想要控制USB端口的數據傳輸,我們收集了目前可行的所有做法,總共歸納爲3大類、12種方式。
第1大類是物理封鎖,又可細分成完全禁用、彈性禁用,以及貼標籤檢查;第2類是修改操作系統設定,從Windows環境着手修改;第3類手段更全面,如果企業想獲得最高的控制彈性,以專用的外設控制解決方案,或搭配其它安全方案的管理手段聯合控制,即可達到要求。而這裏要特別注意的是,企業是否真正需要大量個人端電腦控制與監視能力,如果確有需求,那麼企業多半須要花錢採購、配置特定的設備。 1. bios 中禁用,在Advance Chip Setting 裏,關閉USB ON Board 選項,可以通過debug ,放電,或者軟件等方法破解bios 密碼
2. 文件權限,如果計算機上尚未安裝USB 存儲設備,向用戶或組分配對%SystemRoot%\Inf\Usbstor.pnf 和 %SystemRoot%\Inf\Usbstor.inf 兩個文件的'拒絕'權限。
3. 如果計算機上已經安裝過USB 存儲設備,請將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 註冊表項中的'Start '值設爲4
第一種、禁用BIOS的相關設定
·優點:設定容易,做法簡單
·缺點:BIOS的管理密碼可能被破解
在主板的BIOS設定裏,我們可以將USB端口的功能,設定爲禁用。由於設定十分容易,做法簡單,因此成爲企業經常用來管理USB設備的手段。爲了防止員工自行進入BIOS重新啓用USB端口的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,只有相關獲得授權的人員才能訪問、更改BIOS設定。
需要特別注意的是:BIOS與USB端口相關設定的名稱與位置,往往隨品牌的不同,而有所差異,甚至沒有這方面的設定。
此外BIOS的管理密碼並非設定之後,就無法破解。只要進行主板放電操作,也就是將主板上的鈕釦電池取出後、再重新放回,BIOS密碼就會恢復成默認值,而員工就能趁機進入BIOS更改設定。不過,對企業來說,一般都不允許員工私自拆裝公司所配發的電腦,而只要非IT部門的人員,在進行類似的動作時,就很容易引起其他人的注意。而在機密數據外泄事件發生後,此人自然會成爲公司重點排查的可疑對象。 圖1
在主板的BIOS設定裏,我們可以將USB端口的功能設定爲禁用。
第二種、貼上易碎貼紙
·優點:用肉眼就可以分辨電腦的USB端口有無使用過的跡象
·缺點:貼紙不小心破碎時,容易引發不必要的誤會
這種做法經常見於高科技園區的許多IT企業,適用對象多半針對企業的來訪者,較少使用在內部的員工電腦。
來訪者將筆記本電腦攜入辦公區之前,門口的接待人員會在該臺電腦的USB端口與網絡端口上,粘貼一張易碎貼紙,以確認來訪者在進入企業內部的這段時間裏,是否曾經通過這些通用接口聯接外設設備,或者存取數據。
用易碎貼紙控制USB,好處在於只要通過肉眼,就可以分辨電腦的連接端口是否曾經使用過,可是,一旦貼紙因爲各種原因而產生破裂,就很容易造成誤會。這時,IT人員有權檢查來訪者的電腦,看硬盤裏是否存放了本企業的機密數據,在確認無異狀之後,纔會放行,讓來訪者把筆記本電腦帶走。
第三種、移除主板上的USB跳線的連接線
·優點:使USB端口功能達到真正的完全失效。
·缺點:管理上欠缺彈性,日後重新啓用USB端口功能的時候,需要打開電腦機箱,插回跳線的連接線。
移除主板上跳線(Jumper)的連接線,同樣能夠實現禁用主板上的USB端口的功能。不同於在BIOS將USB端口功能設定禁用,跳線的連接線之後,USB端口的功能達到真正的完全失效,不但無法讀取USB設備,同時不能通過USB給連接在電腦上的USB外設供電。
當企業因爲業務上的需求,而要啓用USB端口功能的時候,就必須先將電腦機箱打開、將跳線的連接線插回去,做法上較爲麻煩。
第四種、用熱熔膠堵住端口
·優點:可徹底封鎖USB
·缺點:USB端口硬件隨之失效,無法使用
也有許多企業,尤其是政府機關、安全機構,經常是以熱熔膠等填充物堵住電腦的USB端口,不讓員工使用,一旦封鎖之後,即無法再連接任何的USB外設設備。
這是一種破壞性的封鎖方式,當填充物注入USB孔時,USB接口也會隨之損壞,而永久無法使用。
第五種、插上專用適配卡或硬件鎖
·優點:重新啓用時,不需要拆掉硬件,或者重新開機,原有的電腦操作不會因此中斷或改變
·缺點:管理彈性較差
有一些現成的硬件設備,能夠幫助企業管理USB的使用。市面上有一種適配卡式的產品,插在主板上的PCI插槽之後,USB等外設連接端口的功能就會隨之失效。產品本身附有一個遙控器,如果日後還有使用USB的需求,只要按下遙控器上的按鈕,連接端口的功能就會開放,同時不影響電腦目前正在執行中的電腦操作。
還一種是硬件鎖,可以鎖住電腦上的連接接口,但根據使用需求而取下,恢復USB端口的功能,不像使用熱熔膠灌入USB插口時,會造成硬件界面的損壞。某些品牌電腦的廠商就推出了這樣的產品設計,讓習慣採購同品牌電腦的企業作爲選購配件;另外,在一些電腦賣場也能找到具有類似功能的產品。
第六種、利用員工羣組原則,集中控制
·優點:適用於大量電腦環境,可批量強制實施,統一設定
·缺點:人性化不足,管理彈性較差
員工人數稍有規模的企業,一般都會在內部架設Windows Active Directory(AD)服務器,並將所有電腦加入網域,以便實施統一控制。有了這樣的集中管理環境,IT人員就可以在一臺電腦中處理完所有員工電腦的控制措施,不用像前面幾種方式一樣,需要到每一臺電腦手動設定。
企業可以通過設定羣組對象原則(GPO)的方式,在AD服務器的管理界面執行相關的設置,接着將規則發送到所有員工的電腦中,就可以關閉外設設備的使用權限。不只是USB儲存設備,企業也可以使用相同方式控制光驅、LS-120,以及軟驅的使用。
第七種、修改電腦Windows系統的特定註冊表項
·優點:設置簡單
·缺點:對於瞭解電腦操作的人來說,效果有限
對於連接過USB儲存設備的電腦,可以利用修改註冊表設置的方式,禁止員工在電腦上使用USB儲存設備。開啓Windows的登錄編輯程序,在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR”的項目下找到Start數值,點選開啓之後,將數值由預設的3,修改爲4,就能將USB儲存設備設置爲禁用。此種做法,對於知道如何修改註冊表的員工來說,隨時可以將註冊表項設置恢復成默認值,繼續在電腦上使用USB儲存設備。 如果企業有使用Windows Vista,則可以羣組設置中,將移除式磁盤驅動器的項目設置爲拒絕授予讀寫權限。
直接修改電腦內的特定註冊表項,也可以達到USB禁用的效果,合適少量電腦的封鎖。
第八種、刪除USB儲存設備的驅動程序
·優點:可針對不同USB設備個別控制
·缺點:僅能針對先前未曾連接USB儲存設備的電腦
適用於未曾連接過任何USB儲存設備的電腦。在“C:\WINDOWS\inf”路徑下,可以找到usbstor.inf、usbstor.PNF兩個安裝信息文檔,這是Windows系統用來辨識USB儲存設備的驅動程序。
我們可以針對這兩個文檔設置存取權限,修改文件名稱,或者直接刪除文檔,就可以讓讓員工無法在自己電腦上使用USB儲存設備。相同的做法,也能用於打印機、網絡攝像頭等USB設備的管理。
第九種、採用外部設備控制產品的解決方案
·優點:可根據需求開放一部分的功能,具備良好的管理彈性
·缺點:無法防止員工以編輯修改的方式將機密數據外流
企業對於USB的管理需求往往不只是單純的開與關而己,而是希望根據實際需求來決定要開放什麼樣的功能,在此種情況下,就需要導入外部設備的控制產品來達成這項目的。
這類產品通常會通過安裝在用戶電腦上的代理程序實施管理,而且能夠整合Windows AD、LDAP等目錄服務,讓同一部門、相同羣組的電腦套用相同的規則做管理,省去個別調整設置的麻煩。
除了設置開關之外,這類產品對於外設的插口,可以提供相當精細的管理功能,對於USB儲存設備,可以設置成只讀屬性,只能閱覽移動U盤裏的數據,但不可以執行寫入的動作,對於智能型手機,這類員工工作上經常使用到的設備,通過某些這類型的產品,可以只允許電腦與手機之間交換通訊簿,與行事曆,但不能將電腦裏的數據複製到手機上的記憶卡里。
企業可以在員工將數據寫入USB儲存設備的時候,可以備份到指定的儲存空間,供企業日後稽查檢查之用,不過也有企業爲了避免數據儲存上的麻煩,只是記錄文檔的傳輸動作,將此臺電腦何時傳送了什麼樣的文檔記錄起來,不過這樣一來,對於員工以編輯修改的方式將機密數據外流的做法,產品就無法有效地加以管理。
除了市面上的產品之外,網絡上也有許多免費版本的USB控制軟件,比如USB Blocker,不過,也要注意某些工具有可能是廣告軟件或間諜軟件。
和付費產品相比,這一類控制產品的功能比較少見,採用與否,需視企業實際需求與部署規模而定。
第十種、將重要文檔予以加密
·優點:可讓員工正常使用USB端口,並能防止設備遺失
·缺點:一旦密鑰遺失,就無法開啓移動U盤裏的文檔
控制的對象以文檔爲主,而非USB端口本身,當數據寫入USB儲存設備的時候,可以通過應用程序進行加密,限制擁有解密密鑰的人才能開啓該文檔,防止USB儲存設備遺失之後,裏頭存放的機密數據遭到盜取。
第十一種、藉助SSL ***或終端服務
·優點:可防止機密數據通過網絡複製到遠程電腦的磁盤驅動器
·缺點:防護範圍有限
安全廠商的SSL ***設備提供一種稱爲虛擬桌面的應用服務,當員工從外部網絡連接內部網絡之後,電腦上的屏幕畫面就會自動切換成虛擬桌面,任何存取或修改數據的動作都必須在此區域進行。
而Windows Server的終端服務,是一種可供多人同時執行遠程服務器上應用的程序環境,這類型解決方案有一項功能是允許聯機階段,將員工端本機電腦上的磁盤驅動器、打印機等設備自動聯機,成爲遠程電腦上的網絡磁盤驅動器,有可能會因此形成機密外泄通道。該怎麼防護?我們可以在本地端電腦設置相關的本機羣組原則──關閉磁盤重新導向的功能,禁止員工將遠程電腦上的機密數據下載。
第十二種、實施DLP數據丟失防範解決方案
·優點:可以有效防止機密資料通過各種途徑外流,同時無需封鎖USB端口功能
·缺點:對於非Windows平臺的控制效果較差
DLP數據丟失防範是更進一步的機密數據安全保護方案,功能上不但包含外部設備控制的功能,更結合數據過濾的方式,從文檔內容着手,在不影響USB端口功能的情況下,將含有機密內容的數據攔阻下來,不允許複製到USB儲存設備,或者通過網絡傳送出去。