بستن پورت USB | ضرورت و روش‌های بستن پورت‌ USB

بدون تردید، یکی از مسیرهای ورود بدافزارها به سازمان‌ها یا خروج اطلاعات حساس از آن‌ها، پورت‌های USB هستند. با اینکه ناامن بودن پورت‌های USB برای انتقال اطلاعات، سال‌ها است که بر هیچ‌کس پوشیده نیست، اما به دلیل سهولت استفاده از پورت‌های USB برای جا به جایی اطلاعات، هنوز هم در بسیار از سازمان‌ها از این روش پرخطر استفاده می‌شود. یکی از ساده‌ترین روش‌ها برای مقابله با تهدیدات USB، بستن این پورت‌ها در کامپیوترهای متصل به شبکه سازمان است. در این مقاله، نگاهی خواهیم داشت بر روش‌ها و ضرورت بستن پورت USB در سازمان‌ها. با سایبرنو همراه باشید.

آنچه در ادامه می‌خوانید:

چرا USBها خطرناک هستند؟

روش های بستن پورت USB

کیوسک امن سایبرنو؛ راهکار تکمیلی دفاع در مقابل USBها

سوالات پرتکرار

چرا USBها خطرناک هستند؟

پیش از اینکه به معرفی روش های بستن پورت USB بپردازیم، بد نیست که ابتدا به این پرسش که چرا USB روش مطمئنی برای جا به جایی اطلاعات نیست، پاسخ دهیم.  پورت USB روشی جهان‌شمول برای انتقال اطلاعات است که از دهه ۱۹۹۰ به این سو، به صورتی انفجاری گسترش یافت. دستگاه‌های USB بسیار ارزان‌قیمت هستند و می‌توان حافظه‌های USB بسیار کوچک و قابل حمل را که می‌توانند حجم‌های بالایی از داده‌ها را جا به جا کنند، با قیمت بسیار پایین خریداری و به سادگی و حتی مخفیانه حمل کرد.

• در واقع، پورت‌های USB کامپیوترهای سازمان شما، به هیچ عنوان خاص نیستند و هر کسی می‌تواند به راحتی یک حافظه USB را به آن‌ها متصل کند. بنابراین، انتقال اطلاعات به درون کامپیوترهای سازمان یا خروج اطلاعات از این کامپیوترها با وجود پورت‌های USB، بسیار ساده است و هر کسی می‌تواند آن را انجام دهد. حتی با استفاده از درایوهای قابل حمل USB می‌توان کامپیوترها را بوت کرد. این جهان‌شمول بودن و پرکاربرد بودن پورت‌های USB باعث شده است تا هکرها از آن‌ها برای مجهز کردن هر چه بیشتر زرادخانه‌‌های خود استفاده کنند. از مهم‌ترین تهدیداتی که USB‌ها به همراه دارند می‌تواند به موارد زیر اشاره کرد:
• انتقال بدافزار به شبکه سازمان شما: هکرها می‌توانند با استفاده از حافظه‌های USB، بدافزارهای خود را به کامپیوترها و شبکه سازمان شما منتقل کنند. از آن‌جایی که حافظه‌های USB بسیار کوچک هستند، هر کسی می‌تواند آن‌ها را وارد سازمان کند و حتی اگر حفاظت فیزیکی شما سخت‌گیری زیادی در ورود و خروج داشته باشد، امکان جاساز کردن و ورود حافظه‌های USB قابل حمل به درون سازمان، همواره وجود دارد. این تهدید زمانی ملموس‌تر می‌شود که بدانید USBها می‌توانند به صورت خودکار، پس از اتصال به یک کامپیوتر، فایل‌هایی را که حمل می‌کنند، روی آن کامپیوتر اجرا کنند.
• سرقت اطلاعات حساس: پر واضح از است که می‌توان از دستگاه‌های USB قابل حمل برای به سرقت بردن صدها گیگابایت اطلاعات حساس از هر کامپیوتری استفاده کرد. حتی تهدیدات داخلی مثل کارمندان ناراضی نیز می‌توانند به راحتی از دستگاه‌های USB برای خروج اطلاعات حساس از سازمان شما و انتشار یا فروش آن‌ها استفاده کنند.
• آسیب‌ رساندن به دارایی‌های IT سازمان: می‌توان از دستگاه‌های USB برای خسارت وارد کردن به دارایی‌های IT سازمان‌ها نیز استفاده کرد. برای این کار، هیچ تخصص و دانش فنی نیاز نیست و صرفا کافی است که فرد متخاصم که می‌تواند تهدیدی داخلی یا خارجی باشد، یک یو اس بی کیلر را به کامپیوتری در سازمان شما متصل کند تا آن را از کار بیاندازد.

برای آشنایی کامل با خطرات دستگاه‌های USB برای سازمان خود، مقاله «تهدیدات USB؛ از شایعه تا واقعیت» را بخوانید.

تا اینجا گفتیم که چرا USBها خطرناک هستند. یکی از روش‌های اصلی مقابله با تهدیدات USB در سازمان‌ها، بستن پورت فلش است که در ادامه، روش‌های مختلف آن را برای شما توضیح می‌دهیم. همچنان با سایبرنو همراه باشید.

روش های بستن پورت USB

سازمان‌ها می‌توانند برای بستن پورت‌های USB در دارایی‌های IT خود از روش‌های سخت‌افزاری و نرم‌افزاری استفاده کنند. روش‌های نرم‌‌افزاری به دلیل انعطاف‌پذیری بیشتر و هزینه پایین‌تر، روش‌های معقول‌تری برای بستن پورت USB در سازمان‌ها محسوب می‌شوند. در ادامه، مهم‌ترین روش های بستن پورت USB در سیستم عامل‌های مختلف را مرور می‌کنیم.

۱- روش های بستن پورت فلش در ویندوز ۱۱

ویندوز ۱۱ آخرین نسخه سیستم عامل ویندوز است و بر اساس پروتکل‌های امنیت سایبری برای سازمان‌ها و با توجه به نزدیک شدن ویندوز ۱۰ به پایان عمر، پیشنهاد می‌شود که حتما تمامی کامپیوترهای متصل به شبکه سازمان خود را به ویندوز ۱۱ ارتقاء دهید. از مهم‌ترین روش‌های بستن پورت USB در ویندوز ۱۱ می‌توان به موارد زیر اشاره کرد:

• بستن پورت فلش با Group Policy

• مسدودسازی پورت USB با استفاده از Registry Edits

• بستن پورت USB با دیوایس منیجر ویندوز

• مسدودسازی پورت فلش با استفاده از Local Security Policy

• استفاده از نرم افزار بستن پورت USB

در ادامه، هر یک از این روش‌ها را به طور کامل توضیح می‌دهیم.

مسدودسازی پورت USB با Group Policy ویندوز ۱۱

قابلیت Group Policy ویندوز ابزاری قدرتمند برای مدیریت کاربر و تنظیمات کامپیوتر در محیط اکتیو دایرکتوری (Active Directory) است. برای بستن پورت USB با استفاده از قابلیت Group Policy در ویندوز ۱۱ به ترتیب زیر پیش بروید:

۱- Group Policy Management Console (GPMC) یا Local Group Policy Editor را باز کنید. برای این کار می‌توانید از فرمان gpedit.msc استفاده کنید.
۲- یک Group Policy Object (GPO) جدید بسازید یا GPO قبلی را ویرایش کنید.
۳- به مسیر زیر بروید:
Computer Configuration -> Administrative Templates -> System -> Removable Storage Access
۴- Policyهای مرتبط با رد خواندن یا نوشتن از روی حافظه قابل حمل (removable storage) را فعال کنید.
گذشته از موارد گفته شده در بالا، امکان غیر فعال کردن یک دستگاه USB خاص از مسیر زیر وجود دارد:
Computer Configuration -> Administrative Templates -> System -> Device Installation -> Device Installation Restrictions

بستن پورت فلش با قابلیت Registry edits در ویندوز ۱۱

برای غیر فعال کردن پورت های USB در ویندوز ۱۱ می‌توانید از قابلیت Registry edits نیز استفاده کنید. برای این کار به ترتیب زیر پیش بروید:
۱- Registry Editor را باز کنید. برای این کار می‌توانید از فرمان regedit.exe استفاده کنید.
۲- به مسیر زیر بروید:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
۳- مقدار گزینه Start را به ۴ تغییر دهید تا پورت‌های USB غیر فعال شوند.

۴- برای فعال‌‌سازی مجدد پورت‌های USB، مقدار Start را به ۳ تغییر دهید.

مسدودسازی پورت USB با Device Manager در ویندوز ۱۱

غیرفعال‌سازی پورت های USB در دیوایس منیجر، یکی دیگر از راه‌های مسدودسازی این پورت‌ها در سیستم‌های دارای سیستم عامل ویندوز ۱۱ است. برای این کار به ترتیب زیر پیش بروید:
۱- Device Manager ویندوز را باز کنید.
۲- گزینه Universal Serial Bus controllers پیدا و باز کنید.
۳- روی کنترلرهای USB راست-کلیک کنید و گزینه Disable device را انتخاب کنید.

بستن پورت USB با استفاده از Local Security Policy در ویندوز ۱۱

با استفاده از Local Security Policy نیز می‌توان پورت‌های USB را در ویندوز ۱۱ محدود کرد. برای این کار به ترتیب زیر پیش بروید:
۱- Local Security Policy را باز کنید. برای این کار می‌توانید از فرمان secpol.msc استفاده کنید.
۲- به مسیر زیر بروید:
Security Settings -> Local Policies -> Security Options
۳- گزینه Devices: Restrict CD-ROM access to locally logged-on user only و گزینه‌های مشابه برای دستگاه‌های قابل حمل را فعال کنید.

۲- بستن پورت فلش در ویندوز ۱۰

اگر هنوز از ویندوز ۱۰ استفاده می‌کنید، برای بستن پورت USB می‌توانید از تمامی روش‌های گفته شده در بالا، شامل Group Policy، Registry Edits، Device Manager و Local Security Policy استفاده کنید.

۳- روش‌ های بستن پورت USB در لینوکس

در سیستم‌های مبتنی بر لینوکس می‌توان از روش‌های مختلفی برای بستن پورت USB استفاده کرد که عمده آن‌ها از طریق فرمان‌ها و فایل‌های پیکربندی سیستم انجام می‌شوند. در زیر، چندین مورد از روش‌های مسدودسازی پورت USB در لینوکس را توضیح می‌دهیم. این روش‌ها عبارتند از:

استفاده از modprobe برای غیرفعال‌سازی USB Storage Kernel Module

برای این کار به ترتیب زیر پیش بروید:
۱- یک ترمینال را باز کنید.
۲- فایل /etc/modprobe.d/blacklist.conf را ویرایش و خط blacklist usb-storage را اضافه کنید.
۳- فرمان update-initramfs -u را اجرا کنید تا ramdisk آپدیت شود.

استفاده از قوانین udev

برای مسدودسازی پورت USB در لینوکس با استفاده از قوانین udev به ترتیب زیر پیش بروید:
۱- یک فایل قانون جدید در /etc/udev/rules.d/ بسازید.
۲- خط ACTION=="add", SUBSYSTEM=="usb", ATTR{authorized}="0" را به فایل ساخته شده ایجاد کنید.
۳- قوانین udev را با udevadm control --reload-rules ریلود (reload) کنید.

۴- بستن پورت USB در تنظیمات بایوس

امکان مسدودسازی پورت های USB به صورت مستقیم در تنظیمات BIOS/UEFI کامپیوترها نیز وجود دارد. برای این کار، در هنگام بوت شدن سیستم، وارد بایوس شوید و در منوی Configuration، پورت‌های USB را غیر فعال کنید.

۵- روش‌های سخت افزاری بستن پورت USB

برای سازمان‌های حساس که نیازمند روش مستحکم‌تری برای مسدودسازی پورت USB هستند، می‌توان از روش‌های سخت‌افزاری برای مسدودسازی این پورت‌ها استفاده کرد. از روش‌های سخت‌افزاری رایج برای بستن پورت فلش به صورت سخت‌افزاری می‌توان به موارد زیر اشاره کرد:

• قفل پورت USB: قفل‌هایی فیزیکی که روی پورت‌های USB نصب می‌شوند و جلوی اتصال دستگاه‌های USB به این پورت‌ها را می‌گیرند. هر زمان که لازم باشد، می‌توانید این قفل‌ها را از روی کامپیوترهای سازمان باز کنید.

• جداسازی پورت‌های USB: در این روش، پورت‌های USB به صورت فیزیکی از روی کامپیوترهای سازمان حذف می‌شوند.

۶ـ روش‌های سطح شبکه برای مسدودسازی پورت‌های USB

آخرین روش برای بستن پورت USB در دارایی‌های IT سازمان، استفاده از روش‌های سطح شبکه است که از مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:
کنترل دسترسی شبکه (NAC): در این روش می‌توانید سیاست‌هایی برای شناسایی دستگاه‌های متصل به شبکه شامل دستگاه‌های USB اتخاذ کنید.
پیشگیری از نشت داده (DLP): با استفاده از راهکارهای DLP می‌توانید انتقال داده را در شبکه خود تحت نظارت داشته باشید.

۷- نرم افزار بستن پورت USB

هم در سیستم عامل ویندوز و هم در سیستم عامل لینوکس می‌توان از نرم‌افزارهای جانبی و راهکارهای امنیتی برای بستن پورت USB استفاده کرد. از جمله این نرم‌افزارها می‌توان به Endpoint Protector اشاره کرد که نوعی راهکار DLP برای بستن پورت USB در هر دو سیستم عامل ویندوز و لینوکس است.

کیوسک امن سایبرنو؛ راهکار تکمیلی دفاع در مقابل USBها

ممکن است این سوال برای شما پیش بیاید که در صورت بستن پورت های USB در تمامی کامپیوترهای متصل به شبکه سازمان، چطور می‌توان فایلی را خارج به داخل سازمان و اطلاعاتی از داخل به خارج از سازمان منتقل کرد.

برای ورود امن فایل به درون سازمان یا خروج امن اطلاعات از سازمان می‌توانید از راهکار کیوسک امن سایبرنو استفاده کنید. این پکیج سخت‌افزاری و نرم‌افزاری، در ورودی‌ها و خروجی‌های سازمان شما نصب می‌شود تا امکان ورود و خروج امن اطلاعات را برای شما فراهم آورد.

کیوسک امن سایبرنو مجهز به نوعی راهکار Multi-AV به نام پویشگر چند موتوره است که می‌تواند هر فایل را به صورت همزمان با بیش از ۳۰ آنتی ویروس اسکن کند. این راهکار امنیتی، نرخ تشخیص بسیار بالایی دارد و ورود هرگونه بدافزار به درون سازمان یا خروج هر نوع اطلاعات حساس از سازمان به خارج را به شدت محدود می‌کند.

برای ورود اطلاعات به داخل سازمان، می‌توان حافظه‌های قابل حمل مثل فلش درایوها را به کیوسک امن سایبرنو متصل کرد تا اطلاعات درون آن‌ها اسکن شود. بدین ترتیب، فایل‌های امن و بدون آسیب‌پذیری می‌توانند از کیوسک امن سایبرنو به بخش‌های مختلف در شبکه سازمان ارسال شوند. همچنین، برای خروج اطلاعات از سازمان می‌توان با اتصال حافظه‌های قابل حمل به کیوسک امن، جلوی خروج اطلاعات محرمانه را که توسط مدیر سامانه تعریف می‌شوند، گرفت. بدین ترتیب، کیوسک امن سایبرنو، نه ورود و خروج فایل به سازمان شما را بسیار ساده می‌سازد، بلکه راهکاری قدرتمند برای حفظ امنیت سایبری سازمان شما است.

سوالات پرتکرار

۱- چرا باید پورت های USB را ببندیم؟

پورت‌های USB آسیب‌پذیری بسیار بالایی در مقابل تهدیدات داخلی و خارجی دارند و بنابراین، برای جلوگیری از حملات بدافزاری، سرقت اطلاعات حساس و یا آسیب‌های سخت‌افزاری به کامپیوترهای سازمان خود باید پورت‌های USB را ببندید.

۲- نحوه بستن پورت USB در اکتیو دایرکتوری چگونه است؟

برای بستن پورت USB از طریق اکتیو دایرکتوری باید یک Group Policy Object (GPO) بسازید و سپس با رفتن به مسیر Computer Configuration -> Administrative Templates -> System -> Removable Storage Access دسترسی خواندن و نوشتن روی دستگاه‌های حافظه قابل حمل را محدود کنید.

۳- آیا امکان رمز گذاشتن روی پورت USB وجود دارد؟

برای رمز گذاشتن روی پورت USB در ویندوز و لینوکس می‌توان از نرم‌افزارهایی مثل Endpoint Protector استفاده کرد.  این نرم افزار برای بستن پورت USB نیز استفاده می‌شود.