全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
防範個資外洩:2012最新封鎖USB 13招
文/陳峪賢 2012-11-27
隨著USB儲存裝置的容量越做越大,雖提升了大量資料攜帶的方便性,但在企業內,因USB裝置造成的風險,也成等比例增高。隨著個資法的上路,我們要如何防堵這個資料外洩、惡意程式入侵的管道?我們總共整理並驗證了13種封鎖USB的做法,以及介紹這些方式的用處及優缺點。

各個企業對於資安上的管控,常讓公司內的IT部門大傷腦筋,現在的資料外洩方式,包括了USB儲存裝置、WiFi、CD/DVD燒錄器、藍牙通訊裝置等等不勝枚舉,因各型企業的IT預算有限,或者是為了迎合管理端的需求,所以對於USB是否要封鎖,或者能夠做到的程度,在實際做法上存在著差異。

USB不僅會造成資料外洩的疑慮,如果有心人士利用已安裝好作業系統的隨身碟,再將該電腦設定為從USB啟動,就有可能以替換作業系統的方式,來剽竊電腦中的檔案。

但因應了個資法的上路,企業有必要對於有可能會把資料外洩的管道,再重新檢視一遍,特別是USB儲存設備,這個取得及使用門檻極低的小東西,卻往往是危害企業資安的致命殺手。

正因為利用USB埠來竊取資料的方式,現在的使用及取得門檻都很低,以企業來說,以Windows Active Directory(AD)來實施群組控管,是最為常見的方式,如果沒有建置Windows AD的公司要怎麼辦?還是有些方法,能夠達到限制或控管的目的。

從企業過去的管制作法來看,封鎖USB埠大多為了防止內部資料被使用者任意複製出去,而會使用較為傳統的方式,例如從BIOS設定、移除主機板跳接器(Jumper),或者乾脆用熱熔膠灌入來堵住USB埠,雖然這些做法成本低廉,且能達到確實封鎖USB的效果,但使用上缺乏彈性,且破解方法也很多。

隨著資安需求日益高漲,現在企業漸漸轉向採購資安管理系統,如DLP資料外洩防護、DRM數位版權管理、周邊裝置管理系統等,但這些較具使用彈性的解決方案,建置時間較長,成本也較為高昂,因此較適用於大型環境的部署。

達友科技副總經理林皇興表示,對於資安預算較少的企業而言,如果有大量電腦設備需行使USB封鎖,使用AD運用群組原則,無疑是最省錢也是效率最高的方法。

但IT部門對於使用者權限的控管,必然要很嚴密,萬一通用的網域管理者密碼或電腦本機管理者密碼被洩漏出去,使用者將可以輕易更改本機系統的機碼設定,進而破解各項權限。

趨勢科技台灣區技術顧問吳宗霖舉例,使用易碎貼紙也是企業封鎖USB埠的常見作法之一。

尤其是科技園區有訪客來訪時,為了怕內部資料被有心人士複製出去,常會在櫃臺處準備這種貼紙,封住訪客筆電上的對外連接埠,但這樣的作法容易衍生出問題。

其一是易碎貼紙易掉落或破損,在稽查上容易產生誤會;其二為訪客需時時注意易碎貼紙的完整度,以免後來遭到稽查時,因封在USB埠上的易碎貼紙破損或掉落,而產生誤會。

甚至有些公司對於這些違反政策的訪客筆電,會要求強制由他們的IT人員執行磁碟格式化,得不償失。

從上述企業對於USB封鎖的形式可以知道,一開始是使用較為節省成本的方法,如使用熱熔膠、易碎貼紙、停用BIOS的USB埠控制器,或者使用Windows AD派發群組原則,這些方法雖然也有效果,但相對會嚴重犧牲使用USB埠的彈性,而且若控管的電腦臺數一多,要落實管理,恐怕需要許多人力去稽查。

吳宗霖說,想要防止資料外洩與使用者希望資訊更方便流通,這兩者往往是互相拉扯的力道。在傳統作法上,想要降低資料外洩的風險,就一定得犧牲使用者對於資料流通的方便性。

也因此,現在企業在評估防止資料外洩的方案時,同時也會把使用者操作的方便性考慮進去。

例如,有些廠商建議企業要使用DLP資料外洩防護系統,或者周邊控管軟體,就能夠兼顧資訊安全以及使用者的方便性。

但是這些產品的導入成本較高,對於很少或沒有IT預算,甚至沒有IT人員的企業來說,導入此類控管系統的可行性極低。

所以,我們除了了解目前市面上各種適合大量部署的USB埠封鎖技術外,也不能忽視一些使用方式相對較為簡易的手段,雖然可能有人覺得太土法煉鋼、使用彈性也較為缺乏,但由於導入成本及實施速度快,或許比較適合用於小型企業,或者一些根本不需要控管彈性,而是要徹底禁止連外的電腦。

在這裡我們共歸納出13種可防堵USB埠的招式,從成本、建置時間、優缺點,來詳細剖析這些方案,並實測這些方法的可用性,對於封鎖USB埠的成效如何。

封鎖USB招式:從BIOS設定停用USB埠
大部分的主機板可以從BIOS設定USB埠的開或關,所以也有為數不少的企業使用這個方法,來停用主機USB插槽的功能。這個方法的好處就是設定簡單,將一臺電腦設定完成所需的時間也不長,而使用此方法的企業,IT人員為了方便管理,通常都會同時設定進入電腦的BIOS前,要輸入密碼,來防止使用者擅自更改管理者的設定。

封鎖USB招式:在USB埠貼上易碎貼紙
這個不需用到電腦本身硬軟體的封鎖方式,是以從設備外部連接埠,直接貼上易碎貼紙,來達到短期、臨時封鎖USB的目的。常見於科技廠、園區的門口管理人員,於合作廠商、客戶等訪客攜入電腦時,警衛會在他們筆電的外部連接埠,如網路卡、USB、PCMCIA埠,貼上易碎貼紙,防止他們在停留公司期間,趁機使用這些連接埠,來帶走內部的資料。

封鎖USB招式:移除主機板USB埠跳接器Jumper
移除主機板上的USB相關跳接器(Jumper)的方法,同樣是在主機板上動手腳,來讓USB埠失去作用。這個方法不需要另外購置其他設備來封鎖,且確實達到完全讓USB失去作用,因此也有不少企業使用過這個方式。

封鎖USB招式:使用熱熔膠封鎖USB埠
這是以破壞USB埠的方式,來達到封鎖的目的,在熱熔膠灌入USB埠之後,USB埠即會因熱熔膠凝固,而完全堵住USB埠,不僅完工的樣子不好看,而且事後極難挖除,使用者也無法再使用此USB插槽。這樣的方式雖能達到永久封鎖USB埠的效果,但在日後使用上,就沒有任何方法能再開啟被堵住的USB插槽,所以完全沒有使用彈性可言。

封鎖USB招式:插上USB埠遙控鎖的介面卡
市面上有一種介面卡產品,可以用來鎖定周邊I/O埠,也可用來封鎖USB埠,使用方法是將此介面卡插至主機板的PCI插槽上,再於作業系統裡裝上專用的驅動程式,就能夠以外部按鈕,或者是以產品所附的遙控器,來開啟或關閉這臺電腦上的USB埠。與其他方式相較,這是以純硬體來達成封鎖USB的目的。

封鎖USB招式:使用硬體鎖堵住USB埠
與熱熔膠相比,不須破壞USB埠,而日後若想解除封鎖可以重新啟用,是這個方法最大的優點,使用方法也很簡單。通常這種硬體鎖分為兩種方式,一種是永久封鎖,當鎖頭插入USB埠之後,即無法將之打開。另外一種方式,是可以使用專用的工具或鑰匙解除封鎖,將鎖頭從USB埠取出,進而重新啟用USB埠的功能。

封鎖USB招式:修改Windows系統的登錄機碼
對於已插入過USB隨身碟的Windows電腦,我們可以使用作業系統內建的登錄編輯程式(regedit.exe)來修改機碼,就可以讓電腦在插入USB儲存裝置時,出現限制存取的視窗。

封鎖USB招式:刪除USB儲存裝置資訊檔
刪除USB驅動程式的方法,只適用於未插入過USB儲存裝置的電腦。我們可以在C:\Windows\inf資料夾下,找到usbstor.inf與usbstor.PNF這兩個安裝資訊檔,它們是Windows作業系統用來辨識USB儲存設備的程式,如果刪除這兩個安裝資訊,之後再插入的隨身碟就沒有辦法使用。

封鎖USB招式:使用Windows AD的群組原則進行控管
在已經建置Windows伺服器的環境中,我們可以利用其中的目錄服務來部署群組原則物件(GPO)的方式,以便統一管控企業的所有電腦設備,限制它們不得使用USB埠。

封鎖USB招式:使用能夠控管周邊裝置存取的專用軟體
以導入控管周邊裝置軟體來與Windows AD相比,它對於USB埠及其他連接埠的管理較具彈性,並且可整合GPO、AD。現在的企業為了要兼顧資料使用上的彈性及安全性,對於USB埠的管控,將不只是單純的開或關,而是有一些更為細膩的政策可供企業套用。

封鎖USB招式:將重要檔案加密,強制需輸入密碼才能開啟
要做到檔案加密,其實有很多選擇,例如WinRAR、WinZIP等壓縮軟體,或是PGP等加密軟體,它們都可以針對檔案或資料夾來執行加密,使用者想要開啟這些加密檔,需取得加密檔製作者所設定的密碼,輸入後,才能打開這個壓縮檔。

封鎖USB招式:執行遠端安全桌面,隔離本機存取
本機端有太多造成資料外洩的管道,因此讓應用程式和資料不在本機執行、存取,也未嘗不是一個保護資料安全的好方法。

封鎖USB招式:以DLP過濾可能遭到外洩的資料
DLP資料外洩防護系統(Data Loss Prevention)提供使用者在存取及傳輸資料時,系統會依企業所設定政策,對於使用者所存取的檔案做資料過濾,目前的DLP系統能夠針對自然語言,例如各地語言,或者有關於個資以及內文的相關性,或是從資料庫中學習應保護的檔案。而在DLP保護傘下的檔案,就不會被任何形式途徑洩漏出去。



1 / 2 / 3 / 4 / 5 / 6 / 7 / 8 / 9 / 10 / 下一頁
研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome