Sicurezza fisica del computer, come disabilitare le porte USB quando il computer è "bloccato"?

6

Diciamo che il mio PC e amp; il server si trova in un ambiente in cui un utente malintenzionato ha accesso fisico alla macchina mentre io non ci sono. Ora i dati sono crittografati sul disco rigido con TrueCrypt. Tuttavia, se non ci sono, di solito non mi preoccupo di smontare i contenitori criptati perché è necessario molto tempo inserire la lunga password per rimontarli ogni volta. Quindi i dati sono leggibili se si ha accesso alla macchina e si conosce la password per accedere. Ora presumo che i dati debbano essere leggibili anche se non sono connesso in quanto potrebbero collegare un dispositivo a una delle porte USB e copia i dati non crittografati sulle partizioni del disco rigido montate.

Il mio piano è quello di fermare un aggressore casuale, ad es. coinquilino, collega ecc. che collega e copia i dati dal disco rigido. Ovviamente è meno probabile che aprano il case e collegano qualcosa al bus PCI per farlo. Inoltre è improbabile che si sposteranno con il PC per fare un lavoro approfondito.

Come disattivare porte USB inutilizzate ecc. quando il computer è in modalità "bloccata" in modo che non possano semplicemente collegarsi e copiare dati dal disco rigido? Altre eventuali precauzioni che potrei prendere?

Metodi e / o suggerimenti per Windows 7 e Linux sarebbero grandiosi. Grazie!

    
posta zuallauz 28.03.2012 - 11:12
fonte

7 risposte

6

Posso darti una soluzione Linux. In primo luogo, è necessario utilizzare questo script per bloccare lo schermo; in secondo luogo, disabilita solo i dispositivi di archiviazione usb

#!/bin/sh
sudo modprobe -r usb_storage
gnome-screen-saver --lock

Puoi puoi modificarlo per disabilitare completamente lo stack usb - dovrai modprobe -r su ohci , xhci e ehci e qualsiasi altro prefisso a hci tu poter trovare. Nel mio kernel, questi sono cotti nel core binario, quindi non c'è nulla che io possa fare per rimuoverli dal kernel.

Tieni presente che la rimozione di questi controller host eliminerà completamente la tastiera e il mouse USB, quindi assicurati di utilizzare la versione seriale.

Puoi farlo anche nel modo più difficile, ovvero senza supporto, usando le tecniche qui o rimuovendo totalmente i controller rilevanti dal kernel.

Se questo può essere fatto su Windows - dall'aspetto, non così facilmente. Puoi disabilitare le classi di archiviazione USB utilizzando qualcosa di simile a questo metodo - e puoi Blocca definitivamente lo schermo da uno script usando Rundll32.exe User32.dll,LockWorkStation . Tuttavia, sospetto che una soluzione dedicata per questo sarebbe la cosa migliore.

Sulla probabilità che i dispositivi di clonazione USB funzionino davvero - beh, le specifiche USB definiscono semplicemente un bus. All'estremità host, sono necessari driver di periferica in grado di comunicare con il dispositivo affinché funzioni. Questi esistono per i dispositivi di archiviazione di massa, ovviamente, tuttavia, per installate automaticamente i driver avete bisogno di Windows - Linux non ha tale capacità di autorun (che io sappia). Tuttavia, Windows fa. In tal caso, una soluzione semplice sarebbe:

  1. Disattiva l'esecuzione automatica . Windows non eseguirà automaticamente alcuna applicazione all'inserimento di un dispositivo USB.
  2. Disattiva l'installazione automatica del driver. Per fare ciò, vai a correre e digita gpedit.msc . Passare a Configurazione computer, Modelli amministrativi, Sistema, Installazione dispositivo, Limitazioni all'installazione del dispositivo. Da qui, puoi disabilitare completamente l'installazione del driver: "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri" farà esattamente questo. ( source ).

In queste circostanze, non ci sarebbe alcun modo per un dispositivo USB inserito di avviare effettivamente una copia del tuo disco assumendo che non ci siano errori nei driver del dispositivo USB che potrebbero essere sfruttati per questo scopo (molto, molto improbabile).

(Non che io sia paranoico, ma tendo a eseguire sistemi che mi interessano con l'installazione del driver di dispositivo bloccata comunque, solo per buona misura. Inoltre, UAC in questi giorni, insieme alla firma dei driver se stai usando x64 Windows, dovrebbe prompt prima di installare un driver, quindi dovresti essere bravo, ma nel caso ...)

    
risposta data 05.05.2012 - 23:04
fonte
14

L'approccio standard consiste nel riempire le porte USB con resina epossidica . Naturalmente, questo deve essere combinato con approcci simili per sigillare il caso, quindi l'attaccante non può entrare tramite il bus PCI, ecc.

Nota che anche se lo fai, legge 3 vale ancora: se un cattivo ragazzo ha un accesso fisico illimitato al tuo computer, non è più il tuo computer.

EDIT: riflette l'aggiornamento alla domanda:

Nello scenario specifico delineato, quindi per bloccarlo, basta disattivare l'esecuzione automatica. Dovrebbe essere già spento in Windows se lo hai corretto correttamente; in Linux come spegnerlo (o anche se è acceso) dipende da Distro, Desktop Environment, ecc.

Tuttavia, tieni presente che lo scenario specifico che hai delineato non ha senso . Se l'attaccante è abbastanza serio da costruire una chiavetta USB personalizzata per fare ciò, non sarà così casuale da rinunciare quando non funziona e proverà qualcos'altro. Avvia da un LiveCD, copia i tuoi volumi TrueCrypt, installa un keylogger e attendi per ottenere la password nella posta, per esempio. Legge 3: è il loro computer ora.

In realtà un aggressore abbastanza serio da costruire un bastone del genere probabilmente non si preoccuperà perché non si aspetteranno che l'auto-run sia ancora attivo.

    
risposta data 28.03.2012 - 11:36
fonte
6

Se stai usando una sorta di protezione degli endpoint, potrebbero avere la possibilità di disabilitare le unità flash USB. So che Symantec Endpoint Protection ha la capacità di disabilitare il flash USB mentre consente altri dispositivi USB.

    
risposta data 28.03.2012 - 22:35
fonte
5

Per Windows 7

È possibile scrivere uno script PowerShell per l'evento di blocco e sblocco dello schermo per disabilitare l'installazione di nuovi dispositivi USB. Lo script deve modificare le impostazioni GPO locali ad ogni blocco e sbloccare dallo schermo.

  1. Passaggio: Sblocca o evento blocco schermo

  2. Passaggio: Modifica dell'oggetto Criteri di gruppo

  3. Passaggio: Aggiorna l'oggetto Criteri di gruppo per avere effetto

Forse una soluzione

    
risposta data 07.05.2012 - 11:57
fonte
2

Crittografare Disk Protect Enhanced è la cosa più vicina che io conosca per risolvere il tuo problema. Qui è un documento sulla funzione esatta che penso tu stia cercando nel software .

    
risposta data 08.05.2012 - 14:32
fonte
1

Abbiamo una soluzione basata su USB standard - dove inserisci il tuo PIN per visualizzare i dati su USB - se lasci la scrivania - nessun problema.

Tutti i dati saranno protetti - Nessun utente può copiare questi file in qualsiasi altra posizione (e-mail, HDD, unità di rete ecc.), NESSUNA cattura dello schermo, registrazione, condivisione dello schermo consentita.

In questo modo nessun utente sarà mai in grado di rimuovere i dati dall'unità USB.

    
risposta data 02.04.2012 - 07:22
fonte
0

Perché non disabiliti le porte USB nel BIOS?

A parte questo - questa è una protezione debole se qualcuno ha accesso fisico.

    
risposta data 10.05.2012 - 12:59
fonte

Leggi altre domande sui tag