你可以封掉 USB 硬碟, 同時留下 USB Keybaord/Mouse 仍正常作業.
請依照這個步驟, 建立一組專用的 GPO, 然後派送下去給每台電腦:
http://www.petri.co.il/disable_usb_disks_with_gpo.htm
作業系統是windows 的話
在本機或是網域安全性原則裡 把相關的usb儲存裝置關掉即可
這是個好問題,如果經費許可,可以用無線或藍牙的滑鼠跟鍵盤。
方法有很多,我們公司用的是賽門鐵克的Symantec Endpoint Protection,除了防毒之外,還可以派發程式、設定各種管控,是蠻好用的一個管控中心系統
自己動手做!企業實際執行USB埠封鎖的12種方法
想要控管USB埠這個管道,我們收集了目前可行的所有做法,總共歸納出3大類、12種方式。
第1大類是實體封鎖,又可細分成完全禁用、彈性禁用,以及貼標籤稽核;第2是修改系統設定,從Windows環境著手修改;第3種手段更全面,如果企業想獲得最高的控管彈性,利用專屬的周邊控管解決方案,或搭配其他資安方案的管制措施聯合控管,即可達到要求。要特別注意,是否需要大量個人端電腦控管與事件檢視能力,答案如果是肯定的,企業多半須花錢購買、建置。
1.停用BIOS的相關設定
●優點:設定容易,做法簡單
●缺點:BIOS的管理密碼可能被破解
在主機板BIOS設定裡,我們可以將USB埠的功能,設定為停用。由於設定上十分容易,做法簡單,因此成為企業經常用來管理USB埠使用的方式。為了防止員工自行進入BIOS重新啟用USB埠的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,往後只有IT人員才能進入、更改設定。
要注意的是,BIOS與USB埠相關的項目名稱與位置,往往隨不同品牌的電腦/主機板,而有些許差異,甚至沒有這方面的選項。
BIOS的管理密碼並非設定之後,就無法解開。只要執行主機板放電的程序,也就是將主機板電池取出之後、再重新放回,BIOS密碼就會回復成出廠預設值,而員工就可以趁機進入BIOS更改設定。不過,在企業內部,一般來說,都不允許使用者拆裝公司所配發的硬體設備,因此只要非IT部門的人員,在執行類似的動作,就十分容易引起附近員工的注意,在機密資料外洩事件發生時,這個人就會成為公司重點清查的可疑對象。
2.黏上易碎貼紙
●優點:從肉眼就可以分辨電腦的USB埠有無使用過的跡象
●缺點:貼紙不小心破裂時,容易引起誤會
經常見於園區的許多高科技產業,適用對象對半是外來訪客,較少使用在內部的員工電腦。
訪客將筆記型電腦攜入之前,大門口的管理人員會在該臺電腦的USB埠與網路埠,黏貼一張易碎貼紙,確認訪客在進入企業內部的這段時間,是否曾經透過這些連接埠連接周邊裝置,或者存取資料。
用易碎貼紙控管USB埠,好處在於只要透過肉眼,就可以分辨電腦的連接埠是否曾經使用過,可是,一旦貼紙因為各種原因而產生破裂,就很容易造成誤會。這時,IT人員有權開啟訪客的電腦,檢查硬碟裡是否存放機密資料,確認無異狀之後,才會放行讓訪客攜出企業內部。
3.移除主機板上的跳接器
●優點:使USB埠功能達到真正的完全失效。
●缺點:管理上欠缺彈性,日後重新啟用USB埠功能的時候,需要打開電腦機殼,插回跳接器。
移除主機板上的跳接器(Jumper),同樣是為了停用主機板上的USB埠功能。不同於在BIOS將USB埠功能設定停用,移除跳接器之後,USB埠的功能達到真正的完全失效,不但無法讀取USB裝置,同時不會透過USB埠供電給連接在電腦上的USB周邊裝置。
當企業因為使用上的需求,而必須啟用USB埠功能的時候,就必須先將電腦機殼打開、將跳接器插回,做法上較為麻煩。
4.用熱熔膠堵住
●優點:可確實封鎖USB埠
●缺點:USB埠硬體隨之損壞,無法使用
也有許多企業,尤其是政府、軍方單位,經常是以熱熔膠等填充物堵住電腦的USB埠,不讓員工使用,一旦封鎖之後,即無法再連接任何的USB周邊裝置。
這是一種破壞性的封鎖方式,當填充物灌入USB埠接孔時,USB埠介面也會隨之損壞,而永久無法使用。
5.插上專用介面卡或硬體鎖
●優點:重新啟用時,不需要拆掉細部硬體,或者重新開機,原本的操作方式不會因此中斷或改變
●缺點:管理彈性較差
有一些現成的硬體產品,能夠幫助企業管理USB埠的使用。市面上有一種介面卡型式的產品,裝在主機板上的PCI插槽之後,USB等周邊連接埠的功能就會失效。產品本身附有一個搖控器,如果日後還有使用USB埠的需求,只要按下搖控器上的按鈕,連接埠的功能就會開放,同時不影響電腦目前正在執行中的工作。
另外一種是硬體鎖,可堵住電腦面板上的連接埠接孔,但可視使用需求而取下,恢復USB埠的功能,不像使用熱熔膠灌入USB埠接孔時,會造成硬體介面的損壞。某些品牌電腦的廠商就推出這樣子設計的產品,讓習於採購同廠牌電腦的企業作為配件選購;另外,在一些電子賣場也能找到具有類似功能的產品。
6.利用群組原則集中控管
●優點:適用於大量電腦環境,可批次強制實施,統一設定
●缺點:管理彈性較差
員工人數稍有規模的企業,一般都會在內部架設Windows Active Directory(AD)伺服器,並將所有電腦加入網域,以便實施統一控管。有了這樣的集中管理環境,IT人員就可以在一臺電腦中處理完所有員工電腦的控管措施,不用像前面幾種方式一樣,需要到每一臺電腦手動設定。
企業可以透過設定群組原則物件原則(GPO)的方式,在AD伺服器的管理介面執行相關的設定,接著將政策派送到內部的所有員工電腦,就可以關閉周邊裝置的使用權限。不只是USB儲存裝置,企業也可以使用相同方式控管光碟機、LS-120,以及軟碟機的使用。
7.修改電腦內的特定登錄機碼
●優點:設定簡單
●缺點:對於了解電腦操作的人來說,效果有限
對於連接過USB儲存裝置的電腦,可以利用修改登錄機碼設定的方式,禁止員工在電腦上使用USB儲存裝置。開啟Windows的登錄編輯程式,在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start數值,點選開啟之後,將數值由預設的3,修改為4,就能將USB儲存裝置設定為禁用。此種做法,對於知道如何修改登錄機碼的員工來說,隨時可以將機碼設定回復成預設值,繼續在電腦上使用USB儲存裝置。 如果企業有使用Windows Vista,則可以群組原則設定中,將卸除式磁碟機的項目設定為拒絕授予存取權。
8.刪除USB儲存裝置的驅動程式
●優點:可針對不同USB裝置個別控管
●缺點:僅能針對先前未曾連接USB儲存裝置的電腦
適用於未曾連接過任何USB儲存裝置的電腦。在「C:\WINDOWS\inf」路徑下,可以找到usbstor.inf、usbstor.PNF兩個安裝資訊檔案,這是Windows系統用來辨識USB儲存裝置的驅動程式。
我們可以針對這兩個檔案設定存取權限,修改檔案名稱,或者直接刪除檔案,就可以讓讓員工無法在自己電腦上使用USB儲存裝置。相同的做法,也能用於印表機、網路攝影機等USB裝置的管理。
9.採用周邊裝置控管產品的解決方案
●優點:可視需求開放一部分的功能,具備良好的管理彈性
●缺點:無法防止員工以變造修改的方式將機密資料外流
企業對於USB埠的管理需求往往不只是單純的開與關而己,而是希望根據實際需求來決定要開放什麼樣的功能,在此種情況下,就需要導入周邊裝置的控管產品來達成這項目的。
這類產品通常會透過安裝在使用者電腦上的代理程式實施管理,而且能夠整合Windows AD、LDAP等目錄服務,讓同一部門、相同群組的電腦套用相同的政策做管理,省去個別調整設定的麻煩。
除了設定開關之外,這類產品對於周邊的連接埠,可以提供相當精細的管理功能,對於USB儲存裝置,可以設定成唯讀屬性,只能閱覽隨身碟裡的資料,但不可以執行寫入的動作,對於智慧型手機,這類員工工作上經常使用到的裝置,透過某些這類型的產品,可以只允許電腦與手機之間交換通訊錄,與行事曆,但不能將電腦裡的資料複製到手機上頭的記憶卡。
企業可以在員工將資料寫入USB儲存裝置的時候,可以備份到指定的儲存空間,供企業日後稽查檢查之用,不過也有企業為了避免資料儲存上的麻煩,只是記錄檔案的傳輸動作,將此臺電腦何時傳送了什麼樣的檔案記錄起來,不過這樣一來,對於員工以變造修改的方式將機密資料外流的做法,產品就無法有效地加以管理。
除了市面上的產品之外,網路上也有許多免費版本的USB控管軟體,舉例來說,像是USB Blocker,不過,也要注意某些工具有可能是廣告軟體或間諜軟體。
和付費產品相比,這一類控管產品的功能比較陽春,採用與否,需視企業實際需求與部署規模而定。
10.將重要檔案予以加密
●優點:可讓員工正常使用USB埠,並能防止裝置遺失
●缺點:一旦金鑰遺失,就無法開啟隨身碟裡的檔案
控管的對象以檔案為主,而非USB埠本身,當資料寫入USB儲存裝置的時候,可以透過應用程式執行加密,限制擁有解密金鑰的人才能開啟該檔案,防止USB儲存裝置遺失之後,裡頭存放的機密資料遭到盜取。
11.藉助SSL VPN或終端服務
●優點:可防止機密資料透過網路複製到遠端電腦的磁碟機
●缺點:防護範圍有限
幾家廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務,當員工從外部網路連接上線之後,電腦上的螢幕畫面就會自動切換成虛擬桌面,任何存取或修改資料的動作都必須在此區域進行。
而Windows Server的終端機服務,是一種可供多人同時執行遠端伺服器上的應用程式環境,這類型解決方案有一項功能是允許連線階段,將員工端本機電腦上的磁碟機、印表機等裝置自動連線,成為遠端電腦上的網路磁碟機,有可能會因此形成機密外洩管道。該怎麼防護?我們可以在本地端電腦設定相關的本機群組原則──關閉磁碟重新導向的功能,禁止員工將遠端電腦上的機密資料下載。
12.建置DLP解決方案
●優點:可以有效防止機密資料透過各種途徑外流,同時無需封鎖USB埠功能
●缺點:對於非Windows平臺的控管效果較差
DLP是更進一步的機密資料安全保護方案,功能上不但包含周邊裝置控管的功能,更結合資料過濾的方式,從檔案內容著手,在不影響USB埠功能的情況下,將含有機密內容的資料攔阻下來,不允許複製到USB儲存裝置,或者透過網路傳送出去。
如果是單機的話
無法偵測隨身碟:
修改登入表即可(不影響usb kb,mouse)
HKLM\System\CurrentControlSet\Service\Usbstor\Start
3改為4
或隨身碟唯讀
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
隨身碟可讀寫
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000