強(qiáng)化USB設(shè)備控制保障操作系統(tǒng)安全

字號(hào):

隨著價(jià)格的下降,USB設(shè)備的使用現(xiàn)在越來越普遍。今天我們來談?wù)勅绾慰刂芔SB設(shè)備保障系統(tǒng)的安全。
    USB端口有其自身的優(yōu)越性,這成為現(xiàn)代IT生活的一個(gè)事實(shí),但是,這同時(shí)還意味著USB將成為每一個(gè)IT管理人員的一個(gè)令人頭痛的問題。
    我們既要依靠USB端口,還要保障其安全。筆者認(rèn)為阻止每一個(gè)對(duì)USB端口的使用并不是一個(gè)解決問題的辦法。
    Windows XP 和 Windows Server 2003系統(tǒng)對(duì)USB端口的控制是相當(dāng)有限的。你可以禁用端口或使其只讀,不過這卻缺乏對(duì)所允許的設(shè)備或文件類型的更好控制。不過,有大量的第三方應(yīng)用程序可以幫助我們從不同程度上控制USB端口。如筆者喜歡的USB安全存儲(chǔ)專家(USSE),它是一款對(duì)企業(yè)或個(gè)人的數(shù)據(jù)信息安全進(jìn)行嚴(yán)格控制而開發(fā)的USB端口監(jiān)控軟件。它可隨意控制USB存儲(chǔ)設(shè)備的讀寫權(quán)限。USB安全存儲(chǔ)專家還可控制特定的USB存儲(chǔ)設(shè)備(寫入標(biāo)識(shí)的存儲(chǔ)設(shè)備)的讀寫,可對(duì)USB存儲(chǔ)設(shè)備進(jìn)行透明加密。
    USB規(guī)范的一個(gè)特性之一是每一個(gè)設(shè)備都要告訴系統(tǒng)它是何種設(shè)備,以此作為連接到系統(tǒng)的過程的一個(gè)部分。一些制造商利用這一點(diǎn)允許你阻止特定端口上的特定種類的設(shè)備,例如,你可以在任何端口上選擇允許一個(gè)USB鼠標(biāo),不過絕不允許閃盤,權(quán)限最少的原則絕對(duì)適用于USB端口。一般說來,問題不應(yīng)當(dāng)是“我們需要阻止什么”,而是“我們可以允許什么?”
    一些制造商對(duì)于所允許的控制采取了更進(jìn)一步的措施,允許你要求一個(gè)帶有特定序列號(hào)的并且與一個(gè)特定用戶相連的特定設(shè)備來使用一個(gè)特定端口。你還可以將某些特定設(shè)備標(biāo)記為只讀或設(shè)置哪些種類的文件可通過一個(gè)特定的USB端口讀取或?qū)懭?。這有助于防止兩種風(fēng)險(xiǎn):一是防止某人通過USB端口將某些惡意的欺詐程序裝入到系統(tǒng)中,二是防止未獲授權(quán)的某人將某些數(shù)據(jù)帶出。例如,一個(gè)用戶可能被允許下載Excel (.xls)或 Word (.doc)文件,不過卻不能下載數(shù)據(jù)庫文件。這種程序如USB Lock RP等。
    還有一些產(chǎn)品可以在操作系統(tǒng)層次上阻止USB端口,也就是說,它們成為連接過程的一部分,并且不允許特定類型的設(shè)備連接到網(wǎng)絡(luò)上的任何端口。其它的一些產(chǎn)品只允許特定的設(shè)備同是又阻止此類型的其它設(shè)備。如此一來,用戶就只能將文件下載到其筆記本電腦的硬盤上,卻不能下載到其它的USB盤驅(qū)動(dòng)器上。你還可以選擇對(duì)其進(jìn)行設(shè)置,只允許使用許一個(gè)用經(jīng)過授權(quán)的、登記為某用戶的加密閃盤。如NetWrix USB Blocker。
    在尋求 USB保護(hù)程序時(shí),需要注意的一件關(guān)鍵的事情是看其管理的難易程度和精細(xì)程度。因?yàn)橐粋€(gè)典型的網(wǎng)絡(luò)可能擁有幾千個(gè)USB端口,你可能會(huì)想到能在一個(gè)中央位置管理所有的端口。
    例如,自稱為的USB管理軟件CheapestSoft USB Blocker能夠幫助一個(gè)用戶或管理員控制USB存儲(chǔ)設(shè)備。管理員可以控制一*立計(jì)算機(jī)或網(wǎng)絡(luò)上多臺(tái)計(jì)算機(jī)的USB設(shè)備。對(duì)于每一個(gè)存儲(chǔ)設(shè)備來說,管理員可以設(shè)置三種狀態(tài):禁用(不能讀或?qū)?,只讀,允許讀寫。這些設(shè)置不會(huì)影響到USB鼠標(biāo)或鍵盤。
     理想情況下,你將需要通過組策略特性或其它無縫技術(shù)來管理網(wǎng)絡(luò)上的端口?,F(xiàn)在有一些產(chǎn)品能夠管理企業(yè)中的所有網(wǎng)絡(luò)上USB端口,而不是分別管理每一個(gè)網(wǎng)絡(luò)的端口。
    當(dāng)然,USB端口的控制并不是網(wǎng)絡(luò)和系統(tǒng)安全的要害所在,你也不能絕對(duì)地保證數(shù)據(jù)不能從USB端口泄漏出去。不過,這也正是網(wǎng)絡(luò)中任何端點(diǎn)的真實(shí)情況。關(guān)鍵是如何減輕這些常用設(shè)備的風(fēng)險(xiǎn)。