Параметр временного отключения порта USB что это такое

Обновлено: 21.11.2024

USB-устройства могут по незнанию заразить компьютеры компании программами-вымогателями и другими вредоносными программами. Отключение USB-портов защищает конечные точки от мошеннических USB-устройств, превентивно предотвращая передачу вредоносных файлов.

Почему компании отключают порты USB на своих компьютерах?

Производители компьютеров иногда отключают порты универсальной последовательной шины (USB) в качестве источников загрузки, чтобы защитить конечных пользователей от кибератак через USB. Отключение USB-портов во время загрузки достигается, когда разработчики встроенного ПО задают параметры отключения USB в базовой системе ввода-вывода (BIOS) системы.

Имеют ли USB-порты защиту?

3 ответа. Как правило, USB-порт хоста будет иметь защиту от электростатического разряда на линиях данных, а питание будет подаваться через выключатель питания с ограничением тока, такой как TI TPS2557. . И производитель вашего USB-порта, вероятно, следовал спецификациям при реализации аппаратных и программных аспектов этой защиты.

Как защитить порты USB?

  1. Сетевой и поведенческий мониторинг может отслеживать сотрудников. .
  2. Измените настройки BIOS. .
  3. Используйте программное обеспечение и код перезаписи для блокировки USB-устройств. .
  4. Эпоксидный маршрут для блокировки USB-накопителей.

Как временно отключить порты USB?

  1. Войдите в учетную запись администратора.
  2. Щелкните правой кнопкой мыши меню "Пуск".
  3. Нажмите "Диспетчер устройств".
  4. Нажмите Контроллеры универсальной последовательной шины, чтобы просмотреть все порты USB.
  5. Щелкните правой кнопкой мыши порт USB, который вы хотите отключить.
  6. Выберите «Отключить устройство».

Как включить или отключить USB-порты в Windows 10/8/7 [Учебник]

Найдено 16 связанных вопросов

Безопасна ли блокировка USB?

С помощью USB Lockit все ваши фотографии, аудио, видео и другие файлы, хранящиеся на USB-накопителе с файловой системой FAT32 и внешних жестких дисках, могут быть легко защищены от посторонних глаз. Как только вы заблокируете диск, несанкционированный доступ будет предотвращен. Когда USB-накопитель заблокирован, ваши файлы остаются в безопасности во всех операционных системах.

Защищены ли порты USB от короткого замыкания?

Многие материнские платы используют термовыключатель PTC в качестве защиты от короткого замыкания для портов USB. Это устройство переходит в состояние высокого импеданса, когда его температура превышает определенный предел во время короткого замыкания. Если это то, что используется на материнской плате вашего ноутбука, вам не о чем беспокоиться.

Имеют ли порты USB защиту от перегрузки по току?

Защита от перегрузки по току для устройств с питанием от USB требуется в соответствии с UL60950 и спецификацией USB, которые требуют, чтобы защита от перегрузки по току использовалась при проектировании подачи питания через USB. . При проектировании защиты порта USB защитные устройства также не должны ограничивать требования к входной мощности подключенного устройства.

Можно ли закоротить ноутбук через USB?

Замыкание 5 В на контакты данных может повредить контакты данных. Замыкание 5 В на другое более высокое напряжение в цепи может повредить весь ноутбук. Если вам нужны работающие USB-порты и ноутбуки, не используйте ноутбук в качестве источника питания. Многие контроллеры USB отключают порт, если он потребляет слишком много тока.

Можно ли отключить отдельные порты USB?

Порты USB хоть и полезны, но также могут представлять угрозу безопасности, если они остаются доступными на общем компьютере. Вы можете отключить USB-порты с помощью диспетчера устройств и редактора реестра на компьютере с Windows.

Как отключить порты USB в Windows 10?

Нажмите «Контроллеры универсальной последовательной шины», и вы увидите в нем различные параметры устройств. A) Щелкните правой кнопкой мыши USB 3.0 (или любое упомянутое устройство на вашем ПК) и выберите «Отключить устройство», чтобы отключить порты USB на вашем устройстве.

Что можно сделать, чтобы запретить сотрудникам использовать USB-накопители?

Некоторые специалисты по безопасности предлагают радикальный подход к блокировке USB-накопителей. Шон Грин, консультант по безопасности в компании Evidence Solutions, советует своим клиентам использовать прозрачный силиконовый герметик и заполнять каждый USB-порт на каждом ПК, чтобы предотвратить подключение USB.

Что происходит при коротком замыкании портов USB?

Когда вы замкнули порт USB накоротко, вы, скорее всего, полностью уничтожили предохранитель. Однако, если все ваши USB-порты не работают, скорее всего, USB-контроллер неисправен. Но в любом случае порт(ы) USB не подлежат ремонту, так как оба компонента являются частью материнской платы.

Можете ли вы поджарить порт USB?

Когда конденсаторы достигают потенциала -220 В, устройство сбрасывает все это электричество на линии передачи данных USB, что, скорее всего, поджарит все, что находится на другом конце. Если хост не просто переворачивается и умирает, USB-накопитель выполняет процесс зарядки-разрядки снова и снова, пока не зашипит.

Почему мои порты USB не работают?

Существует несколько причин, по которым USB-устройство не распознается.Возможно, у вас повреждено устройство или проблема с самим портом. . Компьютеру трудно обнаружить USB-устройства. Функция выборочной приостановки USB включена.

Какое обнаружение превышения текущего статуса USB-устройства?

Эта ошибка обычно означает, что компьютер отключил USB-устройство из-за перегрузки цепи. Это делается для защиты вашего оборудования от дальнейшего повреждения. Если вы пытаетесь использовать новую материнскую плату, возможно, материнская плата повреждена или имеет производственный брак.

Как защитить USB-накопитель паролем?

  1. Откройте документ и выберите "Файл".
  2. Нажмите «Информация» и «Защитить документ» в параметрах меню.
  3. Выберите параметр «Шифровать с помощью пароля».
  4. Добавьте пароль и сохраните его. С этого момента каждый раз, когда вы пытаетесь открыть документ, вам будет предложено ввести этот пароль.

Можем ли мы заблокировать флешку?

Чтобы заблокировать флешку, вам нужно открыть диск, а затем запустить на нем «USBSecurity.exe», ввести свой пароль и подтвердить его. Затем введите подсказку для пароля, которая поможет вам вспомнить пароль, нажмите «Защитить».

Как устранить короткое замыкание в кабеле USB?

  1. Шаг 1. Откройте файл Sugru. Откройте одну одноразовую упаковку Sugru. .
  2. Шаг 2. Приклейте. Оберните плоскую колбаску сугру вокруг кабеля, убедившись, что она плотно прилегает к пластиковому корпусу зарядного устройства.
  3. Шаг 3. Придайте форму. .
  4. Шаг 4. Он превращается в резину. .
  5. Шаг 5. Повторите.

Как я узнаю, что моя флешка закорочена?

Если порт закорочен, обычно закорачивается весь концентратор. Это в лучшем случае. Симптомы включают сгоревший USB-порт, запах сгоревшего пластика, подключение чего-либо к этому концентратору, перезапуск вашего ноутбука/компьютера, синий экран при подключении чего-либо к закороченному USB-порту.

Что такое скачок напряжения на порту USB?

Скачок напряжения на USB-порту. Неизвестному USB-устройству требуется больше энергии, чем может обеспечить порт. USB-устройство неисправно и превысило пределы мощности порта концентратора.

Как разрешить только определенные USB-устройства?

  1. Нажмите "Управление приложениями и устройствами".
  2. Изменить управление приложениями и устройствами.
  3. Выделите Управление приложениями.
  4. Установите флажок рядом с Блокировать запись на USB-накопители.
  5. Выберите «Изменить».

Можно ли отследить флеш-накопители?

При загрузке файлов непосредственно на флэш-накопитель вы оставляете некоторый след файла на компьютере. Файл, загруженный на флэш-накопитель USB, можно отследить в папке временных файлов компьютера, истории браузера и журнале интернет-маршрутизатора. Существуют определенные меры предосторожности, которые вы можете предпринять для защиты своих данных и конфиденциальности.

При подключении нового USB-устройства к компьютеру Windows автоматически обнаруживает устройство и устанавливает соответствующий драйвер. В результате пользователь практически сразу может использовать подключенный USB-накопитель или устройство. В некоторых организациях использование USB-накопителей (флеш-накопителей, жестких дисков USB, SD-карт и т. д.) заблокировано из соображений безопасности, чтобы предотвратить утечку конфиденциальных данных и заражение компьютеров. В этой статье описывается, как использовать групповую политику (GPO) для отключения внешних съемных USB-накопителей.

Настройка объекта групповой политики для отключения USB-накопителей на компьютерах домена

Во всех версиях Windows, начиная с Windows 7, можно гибко управлять доступом к внешним накопителям (USB, CD/DVD, дискеты, ленты и т. д.) с помощью групповых политик (радикальный способ отключения USB-портов не рассматриваем через настройки биоса). Можно программно заблокировать использование только USB-накопителей, не затрагивая такие USB-устройства, как мышь, клавиатура, принтер и т. д. (которые не распознаются как съемный диск).

Политика блокировки USB-устройств будет работать, если инфраструктура вашего домена AD соответствует следующим требованиям:

    Версия схемы Active Directory — Windows Server 2008 или новее;

Примечание. Набор групповых политик, позволяющий контролировать установку и использование съемных носителей в Windows, появился только в AD версии 44.

Мы собираемся ограничить использование USB-накопителей для всех компьютеров в определенном контейнере AD (OU). Вы можете применить политику блокировки USB ко всему домену, но это повлияет на серверы и другие технологические устройства. Предположим, что мы хотим применить политику к OU с именем Workstations. Для этого откройте консоль управления GPO (gpmc.msc), щелкните правой кнопкой мыши OU Workstations и создайте новую политику (Create GPO in this domain and Link it here).

Совет. В случае автономного компьютера политику ограничения USB-устройств можно редактировать с помощью локального редактора групповой политики — gpedit.msc. Редактор локальной групповой политики недоступен в выпусках Windows Home, но вы можете установить его следующим образом: Как включить gpedit.msc в Windows 10 Home.

Установите имя объекта групповой политики «Отключить доступ по USB».

Изменить настройки объекта групповой политики (Изменить).

Параметры блокировки внешних устройств хранения доступны как в разделе "Пользователь", так и в разделе "Компьютер" объекта групповой политики:

  • Конфигурация пользователя -> Политики -> Административные шаблоны -> Система -> Доступ к съемным носителям.
  • Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Доступ к съемным носителям.

Если вы хотите заблокировать USB-накопители для всех пользователей компьютеров, вам необходимо настроить параметры в разделе «Конфигурация компьютера».

В разделе «Доступ к съемным носителям» есть несколько политик, позволяющих отключить использование различных типов хранилищ — CD/DVD, FDD, USB-устройства, ленты и т. д.

  • CD и DVD: запретить доступ к исполнению.
  • CD и DVD: запретить доступ для чтения.
  • CD и DVD: запретить доступ для записи.
  • Пользовательские классы: запретить доступ для чтения.
  • Пользовательские классы: запретить доступ для записи.
  • Диски гибких дисков: запретить доступ для выполнения.
  • Диски гибких дисков: запретить доступ для чтения.
  • Диски гибких дисков: запретить запись.
  • Съемные диски: запретить выполнение.
  • Съемные диски: запретить доступ для чтения.
  • Съемные диски: запретить запись.
  • Все классы съемных носителей: запретить любой доступ.
  • Все съемные хранилища: разрешить прямой доступ в удаленных сеансах.
  • Лентичные накопители: запретить доступ для выполнения.
  • Магнитные ленты: запретить доступ для чтения.
  • Ленточные накопители: запретить доступ для записи.
  • Портативное устройство Windows – к этому классу относятся смартфоны, планшеты, плееры и т. д.
  • Устройства WPD: запретить доступ для записи.

Как видите, для каждого класса устройств можно запретить запуск исполняемых файлов (защитить компьютеры от вирусов), запретить чтение данных и запись/редактирование файлов на внешние носители.

Самая «сильная» политика ограничения — All Removable Storage Classes: Deny All Access — позволяет полностью отключить доступ ко всем типам внешних устройств хранения. Чтобы включить политику, откройте ее и установите флажок Включить.

После включения и обновления политики на клиентских компьютерах (gpupdate /force) ОС обнаруживает подключенные внешние устройства (не только USB-устройства, но и любые внешние накопители), но при попытке открыть их, появляется ошибка:

Совет. Такое же ограничение можно установить с помощью реестра, создав параметр DWORD Deny_All со значением 00000001 в разделе реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices.

В этом же разделе политики можно настроить более гибкие ограничения на использование внешних USB-накопителей.

Например, чтобы предотвратить запись данных на USB-накопители и другие типы USB-накопителей, следует включить политику Съемный диск: запретить доступ на запись.

В этом случае пользователи смогут считать данные с флешки, но при попытке записать на нее информацию получат ошибку отказа в доступе:

Вы можете запретить запуск исполняемых файлов и файлов сценариев с USB-накопителей с помощью политики Съемные диски: Запретить доступ к выполнению.

Отключение USB-накопителей через GPO для определенных пользователей

Нередко бывает необходимо заблокировать USB-накопители для всех пользователей в домене, кроме администраторов.

Самый простой способ сделать это — использовать фильтрацию безопасности в объекте групповой политики. Например, чтобы предотвратить применение политики блокировки USB к группе «Администраторы домена»:

  1. Выберите политику отключения USB-доступа в консоли управления групповыми политиками.
  2. В разделе «Фильтрация безопасности» добавьте группу «Администраторы домена».
  3. Перейдите на вкладку "Делегирование" и нажмите кнопку "Дополнительно". В редакторе параметров безопасности укажите, что группе «Администраторы домена» не разрешено применять этот объект групповой политики (Применить групповую политику — Запретить).

    4. Может быть и другая задача — нужно разрешить использование внешних USB-накопителей всем, кроме определенной группы пользователей. Создайте группу безопасности «Запретить USB» и добавьте эту группу в настройки безопасности объекта групповой политики. Для этой группы установите разрешения на чтение и применение объекта групповой политики и оставьте разрешение только на чтение для группы «Прошедшие проверку» или «Компьютеры домена» (сняв флажок «Применить групповую политику»).

    Блокировка USB и съемных устройств с помощью настроек реестра и групповой политики

    Вы можете более гибко контролировать доступ к внешним устройствам, настроив параметры реестра, установленные описанными выше политиками, с помощью настроек групповой политики (GPP). Все вышеперечисленные политики соответствуют определенным разделам реестра в разделе HKLM (или HKCU) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices (по умолчанию этот раздел реестра отсутствует).

    Чтобы включить одну из этих политик, необходимо создать новый подраздел в указанном ключе с именем класса устройств, к которому вы хотите заблокировать доступ (столбец 2), и параметром REG_DWORD с типом ограничения (Deny_Read, Deny_Write или Deny_Execute). . Если значение этого параметра равно 1, ограничение USB активно, если 0 – ограничений на данный класс устройств нет.

    Вы можете вручную создать указанные разделы реестра и параметры. На снимке экрана ниже я создал ключ RemovableStorageDevices и подраздел с именем . С помощью параметров REG_DWORD я запретил запись и запуск исполняемого файла с USB-накопителей.

    Отключение USB-накопителя вступит в силу сразу после применения политики (нет необходимости перезагружать компьютер). Если к компьютеру подключена флешка, она будет доступна до повторного подключения.

    Вы можете использовать эти ключи реестра и таргетинг GPP на уровне элементов, чтобы гибко применять политики, ограничивающие использование внешних USB-накопителей. Вы можете применять политики к определенным группам безопасности AD, сайтам, версиям ОС, OU (можно использовать даже фильтры WMI). Например, вы можете создать группу домена Storage-Devices-Restrict и добавить учетные записи компьютеров, для которых вы хотите ограничить использование USB-накопителей. Эта группа указана в вашей политике GPP в разделе Нацеливание на уровень элементов -> Группа безопасности с опцией Компьютер в группе.Это применит политику блокировки USB к компьютерам, добавленным в эту группу AD.

    Примечание. Точно так же вы можете создавать свои собственные политики для классов устройств, не перечисленных в этом списке. Узнать идентификатор класса устройства можно в свойствах драйвера в значении атрибута GUID класса устройства.

    Отключить драйвер USB-накопителя через реестр

    Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для правильного обнаружения и подключения USB-накопителей.

    На автономном компьютере этот драйвер можно отключить, изменив значение параметра реестра Start с 3 на 4. Это можно сделать с помощью PowerShell:

    Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4

    Перезагрузите компьютер и попробуйте подключить USB-накопитель. Теперь он не должен отображаться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.

    Примечание. Это единственный способ отключить USB-накопители в устаревших Windows XP/Windows Server 2003, поскольку в этих версиях нет отдельных параметров групповой политики для ограничения доступа к внешним USB-устройствам.

    Вы можете запретить запуск драйвера USBSTOR на компьютерах домена с помощью настроек групповой политики. Для этого нужно внести изменения в реестр через GPO.

    Эти настройки можно развернуть на всех компьютерах домена. Создайте новую групповую политику, свяжите ее с OU с компьютерами и в разделе Computer Configuration -> Preferences -> Windows Settings -> Registry создайте новый параметр со значениями:

    • Действие: обновить
    • Hive: HKEY_LOCAK_MACHINE
    • Путь к ключу: SYSTEM\CurrentControlSet\Services\USBSTOR
    • Имя значения: Start
    • Тип значения: REG_DWORD
    • Значение данных: 00000004

    Разрешить подключение только определенного USB-накопителя

    Вы можете использовать определенный параметр реестра, чтобы разрешить определенному (утвержденному) USB-накопителю подключаться к вашему компьютеру. Давайте кратко рассмотрим, как это можно настроить.

    При подключении любого USB-накопителя к компьютеру драйвер USBSTOR устанавливает это устройство и создает отдельный раздел реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Этот раздел реестра содержит информацию о USB-накопителе (например, Disk & Ven_Kingstom & Prod_DT_1010_G2 & Rev_12.00).

    Вы можете просмотреть список USB-накопителей, которые когда-либо были подключены к вашему компьютеру, с помощью следующей команды PowerShell:

    Get-ItemProperty –Путь HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| выберите ДружественноеИмя

    Вы можете удалить все ключи реестра для ранее подключенных USB-накопителей, кроме тех, которые вам нужны.

    Затем вам нужно изменить права доступа к разделу реестра USBSTOR, чтобы все (включая СИСТЕМУ и администраторов) имели права только на чтение. В результате при подключении любого USB-накопителя, кроме разрешенного, Windows не сможет установить устройство.

    Как исправить ошибку «Слишком много открытых файлов» в Linux?
    Исправлено: VPN не работает в Windows 10

    Похожая литература

    Установка административных шаблонов групповой политики MS Office (ADMX)

    Как изменить просроченный пароль через удаленный рабочий стол.

    Отслеживание и анализ журналов подключения к удаленному рабочему столу.

    Установка сервера KMS с открытым исходным кодом (Vlmcsd).

    Управление виртуальными машинами Hyper-V с помощью PowerShell

    15 комментариев

    Вы тестировали его на Windows 10?
    Я протестировал его на Windows 10 Pro, но он не работает. Политика применяется, но USB не запрещен.
    AD — это Windows Server 2008 r2, и установлен ADMX для Windows 10.

    Я не проверял эту политику на клиентах Windows 10.
    Можете ли вы проверить правильность работы политики на старых клиентах (Win 7, 8.1)?

    Я настроил объект групповой политики, но он не работает в Win7. DC 2008 R2.
    Политика применяется, но USB не запрещен.

    Вы хотите удалить периферийное USB-устройство на предварительном этапе?

    По ошибке я сделал то же самое, но я активировал политику, но USB по-прежнему заблокирован, я также использую win server 2008R2

    Можете ли вы научить, как ограничить вход пользователя для отключения USB-накопителя?

    Вы можете использовать фильтрацию безопасности GPO или делегирование GPO, чтобы разрешить/запретить некоторым пользователям или группам применять эту политику

    Администратор домена отключил доступ к usb в GPO. Как включить на локальном компьютере

    Есть ли у вас права локального администратора на вашей рабочей станции?

    Здравствуйте, я применил эту политику ко всему домену и добавил группу администраторов в качестве запрета, как указано выше. Когда я иду тестировать usb как администратор, я не могу получить доступ к usb.
    Что я делаю не так?

    Привязали ли вы политику «Отключить доступ к USB» к организационной единице с компьютерами или пользователями? Какой раздел GPP настроен?

    В нашей компании используется ThreatLocker. Он прост в управлении и позволяет создавать организационные, групповые и компьютерные политики для блокировки USB-устройств, DVD/BD и т. д. Он также помогает разрешать или запрещать доступ к нашим файловым серверам и белый список приложений.

    как настроить запрет на виртуальный usb

    Я следовал вашим инструкциям выше, и это сработало отлично

    однако, допустим, у меня есть пользователь по имени Джон Смит, и я хочу предоставить доступ только Джону Смиту, а все остальные заблокированы

    Подключив USB-накопитель к компьютеру, любой пользователь может заразить его вредоносным ПО или скопировать с него важную информацию. В сегодняшней статье мы рассмотрим, как отключить USB-накопители в Windows 10. Этот метод работает в Windows 10 Pro, Enterprise или Education.

    1. Отключить USB-накопители в редакторе реестра

    Этот метод работает во всех выпусках Windows 10 и отключает только USB-накопители, не затрагивая мышь, клавиатуру и принтер, подключенные через USB. Перед редактированием реестра рекомендуется создать точку восстановления системы.

    Откройте редактор реестра Windows: в строке поиска или в меню выполнения (выполнить с помощью клавиш Win+R) введите команду regedit и нажмите клавишу Enter.

    Перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR. В разделе USBSTOR откройте параметр Start ⇨ в поле «Значение», установите 4 и нажмите «ОК».

    Теперь, если вы подключите флешку к компьютеру, она нигде не будет отображаться, а в диспетчере устройств вы увидите ошибку установки драйвера для этого устройства. Если вы хотите повторно включить USB-накопители в будущем — измените значение параметра «Пуск» на 3 и нажмите «ОК».

    2. Отключить USB-накопители в групповых политиках

    Во-первых, вам нужно открыть редактор локальной групповой политики.

    В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите:

    и нажмите клавишу Enter.

    Затем вам нужно открыть съемные диски: запретить доступ к выполнению

    Для этого откройте «Конфигурация компьютера» ⇨ «Административные шаблоны» ⇨ «Система» ⇨ «Доступ к съемным носителям» ⇨ на правой панели откройте «Съемные диски: запретить выполнение доступа».

    После этого выберите «Включено» и нажмите «ОК». Также ставится в «Съемные диски: запретить доступ на чтение» и в «Съемные диски: запретить доступ на запись», также они находятся в «Конфигурация компьютера» ⇨ «Административные шаблоны» ⇨ «Система» ⇨ «Доступ к съемным носителям».< /p>

    3. Включить или отключить USB-порты через диспетчер устройств

    ВАЖНО! Мы рекомендуем создать точку восстановления системы перед отключением портов USB, чтобы вы могли легко снова включить их в любое время.

    Нажмите правой кнопкой мыши кнопку "Пуск" на панели задач и выберите "Диспетчер устройств".

    Разверните Контроллеры USB. Щелкните правой кнопкой мыши все записи одну за другой и нажмите «Отключить устройство».Нажмите «Да», когда появится диалоговое окно подтверждения.

    4. Отключить или включить USB-порты в BIOS

    Некоторые производители предлагают опцию в BIOS/UEFI для отключения или включения портов USB. Загрузите BIOS/UEFI и проверьте, есть ли возможность отключить или включить USB-порты. Обратитесь к руководству пользователя вашего ПК, чтобы узнать, присутствует ли возможность включения или отключения USB-портов в BIOS/UEFI.

    Рассмотрите возможность использования Action1 для удаленной блокировки USB-портов, если:

    • Вам необходимо выполнить действие на нескольких компьютерах одновременно.
    • У вас есть удаленные сотрудники с компьютерами, не подключенными к вашей корпоративной сети.

    Action1 – это облачная платформа удаленного мониторинга и управления для управления исправлениями, развертывания программного обеспечения, удаленного рабочего стола, инвентаризации ИТ-активов и управления конечными точками.

    Фото: как и другое системное оборудование, USB-порты нуждаются в нежной, любящей защите.

    Содержание

    Существует множество мер безопасности, которые вы можете предпринять для защиты своего высокопроизводительного компьютера (HPC), от внедрения дисков с самошифрованием FIPS (SED) до установки комплексных пакетов безопасности и т. д.

    Однако кибератаки начинают больше сосредотачиваться на атаках, совершенных лично или в результате проникновения в цепочку поставок, нацеленных на аппаратное обеспечение системы. Один из этих методов атаки использует USB-порты, которые некоторые производители компьютеров, заботящиеся о безопасности, такие как Trenton Systems, отключают для защиты своих клиентов.

    В этой записи блога мы объясним, почему имеет смысл отключать USB-порты, как злоумышленники атакуют USB-порты и что вы можете сделать для их защиты.

    Фото: производители компьютеров отключают USB-порты в основном из соображений безопасности. Источник: Learn2Free

    Почему компании отключают порты USB на своих компьютерах?

    Производители компьютеров иногда отключают порты универсальной последовательной шины (USB) в качестве источников загрузки, чтобы защитить конечных пользователей от кибератак через USB.

    Отключение USB-портов во время загрузки достигается, когда разработчики встроенного ПО задают параметры отключения USB в базовой системе ввода-вывода (BIOS) системы.

    Ключевые слова здесь "во время загрузки", что означает, что как только пользователь получает доступ к операционной системе (ОС) компьютера, порты USB должны снова стать полностью функциональными. Другими словами, инвалидность не является постоянной; порты USB отключаются только во время загрузки.

    Если производитель компьютера отключает USB-порты системы, обычно это происходит потому, что клиент запросил это временное отключение в качестве дополнительной функции безопасности, хотя производитель в любом случае также может рекомендовать этот вариант клиентам, особо заботящимся о безопасности.

    Но как отключение USB-портов повышает безопасность?

    Запрещение запуска USB-портов во время загрузки не позволяет компьютерам запускать зараженные операционные системы и исполняемые файлы BIOS Unified Extensible Firmware Interface (UEFI), записанные на зараженные USB-накопители.

    Это многословный способ сказать, что ваши порты USB не смогут читать потенциально зараженные файлы с флэш-накопителя. Но мы держим пари, что вы задаетесь вопросом, как зараженный флэш-накопитель мог попасть в ваш защищенный компьютер.

    Фото: злоумышленники могут успешно взломать вашу систему, используя USB-порты, несколькими способами.

    Как хакеры атакуют USB-порты?

    Киберзлоумышленники используют два распространенных метода атаки на USB-порты: метод прямого подключения и метод человеческого любопытства. Существует также менее распространенный метод, который включает в себя манипулирование контроллером управления основной платой (BMC).

    Мы позволим Крису Шеппарду, инженеру-программисту Trenton Systems, объяснить.

    Метод прямой вставки

    Многие HPC отдают приоритет загрузки USB-накопителям, а не жестким дискам (HDD) и твердотельным накопителям (SSD).Таким образом, если хакер хотел, скажем, заняться корпоративным или правительственным шпионажем, он мог просто вставить зараженный USB-накопитель в ценную систему, содержащую множество личных данных, перезагрузить или дождаться перезагрузки пользователя и смотреть Рим. падение.

    Если вы хакер, вы можете воспользоваться приоритетом загрузки USB, и вы можете вставить флешку, может быть, установить что-то, что, когда пользователь снова перезагрузит компьютер, даже после того, как хакер удалит USB-флешка, операционная система выглядит нормально, но на самом деле она заражена, и ваши данные украдены, изменены, удалены или что-то в этом роде.

    Крис Шеппард, инженер-программист, Trenton Systems

    Метод человеческого любопытства

    Но даже после того, как USB-порты заработают после процесса загрузки, хакеры все равно смогут использовать их для заражения вашей системы. Самое страшное, что они могут заставить вас заразить его для них.

    Итак, есть хакер, который может проникнуть и вставить USB-накопитель в ваш компьютер, конечно, но что еще более распространено, так это то, что хакер оставляет кучу USB-накопителей на парковке в том месте, где они находятся. атакующий. Эта тактика использует человеческое любопытство, потому что сотрудники хотят знать, что находится на дисках, поэтому они берут их, втыкают в свои компьютеры и терпят поражение, потому что Windows и другие операционные системы автоматически сканируют содержимое дисков. Звучит нелепо, но это распространенный и успешный способ атак на банки и тому подобное.

    Метод контроллера управления основной платой (BMC)

    Менее распространенный способ, с помощью которого злоумышленники атакуют USB-порты, — это манипулирование контроллером управления основной платой компьютера (BMC).

    Если у вас есть BMC, вы, как правило, используете его очень жестко и убедитесь, что он не может общаться с Интернетом, но представьте, что вы допустили ошибку и кто-то смог завладеть вашим BMC. Что ж, действительно хорошо спроектированный BMC может виртуально монтировать USB-накопитель.

    Итак, если вы находитесь за своим рабочим столом, и у вас есть USB-накопитель в USB-порту, но вы говорите компьютеру, чтобы виртуально подключить флэш-накопитель к другому компьютеру, BMC сделает это, и это один из способов, которым вы можете выполнить атаку с загрузкой через USB без физического доступа. Это было бы очень умно и сложно осуществить, потому что ИТ очень защищает BMC.

    Фото: Если вам это нравится, то вы должны были поставить на него замок.

    Как защитить порты USB?

    Один из лучших способов защитить USB-порты – это обратиться к производителю с просьбой отключить все или некоторые USB-порты при загрузке. Компании, которые настраивают BIOS, например Trenton Systems, могут сделать это за вас, если вы попросите.

    Некоторые клиенты хотят, чтобы все USB-порты отключались при загрузке, а другие хотят, чтобы отключались только определенные порты. Например, USB-порты, расположенные в задней части системы, могут оставаться включенными, потому что хакерам потребуется больше времени и усилий, чтобы взломать их так, чтобы их не поймали. Или клиент может оставить активным случайный, труднодоступный USB-порт на случай, если ему когда-нибудь понадобится загрузить диск восстановления.

    Еще один отличный способ защитить USB-порты — установить на них настоящие двери и замки. Таким образом, вы сохраняете полный контроль над тем, как, когда и какие диски входят и выходят из ваших портов. Теперь, если хакер может сломать эти физические барьеры, не будучи пойманным, он все еще может взломать вашу систему, используя метод загрузки, если ваши порты не отключены. Поэтому мы настоятельно рекомендуем также реализовать опцию отключения загрузки.

    Поскольку мы в Trenton Systems работаем с исходным кодом BIOS и, таким образом, имеем возможность настраивать его, мы можем добавлять функции безопасности BIOS, соответствующие вашим уникальным потребностям. Эти функции включают отключение всех определенных USB-портов при загрузке. Эта функция есть не во всех наших системах, но мы можем добавить ее по вашему запросу. Мы также будем предлагать Intel Platform Firmware Resilience (PFR) на наших будущих серверах и рабочих станциях.

    Если вас интересует отключение USB-порта и настраиваемый BIOS для вашего безопасного высокопроизводительного вычислительного решения, не стесняйтесь спрашивать. Мы будем работать с вами на каждом этапе пути.

    Читайте также:

    Имя политики GUID класса устройства Имя параметра реестра
    Диски гибких дисков:
    Запретить доступ на чтение    		 Запретить_чтение
    Диски гибких дисков:
    Запретить запись    		 Запретить запись
    CD и DVD:
    Запретить чтение    		 < td width="173">Запретить чтение
    CD и DVD:
    Запретить запись    		 Запретить запись
    Съемные диски:
    Запретить чтение    		 Запретить чтение
    Съемные диски:
    Запретить запись    		 Запретить запись
    Ленточные накопители:
    Запретить доступ на чтение    		 Запретить чтение
    Магнитофон es:
    Запретить доступ на запись    		 Запретить_запись
    WPD Устройства:
    Запретить чтение
    		Запретить_чтение
    Устройства WPD:
    Запретить доступ на запись
    		Запретить_Запись