Navigaweb.net logo

Bloccare porte e collegamenti USB non autorizzati su PC

Aggiornato il: Scritto Da: - @pomhey
Metodi completi per inibire l'uso di memorie esterne non approvate, proteggendo il sistema da infezioni e copie non autorizzate di file sensibili
bloccare porte USB

I firewall aziendali più costosi e gli antivirus euristici diventano quasi inutili nel momento in cui qualcuno ottiene l'accesso fisico alla macchina. Spesso si sottovaluta che il vettore d'attacco più pericoloso non è un hacker remoto, ma una porta USB lasciata incustodita. Basta un attimo di distrazione o un collaboratore scontento per inserire una memoria infetta o, scenario peggiore, copiare gigabyte di documenti riservati in pochi secondi.

Per blindare un computer non serve staccare i cavi. Esistono strategie software precise che permettono di inibire il riconoscimento dei dispositivi di archiviazione di massa (Mass Storage) lasciando perfettamente funzionanti le periferiche indispensabili come mouse, tastiere e stampanti. Analizziamo le metodologie più solide, dalla modifica dei registri di sistema all'uso di policy avanzate, fino agli strumenti per creare liste di dispositivi consentiti.

LEGGI ANCHE: Disattivare e riattivare le porte USB del PC con un click

Blocco totale tramite il Registro di Sistema

Per chi deve intervenire su una singola macchina e preferisce non dipendere da software esterni, la modifica al registro di Windows è la strada maestra. Questa operazione agisce a basso livello, istruendo il kernel a non avviare il servizio responsabile del montaggio dei drive USB.

È necessario premere la combinazione Win + R, digitare regedit e confermare. Una volta nell'editor, bisogna navigare con precisione verso questo percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

Nel pannello di destra si trova il valore DWORD chiamato Start. Modificandolo, si cambia il comportamento del driver:

  • Impostare il valore su 4 disabilita il servizio: le chiavette inserite non verranno montate.
  • Impostare il valore su 3 ripristina il funzionamento predefinito.

Questa modifica ha effetto immediato per le nuove connessioni, ma in alcuni casi potrebbe richiedere un riavvio per espellere drive già connessi. È un metodo "tutto o niente": efficace, ma rigido.

Gestione con Criteri di Gruppo (Group Policy)

Chi utilizza versioni Pro, Education o Enterprise di Windows ha accesso a uno strumento superiore: l'Editor Criteri di gruppo locali. A differenza del registro, qui possiamo distinguere i permessi di lettura da quelli di scrittura, una distinzione cruciale per la sicurezza dei dati.

Digitando gpedit.msc nel menu Start, ci si sposta in: Configurazione computer > Modelli amministrativi > Sistema > Accesso agli archivi rimovibili.

Qui le opzioni permettono di configurare la macchina:

  • Dischi rimovibili: nega accesso in scrittura. Questa è l'opzione preferita in molti ambienti corporate. Gli utenti possono leggere i file dalla chiavetta (utile per passare documenti di lavoro), ma non possono copiare nulla dal PC alla chiavetta. Il rischio di esfiltrazione dati è azzerato.
  • Dischi rimovibili: nega accesso in esecuzione. Impedisce che partano eseguibili o script dalla memoria esterna, bloccando sul nascere la maggior parte dei tentativi di infezione via USB.
  • Tutte le classi di archivi rimovibili: nega ogni accesso. Simula il comportamento della modifica al registro vista sopra.

Imporre la crittografia con BitLocker To Go

Invece di bloccare le porte, un approccio moderno prevede di bloccare i dati non protetti. Windows integra BitLocker, che può essere configurato per obbligare gli utenti a crittografare qualsiasi chiavetta USB prima di poterci scrivere dei file.

Seguendo la rotta di Navigaweb verso soluzioni native che non appesantiscono il sistema, questa è spesso la scelta migliore per i computer portatili aziendali. Tramite i criteri di gruppo visti sopra, si può attivare la policy: "Nega accesso in scrittura a unità fisse non protette da BitLocker".

In questo modo, se un dipendente inserisce la sua chiavetta personale, potrà solo leggere i dati. Se vuole copiare un file aziendale, Windows lo obbligherà a formattare e crittografare la chiavetta con una password aziendale, rendendo i dati illeggibili su altri PC non autorizzati.

Software per controllo avanzato

Se la necessità è quella di bloccare tutte le chiavette tranne una specifica (ad esempio quella del backup o del responsabile IT), gli strumenti di Windows diventano macchinosi perché richiedono la gestione manuale degli ID Hardware. Esistono utility portable che automatizzano questo processo.

Ratool (Removable Access Tool)

Sviluppato da Sordum, Ratool è lo standard de facto per la gestione USB leggera. Oltre alle funzioni di blocco e sola lettura, la sua caratteristica vincente è la "White List".

Inserendo una chiavetta e cliccando su "Allow Read/Write" (o usando il menu per aggiungere il dispositivo corrente), Ratool memorizza l'ID univoco di quella specifica memoria. Da quel momento, attivando la modalità "Block All", il PC rifiuterà qualsiasi connessione USB tranne quella dei dispositivi in lista bianca. È essenziale impostare una password nelle opzioni del programma per evitare che l'utente lo disattivi.

USB Deview

Per l'analisi forense o la pulizia, USB Deview di NirSoft offre una visione completa. Non serve solo a vedere cosa è collegato ora, ma mostra la cronologia di tutto ciò che è stato collegato in passato, con data e ora dell'ultimo utilizzo.

Cliccando col tasto destro su una periferica specifica (anche se non connessa), è possibile selezionare "Disable Selected Devices". Questo impedirà a Windows di caricare i driver per quella specifica chiavetta in futuro, funzionando come una "Black List" selettiva.

Difese fisiche e limiti del software

Nessun blocco software regge se l'attaccante ha tempo illimitato e accesso al BIOS. Se il boot da USB è abilitato, chiunque può avviare un sistema operativo Live (Linux o WinPE) e bypassare completamente le restrizioni di Windows per accedere all'hard disk interno.

Per una sicurezza di livello militare, il software deve essere coadiuvato dall'hardware:

  • Password BIOS/UEFI: Deve essere complessa e attivata sempre, disabilitando contestualmente il boot da supporti esterni.
  • Lucchetti USB (Port Blockers): Sono piccoli dispositivi meccanici che si incastrano nelle porte USB e richiedono una chiave proprietaria per essere rimossi. Evitano l'inserimento "distratto" di chiavette.
  • Disconnessione interna: Su desktop destinati al pubblico (chioschi, reception), la soluzione definitiva è aprire il case e scollegare i cavi che collegano le porte USB frontali alla scheda madre.

Per finire, non dimenticare la difesa di base più efficace: disabilitare l'autorun delle penne USB cosi da evitare che un virus venga eseguito automaticamente.





Posta un commento


0%