在软件中禁用 USB/可移动设备

在软件中禁用 USB/可移动设备

我如何才能真正仅使用软件禁用 USB/可移动驱动器支持?

例如,在 Windows 上,我知道我可以在设备管理器中禁用相关硬件,而用户将无法覆盖此设置。这在大多数情况下都有效。

那么,如果存在本地特权漏洞,允许用户启用 USB 端口,那会怎样呢?

有没有办法在较低的操作系统级别禁用 USB 端口或可移动驱动程序,或者在插入时发出警报?

答案1

有多种软件可以禁用 USB 和/或记录 USB 端口的启用/使用情况。但如上所述,如果是软件,那么理论上可以禁用。一种可能的想法是客户端/服务器解决方案(就像许多企业防病毒软件的工作方式一样),其中软件在客户端上强制执行策略,服务器轮询客户端以检查其当前设置。因此存在不在受感染客户端上的远程日志。

答案2

您忘了提及您正在谈论的操作系统或硬件(“例如 Windows”不是一个规范。

无论如何,许多 BIOSen 确实允许在操作系统级别以下禁用 USB 端口或可移动媒体。

您可能会说,“嘿,但是我说过是在软件中”,好吧,许多 BIOSen 也允许从 BIOS 配置的操作系统进行配置。

您可能会说,“嘿,但我说的是本地特权利用”,好吧,允许配置的相同 BIOSen 通常可能允许对 BIOS 进行密码保护。因此,您可以在操作系统级别禁用 BIOS 并设置密码/然后,您就可以在不知道密码或拆开机器的情况下防止被重新启用。

对于禁用 USB 端口/挂载的特定操作系统方法(通常可以从操作系统级别恢复),这是 DoD STIG 授权和检查的众多事项之一,因此您可以从中获得想法。

答案3

这通常成为防病毒软件包的一项功能。Symantec Endpoint 和 Trend Micro Worry Free 都提供了禁用 USB 驱动器访问的功能。

相关内容