Pregunta ¿Cómo evita que los usuarios utilicen unidades USB que evitan la seguridad?


Necesitamos una forma de evitar que los usuarios copien cualquier cosa desde y hacia las unidades USB a menos que sean administradores del sistema. ¿Qué se puede hacer para eliminar este acceso por motivos de seguridad?


5
2018-06-18 19:04


origen


Respuestas sarcásticas: (1) selle todos los puertos USB con epoxi (2) dispare a todos los que no son administradores de sistemas ... - Jason S
@ Jeremy E: ¿Cómo podrá usar su teclado y mouse USB si desactiva el USB ...? - JFV
eso no es copiar datos del sistema de archivos; Los teclados y ratones son dispositivos de interfaz humana. - Jason S
@ Jason S - A veces tengo un cerebro ... Y otros ... Bueno, ya sabes ... - JFV


Respuestas:


Microsoft tiene un artículo de la base de conocimientos sobre este mismo problema (KB555324). Tienes que crear un ADM de directiva de grupo personalizado. O'Reilly tiene un escrito más fácil de asimilar en:

Desactivación del almacenamiento USB con la política de grupo | WindowsDevCenter.

Espero que esto ayude.


14
2018-06-18 19:13





Otra opción sería utilizar USBseguro. Es un pequeño script desplegable que lee una lista blanca de dispositivos USB de un recurso compartido de archivos. Por lo tanto, puede permitir explícitamente dispositivos de almacenamiento usb para algunos usuarios o dispositivos específicos de proveedores (por ejemplo, todos los teclados y mouse usb de logitech). Ah, y es freeware.


2
2018-06-22 13:54





Si está trabajando con Windows Vista y superior, hay opciones de Política de grupo que le brindan un control detallado sobre qué dispositivos USB están permitidos o no. (Si tiene que ser compatible con WinXP, vea las otras respuestas enumeradas aquí).

En Windows Vista o superior, vaya al editor de políticas de grupo y profundice en: Configuración del equipo \ Plantillas administrativas \ Sistema \ Instalación del dispositivo \ Restricciones de instalación del dispositivo

Allí encontrará opciones para la lista blanca de dispositivos de la lista negra por ID de dispositivos específicos o por clase de dispositivo. También hay una política muy importante en la parte inferior que le permite bloquear todo lo que no está cubierto por las otras políticas.

Todo lo que debe saber es el ID de hardware del dispositivo o la guía de Clase de dispositivo. Ambas cosas se pueden encontrar en el Administrador de dispositivos si conecta un dispositivo a la máquina.

Usando las políticas que existen, podría, por ejemplo, permitir todos los mouse y teclados, permitir un modelo específico de un escáner USB y bloquear todo lo demás.


2
2017-08-19 13:41





En Windows, puedes deshabilitar el controlador de almacenamiento USB estableciendo una clave de registro. Esto podría configurarse en un GPO y aplicarse a un conjunto limitado de máquinas. Si quieres permitir un subconjunto de dispositivos de almacenamiento USB que probablemente deba recurrir a un producto de terceros que ejecute algún tipo de agente.


1
2018-06-18 19:10





Epoxi funciona muy bien


1
2018-06-18 19:12



En serio, escuché de muchas compañías haciendo esto. - Aaron Weiker
Creo que escuché que la NSA o la CIA o los militares hicieron esto, aunque no puedo encontrar una referencia a eso. ¿Alguien encuentra un artículo en línea? - Jason S
¿No dijo eso Jason S? - MathewC
Hay algunos problemas con este enfoque. La mayoría de los teclados y ratones están basados ​​en USB en estos días. Esos puertos seguirán siendo funcionales incluso si los dispositivos se epoxi a la caja, y se pueden usar para propósitos oscuros simplemente extrayendo el dispositivo actual. - Yannone
No he visto USBs goteando con epoxy. Pero, en una vida anterior (equipo CERT), ayudé a desoldar radios / antenas para eliminar los problemas de seguridad wifi en las computadoras portátiles. Días de diversión. - dr.pooter


Una solución rápida y sucia será usar una política de grupo que deshabilite el acceso a dispositivos USB, eche un vistazo a el siguiente articulo. También hay productos comerciales que pueden lograr lo mismo, con mayor seguridad.


1
2018-06-18 19:12





GPO deshabilitará los controladores:

http://support.microsoft.com/default.aspx/kb/555324


1
2018-06-18 19:14





Todas las soluciones son agradables, pero también debe pensar en un proceso para poder cargar datos desde USB.

Estoy en un banco en este momento y, de forma predeterminada, todos los puertos USB están bloqueados con un GPO que no carga el disco.

El problema es que no tienen un proceso cuando un consultor externo viene a cargar algunos datos, es realmente difícil transferir el archivo ISO, o cualquier documento, porque si no puede conectar una llave USB, tampoco puede conectar una computadora portátil a la red.

Si bloquea todo su USB, no olvide que todavía necesita alguna forma de cargar datos desde el USB, y 5GB de datos en la web / correo no siempre es una respuesta.

La seguridad siempre viene con un precio.


1
2018-06-18 20:07