¿Es posible restringir las claves USB a solo las certificadas y bloquear el acceso de esa clave en otras computadoras?

Para evitar que los usuarios utilicen otras claves que no sean las "claves USB cifradas" aprobadas, puede agregar algunos filtros del sistema operativo, como explica @LucasKaufmann. Pero la mayoría de las formas de filtrar dispositivos se pueden evitar; Básicamente, el filtro solicitará el identificador y el modelo del proveedor del dispositivo, posiblemente el número de serie, y decidirá si el dispositivo está "permitido" o "no permitido" según esta información. Un usuario podría modificar un dispositivo USB programable para imitar una clave aprobada, enviando los mismos identificadores a la máquina. Esto derrotará a la mayoría de los filtros.

El problema de evitar el uso de las claves cifradas aprobadas en otras máquinas que no sean la computadora portátil o el sistema de escritorio aprobados por el usuario es doble: esta vez, cualquier filtrado debe realizarse en la clave USB cifrada, que debe rechazar las computadoras portátiles "no aprobadas". Esto parece aún más difícil de mantener.

En ese momento, es posible que desee cambiar el problema. Desde su descripción, supongo que desea que los usuarios puedan intercambiar archivos de datos entre sus computadoras portátiles / sistemas de escritorio "aprobados", pero no con máquinas no aprobadas. Para obtener esta funcionalidad, puede configurar una VPN que une las máquinas aprobadas, evitando así el uso de cualquier USB Dispositivo en absoluto: en ese momento, puede configurar el sistema operativo del portátil para rechazar todos los dispositivos USB (esto se puede hacer en el software, o de una manera más agresiva físicamente vertiendo pegamento epóxico en los puertos USB).

(Por supuesto, si las llaves USB ya se han comprado o, lo que es peor, el uso de llaves USB cifradas es la idea favorita de un administrador superior, entonces no usar las claves podría no ser una opción aceptable. Sin embargo, todavía lo alentamos a que escriba, en detalles específicos, qué propiedades de seguridad está tratando de lograr, es decir, el modelo de ataque .)

Casi, pero no realmente.

Cada dispositivo USB tiene un "ID de proveedor" y un "ID de producto", que el sistema operativo utiliza para determinar qué tipo de dispositivo es. Estas identificaciones están oficialmente registradas y garantizadas como únicas. Y puede establecer políticas en Windows para restringir qué ID de dispositivos pueden conectarse. Problema resuelto.

Excepto el no. Depende del dispositivo informar correctamente sus ID. Y es posible (y de hecho común) que los dispositivos maliciosos se hagan pasar por dispositivos legítimos para evitar esta función. Incluso hay un dispositivo USB de paso que puede usar para cambiar la ID que Windows ve para cualquier dispositivo USB específicamente para frustrar esta función.

Esto es posible, un software como Symantec Endpoint Protection puede controlarlo esencialmente. El problema es que si realmente quieren usar sus propias memorias USB, podrían modificar fácilmente el firmware de sus pendrives.

El beneficio de un software como Endpoint Encryption es que puede usarlo de forma correcta sobre cualquier pendrive e instalará su propio software de cifrado propietario en el pendrive. Por lo tanto, puede usar cualquier unidad USB y EPE exigirá que todos los archivos estén encriptados antes de ser escritos en el pendrive. (tenga en cuenta que esto también es anulable utilizando la técnica descrita anteriormente)

Es ciertamente posible, pero la facilidad de hacerlo dependerá de su sistema operativo. En Windows, usted (para las versiones anteriores, ya no uso Windows) negando el acceso a estos archivos impediría el acceso a nuevos dispositivos:

% SystemRoot% \ Inf \ Usbstor.pnf % SystemRoot% \ Inf \ Usbstor.inf

En un entorno Linux / Unix / * nix, puede usar las reglas UDEV para ejecutar un script en USB Connect y luego examinar los dispositivos que usan ese script. Esta pregunta sobre el superusuario puede ser de utilidad .

Ninguna de las respuestas ha abordado realmente la segunda parte de su pregunta "detener el uso de las claves cifradas en otras PC".

No tengo una solución completa para esto, pero una idea que puede ayudarte a comenzar.

Crea un contenedor TrueCrypt en el disco. En lugar de usar una contraseña, genere un archivo de clave aleatorio y use solo el archivo de clave (sin contraseña); puede hacer todo esto fácilmente desde el asistente "Crear volumen". Guarda el archivo clave en tu perfil. De esa manera, usted tiene acceso al archivo de claves en cualquier máquina corporativa, donde el dispositivo USB está autorizado, pero no tiene el archivo de claves en ninguna PC que no sea de confianza. Esto funcionará con cualquier dispositivo USB; no necesita cifrado de hardware.

Este procedimiento funciona para usted, asumiendo que lo sigue correctamente. Pero si lo hace en un entorno corporativo, esto no lo protege contra usuarios malintencionados o descuidados. Pero es posible que puedas improvisar algo juntos:

1. El departamento de TI crea el contenedor de TrueCrypt inicial y almacena el archivo de clave en el perfil del usuario.
2. Cree una acción de reproducción automática personalizada que se dispara cuando un USB relevante la unidad se inserta y monta el contenedor TrueCrypt (e implementa esto usando la Política de grupo)
3. Use la Política de grupo para ocultar la letra de la unidad de la unidad USB, de modo que el usuario solo tenga acceso al contenedor TrueCrypt.

Con esto en su lugar, los usuarios pueden utilizar eficazmente estas unidades USB como las unidades normales. Están cifrados y solo se pueden leer en las PC corporativas, y de una manera bastante transparente para los usuarios. No sé si algún producto comercial implementa este esquema.

Lo único que preguntaría: ¿para qué necesitan realmente los usuarios las unidades USB? Por lo general, es igual de fácil usar un recurso compartido de red.