Comment protéger en écriture une clé USB?

14

Je recherche une solution pour protéger en écriture le contenu d'une clé USB. L'idée est d'empêcher que son contenu soit supprimé par inadvertance par l'utilisateur ou modifié par des programmes malveillants - et non de restreindre le recyclage de la clé pour autre chose.

Voici un résumé de mes découvertes jusqu'à présent:

  1. Certaines touches ont un interrupteur qui les rend en lecture seule. Malheureusement, ce n'est pas toujours le cas.

  2. Avec un système de fichiers FAT32, la seule solution semble être de mettre les fichiers en "lecture seule". Mais cette protection est trop faible. Il existe une protection en écriture légèrement plus forte disponible pour NTFS , qui peut être obtenue en supprimant les privilèges d'écriture de "Tous les utilisateurs", il rendra les fichiers en lecture seule pour chaque compte, sauf "Administrateur". Le formatage du disque en UDF le rend en lecture seule sous Windows XP SP3, mais en lecture-écriture sous Windows Vista, Windows 7, Linux et Mac OS X. Le formatage en ISO9660 / CDFS le rend en lecture seule sous Linux et Mac OS X, mais malheureusement, le contenu n'est plus lisible depuis Windows.

  3. Avec un logiciel spécifique au microcontrôleur, il est possible (s'il est pris en charge par la puce) de re-partitionner la clé afin qu'elle affiche par exemple une partition protégée en écriture et une partition en lecture-écriture. Le problème est que cela est très déroutant pour les utilisateurs: la partition protégée en écriture peut apparaître comme un lecteur de CD-ROM (ce qui n'est pas le cas), après insertion certains pilotes sont apparemment installés sur l'ordinateur (en fait ce ne sont pas vraiment des pilotes ), et cela peut conduire à demander un redémarrage. En outre, cette solution ne peut pas être appliquée universellement car elle nécessite de savoir quelle puce est utilisée dans le lecteur et l'existence d'outils accessibles au public pour reprogrammer l'appareil.

  4. John Reasor mentionne des utilitaires capables de remplir tout l'espace libre sur l'appareil, ce qui rend impossible la création de nouveaux fichiers (voir ci-dessous).

Existe-t-il une solution générale pour stocker des contenus non modifiables sur une clé USB?

  • Il protège le contenu des modifications généralement effectuées à partir du shell (par exemple, supprimer, renommer, déplacer) ou des fichiers et dossiers modifiés par une application standard (par exemple, enregistrer sous)

  • Cela devrait fonctionner avec la plupart des appareils

  • L'utilisateur peut toujours reformater l'appareil en une clé normale pour le recycler pour une autre utilisation (par exemple, avec fdisk )

usb-storage write-protect caas
la source
1
Vous auriez besoin d'acheter un lecteur flash conçu à cet effet, aucun moyen de moderniser un lecteur flash existant. Cela pourrait être fait en modifiant les autorisations Windows des fichiers sur le lecteur, mais Unix, Linux ignorerait ces paramètres. Je suis un peu confus, vous voulez protéger les données des utilisateurs qui les suppriment, mais vous voulez ensuite que les utilisateurs formateront et recycleront le disque?, Vous ne pouvez pas l'avoir dans les deux sens.
Moab
Oui, je ne considère pas l'utilisation de fdisk, du format ou du gestionnaire de partition comme quelque chose qu'un utilisateur ferait par inadvertance. C'est juste ce genre d'action que je veux empêcher.
caas

Réponses:

2

Vos conclusions sont correctes et aucune solution générale ne peut vous aider. Pardon.

Je ne peux que reformuler ce que vous avez dit:

Soit ils ont un commutateur de protection en écriture, soit ils ne le font pas

Protection au niveau du système de fichiers qui peut varier entre les systèmes d'exploitation et les implémentations

Microchip / fonctionnalités spécifiques aux clés, pas de moyen facile de savoir à l'avance - généralement, vous demanderiez et le fabriqueriez selon les spécifications. Il n'y avait aucun moyen de contourner cela.

William Hilsum
la source
Ah, j'avais peur de ça. Merci de votre aide!
caas
2

Voici quelques idées qui pourraient aider à combler vos besoins.

Astuces logicielles - Last Resort

Il existe quelques approches logicielles que vous pouvez utiliser à la rigueur, mais elles sont principalement spécifiques à Windows et il peut être possible de les contourner - même si cela semble peu probable.

La recherche d'un lecteur flash USB avec un commutateur de lecture seule ou de protection en écriture décrit comment créer une partition U3 personnalisée basée sur un fichier ISO qui sera monté comme un CD-ROM virtuel. Cela empêchera les éléments d'être supprimés de ce CD virtuel, mais n'est pas idéal pour un disque de nettoyage du système car la deuxième partition peut toujours être écrite et infectée. De plus, la modification du contenu de la zone protégée est un processus en plusieurs étapes qui implique la création / mise à jour d'un fichier ISO qui est ensuite utilisé pour recréer la zone U3 sur le lecteur flash.

La protection en écriture du lecteur flash USB décrit comment la valeur DWORD du registre Windows WriteProtectdans la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePoliciesclé contrôle si les périphériques USB sont accessibles en écriture ou protégés en écriture. Une valeur de 0 (zéro) permet d'écrire sur des périphériques USB; une valeur de 1 bloque l'écriture sur des périphériques USB. Les modifications peuvent prendre effet après une déconnexion / ouverture de session, mais prendront certainement effet après un redémarrage. Cette approche présente plusieurs inconvénients: il peut être possible pour un logiciel de la contourner, elle bloque l'écriture sur tous les périphériques USB, elle ne prend pas effet immédiatement - elle nécessite au moins une déconnexion / connexion et éventuellement un redémarrage du système et vous avez pour annuler vos modifications, car cela affecte tous les périphériques USB, pas seulement votre lecteur flash.

Plusieurs applications (shareware et gratuit) et jeux d'instructions simplifient le processus de protection en écriture en remplissant le disque en créant simplement des fichiers temporaires pour consommer tout l'espace libre disponible sur le lecteur. S'il n'y a pas d'espace pour créer même un petit fichier autorun.inf, il est difficile d'infecter le lecteur car il n'exécutera pas d'éléments par défaut lorsque le lecteur est connecté à un PC. C'est probablement mieux que rien car cela arrêtera certaines infections, mais cela peut également donner un faux sentiment de sécurité - ce n'est pas une sécurité complète. L'un des nombreux sites contenant des instructions à ce sujet est Créer un faux fichier factice de Raymond.CC sur une clé USB pour activer la protection en écriture et empêcher la modification.

J'ai vu des instructions pour protéger les fichiers sur un lecteur en reformatant en NTFS, puis en supprimant toutes les autorisations sauf un ensemble très limité. Tout comme remplir le lecteur à pleine capacité, cela peut fonctionner contre certains logiciels malveillants, mais ce n'est pas une protection à 100%. La configuration dépend également de la version de Windows que vous exécutez (en supposant que c'est ce que vous utilisez) - les versions non professionnelles peuvent ne pas donner accès aux paramètres de sécurité nécessaires, et les systèmes non Windows ignoreront probablement la sécurité ou ne pas pouvoir lire le lecteur. Cela rend également plus important de dire à Windows d'éjecter le lecteur avant de le retirer, car il est plus probable que Windows attendra avant d'écrire des modifications sur le lecteur.

http://www.fencepost.net/2010/03/usb-flash-drives-with-hardware-write-protection/

N4TKD
la source
Merci pour l'astuce sur la regsitry WriteProtect DWORD de Windows ou le remplissage de l'appareil. Je vais les ajouter à ma question pour référence.
caas
+1 pour "remplir l'espace libre avec des fichiers factices".
Mudassir
2

Il existe des clés USB sur le marché (tout comme les cartes SD) qui ont ce petit bouton / interrupteur sur elles qui vous permet d'activer et de désactiver la lecture / écriture. Cela semble être la seule solution dans votre cas. Il existe de nombreuses clés USB et je suis sûr que vous pouvez en trouver un qui correspond à vos besoins.

Ce site contient une liste de périphériques avec protection matérielle en écriture.

Par exemple:

Garçon furieux
la source
1
Ok merci, j'essayais de trouver une solution qui fonctionnerait en général. Il semble qu'il n'en existe pas et cela revient à l'une des trois alternatives que j'ai décrites: soit vous pouvez le faire de manière forte avec un commutateur ou un outil de microcontrôleur (si votre appareil le prend en charge), soit de manière faible avec autorisations du système de fichiers (sur n'importe quel appareil).
caas