Bloqueo de puertos USB de escritorio

8

¿Cómo se bloquean los puertos USB en las PC de escritorio para que podamos evitar el uso de unidades USB en las computadoras de escritorio?

Debo aclarar que estos son los escritorios de Windows XP.

También debemos suponer que, como la mayoría de los equipos de escritorio nuevos, muchos usan USB para teclados y / o ratones.

windows  security  windows-xp  usb  desktop 
Mike Wills
fuente
1
¿Tienen ratones / teclados USB?
pjz
Echa un vistazo a las respuestas a esta pregunta .
epotter

Respuestas:

7

Debe haber un Objeto de política de grupo para esto, puede empujarlo a través de Active Directory. Ver en gpedit.mscWinXP Pro.

Lucas Jones
fuente
1
No creo que eso evite que la gente arranque desde una memoria USB.
pjz
55
+1 ¿Aunque el arranque desde uno de esos problemas? Eso podría cambiar en la configuración del BIOS y la contraseña protege entonces ...
Oskar Duveborn
¿Qué configuración es?
epotter
Qué configuración depende del BIOS. Busque las características que habilitan / deshabilitan el arranque usb y / o seleccionan unidades de arranque al inicio.
lexu
8

Si son escritorios de Windows, puede usar la política local (o política de grupo, si es Active Directory). No hay una configuración predeterminada, pero la plantilla proporcionada por MS se puede encontrar en MSKB 555324 .

Kara Marfia
fuente
1
Ese enlace está roto. Supongo que es .com no .cim.
Mike Wills
1
Eso sí que es una locura.
Kara Marfia
6

Debería poder deshabilitar los puertos usb del BIOS de la computadora. También podría desconectar los cables de ellos a la placa base.

Control de clasificación
fuente
1
¿Qué pasa si el teclado y / o mouse es USB? Eso no funcionaría.
Mike Wills
1
Entonces tendrás que usar un convertidor de USB a PS / 2.
Adam Gibbins
1
@ Mike Wills, es cierto, sin embargo, si no deshabilita todos los puertos, como Chris Upchurch (ver más abajo) dijo que aún se encontrará con el problema que está tratando de evitar. Todo puede depender de cuán expertos en informática sean sus usuarios. Si no desea que se conecten a unidades USB "sucias", puede ser suficiente desenchufar el conector frontal.
RateControl
77
@ Adam: muchas computadoras ni siquiera vienen con puertos PS / 2 en estos días.
Chris Upchurch,
2
La solución correcta es deshabilitar el uso de dispositivos de almacenamiento USB extraíbles, cualquier otra cosa tendrá huecos para atravesar un camión. Dado que este es un problema de seguridad, definitivamente desea hacerlo bien en lugar de algo, más o menos, en su mayoría correcto.
Wedge
5

No creo que deshabilitar puertos realmente vaya a hacer lo que parece querer. No, a menos que estas computadoras usen teclados y ratones PS2. Siempre que tenga puertos USB disponibles para el teclado y el mouse, alguien puede enchufar un concentrador y conectar su unidad USB a eso. Lo que realmente quiere hacer es evitar que la computadora reconozca los dispositivos de almacenamiento USB (pero no otros dispositivos USB) conectados a través de USB.

Chris Upchurch
fuente
5

Si los usuarios tienen derechos administrativos para sus PC, pueden anular cualquier cosa que haga para evitar esto. Sin embargo, puede seguir el siguiente enlace a la solución recomendada de Microsoft:

http://support.microsoft.com/kb/823732

También puede evitar el arranque desde una memoria USB en el BIOS, como ya se mencionó.

Marc Reside
fuente
4

Si le preocupa usar una solución de software, puede comprar algunos bloqueos de hardware.

Bloqueador de puertos USB

Esto supone que tiene el presupuesto para obtenerlos para cada máquina. También es posible que deba evitar que las personas desconecten el teclado y el mouse si también son USB.

CanyonR
fuente
3

Dos soluciones que he visto en los sitios de los clientes:

  • (Linux) Incluya en la lista negra los módulos de kernel USB relevantes (almacenamiento_bios) en el archivo /etc/modprobe.conf -type apropiado
  • Pistola de silicona
MikeyB
fuente
3

En el BIOS, configure el dispositivo de arranque para que arranque solo desde el disco duro y la contraseña protege el BIOS. En el BIOS, deshabilite todos los dispositivos USB con los que pueda salirse con la suya. Para evitar que las memorias USB se monten, deberá tomar otras medidas. ¿Puedes poner la computadora en una caja con solo los cables del teclado y del mouse saliendo? Entonces no hay un puerto USB disponible para que puedan jugar.

La conclusión es que mientras no confíes en las personas que tienen acceso físico a la máquina, solo puedes mejorar la seguridad, pero no puedes obtener una seguridad absoluta.

Eddie
fuente
3

He tenido que hacer esto en máquinas independientes, así como en varias máquinas de dominio. GPO sería una mejor manera de hacerlo, pero no me di el lujo de hacerlo de esa manera. Obviamente, si alguien tuviera derechos de administrador sobre la máquina y un poco de conocimiento, podría deshacer esto.

En el momento en que estaba usando esto, teníamos todas las máquinas XP. Ningún usuario tenía derechos de administrador. No se supone que los usuarios sean [Usuarios avanzados]. Para ayudar a evitar que los usuarios usen dispositivos de almacenamiento masivo USB, algunos otros administradores eliminaron USBSTOR.SYS. Entonces, si alguna vez necesité volver a habilitar dispositivos de almacenamiento masivo USB, también necesitaba restaurar el archivo del controlador. (Así que mantuve una copia actual a mano junto con los archivos a continuación). Mi copia de "Enable.bat" tiene una línea, comenté aquí, para restaurar el archivo según sea necesario.

Disable.bat:

(Puede que tenga que agregar "BUILTIN \ Administrators" a los comandos CACLS. No tuve que hacerlo en mi entorno)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Puede que tenga que agregar otro conjunto de comandos CACLS para "BUILTIN \ Administrators". No tuve que hacerlo en mi entorno)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Algo similar puede funcionar para Vista, PERO NO LO HE INTENTADO.

Steve Kalemkiewicz
fuente
2

Prefiero capacitar a los usuarios sobre lo que es aceptable y lo que no es aceptable. Si no puede confiar tanto en sus usuarios, quite sus PC y configure un sistema de cliente ligero que se conecte de nuevo a algo como un servidor Citrix que ejecute todas sus aplicaciones. La única otra solución que se me ocurre es colocar la PC en un gabinete cerrado con solo los cables para el teclado, el mouse y el monitor que salen. En todos los casos, creo que terminarás creando más trabajo para ti.

Jim C
fuente
1
Vives en un mundo ideal ...
Josh
0

Si está buscando 'eliminar' efectivamente esos puertos de la computadora (y necesita USB en absoluto), Y si está dispuesto a modificar la computadora, ¿puedo sugerir epoxi de 2 partes? Cubra el conector con epoxi y nadie volverá a enchufar nada. El pegamento Hot Melt es un poco menos permanente, pero sigue siendo bastante efectivo.

Suponiendo que todavía necesita puertos USB para teclado / mouse, tendrá que dejar uno o dos puertos descubiertos.

Michael Kohne
fuente
Esta es una respuesta legítima en algunas circunstancias.
duffbeer703
0

Bloqueo de unidad . También refleja archivos de memorias USB si así lo desea, y permite la inclusión en listas blancas y negras de dispositivos, tipos de archivos y usuarios.

0

Puede deshabilitar el almacenamiento USB a través de:

http://support.microsoft.com/kb/823732

También es posible hacer que el almacenamiento USB sea de solo lectura . Esto suele ser un buen compromiso, ya que permite a los usuarios leer datos desde un dispositivo USB, como fotos de una cámara, pero les impide copiar su base de datos corporativa en su dispositivo de memoria.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Probablemente no sea aconsejable intentar deshabilitar el USB por completo, ya que cosas como los teclados y los ratones generalmente requieren USB en estos días. Lo anterior se puede configurar mediante una entrada de registro o un archivo de política. La fuerza de esta configuración será tan fuerte como su política de Windows y la configuración de grupo.

brianegge
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.