Seguridad física de la computadora, ¿cómo deshabilitar los puertos USB cuando la computadora está 'bloqueada'?

6

Digamos que mi PC & el servidor está en un entorno donde un atacante teórico tiene acceso físico a la máquina mientras yo no estoy allí. Ahora los datos están cifrados en el disco duro con TrueCrypt. Sin embargo, si no estoy allí, por lo general no me molesto en desmontar los contenedores encriptados, ya que requiere mucho tiempo ingresar la contraseña larga para volver a montarlos cada vez. Entonces, los datos son legibles si tiene acceso a la máquina y conoce la contraseña para iniciar sesión. Ahora asumo que los datos también deben ser legibles si no estoy conectado, ya que podrían enchufar un dispositivo a uno de los puertos USB y copie los datos sin cifrar en las particiones del disco duro que están montadas.

Mi plan es detener a un atacante ocasional, por ejemplo. Compañero de piso, compañero, etc. conectando y copiando datos del disco duro. Obviamente, es menos probable que abran el estuche y conecten en caliente algo en el bus PCI para hacerlo. Además, es poco probable que se vayan con la PC para hacer un buen trabajo.

¿Cómo deshabilito los puertos USB no utilizados, etc., cuando la computadora está en modo 'bloqueado' para que no puedan simplemente conectar y copiar datos del disco duro? Cualquier otra precaución que pueda tomar?

Los métodos y / o sugerencias para Windows 7 y Linux serían excelentes. Gracias!

    
pregunta zuallauz 28.03.2012 - 11:12
fuente

7 respuestas

6

Te puedo dar una solución de Linux. En primer lugar, necesitarás usar este script para bloquear tu pantalla; En segundo lugar, esto solo desactiva los dispositivos de almacenamiento USB

#!/bin/sh
sudo modprobe -r usb_storage
gnome-screen-saver --lock

Usted puede modificar esto para deshabilitar por completo la pila usb. Deberá modprobe -r en ohci , xhci y ehci y cualquier otro prefijo para hci you puedo encontrar. En mi kernel, estos se incorporan al binario central, por lo que no hay nada que pueda hacer para eliminarlos del kernel.

Tenga en cuenta que la eliminación de esos controladores de host también eliminará totalmente su teclado y mouse USB, por lo que debe asegurarse de que esté ejecutando una serie.

También puede hacerlo de la manera más difícil, es decir, sin soporte, utilizando las técnicas aquí o eliminando totalmente los controladores relevantes del kernel.

En cuanto a si esto se puede hacer en Windows - desde la búsqueda, no tan fácilmente. Puede deshabilitar las clases de almacenamiento USB utilizando algo similar a este método , y puede definitivamente bloquear la pantalla desde un script usando Rundll32.exe User32.dll,LockWorkStation . Sin embargo, sospecho que sería mejor una solución dedicada para esto.

En cuanto a la posibilidad de que los dispositivos de clonación USB funcionen realmente, la especificación USB simplemente define un bus. En el extremo del host, necesita controladores de dispositivo capaces de comunicarse con el dispositivo para que funcione. Estos existen para dispositivos de almacenamiento masivo, obviamente, sin embargo, para Instalar automáticamente los controladores que necesita Windows: Linux no tiene esa capacidad de ejecución automática (que yo sepa). Sin embargo, Windows lo hace. En cuyo caso, una solución simple sería:

  1. Desactiva la ejecución automática . Windows no ejecutará ninguna aplicación automáticamente al insertar un dispositivo USB.
  2. Desactiva la instalación automática del controlador. Para hacer esto, ve a ejecutar y escribe gpedit.msc . Vaya a Configuración del equipo, Plantillas administrativas, Sistema, Instalación del dispositivo, Restricciones de instalación del dispositivo. Desde aquí, puede deshabilitar totalmente la instalación del controlador: "Evitar la instalación de dispositivos no descritos en otras configuraciones de políticas" hará exactamente esto. ( fuente ).

En estas circunstancias, no habría forma de que un dispositivo USB insertado inicie realmente una copia de su disco si no se detectan errores en los controladores de dispositivos USB que puedan explotarse para este fin (muy, muy poco probable).

(No es que sea paranoico, pero tiendo a ejecutar los sistemas que me importan con la instalación del controlador de dispositivo bloqueada de todas formas, solo como medida de seguridad. Además, UAC en estos días, junto con la firma de controladores si está usando x64 Windows, Debería preguntar antes de instalar un controlador, por lo que debería ser bueno. Pero por si acaso ...)

    
respondido por el user2213 05.05.2012 - 23:04
fuente
14

El enfoque estándar es llenar los puertos USB con resina epoxi . Por supuesto, esto debe combinarse con enfoques similares para sellar el caso, para que el atacante no pueda ingresar a través del bus PCI, etc.

Tenga en cuenta que incluso si hace esto, law 3 se aplica: si es un tipo malo tiene acceso físico sin restricciones a su computadora, ya no es su computadora.

EDITAR: reflejando actualización a la pregunta:

En el escenario específico que describe, luego, para bloquearlo, simplemente desactive la ejecución automática. Ya debería estar apagado en Windows si lo tienes parcheado correctamente; en Linux, cómo apagarlo (o incluso si está encendido) depende de Distro, Desktop Environment, etc.

Sin embargo, tenga en cuenta que el escenario específico que describe no tiene sentido . Si el atacante es lo suficientemente serio como para construir una memoria USB personalizada para hacer esto, entonces no van a ser tan informales que se den por vencidos cuando no funciona, e intentarán algo más. Inicie desde un LiveCD, copie los volúmenes de TrueCrypt, instale un keylogger y espere a recibir la contraseña en el correo, por ejemplo. Ley 3: es su computadora ahora.

En realidad, un atacante lo suficientemente serio como para construir un palo así probablemente no se va a molestar porque no esperarán que la ejecución automática siga activa.

    
respondido por el Graham Hill 28.03.2012 - 11:36
fuente
6

Si está utilizando algún tipo de protección de punto final, es posible que tengan la capacidad de deshabilitar las unidades flash USB. Sé que Symantec Endpoint Protection tiene la capacidad de deshabilitar la memoria USB mientras permite otros dispositivos USB.

    
respondido por el David Yu 28.03.2012 - 22:35
fuente
5

Para Windows 7

Puede escribir un script de PowerShell para el evento de bloqueo y desbloqueo de pantalla para deshabilitar la instalación de nuevos dispositivos USB. Su secuencia de comandos debe cambiar la configuración de GPO local en cada bloqueo y desbloqueo desde su pantalla.

  1. Paso: Desbloquear o evento de pantalla de bloqueo

  2. Paso: Cambie el GPO

  3. Paso: Actualizar el GPO para que tenga efecto

Tal vez una solución

    
respondido por el LaPhi 07.05.2012 - 11:57
fuente
2

Becrypt Disk Protect Enhanced es lo más cercano que conozco para resolver su problema. Aquí hay un documento sobre la función exacta que creo que está buscando en el software .

    
respondido por el XOR 08.05.2012 - 14:32
fuente
1

Tenemos una solución estándar basada en USB, donde ingresas tu PIN para ver los datos en USB, si dejas tu escritorio, no hay problema.

Todos los datos estarán protegidos. Ningún usuario puede copiar estos archivos en ninguna otra ubicación (correo electrónico, disco duro, unidad de red, etc.), NO se permite captura de pantalla, grabación, uso compartido de pantalla.

De esta manera, ningún usuario podrá quitar sus datos de su unidad USB.

    
respondido por el Sunil 02.04.2012 - 07:22
fuente
0

¿Por qué no desactivas los puertos USB en el BIOS?

Aparte de eso, esta es una protección débil si alguien tiene acceso físico.

    
respondido por el Nils 10.05.2012 - 12:59
fuente

Lea otras preguntas en las etiquetas