我怎样才能真正禁用USB /移动硬盘支持纯粹的软件?
在Windows上,例如我知道我可以禁用设备pipe理器中的相关硬件,用户将无法覆盖这一点。 这将大部分工作。
如果有一个本地特权利用允许用户启用USB端口的情况呢?
有没有办法在较低的操作系统级别禁用USB端口或可移动驱动程序,或者如果插入一个提醒警报?
有各种软件会禁用USB和/或日志启用/使用USB端口。 但是,如上所述,如果它是一个软件,那么在理论上它可以被禁用。 一个可能的想法是客户端/服务器解决scheme(比如很多企业反病毒软件如何工作),其中软件在客户端和服务器上执行策略,轮询客户端以检查其当前设置。 所以有远程日志不在受感染的客户端上。
你忽略了提到什么操作系统或硬件你说的(“Windows例如”不是一个规范。
在任何情况下,许多BIOSen都允许USB端口或可移动介质在操作系统级别以下被禁用。
你可能会说,“嘿,但是我用软件说过”,好吧,许多BIOS也允许从BIOSconfiguration的操作系统进行configuration。
你可能会说,“嗨,但是我说本地特权利用”,好吧,允许configuration的BIOSen通常可能允许BIOS的密码保护。 因此,您可以在操作系统级别在BIOS中禁用并设置密码/然后在不知道密码或将机器拆开的情况下保护您不被重新启用。
对于禁用USB端口/挂载(通常可以从操作系统级别转换)的特定操作系统方法,这是国防部STIG要求和检查的很多事情之一,所以你可以从中得到一些想法。
这通常成为反病毒软件包的一个function。 Symantec Endpoint和趋势科技安全无忧提供了禁用访问USB驱动器的function。