Disabilitare le porte USB per quei computer che sono utilizzati in condivisione da molti utenti è una pratica che i responsabili della sicurezza dovrebbero tenere in seria considerazione per diminuire drasticamente i rischi di sicurezza in azienda.
L’utilizzo da parte degli utenti delle chiavette USB per spostare file e cartelle da un computer ad un altro è una pratica largamente diffusa tra gli utenti ed ormai consolidata da anni.
Tuttavia, se è vero che in tempi passati copiare contenuti tra computer poteva essere l’unico modo possibile, oggi non è più così; anche se questa abitudine sembra essere dura a morire. Uno dei più comuni errori di sicurezza informatica degli utenti che si configura come uno dei più pericolosi vettori di infezioni da malware.
È bene ricordare che non ha alcuna importanza che l’utente sia convinto o meno della bontà del proprio dispositivo USB; esso può contenere software malevolo o file insicuri che aumentano notevolmente i rischi di sicurezza.
È per i motivi appena citati che è fondamentale disabilitare le porte USB dei computer in modo mirato con uno dei seguenti metodi:
- BIOS (se disponibile). Disabilita completamente l’elettronica delle porte USB;
- Registro di sistema. Disabilita lettura/scrittura dei dispositivi di Storage (Pen Drive, HD esterni);
- Gestione Dispositivi. Disabilita completamente l’utilizzo delle porte USB (mantiene l’alimentazione);
- Criteri di Gruppo. Disabilita lettura/scrittura dei dispositivi USB di Storage.
Preliminari
Prima di eseguire qualsiasi operazione di modifica all’interno del registro di sistema, è buona regola effettuare il Backup del Registro di sistema.
In questo caso può essere sufficiente effettuare il backup solo della chiave del registro che si andrà a modificare. Per ora eviterei di fare il backup dell’intero registro; questa può essere un’operazione lunga e risultare inutile per lo scopo di questo tutorial. Il ripristino dell’intero Registry è un’operazione delicata e ricca di insidie.
Disabilitare le porte USB dal BIOS
Questo metodo può essere utilizzato per disabilitare completamente le porte USB del computer; si applica intervenendo nel BIOS della macchina.
Va detto che ogni Vendor può utilizzare BIOS personalizzati e comunque non tutti i BIOS sono identici. Per questo motivo non abbiamo allegato alcuna immagine di esempio al riguardo.