Para evitar que los usuarios utilicen otras claves que no sean las "claves USB cifradas" aprobadas, puede agregar algunos filtros del sistema operativo, como explica @LucasKaufmann. Pero la mayoría de las formas de filtrar dispositivos se pueden evitar; Básicamente, el filtro solicitará el identificador y el modelo del proveedor del dispositivo, posiblemente el número de serie, y decidirá si el dispositivo está "permitido" o "no permitido" según esta información. Un usuario podría modificar un dispositivo USB programable para imitar una clave aprobada, enviando los mismos identificadores a la máquina. Esto derrotará a la mayoría de los filtros.
El problema de evitar el uso de las claves cifradas aprobadas en otras máquinas que no sean la computadora portátil o el sistema de escritorio aprobados por el usuario es doble: esta vez, cualquier filtrado debe realizarse en la clave USB cifrada, que debe rechazar las computadoras portátiles "no aprobadas". Esto parece aún más difícil de mantener.
En ese momento, es posible que desee cambiar el problema. Desde su descripción, supongo que desea que los usuarios puedan intercambiar archivos de datos entre sus computadoras portátiles / sistemas de escritorio "aprobados", pero no con máquinas no aprobadas. Para obtener esta funcionalidad, puede configurar una VPN que une las máquinas aprobadas, evitando así el uso de cualquier USB Dispositivo en absoluto: en ese momento, puede configurar el sistema operativo del portátil para rechazar todos los dispositivos USB (esto se puede hacer en el software, o de una manera más agresiva físicamente vertiendo pegamento epóxico en los puertos USB).
(Por supuesto, si las llaves USB ya se han comprado o, lo que es peor, el uso de llaves USB cifradas es la idea favorita de un administrador superior, entonces no usar las claves podría no ser una opción aceptable. Sin embargo, todavía lo alentamos a que escriba, en detalles específicos, qué propiedades de seguridad está tratando de lograr, es decir, el modelo de ataque .)