Si bien la pregunta de desactivar completamente los controladores USB y el almacenamiento para derrotar a un malvado sirviente ya se ha respondido aquí con bastante frecuencia, tengo una solución diferente en mente.
Al bloquear la GUI, el sistema lo haría
- iterar sobre los dispositivos USB ya conectados,
- bloquear todos los demás puertos, y
- mientras está bloqueado, compruebe los dispositivos conectados
Si se quita un dispositivo del sistema, se toma una acción específica como bloquear todos los puertos USB o apagar el sistema. Obviamente, esto no evitaría un ataque experto, pero evitaría a la malvada literal (persona técnicamente irreversible con acceso físico, a la que se le ha indicado que "simplemente conecte esto entre el teclado y la computadora").
¿Alguien sabe si ya existe un script que hace eso?
Nota: Sí, sé de la Ley 3, que esto no proporciona seguridad completa, yadayada. Sin embargo, una buena línea de defensa significa tener varias partes móviles y tener este script aumentaría la seguridad física en los entornos, donde no puede hacer más (sí, existen).