Bloquear USB

[patypatyamorim]

Preciso bloquear as portas USBs de varias maquinas aqui na empresa,como faço isso no ubuntu 10.04?

[trober]

Olá.

Exponho uma solução que independe de sistema operacional.

Em alguns clientes, os grandes problemas com USB eram: vazamento de dados, instalação de programas ilegais e vírus.

Nesses clientes o mesmo pedido de bloquear as portas USB foi solicitado. Então optamos por desabilitar as portas USB no Setup (BIOS). As impressoras foram centralizadas em uma "sala de mídias", e as digitalizações (scanner) são agora dispostas em FTP, não havendo mais necessidade de se ter dispostivos USB conectados às estações.

Uma fotocopiadora que faz tudo isso é a Xerox Document Centre 265ST. Tem algumas da Brother e Samsung tem que igual funcionalidade, de "escanear" um documento e dispor a imagem por FTP, mas não lembro de imediato os modelos.

Lembrando que para evitar que seus usuários reabilitem a funcionalidade das portas USB, o acesso ao Setup (BIOS) deve estar protegido. As placas-mãe da Intel, por exemplo, tem a vantagem de proteção "física" de acesso ao Setup (BIOS), via jumper. Além da senha, um cadeado nas tampas do gabinete resolve grotescamente o problema de usuários malandros

Espero ter ajudado.

Saudações,

Trober

[cbtpiritiba]

No WIndows Server 2003 tem como fazer

[trober]

Olá!

Tranquilamente é possível fazer no Windows 2003 Server, visto que a solução que apresentei abstrai o sistema operacional.

Há quem diga que por GPO (Group Policy) seja possível, mas contra-argumento que não. Por exemplo, se o usuário/funcionário colocar um pendrive ANTES de ligar o computador, a detecção e enumeração dos dispositivos acontece ANTES do carregamento das regras do GPO. Logo, a unidade removível já estará montada disponível para uso quando o usuário logar-se na sessão.

Para deixar de usar o pendrive, como não será possível ejetar (desmontar), o usuário desligará o computador, removendo o dispositivo da porta normalmente quando desligado o computador.

Resumindo, GPO não vai ajuda-lo, e seu usuário/funcionário vai se achar o "power ultra king hacker of the world" por ter burlado suas regras. O jeito é ser brutal e desativar as USB no Setup (BIOS), hehe.

Tem softwares que prometem aceitar somente grupos de dispositivos USB mediante cadastro, mas só funcionam para Windows. Neste caso aqui, conforme iniciado o tópico, é para Ubuntu, e genericamente, para todos os sistemas operacionais, até mesmo o Windows 2003, conforme o colega questionou

Espero ter sido útil.

Saudações,

Trober

[Fisher]

Olá amigo.
Há 2 opções no sistema operacional que já utilizei:
A primeira é um pouco radical e desabilita o acesso a todos os dispositivo USB, para isso, coloque no final da linha kernel no grub.conf a palavra nousb.
Outra opção é colocar o driver de disco USB, o usb-storage na lista negra, para isso inclua o nome do driver usb-storage em /etc/modprobe.d/blacklist.conf.
Também existe a opção de desabilitar o acesso a mídias externas pelo users-admin, a qual confesso que ainda não testei.
Espero ter ajudado.
Um abraço!!