Verrouillage des ports USB du bureau


8

Comment verrouiller les ports USB sur les ordinateurs de bureau afin que nous puissions empêcher l'utilisation de lecteurs USB sur les ordinateurs de bureau.

Je dois préciser qu'il s'agit de bureaux Windows XP.

Nous devons également supposer que, comme la plupart des nouveaux ordinateurs de bureau, beaucoup utilisent USB pour les claviers et / ou les souris.


1
ont-ils des souris / claviers USB?
pjz

Jetez un œil aux réponses à cette question .
epotter

Réponses:


7

Il doit y avoir un objet de stratégie de groupe pour cela, vous pouvez le pousser via Active Directory. Voir dans gpedit.mscWinXP Pro.


1
Je ne pense pas que cela empêchera les gens de démarrer à partir d'une clé USB.
pjz

5
+1 Bien que le démarrage à partir de l'un de ces problèmes? Cela pourrait être changé dans le BIOS et ensuite protégé par mot de passe ...
Oskar Duveborn

De quels paramètres s'agit-il?
epotter

Quel paramètre dépend du BIOS. Recherchez les fonctionnalités qui activent / désactivent le démarrage USB et / ou sélectionnent les lecteurs de démarrage au démarrage.
lexu

8

S'il s'agit de bureaux Windows, vous pouvez utiliser la stratégie locale (ou la stratégie de groupe, s'il s'agit d'Active Directory). Il n'y a pas de paramètre par défaut pour cela, mais le modèle fourni par MS se trouve sous MSKB 555324 .


1
Ce lien est rompu. Je suppose que c'est .com pas .cim.
Mike Wills

1
Maintenant, c'est juste un discours fou.
Kara Marfia

6

Vous devriez pouvoir désactiver les ports USB à partir du BIOS de l'ordinateur. Vous pouvez également en débrancher les câbles vers la carte mère.


1
Que faire si le clavier et / ou la souris sont USB? Ça ne marcherait pas.
Mike Wills

1
Ensuite, vous devrez utiliser un convertisseur USB vers PS / 2.
Adam Gibbins,

1
@ Mike Wills, c'est vrai, cependant si vous ne désactivez pas tous les ports comme Chris Upchurch (voir ci-dessous), vous rencontrerez toujours le problème que vous essayez d'éviter. Tout dépend de la maîtrise de vos utilisateurs par ordinateur. Si vous ne voulez pas qu'ils branchent des lecteurs USB «sales», débrancher le connecteur avant peut être suffisant.
RateControl

7
@Adam: de nombreux ordinateurs ne sont même pas équipés de ports PS / 2 de nos jours.
Chris Upchurch,

2
La bonne solution est de désactiver l'utilisation de périphériques de stockage USB amovibles, toute autre chose aura des trous béants dans lesquels vous pourrez conduire un camion. Étant donné qu'il s'agit d'un problème de sécurité, vous voulez certainement le corriger plutôt que plutôt, en quelque sorte, le plus souvent.
Wedge

5

Je ne pense pas que la désactivation des ports fera vraiment ce que vous semblez vouloir. Sauf si ces ordinateurs utilisent des souris et des claviers PS2. Tant que vous avez des ports USB disponibles pour le clavier et la souris, quelqu'un peut simplement brancher un concentrateur et y brancher sa clé USB. Ce que vous voulez vraiment faire, c'est empêcher l'ordinateur de reconnaître les périphériques de stockage USB (mais pas les autres périphériques USB) branchés via USB.


5

Si les utilisateurs ont des droits administratifs sur leur PC, ils peuvent remplacer tout ce que vous faites pour éviter cela. Cependant, vous pouvez suivre le lien ci-dessous vers la solution recommandée par Microsoft:

http://support.microsoft.com/kb/823732

Vous pouvez également empêcher le démarrage à partir d'une clé USB dans le BIOS, comme cela a déjà été mentionné.


4

Si vous souhaitez utiliser une solution logicielle, vous pouvez acheter des verrous matériels.

Bloqueur de port USB

Cela suppose que vous disposez du budget nécessaire pour les obtenir pour chaque machine. Vous devrez peut-être également empêcher les gens de débrancher le clavier et la souris s'ils sont également USB.


3

Deux solutions que j'ai vues sur les sites clients:

  • (Linux) Mettez sur liste noire les modules du noyau USB appropriés (usb_storage) dans le fichier de type /etc/modprobe.conf approprié
  • Pistolet à colle chaude

3

Dans le BIOS, définissez le périphérique de démarrage pour qu'il démarre uniquement à partir du disque dur et un mot de passe protège le BIOS. Dans le BIOS, désactivez tous les périphériques USB que vous pouvez utiliser. Pour éviter que les clés USB ne soient même montées, vous devrez prendre d'autres mesures. Pouvez-vous mettre l'ordinateur dans une boîte avec seulement les câbles du clavier et de la souris qui sortent? Ensuite, il n'y a pas de port USB disponible pour eux.

L'essentiel est que tant que vous ne faites pas confiance aux personnes qui ont un accès physique à la machine, vous ne pouvez qu'améliorer la sécurité mais vous ne pouvez pas obtenir une sécurité absolue.


3

J'ai dû le faire sur des machines autonomes ainsi que sur plusieurs machines de domaine. Le GPO serait une meilleure façon de procéder, mais je n'avais pas le luxe de le faire de cette façon. Évidemment, si quelqu'un avait des droits d'administrateur sur la machine et un peu de connaissances, il pourrait annuler cela.

Au moment où j'utilisais cela, nous avions toutes les machines XP. Aucun utilisateur n'avait de droits d'administrateur. Aucun utilisateur n'est [censé être] un utilisateur avec pouvoir. Pour empêcher les utilisateurs d'utiliser des périphériques de stockage de masse USB, certains autres administrateurs ont supprimé USBSTOR.SYS. Donc, si je devais réactiver des périphériques de stockage de masse USB, je devais également restaurer le fichier du pilote. (J'ai donc gardé une copie actuelle à portée de main avec les fichiers ci-dessous). Ma copie du "Enable.bat" a une ligne - j'ai commenté ici - pour restaurer le fichier si nécessaire.

Disable.bat:

(Il faudra peut-être ajouter "BUILTIN \ Administrators" aux commandes CACLS. Je n'en avais pas besoin dans mon environnement)

@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"

Disable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000004

Enable.bat

(Il se peut que vous deviez ajouter un autre ensemble de commandes CACLS pour "BUILTIN \ Administrators". Je n'en avais pas besoin dans mon environnement)

@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"

Enable.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] 
"Start"=dword:00000003

Quelque chose de similaire peut fonctionner pour Vista - MAIS JE N'AI PAS ESSAYÉ.


2

Je préfère former les utilisateurs sur ce qui est acceptable et ce qui ne l'est pas. Si vous ne pouvez pas faire confiance à vos utilisateurs jusque-là, retirez leurs PC et configurez un système client léger se connectant à quelque chose comme un serveur Citrix exécutant toutes vos applications. La seule autre solution à laquelle je peux penser est de placer le PC réel dans une armoire verrouillée avec juste les câbles pour le clavier, la souris et le moniteur qui sortent. Dans tous les cas, je pense que vous finirez par créer plus de travail pour vous-même.


1
Vous vivez dans un monde idéal ...
Josh

0

Si vous cherchez à «supprimer» efficacement ces ports de l'ordinateur (et vous avez besoin du tout USB), ET si vous êtes prêt à modifier l'ordinateur, puis-je suggérer de l'époxy en 2 parties? Couvrez le connecteur avec de l'époxy et personne n'y branche plus rien. La colle Hot Melt est un peu moins permanente, mais reste assez efficace.

En supposant que vous ayez toujours besoin de ports USB pour le clavier / la souris, vous devrez laisser un ou deux ports à découvert.


C'est une réponse légitime dans certaines circonstances.
duffbeer703

0

Drivelock . Reflète également les fichiers des clés USB si vous le souhaitez, et permet la liste blanche et la liste noire des appareils, des types de fichiers et des utilisateurs.


0

Vous pouvez désactiver le stockage USB via:

http://support.microsoft.com/kb/823732

Il est également possible de faire du stockage USB en lecture seule . C'est souvent un bon compromis, car il permet aux utilisateurs de lire des données sur un périphérique USB - comme des photos d'un appareil photo, mais les empêche de copier votre base de données d'entreprise sur leur clé USB.

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Il n'est probablement pas conseillé d'essayer de désactiver complètement l'USB, car les claviers et les souris nécessitent généralement l'USB de nos jours. Les deux éléments ci-dessus peuvent être définis via une entrée de registre ou un fichier de stratégie. La force de ces paramètres sera aussi forte que vos paramètres de stratégie et de groupe Windows.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.