web-dev-qa-db-ja.com

WindowsのUSBデバイスセキュリティ

私がそれを主張するならば、私は本当に物事を正しく理解していますか?

  1. USBスティック/デバイスがWindowsを実行しているPCに挿入されている場合、現在「ロック画面」モード(つまり、誰かがWinKey + Lを押した)の場合、バックグラウンドで自動的にマウントされますか?
  2. USBスティック/デバイスがWindowsを実行しているPCに挿入され、現在「ロック画面」モードではない場合、デフォルトで自動マウントされますか?
  3. 上記のどちらの場合でも、デフォルトで検出された実行可能ファイルの種類を実行しますか? (昔はCD-ROMのsetup.exeの場合がそうでした。)
  4. 上記のすべてに関係なく、Windowsは、PCに挿入されたときに(ロック画面の有無にかかわらず)デバイス自体に[〜#〜] drivers [〜#〜]自動インストールされますか?または、単に「デバイスID」がスティック/デバイスから取得され、デバイスIDに基づいて適切なドライバーがMicrosoftの安全で精選されたサーバーからダウンロードされますか?
  5. 「ドライバー」が正確に必要なのはなぜですか。 USB規格を使っていませんか?また、「マスストレージ」の標準はどうですか?標準デバイスに特別な「ドライバー」が必要になる理由がわかりません...?
  6. USBスティック/デバイスをPCに差し込むこと自体が安全ではないという考えは完全にナンセンスですか?ユーザーが「はい、このランダムな不明なデバイスからドライバーをインストールしてください」または「はい、挿入したばかりのこのスティックにある、この信頼されていないEXEを実行してください。私が自動マウントしたものですが、あなたの積極的な同意なしに何かを実行することは決してないでしょうか?」私は人々が絶えず「ハッキング」されたと主張するのと同じ感覚を得ますが、バイナリの電子メールの添付ファイルを実行したり、大きな赤いボックスをクリックしたりします:「警告!このEXEをsketchy-hack-toolz-4-u.example? "...しかし、率直に言って、現時点で私を驚かせるものは何もありません。

これは、現在のWindows 10と以前のすべてのバージョンのWindowsの両方で発生します。

2
Blossie Wilson
  1. 現在「ロック画面」モードになっている(つまり、誰かがWinKey + Lを押した)Windowsを実行しているPCにUSBスティック/デバイスが挿入されている場合、USBスティック/デバイスは、シーン?

はい、そうです!元々は「いいえ」と言っていましたが、実際には確認していなかったことがわかったので、今朝それをテストしました。画面がロックされていても、実際にマウントされていることがわかります。画面ロックされたLinuxマシンでも試してみましたが、物理デバイスにはアクセスできますが、パーティションは実際にはマウントされていません。

これは私がテストした方法です:

私はFat32でフォーマットされた完全にクリーンな(Linuxで検証された)サムドライブを取り、画面ロックされたWindows 10マシンにプラグインし、プラグを抜く前に数秒間待った。次に、Linuxマシンのサムドライブを調べました。

Windows(およびMacs)のデフォルトでは、非表示の識別子がない場合は、接続するとサムドライブに非表示の識別子が書き込まれます。案の定、以前はクリーンだったサムドライブに、隠されたWindows識別子が表示されていました。これは、Windowsがマウントしただけでなく、サムドライブへの読み取りと書き込みの両方を実行したことを示しています。

  1. Windowsを実行しているPCにUSBスティック/デバイスを挿入すると、現在「ロック画面」モードではなく、デフォルトで自動マウントされますか?

はい!ブロックストレージデバイスではないUSBデバイスも有効にします。

  1. 上記のどちらの場合でも、デフォルトで検出された実行可能ファイルの種類を実行しますか? (昔はCD-ROMのsetup.exeの場合がそうでした)

いいえ、現在の通常の構成では今日ブロックストレージデバイスまたはUSB接続のCDからファイルを自動実行しません。ただし、キーボードなどのヒューマンインターフェイスデバイス(HID)は有効です。

以前のバージョンのWindowsでは、CDからファイルを自動実行していましたが、サムドライブはありませんでしたが、製造元はサムドライブを1つにまとめた大容量ストレージと、ファイルを自動実行する偽のCDデバイスでした。サムドライブが自動で動いているように見えました。

サムドライブのように見えるUSBデバイスがあります。典型的な例はRubber Duckyです。サムドライブのように見えますが、実際には、キーボードから実行できるコマンドを自動入力できる事前にプログラムされたキーボードであり、プラグインすると自動的に実行されます。Bash Bunnyなどの同様のデバイスがあります。は、一度に複数のデバイスとして機能し、大容量記憶装置のサムドライブとプログラムされたキーボードの両方になり、キーボードとして発行されたコマンドの結果を保存できるようにします。

私がよく知っている同様のデバイスはすべて、USB-2で機能するように設計されていますが、DMAバスマスタリングをサポートしていません。Firewireサポートされているバスマスタリング。これにより、マスターデバイスが、それらのDMA制御マップを安全に初期化できなかった一部のマシンのコンピューターメモリに直接アクセスできるようになりました。USB-3はDMAをサポートしています。しかし、Firewireに似たものが可能かどうかはわかりません。

1
user10216038
  1. a。最新のOSでは自動実行が無効になっています。

    b。しかし、IDKは、他のソフトウェアがコンテンツにアクセスする場合、それらに脆弱性がある場合、それらを悪用する可能性があります。たとえば、StuxNetで使用されるlnkからcplへのエクスプロイト。

  2. mSから取得したドライバーは安全で脆弱性がないと考えるのは非常にナイーブです。

  3. ユニバーサルドライバーのようなものがあります。

0
KOLANICH