Pull to refresh

Защита от записи на USB-накопители информации

Reading time 3 min
Views 10K
USB Block image

Многие задавались вопросом как подключать съемные носители информации в режиме защиты от записи (readonly). Это может потребоваться:
  • для предотвращения утечки информации из компании через флешки или USB-диски
  • для проведения исследования флешки или жесткого диска при подключении их через USB-интерфейс, когда нежелательно модификация данных, в том числе изменение времени последнего достапа к файлам (у NTFS)

Когда существуют аппаратные переключатели — нет проблем, в Unix-овых системах тоже все просто, добавляешь параметр -o ro или -r и диски монтируются в нужном режиме (readonly). В системах семейства Windows подключение разделов происходит в режиме записи и автоматически, при этом система несанкционировано пользователем начинает писать на раздел служебную информацию, тем самым нарушаю целостность данных (что критично при производстве технических экспертиз носителей информации).

В Windows за режим монтирования съемных носителей информации отвечает параметр WriteProtect [dword] в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies:
  • 1 — режим защиты от записи (readonly)
  • 0 — режим записи

А за идентификацию и автоматическое подключение USB-дисков параметр Start [dword] в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR:
  • 4 — блокировка USB-утсройств хранения информации
  • 3 — стандартные режим (без блокировок)

Компании сами выбирают какие политики безопасности устанавливать: некоторые борятся чтобы не приносили сторонние программы (игрухи и т.п.) некоторые — чтобы ничего не уносили (особенно охраняемую информацию). Иногда бездумно просто запрещают все USB-устройства а пользователям для обмена необходимой служебной информацией (когда отсутствует общая ЛВС) приходится изрядно поизощрятся действуя в рамках политик (записывать данный на CD и перенос через комп администратора сети у которого возможно чтение флешек и т.п.). На мой взгляд если главная цель чтобы данные не утекли -установить (определенным группам) режим работы с флешками readonly.

Существует несколько продуктов позволяющих устанавливать режимы работы с USB накопителями:

все они отлично справляются со своими функциями, умеют работать централизовано с AD. Основной минус — дороговато. Как слабая альтернатива может сгодится и скрипт в групповой политике:

SET WSHShell = CreateObject(«WScript.Shell»)
WSHShell.RegWrite «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect», «00000001», «REG_DWORD»

или
SET WSHShell = CreateObject(«WScript.Shell»)
WSHShell.RegWrite «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start», «00000004», «REG_DWORD»


UPD. Также, для отключение USB можно воспользоваться следующим методом: (за метод спасибо damnet) (данный метод работает если USB-устройство хранения данных еще не установлено в компьютер.)

1. Назначте пользователю или группе запрещающие права на следующие файлы:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf

Для этого во вкладке Безопасность файла ставим галочка напротив Полный доступ — Запретить, жмем применить.
2. Назначте для этих файлов запрещающие права учетной записи SYSTEM.

Для удобства в переключении режимов доступа к USB storage device сворганил небольшую програмку USBWriteProtect. Кому нужно можете использовать в свое удовольствие. Скачать тут place.ifolder.ru/15535906
image
В дальнейшем планирую нарастить функционал программы, но будет это не скоро.
UPD. Для программы требуется Microsoft Visual C++ 2005 Redistibutable Package.

Для уверенности что Windows ничего все-таки не ухитряется записать на USB-диск — программу протестировал:
1. Считаем контрольную сумму USB-диска с NTFS-разделом
md5sum /dev/sdb
215820fe569e57201c9b02b1fb37a272

2. Подключаем к компьютеру Windows XP с режимом работы с флешками readonly
3. Просматриваем файлы и катологи на флешке, работаем с другими приложениями.
4. Отключаем диск и проверяем контрольную сумму
md5sum /dev/sdb
215820fe569e57201c9b02b1fb37a272

5. Ура! Радуемся, readonly режим работает.
6. Подключаем к компьютеру Windows XP со стандартным режимом работы с флешками (write read)
7. Практически сразу отключаем диск и проверяем контрольную сумму
md5sum /dev/sdb
db9c636c35b352dbf024a73cd195c84f

8. А Windows таки успел нам данные модифицировать )))
Tags:
Hubs:
+17
Comments 29
Comments Comments 29

Articles