Verrouillage des ports USB du bureau

Comment verrouiller les ports USB sur les ordinateurs de bureau afin que nous puissions empêcher l'utilisation de lecteurs USB sur les ordinateurs de bureau.

Je dois préciser qu'il s'agit de bureaux Windows XP.

Nous devons également supposer que, comme la plupart des nouveaux ordinateurs de bureau, beaucoup utilisent USB pour les claviers et / ou les souris.

Il doit y avoir un objet de stratégie de groupe pour cela, vous pouvez le pousser via Active Directory. Voir dans gpedit.mscWinXP Pro.

S'il s'agit de bureaux Windows, vous pouvez utiliser la stratégie locale (ou la stratégie de groupe, s'il s'agit d'Active Directory). Il n'y a pas de paramètre par défaut pour cela, mais le modèle fourni par MS se trouve sous MSKB 555324 .

Vous devriez pouvoir désactiver les ports USB à partir du BIOS de l'ordinateur. Vous pouvez également en débrancher les câbles vers la carte mère.

Je ne pense pas que la désactivation des ports fera vraiment ce que vous semblez vouloir. Sauf si ces ordinateurs utilisent des souris et des claviers PS2. Tant que vous avez des ports USB disponibles pour le clavier et la souris, quelqu'un peut simplement brancher un concentrateur et y brancher sa clé USB. Ce que vous voulez vraiment faire, c'est empêcher l'ordinateur de reconnaître les périphériques de stockage USB (mais pas les autres périphériques USB) branchés via USB.

Si les utilisateurs ont des droits administratifs sur leur PC, ils peuvent remplacer tout ce que vous faites pour éviter cela. Cependant, vous pouvez suivre le lien ci-dessous vers la solution recommandée par Microsoft:

http://support.microsoft.com/kb/823732

Vous pouvez également empêcher le démarrage à partir d'une clé USB dans le BIOS, comme cela a déjà été mentionné.

Si vous souhaitez utiliser une solution logicielle, vous pouvez acheter des verrous matériels.

Bloqueur de port USB

Cela suppose que vous disposez du budget nécessaire pour les obtenir pour chaque machine. Vous devrez peut-être également empêcher les gens de débrancher le clavier et la souris s'ils sont également USB.

Deux solutions que j'ai vues sur les sites clients:

• (Linux) Mettez sur liste noire les modules du noyau USB appropriés (usb_storage) dans le fichier de type /etc/modprobe.conf approprié
• Pistolet à colle chaude

Dans le BIOS, définissez le périphérique de démarrage pour qu'il démarre uniquement à partir du disque dur et un mot de passe protège le BIOS. Dans le BIOS, désactivez tous les périphériques USB que vous pouvez utiliser. Pour éviter que les clés USB ne soient même montées, vous devrez prendre d'autres mesures. Pouvez-vous mettre l'ordinateur dans une boîte avec seulement les câbles du clavier et de la souris qui sortent? Ensuite, il n'y a pas de port USB disponible pour eux.

L'essentiel est que tant que vous ne faites pas confiance aux personnes qui ont un accès physique à la machine, vous ne pouvez qu'améliorer la sécurité mais vous ne pouvez pas obtenir une sécurité absolue.

J'ai dû le faire sur des machines autonomes ainsi que sur plusieurs machines de domaine. Le GPO serait une meilleure façon de procéder, mais je n'avais pas le luxe de le faire de cette façon. Évidemment, si quelqu'un avait des droits d'administrateur sur la machine et un peu de connaissances, il pourrait annuler cela.

Au moment où j'utilisais cela, nous avions toutes les machines XP. Aucun utilisateur n'avait de droits d'administrateur. Aucun utilisateur n'est [censé être] un utilisateur avec pouvoir. Pour empêcher les utilisateurs d'utiliser des périphériques de stockage de masse USB, certains autres administrateurs ont supprimé USBSTOR.SYS. Donc, si je devais réactiver des périphériques de stockage de masse USB, je devais également restaurer le fichier du pilote. (J'ai donc gardé une copie actuelle à portée de main avec les fichiers ci-dessous). Ma copie du "Enable.bat" a une ligne - j'ai commenté ici - pour restaurer le fichier si nécessaire.

Disable.bat:

(Il faudra peut-être ajouter "BUILTIN \ Administrators" aux commandes CACLS. Je n'en avais pas besoin dans mon environnement)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Il se peut que vous deviez ajouter un autre ensemble de commandes CACLS pour "BUILTIN \ Administrators". Je n'en avais pas besoin dans mon environnement)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Quelque chose de similaire peut fonctionner pour Vista - MAIS JE N'AI PAS ESSAYÉ.

Je préfère former les utilisateurs sur ce qui est acceptable et ce qui ne l'est pas. Si vous ne pouvez pas faire confiance à vos utilisateurs jusque-là, retirez leurs PC et configurez un système client léger se connectant à quelque chose comme un serveur Citrix exécutant toutes vos applications. La seule autre solution à laquelle je peux penser est de placer le PC réel dans une armoire verrouillée avec juste les câbles pour le clavier, la souris et le moniteur qui sortent. Dans tous les cas, je pense que vous finirez par créer plus de travail pour vous-même.

Si vous cherchez à «supprimer» efficacement ces ports de l'ordinateur (et vous avez besoin du tout USB), ET si vous êtes prêt à modifier l'ordinateur, puis-je suggérer de l'époxy en 2 parties? Couvrez le connecteur avec de l'époxy et personne n'y branche plus rien. La colle Hot Melt est un peu moins permanente, mais reste assez efficace.

En supposant que vous ayez toujours besoin de ports USB pour le clavier / la souris, vous devrez laisser un ou deux ports à découvert.

Drivelock . Reflète également les fichiers des clés USB si vous le souhaitez, et permet la liste blanche et la liste noire des appareils, des types de fichiers et des utilisateurs.

Vous pouvez désactiver le stockage USB via:

http://support.microsoft.com/kb/823732

Il est également possible de faire du stockage USB en lecture seule . C'est souvent un bon compromis, car il permet aux utilisateurs de lire des données sur un périphérique USB - comme des photos d'un appareil photo, mais les empêche de copier votre base de données d'entreprise sur leur clé USB.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Il n'est probablement pas conseillé d'essayer de désactiver complètement l'USB, car les claviers et les souris nécessitent généralement l'USB de nos jours. Les deux éléments ci-dessus peuvent être définis via une entrée de registre ou un fichier de stratégie. La force de ces paramètres sera aussi forte que vos paramètres de stratégie et de groupe Windows.