Disattivazione dell’utilizzo di periferiche mass storage USB

Questo articolo è stato letto 10039 volte !

In una infrastruttura di dominio composta da parecchi clients, è sempre più diffuso il rischio del furto di dati, specialmente con queste nuove chivette USB che si presentano sul mercato a prezzi sempre più bassi ma con dimensioni sempre più grandi. Con questa guida dedicata ai proffessionisti IT vi spiegherò come bloccare sui clients qualsiasi tipo di mass storage che verrà inserita. Attenzione per mass storage si intende periferica d’archiviazione di massa, quindi chiavette USB e dischi esterni, non sono considerate periferiche d’archiviazione di massa ad es. macchine fotografiche digitali, telefoni cellulari etc. etc.

Passiamo alla pratica e vediamo come procedere:

Requisiti indispensabili:
per poter applicare quanto di seguito riportato, si precisa che l’utente configurato non può essere amministratore del client.

STEP 1: modifica del registro di sistema

Per disattivare l’utilizzo di una periferica di memorizzazione USB una volta collegata al PC, attenersi alla seguente procedura:

fare clic sul pulsante Start, quindi scegliere Esegui…

nella casella Apri digitare regedit, quindi scegliere OK

individuare e fare clic sulla seguente chiave del registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

A questo punto è anche possibile procedere in remoto collegandosi al client di cui si vuole modificare il registro di sistema o in locale (agendo direttamente sul client dal quale si sta operando). Se si vuole procedere su un client remoto attenersi a quanto riportato sotto, altrimenti passare al punto successivo:

cliccare su File (in alto a sinistra), quindi scegliere Connetti a Registro di sistema in rete…

nella casella inserire il nome dell’oggetto da selezionare, in questo caso il nome del PC a cui si intende collegarsi, quindi premere il pulsante Controlla Nomi

se il nome del client è stato scritto correttamente, esso verrà sottolineato, quindi premere il pulsante OK

nel riquadro di destra fare doppio clic sulla chiave Start, quindi modificare nella casella Dati il valore portandolo da 3 a 4 ed infine nel riquadro Base selezionare Esadecimale (se l’opzione non è ancora stata selezionata) e concludere scegliendo OK

chiudere l’editor del registro di sistema.

Attenzione: L’errata modifica del registro di sistema tramite l’editor o qualsiasi altro metodo può causare seri problemi, che potrebbero richiedere la re-installazione del sistema operativo. MobileSatComunication non garantisce la soluzione di eventuali problemi derivanti dall’errata modifica del registro di sistema. La modifica del registro di sistema è a rischio e pericolo dell’utente.
STEP 2: modifica dei permessi ai files

Una volta modificata la chiave di registro, bisogna impedire agli utenti o ai gruppo di utenti di installare una nuova periferica di memorizzazione USB nel computer negando le autorizzazioni di accesso per i seguenti file:

fare clic sul pulsante Start, quindi scegliere Esegui… e nella casella Apri digitare %windir%, quindi scegliere OK

individuate la cartella inf ed entrateci facendo doppio click

individuate i seguenti files usbstor.pnf e usbstor.inf ed in seguito fare clic con il pulsante destro del mouse sul file usbstor.pnf, quindi scegliere Proprietà

fare clic sulla scheda Protezione nell’elenco Utenti e gruppi selezionare SYSTEM (ovvero l’utente per il quale si desidera impostare la negazione di autorizzazione), quindi premere il pulsante Modifica

nell’elenco Autorizzazioni per SYSTEM selezionare la casella di controllo Nega accanto a Controllo completo, quindi scegliere OK

a questo punto per i sistemi operativi Vista e Seven ricevermo i 2 avvisi che dovremo confermare premendo il pulsante SI, infine terminare premendo il tasto OK per applicare le nagazioni.

Eseguire la stessa operazione ai permessi del file usbstor.inf

NOTA: lo STEP 2 è realizzabile anche da remoto con il comando \\nomedelpc\C$ a patto che siate aministratori di dominio o dei clients

Abbiamo finito :ok:
Inserite pure tutte le periferiche USB che volete, esse saranno debitamente bloccate facendo credere all’utente malintenzionato che la periferica non funziona in quanto il driver di essa non sarà caricato e la periferica non verrà installata.

Se avete molti clients all’interno del vostro dominio, tenete presente la guida sopra descritta, può essere distrbuita anche tramite l’utilizzo di GPO.

Questo articolo è stato letto 10039 volte !

Condividi:

Nessun commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.