2008年5月8日 星期四

你知道USB是資安的漏洞嗎?USB埠封鎖的12種方法

USB的發展讓我們方便很多,不過已經變成企業資料洩密及病毒的來源。

今天聽到我們部門主管面試新人時問了一個問題:『如果要你封鎖員工使用USB埠的隨身碟,你有哪些方法?』

我想我家老大應該是看到ITHome的這篇文章,所以我也將摘要轉載過來。

完整內容:http://www.ithome.com.tw/itadm/article.php?c=48641&s=4

此處僅列摘要,完整內容請參考上面網址:

1.停用BIOS的相關設定
在主機板BIOS設定裡,我們可以將USB埠的功能,設定為停用。由於設定上十分容易,做法簡單,因此成為企業經常用來管理USB埠使用的方式。為了防止員工自行進入BIOS重新啟用USB埠的功能,一般在完成設定之後,IT人員會同時設定BIOS的管理密碼,往後只有IT人員才能進入、更改設定。

2.黏上易碎貼紙
用易碎貼紙控管USB埠,好處在於只要透過肉眼,就可以分辨電腦的連接埠是否曾經使用過,常用於訪客將筆記型電腦攜入之前,大門口的管理人員會在該臺電腦的USB埠與網路埠,黏貼一張易碎貼紙,確認訪客在進入企業內部的這段時間,是否曾經透過這些連接埠連接周邊裝置,或者存取資料。

3.移除主機板上的跳接器
移除主機板上的跳接器(Jumper),同樣是為了停用主機板上的USB埠功能。不同於在BIOS將USB埠功能設定停用,移除跳接器之後,USB埠的功能達到真正的完全失效,不但無法讀取USB裝置,同時不會透過USB埠供電給連接在電腦上的USB周邊裝置。

4.用熱熔膠堵住
這是一種破壞性的封鎖方式,當填充物灌入USB埠接孔時,USB埠介面也會隨之損壞,而永久無法使用。

5.插上專用介面卡或硬體鎖
有一些現成的硬體產品,能夠幫助企業管理USB埠的使用。市面上有一種介面卡型式的產品,裝在主機板上的PCI插槽之後,USB等周邊連接埠的功能就會失效。

6.利用群組原則集中控管
企業可以透過設定群組原則物件原則(GPO)的方式,在AD伺服器的管理介面執行相關的設定,接著將政策派送到內部的所有員工電腦,就可以關閉周邊裝置的使用權限。不只是USB儲存裝置,企業也可以使用相同方式控管光碟機、LS-120,以及軟碟機的使用。

7.修改電腦內的特定登錄機碼
對於連接過USB儲存裝置的電腦,可以利用修改登錄機碼設定的方式,禁止員工在電腦上使用USB儲存裝置。開啟Windows的登錄編輯程式,在「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\USBSTOR」的項目下找到Start數值,點選開啟之後,將數值由預設的3,修改為4,就能將USB儲存裝置設定為禁用。

8.刪除USB儲存裝置的驅動程式
適用於未曾連接過任何USB儲存裝置的電腦。在「C:\WINDOWS\inf」路徑下,可以找到usbstor.inf、usbstor.PNF兩個安裝資訊檔案,這是Windows系統用來辨識USB儲存裝置的驅動程式。
我們可以針對這兩個檔案設定存取權限,修改檔案名稱,或者直接刪除檔案,就可以讓讓員工無法在自己電腦上使用USB儲存裝置。

9.採用周邊裝置控管產品的解決方案
這類產品通常會透過安裝在使用者電腦上的代理程式實施管理,而且能夠整合Windows AD、LDAP等目錄服務,讓同一部門、相同群組的電腦套用相同的政策做管理,省去個別調整設定的麻煩。

10.將重要檔案予以加密
控管的對象以檔案為主,而非USB埠本身,當資料寫入USB儲存裝置的時候,可以透過應用程式執行加密,限制擁有解密金鑰的人才能開啟該檔案,防止USB儲存裝置遺失之後,裡頭存放的機密資料遭到盜取。

11.藉助SSL VPN或終端服務
幾家廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務,當員工從外部網路連接上線之後,電腦上的螢幕畫面就會自動切換成虛擬桌面,任何存取或修改資料的動作都必須在此區域進行。

12.建置DLP解決方案
DLP是更進一步的機密資料安全保護方案,功能上不但包含周邊裝置控管的功能,更結合資料過濾的方式,從檔案內容著手,在不影響USB埠功能的情況下,將含有機密內容的資料攔阻下來,不允許複製到USB儲存裝置,或者透過網路傳送出去。