USB端口有其自身的優越性,這成為現代IT生活的一個事實,但是,這同時還意味著USB將成為每一個IT管理人員的一個令人頭痛的問題。
我們既要依靠USB端口,還要保障其安全。筆者認為阻止每一個對USB端口的使用並不是一個解決問題的辦法。
Windows XP 和 Windows Server 2003系統對USB端口的控制是相當有限的。你可以禁用端口或使其只讀,不過這卻缺乏對所允許的設備或文件類型的更好控制。不過,有大量的第三方應用程序可以幫助我們從不同程度上控制USB端口。如筆者喜歡的USB安全存儲專家(USSE),它是一款對企業或個人的數據信息安全進行嚴格控制而開發的USB端口監控軟件。它可隨意控制USB存儲設備的讀寫權限。USB安全存儲專家還可控制特定的USB存儲設備(寫入標識的存儲設備)的讀寫,可對USB存儲設備進行透明加密。
USB規范的一個特性之一是每一個設備都要告訴系統它是何種設備,以此作為連接到系統的過程的一個部分。一些制造商利用這一點允許你阻止特定端口上的特定種類的設備,例如,你可以在任何端口上選擇允許一個USB鼠標,不過絕不允許閃盤,權限最少的原則絕對適用於USB端口。一般說來,問題不應當是“我們需要阻止什麼”,而是“我們可以允許什麼?”
一些制造商對於所允許的控制采取了更進一步的措施,允許你要求一個帶有特定序列號的並且與一個特定用戶相連的特定設備來使用一個特定端口。你還可以將某些特定設備標記為只讀或設置哪些種類的文件可通過一個特定的USB端口讀取或寫入。這有助於防止兩種風險:一是防止某人通過USB端口將某些惡意的欺詐程序裝入到系統中,二是防止未獲授權的某人將某些數據帶出。例如,一個用戶可能被允許下載Excel (.xls)或 Word (.doc)文件,不過卻不能下載數據庫文件。這種程序如USB Lock RP等。
還有一些產品可以在操作系統層次上阻止USB端口,也就是說,它們成為連接過程的一部分,並且不允許特定類型的設備連接到網絡上的任何端口。其它的一些產品只允許特定的設備同是又阻止此類型的其它設備。如此一來,用戶就只能將文件下載到其筆記本電腦的硬盤上,卻不能下載到其它的USB盤驅動器上。你還可以選擇對其進行設置,只允許使用許一個用經過授權的、登記為某用戶的加密閃盤。如NetWrix USB Blocker。
在尋求 USB保護程序時,需要注意的一件關鍵的事情是看其管理的難易程度和精細程度。因為一個典型的網絡可能擁有幾千個USB端口,你可能會想到能在一個中央位置管理所有的端口。
例如,自稱為最便宜的USB管理軟件CheapestSoft USB Blocker能夠幫助一個用戶或管理員控制USB存儲設備。管理員可以控制一台獨立計算機或網絡上多台計算機的USB設備。對於每一個存儲設備來說,管理員可以設置三種狀態:禁用(不能讀或寫),只讀,允許讀寫。這些設置不會影響到USB鼠標或鍵盤。
理想情況下,你將需要通過組策略特性或其它無縫技術來管理網絡上的端口。現在有一些產品能夠管理企業中的所有網絡上USB端口,而不是分別管理每一個網絡的端口。
當然,USB端口的控制並不是網絡和系統安全的要害所在,你也不能絕對地保證數據不能從USB端口洩漏出去。不過,這也正是網絡中任何端點的真實情況。關鍵是如何減輕這些常用設備的風險。