E 'possibile limitare le chiavi USB solo a quelle certificate e bloccare l'accesso di quella chiave su altri computer

Per impedire agli utenti di utilizzare chiavi diverse dalle "chiavi USB crittografate" approvate, è possibile aggiungere alcuni filtri sul lato OS, come spiegato da @LucasKaufmann. Ma molti modi per filtrare i dispositivi possono essere risolti; in pratica, il filtro chiederà l'identificatore e il modello del dispositivo, eventualmente il numero di serie, e deciderà se il dispositivo è "consentito" o "non consentito" in base a queste informazioni. Un utente può modificare un dispositivo USB programmabile per simulare una chiave approvata, inviando gli stessi identificatori alla macchina. Questo annullerà la maggior parte dei filtri.

Il problema di impedire l'uso delle chiavi crittografate approvate su altre macchine rispetto al computer portatile o desktop approvato dall'utente è duplice: questa volta, qualsiasi filtro dovrebbe verificarsi nella chiave USB crittografata, che dovrebbe rifiutare i laptop "non approvati". Questo sembra ancora più difficile da mantenere.

A quel punto, potresti voler spostare il problema. Dalla tua descrizione, supponiamo che desideri che gli utenti siano in grado di scambiare file di dati tra i loro laptop / desktop "approvati", ma non con macchine non approvate. Per ottenere questa funzionalità, potresti essere in grado di configurare una VPN che collega le macchine approvate insieme, evitando così l'uso di qualsiasi USB dispositivo a tutti - a quel punto, è possibile configurare il sistema operativo del laptop per rifiutare tutti i dispositivi USB del tutto (questo può essere fatto in software, o in un modo più aggressivo fisicamente versando colla epossidica nelle porte USB).

(Naturalmente, se le chiavi USB sono già state acquistate, o, peggio ancora, usando le chiavi USB crittografate è l'idea personale di un manager superiore, quindi non usare le chiavi potrebbe non essere un'opzione accettabile. incoraggiati a scrivere, in dettagli specifici, quali proprietà di sicurezza stai cercando di ottenere, ovvero il modello di attacco .)

Quasi, ma non proprio.

Ogni dispositivo USB ha un "ID fornitore" e un "ID prodotto", che il sistema operativo utilizza per determinare quale tipo di dispositivo è. Questi ID sono ufficialmente registrati e garantiti unici. Ed è possibile impostare criteri in Windows per limitare quali ID dispositivo sono autorizzati a connettersi. Problema risolto.

Tranne no. È compito del dispositivo segnalare correttamente i suoi ID. Ed è possibile (e di fatto comune) che dispositivi dannosi impersonino dispositivi legittimi al fine di aggirare questa funzionalità. C'è anche un dispositivo USB pass-through che puoi usare per cambiare l'ID visto da Windows per qualsiasi dispositivo USB, in particolare per contrastare questa funzione.

Ciò è possibile, un software come Symantec Endpoint Protection può essenzialmente controllarlo. Il problema è che se veramente vogliono usare le proprie chiavette USB, potrebbero facilmente modificare il firmware delle loro pendrive.

Il vantaggio di software come Endpoint Encryption è che puoi usare correttamente qualsiasi pendrive e installerà il proprio software di crittografia proprietario sulla pen drive. Quindi puoi utilizzare qualsiasi unità USB e EPE imporrà che tutti i file siano crittografati prima di essere scritti sulla pendrive. (nota che questo è anche bypassabile usando la tecnica sopra descritta)

È certamente possibile, ma quanto è facile fare dipenderà dal tuo sistema operativo. In Windows, tu (per versioni precedenti, non utilizzo più Windows), negare l'accesso a questi file impedirebbe l'accesso ai nuovi dispositivi:

% SystemRoot% \ Inf \ usbstor.pnf % SystemRoot% \ Inf \ usbstor.inf

In un ambiente Linux / Unix / * nix, è possibile utilizzare le regole UDEV per eseguire uno script su connessione USB, quindi controllare i dispositivi utilizzando tale script. Questa domanda su superuser può essere utile .

Nessuna delle risposte ha veramente risolto la seconda parte della tua domanda "interrompi l'uso delle chiavi crittografate su altri PC".

Non ho una soluzione completa a questo, ma un'idea che potrebbe farti iniziare.

Si crea un contenitore TrueCrypt sul disco. Invece di usare una password, genera un file di chiavi casuali e usa solo il file chiave (nessuna password) - puoi fare tutto facilmente dalla procedura guidata "Crea volume". Salva il file chiave nel tuo profilo. In questo modo, hai accesso al file chiave su qualsiasi macchina aziendale, in cui la chiavetta USB è autorizzata, ma non hai il file chiave su nessun PC non attendibile. Questo funzionerà effettivamente con qualsiasi chiavetta USB; non ha bisogno di crittografia hardware.

Questa procedura funziona per te, assumendo che tu la segua correttamente. Ma se lo fai in un ambiente aziendale, questo non ti protegge da utenti malintenzionati o incuranti. Ma potresti riuscire a mettere insieme qualcosa:

1. Il reparto IT crea il contenitore TrueCrypt iniziale e memorizza il file chiave nel profilo dell'utente.
2. Crea un azione AutoPlay personalizzata che si attiva quando una USB pertinente l'unità è inserita e monta il contenitore TrueCrypt (e lo distribuisce utilizzando i Criteri di gruppo)
3. Utilizza i Criteri di gruppo per nascondere la lettera dell'unità USB - quindi solo il contenitore TrueCrypt è accessibile all'utente.

Con questo sistema, gli utenti possono utilizzare efficacemente queste unità USB come le normali unità. Sono criptati e leggibili solo su PC aziendali e in modo abbastanza trasparente per gli utenti. Non so se alcuni prodotti commerciali implementino questo schema.

L'unica cosa che vorrei chiedere: a cosa servono realmente i lettori USB per gli utenti? Di solito è altrettanto facile usare una condivisione di rete.