بدون تردید، یکی از مسیرهای ورود بدافزارها به سازمانها یا خروج اطلاعات حساس از آنها، پورتهای USB هستند. با اینکه ناامن بودن پورتهای USB برای انتقال اطلاعات، سالها است که بر هیچکس پوشیده نیست، اما به دلیل سهولت استفاده از پورتهای USB برای جا به جایی اطلاعات، هنوز هم در بسیار از سازمانها از این روش پرخطر استفاده میشود. یکی از سادهترین روشها برای مقابله با تهدیدات USB، بستن این پورتها در کامپیوترهای متصل به شبکه سازمان است. در این مقاله، نگاهی خواهیم داشت بر روشها و ضرورت بستن پورت USB در سازمانها. با سایبرنو همراه باشید.
آنچه در ادامه میخوانید:
کیوسک امن سایبرنو؛ راهکار تکمیلی دفاع در مقابل USBها
پیش از اینکه به معرفی روش های بستن پورت USB بپردازیم، بد نیست که ابتدا به این پرسش که چرا USB روش مطمئنی برای جا به جایی اطلاعات نیست، پاسخ دهیم. پورت USB روشی جهانشمول برای انتقال اطلاعات است که از دهه ۱۹۹۰ به این سو، به صورتی انفجاری گسترش یافت. دستگاههای USB بسیار ارزانقیمت هستند و میتوان حافظههای USB بسیار کوچک و قابل حمل را که میتوانند حجمهای بالایی از دادهها را جا به جا کنند، با قیمت بسیار پایین خریداری و به سادگی و حتی مخفیانه حمل کرد.
برای آشنایی کامل با خطرات دستگاههای USB برای سازمان خود، مقاله «تهدیدات USB؛ از شایعه تا واقعیت» را بخوانید.
تا اینجا گفتیم که چرا USBها خطرناک هستند. یکی از روشهای اصلی مقابله با تهدیدات USB در سازمانها، بستن پورت فلش است که در ادامه، روشهای مختلف آن را برای شما توضیح میدهیم. همچنان با سایبرنو همراه باشید.
سازمانها میتوانند برای بستن پورتهای USB در داراییهای IT خود از روشهای سختافزاری و نرمافزاری استفاده کنند. روشهای نرمافزاری به دلیل انعطافپذیری بیشتر و هزینه پایینتر، روشهای معقولتری برای بستن پورت USB در سازمانها محسوب میشوند. در ادامه، مهمترین روش های بستن پورت USB در سیستم عاملهای مختلف را مرور میکنیم.
ویندوز ۱۱ آخرین نسخه سیستم عامل ویندوز است و بر اساس پروتکلهای امنیت سایبری برای سازمانها و با توجه به نزدیک شدن ویندوز ۱۰ به پایان عمر، پیشنهاد میشود که حتما تمامی کامپیوترهای متصل به شبکه سازمان خود را به ویندوز ۱۱ ارتقاء دهید. از مهمترین روشهای بستن پورت USB در ویندوز ۱۱ میتوان به موارد زیر اشاره کرد:
بستن پورت فلش با Group Policy
مسدودسازی پورت USB با استفاده از Registry Edits
بستن پورت USB با دیوایس منیجر ویندوز
مسدودسازی پورت فلش با استفاده از Local Security Policy
استفاده از نرم افزار بستن پورت USB
در ادامه، هر یک از این روشها را به طور کامل توضیح میدهیم.
مسدودسازی پورت USB با Group Policy ویندوز ۱۱
قابلیت Group Policy ویندوز ابزاری قدرتمند برای مدیریت کاربر و تنظیمات کامپیوتر در محیط اکتیو دایرکتوری (Active Directory) است. برای بستن پورت USB با استفاده از قابلیت Group Policy در ویندوز ۱۱ به ترتیب زیر پیش بروید:
۱- Group Policy Management Console (GPMC) یا Local Group Policy Editor را باز کنید. برای این کار میتوانید از فرمان gpedit.msc استفاده کنید.
۲- یک Group Policy Object (GPO) جدید بسازید یا GPO قبلی را ویرایش کنید.
۳- به مسیر زیر بروید:
Computer Configuration -> Administrative Templates -> System -> Removable Storage Access
۴- Policyهای مرتبط با رد خواندن یا نوشتن از روی حافظه قابل حمل (removable storage) را فعال کنید.
گذشته از موارد گفته شده در بالا، امکان غیر فعال کردن یک دستگاه USB خاص از مسیر زیر وجود دارد:
Computer Configuration -> Administrative Templates -> System -> Device Installation -> Device Installation Restrictions
بستن پورت فلش با قابلیت Registry edits در ویندوز ۱۱
برای غیر فعال کردن پورت های USB در ویندوز ۱۱ میتوانید از قابلیت Registry edits نیز استفاده کنید. برای این کار به ترتیب زیر پیش بروید:
۱- Registry Editor را باز کنید. برای این کار میتوانید از فرمان regedit.exe استفاده کنید.
۲- به مسیر زیر بروید:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
۳- مقدار گزینه Start را به ۴ تغییر دهید تا پورتهای USB غیر فعال شوند.
۴- برای فعالسازی مجدد پورتهای USB، مقدار Start را به ۳ تغییر دهید.
مسدودسازی پورت USB با Device Manager در ویندوز ۱۱
غیرفعالسازی پورت های USB در دیوایس منیجر، یکی دیگر از راههای مسدودسازی این پورتها در سیستمهای دارای سیستم عامل ویندوز ۱۱ است. برای این کار به ترتیب زیر پیش بروید:
۱- Device Manager ویندوز را باز کنید.
۲- گزینه Universal Serial Bus controllers پیدا و باز کنید.
۳- روی کنترلرهای USB راست-کلیک کنید و گزینه Disable device را انتخاب کنید.
بستن پورت USB با استفاده از Local Security Policy در ویندوز ۱۱
با استفاده از Local Security Policy نیز میتوان پورتهای USB را در ویندوز ۱۱ محدود کرد. برای این کار به ترتیب زیر پیش بروید:
۱- Local Security Policy را باز کنید. برای این کار میتوانید از فرمان secpol.msc استفاده کنید.
۲- به مسیر زیر بروید:
Security Settings -> Local Policies -> Security Options
۳- گزینه Devices: Restrict CD-ROM access to locally logged-on user only و گزینههای مشابه برای دستگاههای قابل حمل را فعال کنید.
۲- بستن پورت فلش در ویندوز ۱۰
اگر هنوز از ویندوز ۱۰ استفاده میکنید، برای بستن پورت USB میتوانید از تمامی روشهای گفته شده در بالا، شامل Group Policy، Registry Edits، Device Manager و Local Security Policy استفاده کنید.
۳- روش های بستن پورت USB در لینوکس
در سیستمهای مبتنی بر لینوکس میتوان از روشهای مختلفی برای بستن پورت USB استفاده کرد که عمده آنها از طریق فرمانها و فایلهای پیکربندی سیستم انجام میشوند. در زیر، چندین مورد از روشهای مسدودسازی پورت USB در لینوکس را توضیح میدهیم. این روشها عبارتند از:
استفاده از modprobe برای غیرفعالسازی USB Storage Kernel Module
برای این کار به ترتیب زیر پیش بروید:
۱- یک ترمینال را باز کنید.
۲- فایل /etc/modprobe.d/blacklist.conf را ویرایش و خط blacklist usb-storage را اضافه کنید.
۳- فرمان update-initramfs -u را اجرا کنید تا ramdisk آپدیت شود.
استفاده از قوانین udev
برای مسدودسازی پورت USB در لینوکس با استفاده از قوانین udev به ترتیب زیر پیش بروید:
۱- یک فایل قانون جدید در /etc/udev/rules.d/ بسازید.
۲- خط ACTION=="add", SUBSYSTEM=="usb", ATTR{authorized}="0" را به فایل ساخته شده ایجاد کنید.
۳- قوانین udev را با udevadm control --reload-rules ریلود (reload) کنید.
۴- بستن پورت USB در تنظیمات بایوس
امکان مسدودسازی پورت های USB به صورت مستقیم در تنظیمات BIOS/UEFI کامپیوترها نیز وجود دارد. برای این کار، در هنگام بوت شدن سیستم، وارد بایوس شوید و در منوی Configuration، پورتهای USB را غیر فعال کنید.
برای سازمانهای حساس که نیازمند روش مستحکمتری برای مسدودسازی پورت USB هستند، میتوان از روشهای سختافزاری برای مسدودسازی این پورتها استفاده کرد. از روشهای سختافزاری رایج برای بستن پورت فلش به صورت سختافزاری میتوان به موارد زیر اشاره کرد:
آخرین روش برای بستن پورت USB در داراییهای IT سازمان، استفاده از روشهای سطح شبکه است که از مهمترین آنها میتوان به موارد زیر اشاره کرد:
کنترل دسترسی شبکه (NAC): در این روش میتوانید سیاستهایی برای شناسایی دستگاههای متصل به شبکه شامل دستگاههای USB اتخاذ کنید.
پیشگیری از نشت داده (DLP): با استفاده از راهکارهای DLP میتوانید انتقال داده را در شبکه خود تحت نظارت داشته باشید.
هم در سیستم عامل ویندوز و هم در سیستم عامل لینوکس میتوان از نرمافزارهای جانبی و راهکارهای امنیتی برای بستن پورت USB استفاده کرد. از جمله این نرمافزارها میتوان به Endpoint Protector اشاره کرد که نوعی راهکار DLP برای بستن پورت USB در هر دو سیستم عامل ویندوز و لینوکس است.
ممکن است این سوال برای شما پیش بیاید که در صورت بستن پورت های USB در تمامی کامپیوترهای متصل به شبکه سازمان، چطور میتوان فایلی را خارج به داخل سازمان و اطلاعاتی از داخل به خارج از سازمان منتقل کرد.
برای ورود امن فایل به درون سازمان یا خروج امن اطلاعات از سازمان میتوانید از راهکار کیوسک امن سایبرنو استفاده کنید. این پکیج سختافزاری و نرمافزاری، در ورودیها و خروجیهای سازمان شما نصب میشود تا امکان ورود و خروج امن اطلاعات را برای شما فراهم آورد.
کیوسک امن سایبرنو مجهز به نوعی راهکار Multi-AV به نام پویشگر چند موتوره است که میتواند هر فایل را به صورت همزمان با بیش از ۳۰ آنتی ویروس اسکن کند. این راهکار امنیتی، نرخ تشخیص بسیار بالایی دارد و ورود هرگونه بدافزار به درون سازمان یا خروج هر نوع اطلاعات حساس از سازمان به خارج را به شدت محدود میکند.
برای ورود اطلاعات به داخل سازمان، میتوان حافظههای قابل حمل مثل فلش درایوها را به کیوسک امن سایبرنو متصل کرد تا اطلاعات درون آنها اسکن شود. بدین ترتیب، فایلهای امن و بدون آسیبپذیری میتوانند از کیوسک امن سایبرنو به بخشهای مختلف در شبکه سازمان ارسال شوند. همچنین، برای خروج اطلاعات از سازمان میتوان با اتصال حافظههای قابل حمل به کیوسک امن، جلوی خروج اطلاعات محرمانه را که توسط مدیر سامانه تعریف میشوند، گرفت. بدین ترتیب، کیوسک امن سایبرنو، نه ورود و خروج فایل به سازمان شما را بسیار ساده میسازد، بلکه راهکاری قدرتمند برای حفظ امنیت سایبری سازمان شما است.
۱- چرا باید پورت های USB را ببندیم؟
پورتهای USB آسیبپذیری بسیار بالایی در مقابل تهدیدات داخلی و خارجی دارند و بنابراین، برای جلوگیری از حملات بدافزاری، سرقت اطلاعات حساس و یا آسیبهای سختافزاری به کامپیوترهای سازمان خود باید پورتهای USB را ببندید.
۲- نحوه بستن پورت USB در اکتیو دایرکتوری چگونه است؟
برای بستن پورت USB از طریق اکتیو دایرکتوری باید یک Group Policy Object (GPO) بسازید و سپس با رفتن به مسیر Computer Configuration -> Administrative Templates -> System -> Removable Storage Access دسترسی خواندن و نوشتن روی دستگاههای حافظه قابل حمل را محدود کنید.
۳- آیا امکان رمز گذاشتن روی پورت USB وجود دارد؟
برای رمز گذاشتن روی پورت USB در ویندوز و لینوکس میتوان از نرمافزارهایی مثل Endpoint Protector استفاده کرد. این نرم افزار برای بستن پورت USB نیز استفاده میشود.