Nell’ambiente di lavoro cosiddetto Modern Workplace, praticamente tutti gli utenti possiedono ed utilizza almeno un dispositivo di archiviazione USB, come ad esempio una chiavetta USB, una unità flash, dischi rigidi esterni USB, smartphone, tablet, dispositivi di gioco portatili, fotocamere e lettori MP3.

Tuttavia, la portabilità e l’adozione diffusa di dispositivi di archiviazione USB possono rappresentare una significativa minaccia alla sicurezza. Ad esempio, un dipendente potrebbe connettere inavvertitamente un dispositivo infetto ad un endpoint, che potrebbe poi causare la diffusione di malware alla rete aziendale. In alternativa, i dispositivi di archiviazione USB possono essere utilizzati per fare exfiltration di informazioni sensibili o installare applicazioni non autorizzate, cosa che potrebbe comportare ulteriori problemi di sicurezza.

Fortunatamente è possibile gratuitamente e tramite le GPO bloccare l’uso di dispositivi di archiviazione USB non autorizzati. In questo articolo, andremo ad evidenziare i passaggi esatti per disabilitare i dispositivi di archiviazione USB tramite una impostazione e configurazione tramite i Criteri di gruppo (GPO).

Step by Step: come disabilitare le USB tramite GPO

All’interno della console Group Policy Management Console è facile creare nuove GPO ed applicarle agli oggetti Utenti & Computer di Active Directory. Le impostazioni di controllo delle periferiche USB fanno però riferimento al contesto Computer ed in particolar modo al nodo: Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access.

Questo è il punto in cui si trovano le impostazioni per i dispositivi di accesso agli archivi rimovibili. Esistono molte impostazioni relative alle periferiche USB, tuttavia configureremo un’impostazione per “Tutte le classi di archivi rimovibili” : Nega tutti gli accessi.

Blocca USB tramite GPO

Da qui per procedere alla disabilitazione delle periferiche USB, cliccando con il pulsante destro del mouse possiamo andare ad ABILITARE l’impostazione selezionando Enabled.GPO Block USB

Una volta linkata la GPO alla OU contenente gli oggetti Computer su cui vogliamo attivare l’impostazione, il blocco verrà innescato dalla GPO di cui sopra. Volendo è anche possibile effettuare delle impostazioni più precise, come ad esempio agire sempre tramite Group Policy con le seguenti impostazioni, facenti riferimento a CD/DVD, Dischi removibili, Tapes USB, etc:

  • CD and DVD: Deny execute access.
  • CD and DVD: Deny read access.
  • CD and DVD: Deny write access.
  • Custom Classes: Deny read access.
  • Custom Classes: Deny write access.
  • Floppy Drives: Deny execute access.
  • Floppy Drives: Deny read access.
  • Floppy Drives: Deny write access.
  • Removable Disks: Deny execute access.
  • Removable Disks: Deny read access.
  • Removable Disks: Deny write access.
  • All Removable Storage classes: Deny all access.
  • All Removable Storage: Allow direct access in remote sessions.
  • Tape Drives: Deny execute access.
  • Tape Drives: Deny read access.
  • Tape Drives: Deny write access.
  • WPD Devices: Deny read access.
  • WPD Devices: Deny write access

Usare i filtri GPO per bloccare le USB solo per alcuni utenti

Un primo scenario di filtering potrebbe essere quello di voler ottenere un blocco delle unità USB per tutti gli utenti del dominio (eccetto gli amministratori).

Il modo più semplice per farlo è utilizzare il filtro di sicurezza nell’oggetto Criteri di gruppo. Ad esempio, per prevenire l’applicazione del criterio di blocco USB al gruppo Domain Admins:

Nella console Gestione criteri di gruppo, seleziona il criterio Disabilita accesso USB.
Nella sezione Filtro di sicurezza, aggiungi il gruppo Domain Admins.
Vai alla scheda Delega e fai clic su Avanzate nell’editor delle impostazioni di sicurezza, specificare che il gruppo Domain Admins non è autorizzato ad applicare questo GPO (Applica criteri di gruppo – Nega).

Domain Admins Delegation

Deny Domain Admins

Altro scenario potrebbe essere quello invece di attivare l’impostazione solo per alcuni utenti: in questo caso agendo sempre sul filtro della GPO: per ottenere questo “desiderata” sarà necessario aggiungere il proprio gruppo utenti nelle impostazioni di sicurezza della policy con le autorizzazioni di lettura e applicazione GPO e lasciare solo autorizzazioni per i gruppi “Authenticated Users” o “Domain Computers” (deselezionando l’opzione Apply Group Policy).

Conclusioni

La limitazione dell’accesso ai dispositivi di archiviazione USB svolge un ruolo importante nel rafforzare la sicurezza di un’organizzazione. Le aziende di tutte le dimensioni, così come gli utenti Small Business con edizioni aziendali di Windows, possono utilizzare gli oggetti Criteri di gruppo per gestire l’accesso ai dispositivi di archiviazione rimovibili e, di conseguenza, ridurre i diversi rischi di sicurezza sopra evidenziati.