物理的なコンピューターのセキュリティ、コンピューターが「ロック」されているときにUSBポートを無効にする方法
私のPCとサーバーが、理論的な攻撃者が私がいないマシンに物理的にアクセスできる環境にあるとしましょう。これで、データはハードドライブ上でTrueCryptを使用して暗号化されます。しかし、私がそこにいない場合は、暗号化されたコンテナーをマウント解除する必要はありません。毎回長いパスワードを入力して再マウントするのは時間がかかるためです。そのため、マシンにアクセスでき、ログインするためのパスワードを知っている場合、データは読み取り可能です。デバイスがUSBポートの1つに接続されている可能性があるため、ログインしていない場合もデータを読み取り可能にする必要があります。マウントされているハードドライブパーティションに暗号化されていないデータをコピーします。
私の計画は、偶然の攻撃者を止めることです。ハードドライブからデータを差し込んでコピーするフラットメイト、同僚など。明らかに、彼らがケースを開けて、それを行うために何かをPCIバスにホットプラグするつもりはほとんどありません。また、彼らがPCを持ち歩き、徹底した仕事をすることはほとんどありません。
コンピューターが「ロック」モードになっているときに未使用のUSBポートなどを無効にして、ハードドライブからデータをプラグインしてコピーできないようにする方法はありますか?他に可能な予防策はありますか?
Windows 7とLinuxの方法や提案はすばらしいでしょう。ありがとう!
Linuxソリューションを提供できます。まず、このスクリプトを使用して画面をロックする必要があります。第二に、これはUSBストレージデバイスを無効にするだけです
#!/bin/sh
Sudo modprobe -r usb_storage
gnome-screen-saver --lock
あなたはcanこれを変更して、USBスタックを完全に無効にします-ohci、xhciでmodprobe -rを実行する必要がありますehciとhciへのその他の接頭辞を見つけることができます。私のカーネルでは、これらはコアバイナリに組み込まれているため、カーネルから削除する方法はありません。
これらのホストコントローラーを削除すると、USBキーボードとマウスも完全に消去されるため、シリアルで実行していることを確認してください。
これを難しい方法で行うこともできます。つまり、ここでは 手法を使用するか 、または関連するコントローラをカーネルから完全に削除することで、まったくサポートしません。
これをWindowsで実行できるかどうか-見た目から、それほど簡単ではありません。このメソッドに似たものを使用して、USBストレージクラス を無効にできます 。また、Rundll32.exe User32.dll,LockWorkStationを使用して、スクリプトから画面を確実にロックできます。ただし、これには専用のソリューションが最適だと思います。
USBクローンデバイスが実際に機能する可能性については、USB仕様ではバスが定義されているだけです。ホスト側では、デバイスが機能するためにデバイスと通信できるデバイスドライバーが必要です。これらは、大容量記憶装置用に存在しますが、 ドライバーを自動的にインストールするには Windowsが必要です-Linuxには(私が知っている)そのような自動実行機能がありません。ただし、Windowsにはあります。その場合、簡単な解決策は次のようになります。
- 自動実行をオフにします 。 Windowsは、USBデバイスの挿入時にアプリケーションを自動的に実行しません。
- ドライバの自動インストールをオフにします。これを行うには、実行に移動して
gpedit.mscと入力します。コンピューターの構成、管理用テンプレート、システム、デバイスのインストール、デバイスのインストールの制限に移動します。ここから、ドライバーのインストールを完全に無効にすることができます-「他のポリシー設定で記述されていないデバイスのインストールを防止する」はまさにこれを行います。 ( ソース )。
このような状況では、USBデバイスドライバーにこの目的で悪用される可能性のあるバグがないことを前提として、挿入されたUSBデバイスが実際にディスクのコピーを開始する方法はありません(非常にまれです)。
(私は偏執的ではありませんが、デバイスドライバーのインストールがブロックされているので、気になるシステムを実行する傾向があります。また、最近のUACは、x64 Windowsを使用している場合のドライバー署名とともに、ドライバをインストールする前にプロンプトを使用するので、問題ないはずですが、念のため...)
標準的なアプローチは、USBポートに エポキシ樹脂 を充填することです。もちろん、これをケースを封印するための同様のアプローチと組み合わせる必要があるため、攻撃者はPCIバスなどを介して侵入できません。
これを行っても、 law が引き続き適用されることに注意してください。悪意のあるユーザーがコンピュータに物理的に無制限にアクセスできる場合、それはもはやコンピュータではありません。
編集:質問への更新を反映:
概説する特定のシナリオでは、それをブロックするには、自動実行をオフにします。適切にパッチされていれば、Windowsではすでにオフになっているはずです。 Linuxでは、オフにする方法(またはオンになっている場合でも)は、Distro、デスクトップ環境などに依存します。
ただし、概説する特定のシナリオは意味をなさないことに注意してください。攻撃者がこれを行うためにカスタムUSBスティックを構築するのに十分なほど深刻である場合、彼らはあまりにカジュアルではなく、機能しないときにあきらめ、別のことを試みます。たとえば、LiveCDから起動し、TrueCryptボリュームをコピーし、キーロガーをインストールして、メールでパスワードを取得するのを待ちます。法律3:それは今彼らのコンピュータです。
実際、そのようなスティックを構築するのに十分なほど深刻な攻撃者は、おそらく自動実行がオンであることを期待しないので、おそらく気になりません。
エンドポイント保護の種類を使用している場合、USBフラッシュドライブを無効にする機能がある場合があります。 Symantec Endpoint Protectionには他のUSBデバイスを許可しながらUSBフラッシュを無効にする機能があることを知っています。
Windows 7の場合
画面ロックおよびロック解除イベント用のPowerShellスクリプトを記述して、新しいUSBデバイスのインストールを無効にすることができます。スクリプトは、ロックごとにローカルGPO=設定を変更し、画面からロック解除する必要があります。
手順: GPOを変更する
多分解決策
Becrypt Disk Protect Enhancedは、あなたの問題を解決するために私が知っている最も近いものです。 ここ は、ソフトウェアで探している機能の正確なドキュメントです。
標準のUSBベースのソリューションがあります-PINと入力してUSB上のデータを表示します-デスクから離れても問題ありません。
すべてのデータが保護されます-これらのファイルを他の場所(電子メール、HDD、ネットワークドライブなど)にコピーすることはできません。画面のキャプチャ、記録、画面の共有は許可されません。
このようにして、USBドライブからデータを取得することはできません。
BIOSでUSBポートを無効にしないのはなぜですか?
それとは別に-誰かが物理的にアクセスできる場合、これは弱い保護です。