Bloqueo de puertos USB de escritorio

¿Cómo se bloquean los puertos USB en las PC de escritorio para que podamos evitar el uso de unidades USB en las computadoras de escritorio?

Debo aclarar que estos son los escritorios de Windows XP.

También debemos suponer que, como la mayoría de los equipos de escritorio nuevos, muchos usan USB para teclados y / o ratones.

Debe haber un Objeto de política de grupo para esto, puede empujarlo a través de Active Directory. Ver en gpedit.mscWinXP Pro.

Si son escritorios de Windows, puede usar la política local (o política de grupo, si es Active Directory). No hay una configuración predeterminada, pero la plantilla proporcionada por MS se puede encontrar en MSKB 555324 .

Debería poder deshabilitar los puertos usb del BIOS de la computadora. También podría desconectar los cables de ellos a la placa base.

No creo que deshabilitar puertos realmente vaya a hacer lo que parece querer. No, a menos que estas computadoras usen teclados y ratones PS2. Siempre que tenga puertos USB disponibles para el teclado y el mouse, alguien puede enchufar un concentrador y conectar su unidad USB a eso. Lo que realmente quiere hacer es evitar que la computadora reconozca los dispositivos de almacenamiento USB (pero no otros dispositivos USB) conectados a través de USB.

Si los usuarios tienen derechos administrativos para sus PC, pueden anular cualquier cosa que haga para evitar esto. Sin embargo, puede seguir el siguiente enlace a la solución recomendada de Microsoft:

http://support.microsoft.com/kb/823732

También puede evitar el arranque desde una memoria USB en el BIOS, como ya se mencionó.

Si le preocupa usar una solución de software, puede comprar algunos bloqueos de hardware.

Bloqueador de puertos USB

Esto supone que tiene el presupuesto para obtenerlos para cada máquina. También es posible que deba evitar que las personas desconecten el teclado y el mouse si también son USB.

Dos soluciones que he visto en los sitios de los clientes:

• (Linux) Incluya en la lista negra los módulos de kernel USB relevantes (almacenamiento_bios) en el archivo /etc/modprobe.conf -type apropiado
• Pistola de silicona

En el BIOS, configure el dispositivo de arranque para que arranque solo desde el disco duro y la contraseña protege el BIOS. En el BIOS, deshabilite todos los dispositivos USB con los que pueda salirse con la suya. Para evitar que las memorias USB se monten, deberá tomar otras medidas. ¿Puedes poner la computadora en una caja con solo los cables del teclado y del mouse saliendo? Entonces no hay un puerto USB disponible para que puedan jugar.

La conclusión es que mientras no confíes en las personas que tienen acceso físico a la máquina, solo puedes mejorar la seguridad, pero no puedes obtener una seguridad absoluta.

He tenido que hacer esto en máquinas independientes, así como en varias máquinas de dominio. GPO sería una mejor manera de hacerlo, pero no me di el lujo de hacerlo de esa manera. Obviamente, si alguien tuviera derechos de administrador sobre la máquina y un poco de conocimiento, podría deshacer esto.

En el momento en que estaba usando esto, teníamos todas las máquinas XP. Ningún usuario tenía derechos de administrador. No se supone que los usuarios sean [Usuarios avanzados]. Para ayudar a evitar que los usuarios usen dispositivos de almacenamiento masivo USB, algunos otros administradores eliminaron USBSTOR.SYS. Entonces, si alguna vez necesité volver a habilitar dispositivos de almacenamiento masivo USB, también necesitaba restaurar el archivo del controlador. (Así que mantuve una copia actual a mano junto con los archivos a continuación). Mi copia de "Enable.bat" tiene una línea, comenté aquí, para restaurar el archivo según sea necesario.

Disable.bat:

(Puede que tenga que agregar "BUILTIN \ Administrators" a los comandos CACLS. No tuve que hacerlo en mi entorno)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Puede que tenga que agregar otro conjunto de comandos CACLS para "BUILTIN \ Administrators". No tuve que hacerlo en mi entorno)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Algo similar puede funcionar para Vista, PERO NO LO HE INTENTADO.

Prefiero capacitar a los usuarios sobre lo que es aceptable y lo que no es aceptable. Si no puede confiar tanto en sus usuarios, quite sus PC y configure un sistema de cliente ligero que se conecte de nuevo a algo como un servidor Citrix que ejecute todas sus aplicaciones. La única otra solución que se me ocurre es colocar la PC en un gabinete cerrado con solo los cables para el teclado, el mouse y el monitor que salen. En todos los casos, creo que terminarás creando más trabajo para ti.

Si está buscando 'eliminar' efectivamente esos puertos de la computadora (y necesita USB en absoluto), Y si está dispuesto a modificar la computadora, ¿puedo sugerir epoxi de 2 partes? Cubra el conector con epoxi y nadie volverá a enchufar nada. El pegamento Hot Melt es un poco menos permanente, pero sigue siendo bastante efectivo.

Suponiendo que todavía necesita puertos USB para teclado / mouse, tendrá que dejar uno o dos puertos descubiertos.

Bloqueo de unidad . También refleja archivos de memorias USB si así lo desea, y permite la inclusión en listas blancas y negras de dispositivos, tipos de archivos y usuarios.

Puede deshabilitar el almacenamiento USB a través de:

http://support.microsoft.com/kb/823732

También es posible hacer que el almacenamiento USB sea de solo lectura . Esto suele ser un buen compromiso, ya que permite a los usuarios leer datos desde un dispositivo USB, como fotos de una cámara, pero les impide copiar su base de datos corporativa en su dispositivo de memoria.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Probablemente no sea aconsejable intentar deshabilitar el USB por completo, ya que cosas como los teclados y los ratones generalmente requieren USB en estos días. Lo anterior se puede configurar mediante una entrada de registro o un archivo de política. La fuerza de esta configuración será tan fuerte como su política de Windows y la configuración de grupo.