A távmunka és a mobileszközök korában az USB-portok továbbra is az adatbevitel és -kilépés kapui, amelyeket szorosan ellenőrizni kell. Használatának szabályozása, korlátozása vagy blokkolása Windows rendszerben Segítségével megelőzhetők a komolyabb fenyegetések: a másodpercek alatt bejutó rosszindulatú programoktól kezdve az érzékeny fájlok jogosulatlan másolásáig.
Ha kíváncsi, hogyan elzárjuk az USB-meghajtók csapjátHa külső merevlemezekre, telefonokra vagy nyomtatókra van szüksége a termelékenység megzavarása nélkül, jó helyen jár. Elmagyarázzuk a Windows 10 és a Windows 11 natív módszereit (Eszközkezelő, Beállításjegyzék, Helyi és csoportházirendek), vállalati lehetőségek az Intune-nal és a Microsoft Defender for Endpointtal, valamint professzionális, harmadik féltől származó eszközök. Ezenkívül látni fogja valós forgatókönyvek (USB, nyomtatók, Bluetooth), verziókövetelmények és irányelvek a régebbi rendszerekhez.
Miért érdemes árnyékolni az USB portokat?
A levehető állványok nagyon praktikusak, de klasszikus kockázatforrást is jelentenek: rosszindulatú programok terjesztéseInformációszivárgásokat tesznek lehetővé És lehetővé teszik a támadások számára, hogy megkerüljék a biztonsági intézkedéseket, ha nem megfelelően kezelik őket. Az ipari és vállalati környezetekben történt közelmúltbeli esetek megerősítik, hogy az USB-meghajtók visszatérő és hatékony támadási vektorok.
Továbbá egy egyszerű USB-meghajtóval is elindítható a számítógép, és megkerülhetők a hitelesítő adatok, ha a merevlemez nincs jelen. titkosítás. Hozzáférés blokkolása vagy korlátozása A kontextustól (felhasználó, helyszín, művelet típusa) függően drasztikusan csökkenti a támadási felületet anélkül, hogy megbénítaná a napi működést.
- Kártevő bejutása fertőzött eszközökön keresztül
- Bizalmas adatok kinyerése látható nyom nélkül
- Külső rendszerindítás a jelszavak megkerüléséhez titkosítatlan lemezeken
- A nem jóváhagyott perifériák csatlakoztatása új sebezhetőségeket teremt
Ezek a fenyegetések nem csak a nagyvállalatokat érintik; háztartási gépek és kkv-k piacán A kitettség hasonló, ha nincsenek egyértelmű felhasználási szabályok és ellenőrzési mechanizmusok.
Gyorsbeállítások Windows 10 és Windows 11 rendszerben
A Windows számos módszert kínál a tárolóeszközök portjainak „lezárására”. Válassza ki a módszert a Windows verziójának megfelelően (Otthoni, Pro, Vállalati) és a szükséges felügyeleti szint.
Letiltás az Eszközkezelőből
Ez a legközvetlenebb mód, ha tiszta lappal akarsz foglalkozni egy adott csapattal. Letiltja az univerzális soros buszvezérlőket És ennyi, a globális szabályzatok vagy a beállításjegyzék érintése nélkül.
- Kattintson a jobb gombbal a Start gombra, és nyissa meg az "Eszközkezelőt".
- Megjeleníti az „Univerzális soros buszvezérlők” elemet.
- Mindegyik „USB Host Controller” elemnél kattintson jobb gombbal, és válassza az „Eszköz letiltása” lehetőséget.
- Ismételje meg az összes USB-állomásvezérlőn.
- A módosítások alkalmazásához indítsa újra a számítógépet.
Felhívjuk figyelmét, hogy ez a művelet hatással lehet legitim USB perifériák (billentyűzetek, egerek, nyomtatókHa részletességre van szüksége, vegyen fontolóra más szabályzatmódszereket vagy engedélyezőlistákat.
Illesztőprogramok blokkolása a beállításszerkesztővel
Ha a kiadásod nem tartalmazza a szabályzatszerkesztőt, a beállításjegyzék a szövetségesed. Változás az USBSTOR kulcsban Ez elég ahhoz, hogy megakadályozza a rendszer betöltését az USB-tárolóvezérlőnek.
- Nyomd meg a Windows + R billentyűkombinációt, írd be a „regedit” parancsot, és erősítsd meg.
- Navigáljon a következő mappába: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
- Nyissa meg a "Start" értéket, és állítsa 4-re a letiltáshoz (az újraaktiváláshoz használja a 3-ast).
Érintés előtt végezzen egy mentés: hibás módosítás a nyilvántartásban Ez a beállítás egy ideig rendszer nélkül hagyhat. Blokkolja az USB-tárolóeszközöket, de nem akadályozza meg más perifériák, például az egerek vagy a billentyűzetek működését.
Helyi biztonsági irányelv és csoportirányelv
Ha Windows 10/11 Pro vagy Enterprise rendszert használ, akkor házirendeket alkalmazhat anélkül, hogy bármit is telepítene. A hozzáférés megtagadásának legtisztább módja A cserélhető tárolók adminisztrációs sablonok segítségével érhetők el.
- Nyissa meg a gpedit.msc (vagy a secpol.msc helyi biztonsági beállításokhoz) fájlt.
- Lépjen a Számítógép konfigurációja > Felügyeleti sablonok > Rendszer > Cserélhető tárolóhozzáférés menüpontra.
- Engedélyezze az „Összes cserélhető tárolóosztály: minden hozzáférés megtagadása” lehetőséget.
Ugyanezen a csomóponton megkülönböztethetsz olvasás, írás és kivitelezés médiatípus szerint. Hasznos „csak olvasható” forgatókönyvek esetén, vagy CD/DVD-k és WPD-k (hordozható eszközök) korlátozására anélkül, hogy minden mást blokkolna.
Központosított felügyelet szervezetek számára
Amikor több csapatot irányítasz, szükséged van a következetességre, az auditálásra és a kivételekre. A Microsoft három pillért kínál amelyek mindent lefednek az eszköz telepítésétől kezdve az érzékeny információk kezeléséig.
Intune és eszközök telepítési korlátozásai
Az Intune segítségével megakadályozhatja az illesztőprogramok telepítését több hardverattribútum alapján: Eszközazonosító, példány vagy osztályIdeális az „engedélyezd a listát, és zárd ki a többit” stratégiához.
- Adminisztráció ADMX sablonokon keresztül, beleértve az USB-hez való hozzáférési lehetőségeket is
- BitLocker kompatibilitás a titkosítás kikényszerítéséhez cserélhető adathordozókon
- Egységes szabályzatkezelés Windows végpontokon
Ha a csoportházirendet részesíted előnyben, a Windows is engedélyezi. eszköztelepítés kezelése csoportházirend szerint, ugyanazt a logikát követve, mint az engedélyezett és tiltott listák esetében.
Eszközvezérlés a Microsoft Defenderben végpontokhoz
A Defender for Endpoint Eszközvezérlő modulja egy ugrás a finom részletesség felé. Te irányítod, hogy melyik eszközön, melyik felhasználón, melyik műveleten és melyik hálózaton keresztül érhető el.Ráadásul láthatóságot és speciális keresést kapsz.
- Szabályok eszköztípus (WPD, tároló, nyomtatók), VID/PID, sorozatszám vagy példányútvonal szerint
- Külön műveletek: olvasás, írás, végrehajtás
- Hatókör felhasználói csoportok, hálózati hely vagy fájltípus szerint
- Adminisztráció Intune-on vagy csoportházirend-objektumon keresztül
Naplózási célokból a speciális keresés hasznos eseményeket gyűjt. Amikor egy eszköz telepítési korlátozás miatt zárolva vanLátni fogja a blokkoláshoz kapcsolódó PnP eseményeket.
DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp descHa az értékelendő dolog egy cserélhető tárolóhely-szabályzat A Defenderben (engedélyezés/tiltás) ellenőrizheti a szabályzat kiváltó okát és annak eredményét.
DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend VID = tostring(parsed.VendorId)
| extend PID = tostring(parsed.ProductId)
| extend VID_PID = strcat(VID, "_", PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess, RemovableStoragePolicyVerdict, SerialNumberId, VID, PID, VID_PID, InstancePathId
| order by Timestamp descAhhoz, hogy az Eszközfelügyelet működjön, ellenőrzi a Defender kártevőirtó kliens minimális verzióit. Windows 10/11 4.18.2103.3 vagy újabb verzióval Ez a kiindulópont; a későbbi verziók olyan fejlesztéseket tartalmaznak, mint a helyettesítő karakterek támogatása, a WPD, a fájlonkénti szabályzatok vagy a hálózati/VPN-tudatosság.
- 4.18.2104+: SerialNumberId és a számítógép/felhasználó SID-jének kombinációja
- 4.18.2105+: Helyettesítő karakterek a HardwareId/DeviceId/InstancePathId és UAS támogatásban
- 4.18.2107+: WPD támogatás és AccountName mező vadászatban
- 4.18.2205+: Az alapértelmezett hatókörbe tartozó nyomtatók
- 4.18.2207+: Szabályok fájltípus és hálózati/VPN-feltétel szerint
Jelenleg a Defender eszközvezérlése nem vonatkozik a Windows szerverekre. Van egy hasonló modul a macOS-ben. saját telepítési útmutatóval.
Végponti DLP (Microsoft Purview)
Ha a célod nem csak a hardver blokkolása, hanem megakadályozza az érzékeny információk kiszivárgásátA végponti DLP a megfelelő réteg. Lehetővé teszi az adatosztályozás és a felhasználási kontextus alapján műveletek alkalmazását, valamint szükség esetén archiválási bizonyítékok rögzítését.
Az Eszközvezérlés és a DLP kombinációja két területet fed le: ki melyik eszközt csatlakoztatja és milyen típusú tartalmat kezel rajta. Ez megakadályozza mind a jogosulatlan fizikai kapcsolatokat, mind a minősített dokumentumok másolását.
BitLocker, mint kritérium a cserélhető adathordozók eléréséhez
Egy nagyon hatékony taktika az, hogy előírják a cserélhető adattároló eszközök titkosítását. A Windows lehetővé teszi az adathordozókhoz való írási hozzáférés megtagadását BitLocker nélkül. vagy közvetlenül megtagadhatja a cserélhető meghajtókra történő írást.
Az Intune megkönnyíti a Windows USB-meghajtókon titkosítást kikényszerítő szabályzatok telepítését. Defender végpontokhoz A titkosítási állapot (BitLocker vagy sima szöveg) alapján akár feltételekhez is kötheti a hozzáférést, és jól definiált kivételeket hozhat létre.
Az USB-n túlmutató gyakori forgatókönyvek: nyomtatók és Bluetooth
A nyomtató perifériák egyben adatkimeneti csatornák is. A Windows lehetővé teszi a telepítés korlátozását ugyanazokkal az eszköztelepítési technikákkal, és a Defender VID/PID vagy típus (hálózati, USB, vállalati) alapján biztosítja a vezérlést.
Az Eszközvezérléssel korlátozhatja milyen típusú fájlok nyomtathatók és hol (például a vállalati hálózaton kívüli nyomtatás megakadályozása). A DLP biztosítja az osztályozási szempontot: a bizalmasként megjelölt dokumentumok nyomtatásának blokkolását vagy naplózását.
Bluetooth esetén a rendszergazdák finomhangolhatják a szolgáltatást: hirdetések, felfedezés és engedélyezett szolgáltatásokHa meg szeretné akadályozni a dokumentumok vezeték nélküli eszközre történő másolását, a DLP ismét az ideális megoldás.
Speciális, harmadik féltől származó eszközök
Amikor dedikált konzolra, gyors telepítésre és rendkívül precíz szabályzatokra van szüksége, vannak kiforrott megoldások, amelyek tökéletesen illeszkednek. USB Lock RP és Endpoint Protector Ez két jól ismert példa Windows környezetekben.
USB Lock RP: Helyszíni USB-portvezérlés
USB-zár RP egy rendszere USB-eszközvezérlés vállalkozásoknak 100%-ban helyben működik. Központi konzolja valós időben kezeli és figyeli a cserélhető meghajtók, mobileszközök és vezeték nélküli adapterek elérését szervereken, munkaállomásokon és laptopokon.
A kliens könnyű és önállóan működik. Lehetővé teszi a jogosult eszközök listájának létrehozását Hardverazonosító alapján engedélyezhet egy USB-meghajtót, a többit pedig blokkolhatja anélkül, hogy a veszélytelen perifériákat zavarná. Engedélyezhet egy USB-meghajtót egy adott géphez, egy csoporthoz vagy a teljes hálózathoz.
Azonnali riasztásokat, eseménynaplózást és egy részletes USB-monitorozás a jóváhagyott átvitelek közül. Mindezt opcionális automatikus titkosítással, amely a jogosult egységekhez kerülő adatokra vonatkozik, és DLP-intézkedésként működik annak érdekében, hogy a tartalom védetten utazzon.
Jelentkezni is lehet valós idejű, csak olvasható adott egységekhez, lehetővé téve, hogy egyesek szerkeszthetők, mások írásvédettek legyenek ugyanazon a gépen. A csomag könnyen telepíthető csoportházirenden vagy MSI-n keresztül, és nem függ a felhőtől, így csökkenti a támadási felületet.
Endpoint Protector DLP: részletes és többplatformos szabályzatok
Végpontvédő Magában foglal egy modult, amely a Eszközvezérlés Teljesen blokkolhatja az USB-portokat és perifériákat, vagy a titkosítás alapján megbízhatósági szinteket alkalmazhat. A szabályzatok felhasználókhoz, csoportokhoz vagy számítógépekhez rendelhetők, és kivételekkel finomhangolhatók.
A megkülönböztető érték az, alkalmazás a vállalati hálózaton kívülA szabályok otthon, roaming közben vagy munkaidőn kívül is aktívak maradnak. Meghatározhat időzónákat, DNS-beállításokat vagy vállalati hálózati azonosítókat, és szigoríthatja a feltételeket, amikor a csapat nincs az irodában.
Vészhelyzet esetén az adminisztráció lehetővé teszi egy ideiglenes offline jelszó Korlátozott időre felold egy eszköz, számítógép vagy felhasználó zárolását. Több platformon is elérhető, funkcionálisan paritással működik Windows, macOS és Linux rendszereken, és órák alatt beállítható.
Bevált gyakorlatok a lassulás nélküli blokkoláshoz
A technikán túl vannak stratégiák, amelyek mindent megváltoztatnak. Kezdjük egy pilottal egy kis csoportban, és tekintsék át a feljegyzéseket, mielőtt kiterjesztenék a szabályzatokat az egész szervezetre.
- Amikor lehetséges, a tömeges blokkolással szemben az engedélyezőlistákat részesítsd előnyben.
- BitLocker szükséges a végpontokon és a cserélhető adathordozókon.
- Külön szerepek: ki tud olvasni, ki tud írni, ki tud végrehajtani
- Aktiválja az auditálást a tényleges használat megismerése érdekében a megtagadás előtt
- USB-indítás belefoglalása a BIOS/UEFI szabályzatba
Nagy eszközforgalmú környezetben érdemes megfontolni a következő megoldásokat: valós idejű láthatóság és riasztások. Ha csak néhány számítógépet kezel, a csoportházirenddel vagy a beállításjegyzékkel ellátott natív Windows-beállítások több mint elegendőek lehetnek.
Preguntas frecuentes
- Biztonságos az USB-meghajtók blokkolása? Igen, növeli a védelmet a jogosulatlan kapcsolatok ellen, de korlátozhat bizonyos funkciókat. Értékelje a biztonság és a funkcionalitás közötti egyensúlyt.
- Blokkolhatok csak néhány portot? Letilthatja specifikus vezérlők az Eszközkezelőből, vagy hozzon létre szabályokat azonosító alapján az Intune/Defenderben, hogy csak a legszükségesebbeket engedélyezze.
- Mi a helyzet az egerekkel és billentyűzetekkel? Az USBSTOR-t vagy a „Removable Storage Access”-t használó módszerek a tömeges tárolásra vonatkoznak, nem a tipikus HID-ekre. A vezérlők letiltása azonban a teljes buszra hatással lehet.
- Hogyan tudom újraaktiválni a portokat? A módosítások visszavonása: engedélyezze a vezérlőket, állítsa a Start értéket 3-ra az USBSTOR-ban, vagy tiltsa le az alkalmazott csoportházirend-objektumot. Harmadik féltől származó megoldásokban használja az adott fél konzolját a feloldáshoz.
- BIOS-ból/UEFI-ből meg lehet csinálni? Sok eszköz lehetővé teszi az USB-ről vagy USB-ről történő indítás letiltását firmware-szinten. Ez egy hasznos további akadály az operációs rendszer házirendjeiben.
- Melyik módszer a jobb? Egyetlen PC esetén a beállításjegyzék vagy az Eszközkezelő gyors megoldás. Vállalatoknál az Intune + Defender vagy egy központi konzollal ellátott DLP/Eszközkezelő csomag biztosítja a szükséges vezérlést és nyomon követhetőséget.
Az USB és más perifériák használatára vonatkozó egyértelmű szabályzat elfogadása, amelyet a natív Windows-funkciók és adott esetben olyan megoldások támogatnak, mint a Defender for Endpoint, az Intune vagy a DLP-csomagok, lehetővé teszi a következőket: minimalizálja a kockázatot a termelékenység feláldozása nélkülEgy réteges megközelítéssel (eszköztelepítés, BitLocker titkosítás, részletes szabályok és érzékenységalapú DLP) az USB, a nyomtatás és a Bluetooth is kézben tartható, és adatokkal is válaszolhatsz, ha bármi eltér a szkripttől.
