我如何才能真正仅使用软件禁用 USB/可移动驱动器支持?
例如,在 Windows 上,我知道我可以在设备管理器中禁用相关硬件,而用户将无法覆盖此设置。这在大多数情况下都有效。
那么,如果存在本地特权漏洞,允许用户启用 USB 端口,那会怎样呢?
有没有办法在较低的操作系统级别禁用 USB 端口或可移动驱动程序,或者在插入时发出警报?
答案1
有多种软件可以禁用 USB 和/或记录 USB 端口的启用/使用情况。但如上所述,如果是软件,那么理论上可以禁用。一种可能的想法是客户端/服务器解决方案(就像许多企业防病毒软件的工作方式一样),其中软件在客户端上强制执行策略,服务器轮询客户端以检查其当前设置。因此存在不在受感染客户端上的远程日志。
答案2
您忘了提及您正在谈论的操作系统或硬件(“例如 Windows”不是一个规范。
无论如何,许多 BIOSen 确实允许在操作系统级别以下禁用 USB 端口或可移动媒体。
您可能会说,“嘿,但是我说过是在软件中”,好吧,许多 BIOSen 也允许从 BIOS 配置的操作系统进行配置。
您可能会说,“嘿,但我说的是本地特权利用”,好吧,允许配置的相同 BIOSen 通常可能允许对 BIOS 进行密码保护。因此,您可以在操作系统级别禁用 BIOS 并设置密码/然后,您就可以在不知道密码或拆开机器的情况下防止被重新启用。
对于禁用 USB 端口/挂载的特定操作系统方法(通常可以从操作系统级别恢复),这是 DoD STIG 授权和检查的众多事项之一,因此您可以从中获得想法。
答案3
这通常成为防病毒软件包的一项功能。Symantec Endpoint 和 Trend Micro Worry Free 都提供了禁用 USB 驱动器访问的功能。