Protezione fisica delle porte USB: come bloccare e proteggere i computer Windows

  • Combina i criteri nativi di Windows con Intune e Defender per un controllo USB granulare.
  • Richiede la crittografia BitLocker e utilizza DLP per prevenire perdite in base alla sensibilità dei dati.
  • Gestisci le eccezioni in base al dispositivo, all'utente e alla rete, con audit e avvisi in tempo reale.
Daniel Terrasa

11 minuti

Protezione delle porte USB in Windows

Nell'era del lavoro da remoto e dei dispositivi mobili, le porte USB rimangono un gateway per l'ingresso e l'uscita dei dati che deve essere attentamente monitorato. Controlla, limita o blocca il suo utilizzo in Windows Può prevenire grandi paure: dal malware che si insinua in pochi secondi alla copia non autorizzata di file sensibili.

Se ti chiedi come chiudere il rubinetto sulle unità USBSe hai bisogno di hard disk esterni, telefoni o stampanti senza compromettere la produttività, sei nel posto giusto. Spieghiamo i metodi nativi di Windows 10 e Windows 11 (Gestione dispositivi, Registro di sistema, Criteri locali e di gruppo), opzioni aziendali con Intune e Microsoft Defender per Endpoint e strumenti professionali di terze parti. Vedrai anche scenari reali (USB, stampanti, Bluetooth), requisiti di versione e linee guida per i sistemi legacy.

Perché vale la pena schermare le porte USB

I supporti rimovibili sono molto pratici, ma sono anche una classica fonte di rischi: diffondere malwareFacilitano la fuga di informazioni E consentono agli attacchi di aggirare le misure di sicurezza se non gestiti correttamente. Casi recenti in ambienti industriali e aziendali confermano che le unità USB sono un vettore di attacco ricorrente ed efficace.

Inoltre, una semplice chiavetta USB può avviare un computer e bypassare le credenziali se il disco rigido non è presente. crittografia. Bloccare o limitare l'accesso A seconda del contesto (utente, posizione, tipo di operazione), riduce drasticamente la superficie di attacco senza paralizzare le operazioni quotidiane.

  • Ingresso di malware tramite dispositivi infetti
  • Estrazione di dati riservati senza lasciare traccia apparente
  • Avvio esterno per bypassare le password sui dischi non crittografati
  • La connessione di periferiche non approvate apre nuove vulnerabilità

Queste minacce non colpiscono solo le grandi aziende; negli elettrodomestici e nelle PMI L'esposizione è simile se non esiste una chiara politica di utilizzo e meccanismi di controllo.

Interruzioni di alimentazione delle porte USB-5

Opzioni rapide in Windows 10 e Windows 11

Windows offre diversi modi per "chiudere" le porte dei dispositivi di archiviazione. Scegli il metodo in base alla tua edizione di Windows (Home, Pro, Enterprise) e il livello di controllo di cui hai bisogno.

Disabilita da Gestione dispositivi

È il modo più diretto quando vuoi dare una svolta netta a una squadra specifica. Disabiliti i controller del bus seriale universale E questo è tutto, senza toccare le politiche globali o il Registro.

  1. Fare clic con il tasto destro del mouse su Start e aprire "Gestione dispositivi".
  2. Visualizza "Controller USB (Universal Serial Bus)".
  3. In ogni "USB Host Controller", fare clic con il pulsante destro del mouse e selezionare "Disabilita dispositivo".
  4. Ripetere l'operazione su tutti i controller host USB.
  5. Riavvia il computer per applicare le modifiche.

Si prega di notare che questa azione potrebbe influire periferiche USB legittime (tastiere, mouse, stampantiSe hai bisogno di granularità, prendi in considerazione altri metodi di policy o liste consentite.

Blocca i driver utilizzando l'editor del Registro di sistema

Se la tua edizione non include l'editor dei criteri, il Registro è il tuo alleato. Una modifica nella chiave USBSTOR Ciò è sufficiente per impedire al sistema di caricare il controller di archiviazione USB.

  1. Premi Windows + R, digita "regedit" e conferma.
  2. Passare a: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
  3. Aprire il valore "Start" e impostarlo su 4 per disabilitarlo (utilizzare 3 per riattivarlo).

Prima di toccare, eseguire una eseguire il backup: una modifica errata nel Registro Questa impostazione può lasciarti senza sistema per un po'. Blocca l'archiviazione USB ma non impedisce il funzionamento di altre periferiche come mouse o tastiere.

Direttiva sulla sicurezza locale e direttiva di gruppo

Se utilizzi Windows 10/11 Pro o Enterprise, puoi applicare i criteri senza installare nulla. Il modo più pulito per negare l'accesso L'archiviazione rimovibile viene effettuata tramite modelli amministrativi.

  1. Aprire gpedit.msc (o secpol.msc per la sicurezza locale).
  2. Vai a Configurazione computer > Modelli amministrativi > Sistema > Accesso agli archivi rimovibili.
  3. Abilita "Tutte le classi di archiviazione rimovibili: nega tutti gli accessi".

In questo stesso nodo puoi differenziare lettura, scrittura ed esecuzione per tipo di supporto. Utile per scenari di "sola lettura" o per limitare CD/DVD e WPD (dispositivi portatili) senza bloccare tutto il resto.

Controllo centralizzato per le organizzazioni

Quando si gestiscono più team, sono necessari coerenza, controllo ed eccezioni. Microsoft offre tre pilastri che coprono tutto, dall'installazione del dispositivo alla gestione delle informazioni sensibili.

Limitazioni di installazione di Intune e dispositivi

Con Intune puoi impedire l'installazione dei driver in base a più attributi hardware: ID dispositivo, istanza o classeIdeale per una strategia di "consenti per elenco ed escludi il resto".

  • Amministrazione tramite modelli ADMX, comprese le opzioni per USB
  • Compatibilità con BitLocker per applicare la crittografia sui supporti rimovibili
  • Gestione unificata delle policy su tutti gli endpoint Windows

Se preferisci GPO, anche Windows lo consente. gestire l'installazione del dispositivo tramite criteri di gruppo, utilizzando la stessa logica degli elenchi consentiti e bloccati.

Controllo dei dispositivi in ​​Microsoft Defender per endpoint

Il modulo Device Control di Defender for Endpoint rappresenta un salto nella granularità fine. Controlli quale dispositivo, quale utente, quale operazione e su quale reteIn più, ottieni visibilità e ricerca avanzata.

  • Regole per tipo di dispositivo (WPD, archiviazione, stampanti), VID/PID, numero di serie o percorso dell'istanza
  • Operazioni separate: lettura, scrittura, esecuzione
  • Ambito per gruppi di utenti, posizione di rete o tipo di file
  • Amministrazione tramite Intune o GPO

A fini di controllo, la ricerca avanzata raccoglie eventi utili. Quando un dispositivo è bloccato a causa di una restrizione di installazioneVedrai gli eventi PnP collegati al blocco.

DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Se ciò che si sta valutando è un politica di archiviazione rimovibile In Defender (consenti/nega) puoi controllare l'attivazione della policy e il suo verdetto.

DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend VID = tostring(parsed.VendorId)
| extend PID = tostring(parsed.ProductId)
| extend VID_PID = strcat(VID, "_", PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess, RemovableStoragePolicyVerdict, SerialNumberId, VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Affinché Device Control funzioni, verifica la presenza di versioni minime del client antimalware Defender. Windows 10/11 con 4.18.2103.3 o versione successiva Questo è il punto di partenza; le versioni successive aggiungono miglioramenti quali il supporto dei caratteri jolly, WPD, criteri per file o consapevolezza di rete/VPN.

  • 4.18.2104+: SerialNumberId e combinazione di SID computer/utente
  • 4.18.2105+: caratteri jolly in HardwareId/DeviceId/InstancePathId e supporto UAS
  • 4.18.2107+: Supporto WPD e campo AccountName nella caccia
  • 4.18.2205+: Stampanti incluse nell'ambito predefinito
  • 4.18.2207+: Regole per tipo di file e condizione di rete/VPN

Attualmente, il controllo dei dispositivi in ​​Defender non si applica ai server Windows. Esiste un modulo equivalente in macOS. con la propria guida alla distribuzione.

Endpoint DLP (di competenza Microsoft)

Se il tuo obiettivo non è solo bloccare l'hardware, ma impedire che informazioni sensibili vengano lasciateEndpoint DLP è il livello corretto. Consente di applicare azioni basate sulla classificazione dei dati e sul contesto di utilizzo, nonché di acquisire prove di archiviazione quando opportuno.

La combinazione di Device Control e DLP copre due fronti: chi collega quale dispositivo e che tipo di contenuto viene gestito al suo interno. Ciò impedisce sia connessioni fisiche non autorizzate sia la copia di documenti classificati.

BitLocker

BitLocker come criterio per l'accesso ai supporti rimovibili

Una tattica molto efficace è quella di richiedere che i dispositivi di archiviazione rimovibili siano crittografati. Windows consente di negare l'accesso in scrittura ai supporti senza BitLocker. oppure negare direttamente qualsiasi scrittura su unità rimovibili.

Intune semplifica l'implementazione di criteri che impongono la crittografia sulle unità USB Windows. Difensore per endpoint Può persino condizionare l'accesso in base allo stato di crittografia (BitLocker o testo normale) e creare eccezioni ben definite.

Scenari comuni oltre USB: stampanti e Bluetooth

Anche le periferiche di stampa sono un canale di uscita dati. Windows consente di limitarne l'installazione con le stesse tecniche di installazione del dispositivo e Defender fornisce il controllo tramite VID/PID o tipo (rete, USB, aziendale).

Con Device Control puoi limitare quali tipi di file vengono stampati e dove (ad esempio, impedendo la stampa al di fuori di una rete aziendale). DLP fornisce l'aspetto della classificazione: bloccando o registrando la stampa di documenti contrassegnati come riservati.

In Bluetooth, gli amministratori hanno un controllo preciso sul servizio: annunci, scoperta e servizi consentitiSe vuoi impedire che i documenti vengano copiati su qualsiasi dispositivo wireless, DLP è ancora una volta la soluzione ideale.

USBLockRP

Strumenti specializzati di terze parti

Quando hai bisogno di una console dedicata, di una distribuzione rapida e di policy estremamente precise, esistono soluzioni mature che calzano a pennello. USB Lock RP e Endpoint Protector Si tratta di due esempi ben noti negli ambienti Windows.

USB Lock RP: controllo della porta USB in sede

Blocco USB RP è un sistema di Controllo dei dispositivi USB per le aziende Opera al 100% in sede. La sua console centrale gestisce e monitora in tempo reale l'accesso a unità rimovibili, dispositivi mobili e adattatori wireless su server, workstation e laptop.

Il client è leggero e funziona in modo autonomo. Permette di creare liste di dispositivi autorizzati È possibile autorizzare un'unità USB in base all'ID hardware e bloccare le altre senza interferire con periferiche innocue. È possibile autorizzare un'unità USB per una macchina specifica, un gruppo o l'intera rete.

Include avvisi istantanei, registrazione degli eventi e un monitoraggio USB dettagliato di trasferimenti approvati. Il tutto con crittografia automatica opzionale dei dati inviati alle unità autorizzate, che funge da misura DLP per garantire che i contenuti viaggino protetti.

Puoi anche candidarti sola lettura in tempo reale a unità specifiche, consentendo di modificarne alcune e di proteggerne altre da scrittura sulla stessa macchina. Il pacchetto è facilmente implementabile tramite GPO o MSI e non dipende dal cloud, riducendo così la superficie di attacco.

Endpoint Protector DLP: policy granulari e multipiattaforma

Endpoint Protector Incorpora un modulo di Controllo dei dispositivi Può bloccare completamente porte USB e periferiche, oppure applicare livelli di attendibilità basati sulla crittografia. Le policy possono essere assegnate a utenti, gruppi o computer e ottimizzate con eccezioni.

Un valore differenziante è il suo applicazione esterna alla rete aziendaleLe regole rimangono attive a casa, durante il roaming o al di fuori dell'orario di lavoro. È possibile definire fusi orari, impostazioni DNS o identificatori di rete aziendale e rendere più stringenti le condizioni quando il team non è in ufficio.

In caso di emergenza, l'amministrazione consente la creazione di un password temporanea offline Sblocca un dispositivo, un computer o un utente per un periodo di tempo limitato. È multipiattaforma, con funzionalità omogenee su Windows, macOS e Linux, e può essere configurato in poche ore.

Le migliori pratiche per bloccare senza rallentare

Oltre alla tecnica, ci sono strategie che fanno la differenza. Inizia con un pilota in un piccolo gruppo e rivedere i registri prima di estendere le policy all'intera organizzazione.

  • Dare priorità alle liste consentite rispetto al blocco di massa quando possibile
  • Richiede BitLocker sugli endpoint e sui supporti rimovibili.
  • Ruoli separati: chi sa leggere, chi sa scrivere, chi sa eseguire
  • Attivare l'audit per comprendere l'utilizzo effettivo prima di negare
  • Includi l'avvio USB nella tua politica BIOS/UEFI

Negli ambienti con elevato turnover dei dispositivi, prendere in considerazione soluzioni con visibilità in tempo reale e avvisi. Se gestisci solo pochi computer, le opzioni native di Windows con GPO o Registro di sistema potrebbero essere più che sufficienti.

Domande frequenti

  • Il blocco delle unità USB è "sicuro"? Sì, aumenta la protezione contro le connessioni non autorizzate, ma potrebbe limitare alcune funzioni. Valuta l'equilibrio tra sicurezza e funzionalità.
  • Posso bloccare solo alcune porte? Puoi disabilitare controllori specifici da Gestione dispositivi o creare regole tramite ID in Intune/Defender per consentire solo ciò che è necessario.
  • E per quanto riguarda mouse e tastiere? I metodi che coinvolgono USBSTOR o "Removable Storage Access" interessano la memoria di massa, non i tipici HID. La disabilitazione dei controller, tuttavia, può avere ripercussioni sull'intero bus.
  • Come posso riattivare le porte? Annullare le modifiche: abilitare i controller, modificare Start su 3 in USBSTOR o disabilitare il GPO applicato. Nelle soluzioni di terze parti, utilizzare la console per sbloccare.
  • È possibile farlo dal BIOS/UEFI? Molti dispositivi consentono di disabilitare l'USB o l'avvio tramite USB a livello di firmware. Questa è un'utile barriera aggiuntiva alle policy del sistema operativo.
  • Quale metodo è migliore? Per un singolo PC, il Registro di sistema o Gestione dispositivi sono rapidi. Nelle aziende, Intune + Defender o una suite DLP/Device Control con una console centrale offrono il controllo e la tracciabilità necessari.

L'adozione di una politica chiara per l'uso di USB e altre periferiche, supportata dalle funzionalità native di Windows e, quando appropriato, da soluzioni come Defender for Endpoint, Intune o suite DLP, consente minimizzare il rischio senza sacrificare la produttivitàCon un approccio a strati (installazione del dispositivo, crittografia BitLocker, regole granulari e DLP basato sulla sensibilità), avrai sotto controllo USB, stampa e Bluetooth e sarai in grado di rispondere con dati se qualcosa non va come previsto.

Registro di Windows
Articolo correlato:
Come rimuovere la protezione da scrittura da un USB