WindowsのUSBデバイスセキュリティ

1. 現在「ロック画面」モードになっている（つまり、誰かがWinKey + Lを押した）Windowsを実行しているPCにUSBスティック/デバイスが挿入されている場合、USBスティック/デバイスは、シーン？

はい、そうです！元々は「いいえ」と言っていましたが、実際には確認していなかったことがわかったので、今朝それをテストしました。画面がロックされていても、実際にマウントされていることがわかります。画面ロックされたLinuxマシンでも試してみましたが、物理デバイスにはアクセスできますが、パーティションは実際にはマウントされていません。

これは私がテストした方法です：

私はFat32でフォーマットされた完全にクリーンな（Linuxで検証された）サムドライブを取り、画面ロックされたWindows 10マシンにプラグインし、プラグを抜く前に数秒間待った。次に、Linuxマシンのサムドライブを調べました。

Windows（およびMacs）のデフォルトでは、非表示の識別子がない場合は、接続するとサムドライブに非表示の識別子が書き込まれます。案の定、以前はクリーンだったサムドライブに、隠されたWindows識別子が表示されていました。これは、Windowsがマウントしただけでなく、サムドライブへの読み取りと書き込みの両方を実行したことを示しています。

2. Windowsを実行しているPCにUSBスティック/デバイスを挿入すると、現在「ロック画面」モードではなく、デフォルトで自動マウントされますか？

はい！ブロックストレージデバイスではないUSBデバイスも有効にします。

3. 上記のどちらの場合でも、デフォルトで検出された実行可能ファイルの種類を実行しますか？ （昔はCD-ROMのsetup.exeの場合がそうでした）

いいえ、現在の通常の構成では今日ブロックストレージデバイスまたはUSB接続のCDからファイルを自動実行しません。ただし、キーボードなどのヒューマンインターフェイスデバイス（HID）は有効です。

以前のバージョンのWindowsでは、CDからファイルを自動実行していましたが、サムドライブはありませんでしたが、製造元はサムドライブを1つにまとめた大容量ストレージと、ファイルを自動実行する偽のCDデバイスでした。サムドライブが自動で動いているように見えました。

サムドライブのように見えるUSBデバイスがあります。典型的な例はRubber Duckyです。サムドライブのように見えますが、実際には、キーボードから実行できるコマンドを自動入力できる事前にプログラムされたキーボードであり、プラグインすると自動的に実行されます。Bash Bunnyなどの同様のデバイスがあります。は、一度に複数のデバイスとして機能し、大容量記憶装置のサムドライブとプログラムされたキーボードの両方になり、キーボードとして発行されたコマンドの結果を保存できるようにします。

私がよく知っている同様のデバイスはすべて、USB-2で機能するように設計されていますが、DMAバスマスタリングをサポートしていません。Firewireサポートされているバスマスタリング。これにより、マスターデバイスが、それらのDMA制御マップを安全に初期化できなかった一部のマシンのコンピューターメモリに直接アクセスできるようになりました。USB-3はDMAをサポートしています。しかし、Firewireに似たものが可能かどうかはわかりません。

3. a。最新のOSでは自動実行が無効になっています。

   b。しかし、IDKは、他のソフトウェアがコンテンツにアクセスする場合、それらに脆弱性がある場合、それらを悪用する可能性があります。たとえば、StuxNetで使用されるlnkからcplへのエクスプロイト。

4. mSから取得したドライバーは安全で脆弱性がないと考えるのは非常にナイーブです。

5. ユニバーサルドライバーのようなものがあります。