USB大容量儲存裝置安全禁用大法 打造最具經濟效益的資料安全防護機制
(曹乙帆/DigiTimes.com)
前言:由於USB早已成為當前每台電腦上最基本的傳輸介面標準,因此,大容量的USB儲存裝置,遂成為人們傳輸與交換資料的便捷工具之一,不過,在方便之餘,卻也成為當前電腦安全威脅的主要傳播管道之一,因此,IT管理人員面對USB介面埠,總是有種愛恨兼具的複雜感受。

企業雖然可以針對體積較大、目標顯著的USB外接式硬碟,下達全面禁用令,但是,目前許多USB隨身碟不但外型玲瓏輕巧、攜帶甚為便利,儲存容量往往動輒1∼2GB,對此,企業管理人員根本難以完全掌控、或禁止員工私下使用這類USB隨身碟。

大容量的USB隨身碟,絕對是企業資訊及網路安全上的一大隱憂及威脅,畢竟,有心的員工可以透過這類容量不小的隨身工具,將重要的機密檔案或資訊外洩出去,進而造成公司核心競爭力下降的危機。

不 僅如此,由於USB隨身碟早已成為人們相互分享檔案的重要工具,無異是個小型、機動的檔案分享平台,在頻繁的互動之下,若隨身碟當中存有一些具高危險性的 惡意程式,便可能將惡意程式擴散至企業端點系統、甚至整個網路。基於上述種種安全性考量,管理人員實在不能坐視這些安全隱憂及威脅發生,而本文的目的,即 在探討當前到底有哪些可有效杜絕上述風險的有效方法及措施。

關閉USB埠存取權限 禁用有安全隱憂的USB隨身碟

小莊身為企業IT管理人員,這回又收到上級下達全面禁用USB埠及裝置的命令,不過,該命令卻要求管理人員,必須以不需要額外購置其他輔助軟硬體等花費為基本前提。

為 了貫徹上級命令,小莊及其他管理人員隨即積極討論、研擬各種可能的方案,會中有人提出乾脆將企業內部全數電腦上所有的USB埠,直接以填充劑全部堵塞,雖 然這不失為一勞永逸的最簡單做法,但是實在太過激烈,恐將激起民怨。如此一來,好端端的USB埠將永遠無法作用,而且現有公司許多同仁所採用的USB滑 鼠,可能要面臨汰換或加裝PS/2轉接頭,無論如何,都是個棘手的大工程。

不僅如此,在填塞填充劑時,也有可能因為劑量控制不佳,而導致主機板上的其他元件,因為滿溢的填充劑堵塞或侵蝕,而有無法正常運作、甚至損壞的可能性,因此,該方案在大多數與會人員的反對下作罷。

接 著,有人建議開機殼並直接將主機板上多餘的USB埠悉數拔除,或透過調Jumper的方式關閉USB埠。但是,該方法需要管理人員逐一將所有電腦機殼打 開,負擔實在太大,而且,一些技術較好的員工,也可以自行打開機殼,恢復原有的Jumper設定,所以,這個方法後來也不了了之。而最終決定採用的,則是 透過BIOS設定、將電腦USB埠加以關閉的作法,當然,小莊等人在設定完畢後,便隨即設定密碼,以防員工擅改的可能性。

就在該法施行一 段時日之後,小莊在1次為某台電腦重新安裝系統時偶然發現,該機BIOS當中的原有USB關閉值,竟然又恢復開啟狀態。根據小莊推斷,該機有可能是因為員 工透過自行拔除CMOS電池或設定跳線器等方式,導致相關設定恢復到原始狀態。經過一番調查,小莊赫然發現許多員工皆透過同一方法,自行啟動USB埠,由 此可見,該方法仍存在極大的漏洞。

最後經過一番搜尋並閱讀相關文章後,小莊等管理人員決定採用透過搭配Windows登錄檔編輯,以及 Windows目錄中usbstor.inf和usbstor.pnf等檔案編輯的方法,停止每台電腦USB埠對使用大容量隨身碟的權限,如此一來,即可 在不影響員工正常使用USB滑鼠的前提下,禁用有安全隱憂的USB隨身碟,而且小莊等人也不需要麻煩地打開機殼或重新開機,來關閉USB埠的使用權限。

由以上案例可以發現許多關閉USB埠存取權限的方法,這些方案各有利弊,接下來,就讓我們一同探討這些方案的操作步驟及優劣性。在此要強調的是,以下方案皆以Windows 2000及XP作業環境為前提,因為其中有些方案並不適用於更早版本的作業系統。

•方案1:開機殼手動進行主機板設定

1.打開電腦機殼。

2.直接拔除不必要的額外USB連接線。如今主機板除了基本預建的2個USB埠(多半與網路埠並聯在一起)之外,多半都會提供額外的接腳及連接線,來擴充更多的USB埠(大致約8個),管理人員可以先將這些額外的USB埠先拔除掉。

圖說:直接拔除不必要的額外USB連接線。

3.以適量的填充劑塞滿整個USB埠。待凝固後,即可讓僅存的2個USB埠無法使用。

圖說:以適量的填充劑塞滿整個USB埠。

4.透過主機板Jumper關閉USB埠。並非每種品牌的主機板皆支援這個功能,使用者可參考所屬的主機板操作手冊。

方案1注意事項

1.上述方法將使得員工無法使用USB滑鼠,所以需要另外透過USB轉PS/2的轉接頭,插在PS/2插槽上才可使用。

2.員工可能擅自開機殼,加裝USB連接線、擋板,抑或任意恢復初始Jumper設定值。

3.主機板若支援機殼開啟警示功能,管理人可啟動該功能,以防止員工或其他人擅自開啟機殼的舉動。

4.若主機板不支援機殼開啟警示功能,可能要另外加裝機殼鎖、機殼入侵警示感應器或電子迴路等裝置,並搭配遠端監控機制加以保護。

圖說:當前許多主機板已直接內建Case Open機殼開啟警示功能。

5. 填塞填充劑時要小心,不要過量而溢出至主機板其他元件上。

•方案2:進入BIOS中設定

1.按電腦鍵盤上的F2鍵進入BIOS畫面。並非每一品牌的電腦,皆以按下F2鍵的方式進入BIOS,有些是以「Alt+F2」或「Ctrl+Alt+F2」,管理人員可參考電腦所附的使用手冊。

2.進入「Advance」進階選項中,尋找USB設定相關選項,並關閉USB埠。在USB相關設定中,移至「USB Controller」選項上,按下「Enter」鍵。

圖說:進入「Advance/USB Controller」選項中關閉USB埠。

3.接著選擇「Disable」鍵,如此即可關閉USB埠。

4.退出「Advance」視窗,並進入「Security」安全選項視窗中。

5.移至「Supervisor Password」選項上,按Enter鍵輸入密碼,如此即可防止任何未經授權更動BIOS選項的行為。

圖說:進入「Security/Supervisor Password」選項中設定BIOS密碼。

6.跳出BIOS前,請記得選取「Exit & Save Changes」選項,以儲存前面的設定動作。

方案2注意事項

1.該方法同樣會導致USB滑鼠無法使用,解決方法請參考方案1之注意事項。

2.各家電腦之BIOS設定內容可能各有不同,使用者可先行參考該電腦所附的使用手冊。

3.有些筆記型電腦的BIOS,可能未支援關閉USB的功能,針對這類電腦,管理人員必須藉助其他方案來關閉USB埠。

4.員工仍然可以透過拔除CMOS電池或設定跳線器(Jumper)等方式,清除BIOS原有設定內容,因此,管理人員應搭配機殼開啟警示功能、機殼鎖或遠端機殼入侵監控等裝置或措施,以防員工擅自開啟機殼,並進行相關設定等不法舉動。

•方案3:未曾用過USB儲存裝置的電腦之USB關閉設定

1.員工電腦是否曾安裝過USB儲存裝置,在關閉USB設定上的作法不盡相同,在此先針對未曾安裝過USB儲存裝置的電腦進行解說。管理人員可以對Windows目錄夾下的「usbstor.inf」及「usbstor.pnf」2個檔案之存取權限進行編輯。

2.不過,由於2個檔案與所屬INF目錄夾的預設狀況,皆屬於隱藏狀態,所以,使用者必須先解除系統各檔案及目錄夾的隱藏狀況。任意開啟1個資料夾,如「我的電腦」或「我的文件」,在功能表上選取「工具」,並點取「資料夾選項」。

圖說:選取「工具」選項,並點取「資料夾選項」。

3.接下來會進入「檢視/進階設定」小視窗,在「隱藏檔案和資料夾」選項下,直接勾選「顯示所有檔案和資料夾」即可。

圖說:直接勾選「顯示所有檔案和資料夾」。

4.進入「C:WINDOWSinf」目錄夾,分別選取「usbstor.inf」及「usbstor.pnf」2個檔案,並在2個檔案上按下滑鼠右鍵,於下拉視窗中點取「內容」,接著在「usbstor內容」視窗中,點取「安全性」標籤。

圖說:在「usbstor內容」視窗中點取「安全性」標籤。

5.選擇該電腦之群組或使用者名稱,然後進入「User的權限」小視窗,勾選「完全控制」項目之拒絕欄位,如此即可完全禁止USB隨身碟或外接式硬體的存取使用。

圖說:在「完全控制」項目之拒絕欄位下加以勾選。

方案3注意事項

1.此方案的好處是,可以只禁用USB大量儲存裝置,而不會影響USB滑鼠或其他USB裝置的正常使用。

2. 除此之外,管理者也可以透過直接刪除「usbstor.inf」及「usbstor.pnf」2個檔案的方式,達到同樣的禁止目的。不過,在刪除之前,最 好先將上述2個檔案另行備份,未來若要恢復USB大量儲存裝置的正常存取,只要直接將2個檔案複製回原「C:WINDOWSinf」目錄夾即可。

3.該方案可用在尚未安裝過USB大量儲存裝置的電腦上,如果使用者已安裝過USB儲存裝置,即使做了上述相關設定動作,也無濟於事,使用者仍可正常存取USB儲存裝置。

4.管理者務必在使用者的電腦上,設定管理者權限及密碼,以防使用者之不當存取行為。

•方案4:已安裝過USB儲存裝置的電腦之USB關閉設定

1.首先點取「開始」功能表,並點取「執行」。

圖說:在「開始」功能表中點取「執行」。

2.在「執行」視窗中,輸入「regedit」指令,按下「確定」鈕。

圖說:在「執行」視窗中,輸入「regedit」指令。

3.接著在跳出的「登錄編輯視窗」中,於畫面左邊的樹狀目錄欄,點取「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor」機碼。

4.接著再點取右邊欄框中「名稱」欄位下的「Start」數值,在該數值上點取滑鼠右鍵,並在下拉視窗中選擇「修改」。

圖說:在「Start」數值上點取滑鼠右鍵,並選擇「修改」。

5.然後再於跳出的「編輯DWORD值」視窗中,將16進位的數值資料改成「4」即可。如此一來,該員工電腦再也無法正常使用USB隨身碟或外接式硬碟。

圖說:將16進位的數值資料改成「4」。

方案4注意事項

1.該方案與方案3一樣,可完全禁用USB大容量儲存裝置,而且不會影響滑鼠等USB裝置的正常使用,只不過,只適合已安裝過USB大容量儲存裝置的電腦。

2.管理人員若要恢復某台電腦的USB存取權限,只要將原「Start」數值,更改成16進位的「3」即可。

3.管理者務必在使用者電腦上設好管理者權限及密碼,以防使用者非法存取並修改UsbStor機碼的Start數值。

•方案5:將USB大容量儲存裝置設定成只能唯讀

1.重複方案4之步驟1、2,進入「登錄編輯視窗」。

2.接著進入「HKEY_LOCAL_MACHINESystemCurrentControlSet Control」子登錄目錄下,檢視是否有名為「StorageDevicePolicies」的機碼存在,如果有的話,請直接跳至步驟4。

3.若目錄下沒有該機碼,可在「Control」子目錄上,點取滑鼠右鍵,並在下拉視窗中點取「新增/機碼」,將該機碼命名為「StorageDevicePolicies」。

圖說:在「Control」上新增「StorageDevicePolicies」機碼。

4.在「StorageDevicePolicies」機碼上,點取滑鼠右鍵,然後點選「新增/DWORD值」。

圖說:新增DWORD值。

5.接著,「登錄編輯視窗」右欄框中會出現「新數值#1」,將該數值命名為「WriteProtect」。

圖說:命名「WriteProtect」新數值名稱。

6.在「WriteProtect」數值名稱上按滑鼠右鍵,於下拉視窗中點取「修改」,即會跳出「編輯DWORD值」視窗。

7.將「編輯DWORD值」視窗中的16進位之「數值資料」,改成「1」(預設值為0),然後按下「確定」鍵。

圖說:將16進位數值資料改輸成「1」。

8.將USB隨身碟插入USB埠中試試看,將USB隨身碟中的資料複製到桌面上,結果確定可以讀取無誤。

9.接下來,再試著將電腦中的資料複製到USB隨身碟中,結果卻出現「複製檔案或資料夾發生錯誤」警訊視窗,說明員工電腦只能讀取USB隨身碟資料,但卻無法將電腦中的資料複製到隨身碟上,整個設定於焉大功告成。

圖說:出現「複製檔案或資料夾發生錯誤」警訊視窗。

方案5注意事項

1. 此一方案的優點為員工仍可正常讀取USB隨身碟或外接式硬碟中的資料,但是卻無法將公司網路上或員工電腦中的重要資料,存到USB儲存裝置當中,如此一 來,即無須擔心重要的資料遭到惡意員工藉由USB儲存裝置任意外流。但是,該方案仍有安全疑慮,因為惡意程式很可能因此透過USB儲存裝置,傳播到企業各 端點電腦、甚至網路之中。

2.管理人員只要將「WriteProtect」數值改回「0」,或直接將「StorageDevicePolicies」機碼刪除,即可恢復USB隨身碟讀與寫的完全存取權限。

3.管理者務必在使用者電腦上,設定好管理者權限及密碼,以防使用者非法存取並修改StorageDevicePolicies機碼的WriteProtect數值。

上述所有方案仍然可能存在安全上的漏洞,因為員工仍然可以透過PS/2轉USB埠之轉接頭的安裝方式,照樣利用USB儲存裝置將資料複製出去。

除 此之外,方案3∼5也共同存在可能的風險,有心員工只要透過Knoppix或Ubuntu等LiveCD來開機,即可避開原有系統設定好的安全機碼登錄動 作,換句話說,員工仍可透過USB隨身碟,將資料複製外出。不過,對於經費有限的企業來說,上述各方案仍然可以在資料安全防護上,發揮一定程度的效益。

轉載網址:http://home.digitimes.com.tw/ShowNews.aspx?zCatId=A13&zNotesDocId=0000040785_A3I1XH651T9KQVP4VZPLA
創作者介紹
創作者 rabbitming 的頭像
rabbitming

兔子銘的紅蘿蔔園區

rabbitming 發表在 痞客邦 留言(0) 人氣()