Вопросы Теги

Блокировка настольных USB-портов

При поиске вокруг дополнительные опции я столкнулся с проектом туннельного менеджера шпаклевки, который похож на другой довольно хороший вариант.

8
задан 6 June 2009 в 10:55
13 ответов

Должен быть Объект Групповой политики для этого, можно продвинуть его через Active Directory. Посмотрите в gpedit.msc на WinXP Pro.

7
ответ дан 2 December 2019 в 22:40
  • 1
    Я don' t думают, что это помешает людям загружаться от карты с интерфейсом USB. –  pjz 6 May 2009 в 21:22
  • 2
    +1, Хотя загружается от одной такой проблемы? Это могло быть изменено в BIOS Setup и затем защищенное паролем... –  Oskar Duveborn 6 May 2009 в 22:09
  • 3
    Какие настройки это? –  epotter 18 August 2009 в 16:56
  • 4
    Какая установка зависит от BIOS. Ищите функции, которые позволяют/запрещают начальную загрузку usb и/или выбирающий загрузочные диски при запуске. –  lexu 29 October 2009 в 08:19

Я предпочитаю обучать пользователей относительно того, что приемлемо и что не приемлемо. Если Вы не можете доверять своим пользователям что далеко, затем убрать их ПК, и настройте тонкий клиент системы, соединяющиеся назад с чем-то как сервер Citrix, запускающий все Ваши приложения. Единственное другое решение, о котором я могу думать, состоит в том, чтобы поместить фактический ПК в заблокированный корпус только с кабелями для клавиатуры, мыши и выхода монитора. Во всех случаях я думаю, что Вы только закончите тем, что создали больше работы для Вашего сам.

2
ответ дан 2 December 2019 в 22:40

В BIOS, Устанавливает устройство загрузки для начальной загрузки только от жесткого диска, и пароль защищают BIOS. В BIOS отключите все USB-устройства, которые можно сойти с рук. Для предотвращения карт с интерфейсом USB от того, чтобы даже быть смонтированным необходимо будет принять другие меры. Можно ли поместить компьютер в поле только с клавиатурой и выходом кабелей мыши? Затем нет никакого доступного USB-порта для них для игры с.

Нижняя строка - то, что, пока Вы не доверяете людям, у которых есть физический доступ к машине, можно только улучшить безопасность, но Вы не можете получить абсолютную безопасность.

3
ответ дан 2 December 2019 в 22:40

Если Вы обеспокоены использованием программного продукта, Вы могли бы купить некоторые аппаратные блокировки.

Блокировщик USB-порта

Это предполагает, что у Вас есть бюджет для получения их для каждой машины. Вы, возможно, также должны помешать людям отключать клавиатуру и мышь, если они - USB также.

4
ответ дан 2 December 2019 в 22:40

Если пользователи имеют административные права на свои ПК, они могут переопределить что-либо, что Вы делаете для предотвращения этого. Однако можно перейти по ссылке ниже к рекомендуемому решению Microsoft:

http://support.microsoft.com/kb/823732

Можно также предотвратить начальную загрузку от карты с интерфейсом USB в BIOS, как был уже упомянут.

5
ответ дан 2 December 2019 в 22:40

Я не думаю, отключая порты, действительно собирается сделать то, что Вы, кажется, хотите. Не, если эти компьютеры не используют мышей PS2 и клавиатуры. Пока у Вас есть доступные USB-порты для клавиатуры и мыши, кто-то может просто включить концентратор и включить их Карту памяти в это. То, что Вы действительно хотите сделать, препятствуют тому, чтобы компьютер распознал устройства хранения USB (но не другие USB-устройства) включенный на пути USB.

5
ответ дан 2 December 2019 в 22:40

Необходимо смочь отключить USB-порты от BIOS компьютера. Вы могли также, отключать кабели с них на материнскую плату.

6
ответ дан 2 December 2019 в 22:40
  • 1
    Что, если клавиатурой и/или мышью является USB? Это wouldn' t работа. –  Mike Wills 6 May 2009 в 21:29
  • 2
    Затем you' ll должны использовать USB для преобразователя PS/2. –  Adam Gibbins 6 May 2009 в 21:45
  • 3
    Mike Wills, верный, однако если Вы don' t отключают все порты как Chris Upchurch (см. ниже), сказал, что Вы все еще столкнетесь с проблемой, которой Вы стараетесь избегать. Это может все зависеть от того, как компьютерный здравый смысл Ваши пользователи. Если Вы don' t хотят их включающий ' dirty' карты памяти, отключая передний соединитель могут быть достаточно. –  RateControl 6 May 2009 в 22:08
  • 4
    @Adam: много компьютеров don' t даже идут с портами PS/2 в эти дни. –  Chris Upchurch 6 May 2009 в 22:16
  • 5
    Правильное решение состоит в том, чтобы отключить использование съемных устройств хранения USB, что-либо еще будет иметь зияющие дыры, можно провести грузовик. Учитывая, что это - проблема безопасности, Вы определенно хотите разобраться в ней, а не отчасти, вид, главным образом правильный. –  Wedge 7 May 2009 в 04:04

Если они - рабочие столы Windows, можно использовать локальную политику (или групповая политика, если это - Active Directory). Там isnt's настройка по умолчанию для него, но обеспеченный MS шаблон может быть найдена под MSKB 555324.

8
ответ дан 2 December 2019 в 22:40
  • 1
    Та связь разорвана. Я предполагаю it' s .com не .cim. –  Mike Wills 7 May 2009 в 17:59
  • 2
    Теперь that' s просто сумасшедший разговор. –  Kara Marfia 8 May 2009 в 14:54

Два решения, которые я видел на сайтах для клиентов:

  • (Linux) Черный список соответствующие модули ядра USB (usb_storage) в соответствующем/etc/modprobe.conf-type файл
  • Горячий клеевой пистолет
3
ответ дан 2 December 2019 в 22:40

Если Вы надеетесь эффективно 'удалять' те порты из компьютера (и Вам нужен USB вообще), И если Вы готовы изменить компьютер, я могу предложить 2 эпоксидных смолы части? Покройте коннектор эпоксидной смолой, и никто ничего никогда не включает там снова. Горячее связующее звено Плавки является немного менее постоянным, но все еще довольно эффективным.

Для принятия Вас все еще нужны USB-порты для клавиатуры/мыши, Вы оказываетесь перед необходимостью оставлять порт или два раскрытых.

0
ответ дан 2 December 2019 в 22:40
  • 1
    Это - законный ответ при некоторых обстоятельствах. –  duffbeer703 29 October 2009 в 05:45

Можно отключить устройство хранения данных USB через:

http://support.microsoft.com/kb/823732

Также возможно сделать устройство хранения данных USB только для чтения. Это часто - хороший компромисс, поскольку он позволяет пользователям считывать данные от USB-устройства - как фотографии от камеры, но препятствует тому, чтобы они копировали Вашу корпоративную базу данных на свою карту памяти.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Вероятно, не желательно попытаться отключить USB полностью, поскольку вещи как клавиатуры и мыши обычно требуют USB в эти дни. Оба из вышеупомянутого может быть установлено с помощью ключа реестра или файла политики. Сила этих настроек будет так же сильна как Ваша политика Windows и настройки группы.

0
ответ дан 2 December 2019 в 22:40

Drivelock. Также файлы зеркал от карт с интерфейсом USB, раз так желаемых, и, позволяют добавлять в белый список и помещать в черный список устройств, типов файлов и пользователей.

0
ответ дан 2 December 2019 в 22:40

Я должен был сделать это на автономных машинах, а также на нескольких доменных машинах. GPO был бы лучшим способом пойти, но у меня не было роскоши выполнения его тот путь. Очевидно, если бы у кого-то были права администратора по машине и небольшому знанию, то они могли бы отменить это.

В то время, когда я использовал это, у нас были все машины XP. Ни у каких пользователей не было прав администратора. Никакие пользователи не [предположены быть] Продвинутые пользователи. Чтобы помочь помешать пользователям использовать устройства массового хранения USB, некоторые другие администраторы удалили USBSTOR.SYS. Таким образом, если бы я когда-нибудь должен был повторно включать устройства массового хранения USB, то я должен был восстановить файл драйвера также. (Таким образом, я сохранил текущую копию удобной наряду с файлами ниже). Моя копия "Enable.bat" имеет строку - я прокомментировал здесь - для восстановления файла по мере необходимости.

Disable.bat:

(Вероятно, придется добавить "BUILTIN\Administrators" к командам CACLS. Я не имел к в моей среде),

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Вероятно, придется добавить другому набору команд CACLS для "BUILTIN\Administrators". Я не имел к в моей среде),

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Что-то подобное может работать на Vista - НО я НЕ ПОПРОБОВАЛ IT.

3
ответ дан 2 December 2019 в 22:40

Теги

Похожие вопросы