He logrado detener la mayoría de los vectores de ataque utilizando una variedad de políticas de grupo diferentes. El único con el que tengo problemas es cuando utiliza el método de ataque HID.
¿Alguien ha encontrado una solución para detenerlo imitando un teclado y dejándolo entrar en el sistema?
El acceso físico a un puerto USB significa que estás bastante jodido.
La emulación HID (es decir, el teclado) es solo una cosa que puede hacer un dispositivo USB. También puede pretender ser una interfaz Ethernet o un módem, y ofrecer "acceso a la red" a la PC. Si el sistema operativo lo configura automáticamente y decide utilizarlo, entonces el dispositivo podrá detectar el tráfico de la red, falsificar las consultas de DNS, etc.
Más detalles aquí .
Ahora, si solo estás interesado en detener esto y no los otros ataques, puedes detenerlo con software que detectará una velocidad de escritura excesiva. Eso no detendrá a un patito de goma lento por supuesto. Puede verificar el VID / PID USB del teclado, pero un dispositivo USB puede fácilmente pararlos.
Realmente, el USB es un acceso físico, es inseguro.
Bueno, supongo que escribir un filtro de sistema de archivos no dolería? Luego, cuando se enchufa un USB, de alguna manera puede obtener una copia del firmware. Supongo que > enlace . luego puede analizar desde allí y luego bloquearlo / permitirlo ...
Pero eche un vistazo a esto, enlace "Unidades flash USB .... construidas con firmware seguro firmado digitalmente"
O simplemente puede "educar" al usuario, supongo ...
Lea otras preguntas en las etiquetas anti-exploitation