web-dev-qa-db-ja.com

USBキーを認定されたものだけに制限し、他のコンピューターでのそのキーのアクセスをブロックすることは可能ですか?

私は組織のセキュリティに取り組んでいます。暗号化されたUSBキーをいくつか購入しましたが、従業員がデータを漏洩するのを防ぎたいと考えていました。ラップトップが暗号化されたもの以外のキーを受け入れるのを止め、他のPCで暗号化されたキーの使用を停止する方法はありますか。

特定の攻撃を防ぎたくはありませんが、システムのユーザーに十分な情報が提供されていないだけであり、ホームコンピューターにデータを残したり、他の人にデータを提供したりしたくない暗号化コードの知識がある人。

4
Harris Mirza

ユーザーが承認済みの「暗号化されたUSBキー」以外のキーを使用できないようにするには、@ LucasKaufmannが説明しているように、OS側のフィルターを追加します。しかし、デバイスをフィルタリングするほとんどの方法は回避できます。基本的に、フィルターはデバイスのベンダーIDとモデル、場合によってはシリアル番号を要求し、この情報に基づいてデバイスを「許可」するか「許可しない」かを決定します。ユーザーは、同じIDをマシンに送信することにより、承認されたキーを模倣するようにプログラム可能なUSBデバイスを変更できます。これはほとんどのフィルターを無効にします。

ユーザーの承認されたラップトップまたはデスクトップシステム以外のマシンで承認された暗号化キーの使用を妨げる問題は二重です。今度は、「承認されていない」ラップトップを拒否する暗号化USBキーでフィルタリングが発生します。これを維持するのはさらに難しいようです。

その時点で、問題をシフトすることができます。あなたの説明から、私はあなたが「承認された」ラップトップ/デスクトップシステム間でデータファイルを交換できるようにしたいがではないが、承認されたマシン。この機能を取得するには、承認済みのマシンをリンクする [〜#〜] vpn [〜#〜] をセットアップして、USBデバイスの使用をまったく回避することができます-その時点でつまり、すべてのUSBデバイスを完全に拒否するようにラップトップOSを構成できます(これは、ソフトウェアで、またはUSBポートにエポキシ接着剤を注ぐことにより、より物理的な方法で行うことができます)。

(もちろん、USBキーがすでに購入されている場合、またはさらに悪いことに、暗号化されたUSBキーの使用が一部の上層部の理想的なアイデアである場合、キーを使用しないことは許容できないオプションである可能性があります。ただし、それでもお勧めします具体的に詳しく、達成しようとしているセキュリティプロパティ、つまり攻撃モデルを書き留めます。)

2
Tom Leek

ほとんど、しかし実際にはそうではありません。

各USBデバイスには「ベンダーID」と「製品ID」があり、OSはそれを使用してデバイスのタイプを判別します。これらのIDは正式に登録され、一意であることが保証されています。また、Windowsでポリシーを設定して、接続を許可するデバイスIDを制限できます。問題が解決しました。

いいえ。 IDを正しく報告するのはデバイス次第です。また、悪意のあるデバイスが正規のデバイスになりすましてこの機能をバイパスすることも可能です(実際には一般的です)。この機能を阻止するために、Windowsで表示されるUSBデバイスのIDを変更するために使用できるパススルーUSBデバイスもあります。

2
tylerl

これは可能であり、Symantec Endpoint Protectionのようなソフトウェアが本質的にこれを制御できます。問題は、彼らが本当に自分のUSBスティックを使用したい場合、ペンドライブのファームウェアを簡単に変更できることです。

Endpoint Encryptionのようなソフトウェアの利点は、どのペンドライブでも正しく使用でき、独自の暗号化ソフトウェアをペンドライブにインストールできることです。したがって、任意のUSBドライブを使用でき、EPEはすべてのファイルがペンドライブに書き込まれる前に暗号化されることを強制します。 (これも上記のテクニックを使用してバイパス可能であることに注意してください)

1
Lucas Kauffman

それは確かに可能ですが、それがいかに簡単かは、オペレーティングシステムによって異なります。 Windowsでは、これらのファイルへのアクセスを拒否すると(過去のバージョンでは-私はもうWindowsを使用しません)、新しいデバイスへのアクセスが妨げられます。

%SystemRoot%\ Inf\Usbstor.pnf%SystemRoot%\ Inf\Usbstor.inf

Linux/Unix/* nix環境では、UDEVルールを使用してUSB接続でスクリプトを実行し、そのスクリプトを使用してデバイスを検査できます。 この質問 スーパーユーザーに役立つかもしれません。

0
Owen

「他のPCでの暗号化されたキーの使用を停止する」という質問の2番目の部分に実際に対処した回答はありません。

これに対する完全な解決策はありませんが、始めるためのアイデアです。

ディスク上にTrueCryptコンテナーを作成します。パスワードを使用する代わりに、ランダムなキーファイルを生成し、キーファイルのみ(パスワードなし)を使用します。これはすべて「ボリュームの作成」ウィザードから簡単に実行できます。キーファイルをプロファイルに保存します。このようにして、USBスティックが承認されている企業のマシンのキーファイルにアクセスできますが、信頼されていないPCのキーファイルはありません。これは実際にはどのUSBスティックでも機能します。ハードウェア暗号化は必要ありません。

この手順は、正しく従うことを前提として機能します。しかし、企業環境でこれを行っている場合、これは悪意のあるユーザーや不注意なユーザーから保護するものではありません。しかし、あなたは一緒に何かを考え出すことができるかもしれません:

  1. IT部門は最初のTrueCryptコンテナーを作成し、キーファイルをユーザーのプロファイルに保存します。
  2. 関連するUSB​​ドライブが挿入されたときにトリガーされ、TrueCryptコンテナーをマウントする カスタム自動再生アクション を作成します(そして、グループポリシーを使用してこれを展開します)
  3. グループポリシーを使用して、USBドライブのドライブ文字を非表示にします。これにより、ユーザーはTrueCryptコンテナーにのみアクセスできます。

これにより、ユーザーはこれらのUSBドライブを通常のドライブと同様に効果的に使用できます。これらは暗号化されており、企業のPCでのみ読み取ることができます。また、ユーザーに対して透過的です。このスキームを実装している商用製品があるかどうかはわかりません。

私が尋ねる唯一のこと:あなたのユーザーは実際にUSBドライブを何のために必要としますか?通常、ネットワーク共有を使用するのと同じくらい簡単です。

0
paj28