otključava uređaj, računar ili korisnika na ograničeno vrijeme. Višeplatformski je, s funkcionalnim paritetom na Windowsu, macOS-u i Linuxu, a može se postaviti za nekoliko sati.

Najbolje prakse za blokiranje bez usporavanja

Pored tehnike, postoje strategije koje čine svu razliku. Započnite s pilotnim projektom u maloj grupi i pregledati zapise prije proširenja politika na cijelu organizaciju.

  • Dajte prioritet dozvoljenim listama u odnosu na masovno blokiranje kada je to izvodljivo
  • Zahtijeva BitLocker na krajnjim tačkama i prenosivim medijima.
  • Odvojene uloge: ko može čitati, ko može pisati, ko može izvršavati
  • Aktivirajte reviziju kako biste razumjeli stvarnu upotrebu prije odbijanja
  • Uključite USB pokretanje u BIOS/UEFI pravila

U okruženjima s velikom fluktuacijom uređaja, razmotrite rješenja sa vidljivost u realnom vremenu i upozorenja. Ako upravljate samo nekoliko računara, izvorne Windows opcije sa GPO-om ili Registrom mogu biti više nego dovoljne.

Često postavljana pitanja

  • Da li je blokiranje USB diskova "sigurno"? Da, povećava zaštitu od neovlaštenih konekcija, ali može ograničiti određene funkcije. Procijenite ravnotežu između sigurnosti i funkcionalnosti.
  • Mogu li blokirati samo neke portove? Možete onemogućiti specifični kontroleri iz Upravitelja uređaja ili kreirajte pravila prema ID-u u Intune/Defenderu kako biste dozvolili samo ono što je neophodno.
  • Šta je sa miševima i tastaturama? Metode koje uključuju USBSTOR ili "Pristup prenosivoj memoriji" utiču na masovnu memoriju, a ne na tipične HID-ove. Međutim, onemogućavanje kontrolera može uticati na cijelu magistralu.
  • Kako da ponovo aktiviram portove? Vratite promjene: omogućite kontrolere, promijenite Start na 3 u USBSTOR-u ili onemogućite primijenjeni GPO. U rješenjima trećih strana, koristite njihovu konzolu za otključavanje.
  • Može li se to uraditi iz BIOS-a/UEFI-ja? Mnogi uređaji vam omogućavaju da onemogućite USB ili USB bootovanje na nivou firmvera. Ovo je korisna dodatna prepreka za politike operativnog sistema.
  • Koja je metoda bolja? Za jedan računar, Registry ili Device Manager su brzi. U preduzećima, Intune + Defender ili DLP/Device Control paket sa centralnom konzolom pružaju kontrolu i mogućnost praćenja koja vam je potrebna.

Usvajanje jasne politike za korištenje USB-a i drugih perifernih uređaja, podržanih izvornim Windows funkcijama i, kada je to prikladno, rješenjima kao što su Defender for Endpoint, Intune ili DLP paketi, omogućava... minimizirati rizik bez žrtvovanja produktivnostiSa slojevitim pristupom (instalacija uređaja, BitLocker enkripcija, granularna pravila i DLP zasnovan na osjetljivosti), imat ćete USB, štampanje i Bluetooth pod kontrolom i moći ćete odgovoriti podacima ako nešto krene po zlu.

Windows registar
Vezani članak:
Kako ukloniti zaštitu od pisanja sa USB-a