آموزش جلوگیری از دسترسی کاربران به پورت USB
امروزه کمتر خانه یا شرکتی در کشور ما وجود دارد که در آن کامپیوتر یا لپ تاپ موجود نباشد. اینکه در هر مجموعه ای دسترسی به امکانات مختلف کامپیوتر ها طبقه بندی و برای کاربران مختلف محدود شده باشد یک مورد اجتناب ناپذیر می نماید. این موضوع در کامپیوتر های شرکت ها، ادارات و سازمان ها نمود بیشتری دارد. به عنوان مثال یکی از موارد خیلی پر کاربرد، جلوگیری و بستن دسترسی کاربر به پورت یو اس بی کامپیوتر ها می باشد. به صورت ساده و کلی می توان گفت، برای جلوگیری از سرقت اطلاعات سازمان، یا جلوگیری از ویروسی شدن کامپیوترهای سازمان، لازم است دسترسی کاربران به یو اس بی محدود شود تا نتوانند هر دستگاهی از جمله مموری های خود را به آن وصل نمایند. اما همین کار نیز کار ساده ای نیست و برای انجام آن به آموزش جلوگیری از دسترسی کاربران به پورت USB نیاز است.
متاسفانه یکی از شایع ترین روش های انتقال ویروس ها به کامپیوترها، حافظه های قابل حمل می باشد. یکی از بهترین و پرکاربرد ترین روشها برای امنیت سیستم ها، استفاده از یک آنتی ویروس متناسب با نیاز خود و نصب بر روی سیستمها و دریافت جدیدترین بروز رسانی ها است. اما باز هم امکان دارد که برخی ویروسهایی وارد شبکه شما شود که هنوز توسط آنتی ویروسها شناسایی نشده اند ، از طرفی در شبکه های ادارات و سازمان ها و شرکت ها که به امنیت اطلاعات خود اهمیت بسیار می دهند ممکن است بستن پورت USB و مدیریت آن بصورت متمرکز راهی مطمئن تر به نظر آید. همانطور که عرض شد جهت حفظ امنیت اطلاعات سازمان و یا جلوگیری از ویروسی شدن سیستم ها، جلوگیری از دسترسی کاربران و کارکنان سازمان یا شرکت به پورت های ارتباطی ورودی و خروجی که اطلاعات را منتقل می کند، و به ویژه معروف ترین آن ها، پورت USB الزامی به نظر می رسد. برای جلوگیری از دسترسی کاربران به پورت USB روش های مختلفی وجود دارد که خدمتتان در این مطلب معرفی می نماییم.
روش اول: بستن پورت USB از طریق Registery ویندوز
این روش در ویندوز های قدیمی تر کاربردی تر است. در این روش ابتدا در پنجره Run ویندوز دستور Regedit را وارد کنید تا برنامه ویرایشگر رجیستری ویندوز اجرا شود. حال مسیر زیر را دنبال کنید:
HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Services\UsbStor
حال در میان گزینه های موجود، Start را انتخاب کرده و با کلیک برروی آن وارد تنظیمات شوید. در اینجا برای این متغیر، مقدار وارده باید بر حسب Hexadecimal باشد و مقدار ۴ را وارد و ذخیره کنید. یادتان باشد با قرار دادن مقدار ۳ در آن اجازه دسترسی کاربر را به حافظه های قبل حمل داده می شود. پس باید در وارد کرد عدد دقت شود.
روش دوم: بستن پورت USB از طریق محدود سازی دسترس به فایل درایور
این روش دسترسی کاربران به فایلی که حاوی تنظیمات و درایور یو اس بی است، محدود می شود. این روش باید دستگاه های ذخیره ساز یو اس بی را از کامپیوتر جدا کنیم. در این روش که از روش اول بهتر است، ابتدا به مسیر زیر بروید:
My Computer/C / Windows/ Inf
حال در این گام باید دسترسی کاربرانی که قرار است به پورت USB دسترسی نداشته باشند را با تغییر NTFS Permission دو فایل usbstor.inf و usbstor.PNF به حالت Deny قرار دهید. برای این منظور در تب Security گزینه Edit را انتخاب کرده و گروه یا کاربر مورد نظر خود را اگر در لیست باشد انتخاب کرده و اگر نباشد Add نمایید. سپس در لیست باکس پایین، پارامتر Read و همچنین برای اطمینان بیشتر پارامتر Full Control را در نیز، حالت Deny قرار دهید.
معقول ترین کار این است که گروهی به نام خاص برای کاربرانی که قصد بستن دسترسی آن ها به سو اس بی را دارید، ساخته و آن کاربران را در گروه فوق عضو نمایید.
روش سوم: بستن پورت USB از طریق قابلیت های Device Manager ویندوز
همین طور که از اسم این روش بر می آید برای این کار باید از قابلیت های ساده خود ویندوز بهره گرفت. در گام اول روی Computer یا همان My Computer راست کلیک کرده و سپس گزینه Manage را انتخاب کنید و وارد بخش Device Manager شده، سپس گزینه Universal Serial Bus controllers را باز کنید. در این قسمت دستگاه هایی که از طریق رابط USB و پورت های دیگر به کامپیوتر شما متصل شده اند نمایش داده می شوند.
در این مرحله در قسمت Device Manager بر روی گزینه USB Mass Storage Device کلیک راست کرده و گزینه Properties را انتخاب کنید. سپس در تب Details در قسمت Property > Hardware ids را انتخاب کرده تا در داخل باکس قسمت Value دو گزینه برای شما نمایش داده شود. روی گزینه اول کلیک راست کرده و کپی را کلیک فرمایید. در مراحل بعدی باید در جایی خاص این کد یا شناسه سخت افزاری را پیست نمایید.
حال به منوی Start ویندوز خود رفته و دستور gpedit.msc را تایپ کرده و بر روی کلید اینتر کیبوردتان کلیک کنید. پنجره ای به شما نمایش داده خواهد شد که باید روی پوشه های موجود، مسیر زیر را کلیک نمایید:
Administrative Templates / System / Device Installation
حال در قسمت راست پنجره، بر روی گزینه Prevent installation of device that match any of the devices Ids دو بار کلیک نمایید تا صفحه ای باز شود . در صفحه ای که باز شده ابتدا تیک Enabled را بزنید. حال در باکس پایین و سمت چپ صفحه، روی گزینه Show کلیک کنید تا پنجره ای دیگر برای شما باز گردد. در پنجره جدید، در قسمت Value ، شناسه سخت افزاری که در مراحل قبل کپی کرده بودید را در این قسمت Paste کرده و OK را بزنید. حال دسترسی به پورت یو اس بی دستگاه محدود شده است.
نکته تکمیلی این است که برای اینکه این تنظیمات انجام شده، بر روی فلشی که در حال حاضر به سیستم متصل است نیز تاثیر داشته باشد تیک گزینه Also apply to matching را هم زده و گزینه Apply را کلیک نمایید. در این صورت هر دستگاه USB که در حال حاضر به سیستم متصل است نیز غیر فعال خواهد شد. بعد از چند ثانیه پیغامی را در نوار پایین صفحه ویندوز خود مبنی بر اینکه از دسترسی به این فلش جلوگیری شده است، مشاهده خواهید کرد.
روش چهارم: بستن پورت USB از طریق قابلیت Group Policy در ویندوز های ویستا و بالاتر
در این روش با استفاده از از Policy های موجود در ویندوز، محدودیت اعمال می شود. از قابلیت های ویندوز های ویستا به بعد، این است که در آن ها، یک سری پالیسی وجود دارد که می توانید با استفاده از آن ها به صورت متمرکز از نصب شدن Device های جدید که شامل حافظه های قابل حمل می شوند بر روی کامپیوتر خود جلوگیری کنید. برای دسترسی به آن ها باید از مسیر زیر در داخل ویندوز به آن ها برسید:
Computer Configuration=>Administrative Templates=>System=>Device Installation=>Device Installation Restrictions
همچنین می توانید با بدست آوردن Hardware IDs دستگاه ها و دیوایس های مورد نظر، آنها را در شناسایی مستثنی کرده و یا تنها از Install شدن یک یا چند Device جلوگیری کنید. علاوه بر این می توانید برای آن پیام خطای دلخواه خود را تعیین کنید. گرچه این روش از طریق گروپ پالیسی اعمال می شود و پیاده سازی آن راحت بنظر می رسد، اما در سازمان هاییی که هنوز از ویندوز های قدیمی تر از ویستا مانند WinXP استفاده می کنند این پالیسی اعمال نمی شود همچنین با توجه به اینکه ممکن است در کلاینت های شبکه ، از قبل دیوایس هایی شناسایی و نصب شده باشد این پالیسی ها در نصب Device ها محدودیت ایجاد می کنند.
روش پنجم: بستن پورت USB در شبکه از طریق GFI Endpoint Security
اکیدا توصیه می شود اگر در شبکه های Enterprise تصمیم به محدود کردن فلش مموری ها و کنترل آنها را دارید و و نیز تصمیم بر مستثنی کردن یک سری حافظه های قابل حمل را دارید، از ابزارهایی مانند GFI Endpoint Security که در همین زمینه کاربرد دارند استفاده کنید. از طریق مسیری که در ذیل ذکر خواهد شد می توانید به پالیسی هایی دسترسی یابید که با استفاده از آنها می توانید دسترسی به دستگاههای قابل حمل را از جمله CD-ROM , Floppy Drives , Removable Disks را سلب کنید. می توانید این دیواس ها را فعال یا غیر فعال کرده و یا می توانید اجازه خواندن و نوشتن را سلب نمایید.
شما میتوانید این پالیسی ها را در شبکه کامپیوتری خود به صورت متمرکز و از طریق کنسول مدیریتی Group Policy در ویندوز سرور به کلاینت های شبکه خود اعمال کنید. اما همانطور که گفته شد این پالیسی را ویندوزهای قدیمی تر از ویستا پشتیبانی نمی کنند. از این رو باید برای برای اعمال کردن آنها از ویندوز سرور ۲۰۰۸ به بالاتر استفاده فرمایید.
همان طور که عرض شد روشی که شرح داده شد برای ویندوزهای ویستا به بالاتر قابل استفاده است و در ویندوز های قبل از ویستا مثل Win XP این پالیسی ها وجود ندارد ، بنابراین اگر بخواهیم این روش را بصورت متمرکز به کلاینتها اعمال کنیم ، اگر در شبکه ما از ویندوزها ی مختلف استفاده میشد مثل ویندوز ۷ و XP و ویستا آنوقت این پالیسی تنها به کلاینت های دارای ویندوز ویستا یا بالاتر اعمال می شود.
در صورتی که مایلید این کارها بصورت حرفه ای و با بهترین کیفیت تضمین شده برای شرکت شما انجام گیرد، پرسنل مجرب و متخصص رایان پشتیبان آمادگی انجام کلیه این خدمات و خدمات نرم افزاری و سخت افزاری دیگر به شما عزیزان را دارا می باشند.