Zablokovanie USB portov vo Win7 v notebooku
Ako si mozem v hociktorom notebooku s win7, ktory ma usb2, usb3 porty; zablokovat tieto porty podla potreby, aby vobec nereagovali na to, co sa na ne napoji.
Aby do portov netiekol prud, teda aby sa ziadne data nemohli dostat do pocitaca. Aby boli mrtve a nepouzitelne.
Potom neskor, to hocikedy odblokovat a normalne pouzivat.
Ako ?
http://www.thewindowsclub.com/disable-enable-usb-w indowunlock-pen-drive-at-office-or-school-computer
Dobre, toto je najrychlejsie a najpraktickejsie:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR
- menit hodnotu z 3 na 4. A blocknu sa vsetky pravdepodobne.
Ak si otvorim regedit a v notepade budem mat poznacenu celu tuto cestu k registru, kde to mozem pastnut, aby sa to hned otvorilo ? Aby som to nemusel zakazdym rucne vyklikavat ?
Cože? Snad si můžeš vytvořit .reg soubor.
Super, to som nevedel.
Dal som ze File > Export. Budu 2 subory, jeden s hodnotou 3 a druhy s 4. A ked spustim niektory, tak sa data prepisu do skutocnych registov, vsak ? Hmmm uzitocne
je možné blokovat driver usbstor (jen na flashky). ale po restartu se chce instalovat znovu, člověk by ještě musel v registrech řešit přístupová práva, to se v té části registrů u win7 dělá hůř.
vyzkoušet usbdeview, má zakazovací tlačítka.
V spravci zariadeni zakazes EHCI a XHCI controllery. (potom nepojde ziadne USB)
Ale je to nezmysel, ptz staci ze si zakazes autorun v ovl.panely - autorun, a nebudes klikat na dementny tentopocitac, ale napr. pouzijes TC, a nedostanu sa ti do pocitaca ziadne viry sami od seba.
Dlouho jsem do toho sice nelezl, ale při zapnutí NB (PC) vlézt do BIOSu, a tam pod nějakou položkou je u USB enable/disable, tak dát disable. Pak USB nebude fungovat, nic se nenačte, akorát připojené zařízení sice vidět bude, ale otevřít nepůjde nic, čili s ním nějak pracovat nepůjde.
Hlavne aby fungovala myš a klávesnica...
Ked vypnes USB controller tak nebude vidiet ziadne pripojene zarizeni nikde
To s registrami, co som napisal ze je najpraktickejsie - nestaci.
Vraj to blokuje iba USB mass storage devices, co su pouzivane StorPort miniport driverom. Ostatne usb veci to neblokuje vraj. Cize musim najst nieco ine, co sa da prestavit skratene par klikmi a bez toho, aby som musel rebootnut.
Niekde sa pise (nerozumiem tomu celkom) ze, by som mal ist cez "COM interface to the device manager" alebo skriptnut "wmic" alebo si napisat vlastny driver.
Mozte sa k tomu este vyjadrit, popr. ine napady ?
i to blokování usbstor neuděláš za běhu, ten driver potřebuje k načtení/zakázání restart.
zkus vysvětlit, proč ti nestačí blokovat usb paměťová mědia, ale chceš blokovat i myši, klávesnice, tiskárny a skenery.
Zaliať porty dvojzložkovým lepidlom, prípadne cementovou zmesou 800-ky, určenej výstavbu na priehrad.
Islo mi to za behu, bez restartu na mojom pc.
A preco teda nezakazes v spravci zariadeni root huby?
tieto vsetky ?
![[34352890d8.png]](http://puu.sh/hDuxw/34352890d8.png)
Daju sa len po jednom kazde a pravdepodobne to bude vyzadovat restart.
Ja potrebujem nieco take, ze ked odchadzam od pc, zablokujem to, ked sa vratim odblokujem a fungujem dalej.
To co chces je totalna kravina. Ked odchadzas z PC tak zmacknes Win+L a to je vsetko (ucet mas snad s heslom). Z USB sa samo od seba nic nespusta. Autorun mas mat vypnuty.
P.S. a zakazanie zariadenia v spravci nevyzaduje restart (ked ti je vela roothubov tak sa da zakazat aj rovno cely USB controller. Ale potom ti nepojde ani USB mys)
Je jedno ci je win locknuty a autorun vypnuty.
Ked sa nieco objavi v tom porte, win to zaregistruje a tam je problem. Pretoze rok 2014 bol typicky v odhalovani vsemoznych exploitov. A jeden z najefektivnejsich bol ten cez usb. Hocijaky sofistikovanejsi malware sa dnu dostane. Preto ja nechcem aby ani prud netiekol do tych portov, aby nebola ziadna sanca, ze tadial preklzne.
ano a prave sa iba na teba otacaju vsetky satelity sledovacich sluzieb a vsetky mafie ci teroristi si uz zhanaju info kde prave si :D
Co tak to byt menej paranoidny a neriesit blbosti? V tom ntb isto nemas kody k jadrovym raketam....
Neries preco by som to nemal chciet, ale skus mi poradit ako to dosiahnut.
Moze to byt hocico, napr podnikovy notas s citlivymi informaciami..
Preto som to hned na zaciatku nenapisal, lebo som vedel ze budete hubovat ako vzdy. Tak som chcel najprv pocut navrhy
Najprv riesis dovod, preco to chces spravit. A az je dovod dostatocne dobry, potom riesis ako to spravit.
Ako tu uz bolo napisane, mas dve moznosti - vypnut usb uplne, aby do nich ani stava nesla. V zavislosti od zariadenia to spravis bud fyzicky (rozpojenie kontaktov, vypinac) alebo softwarovo (bios, OS).
Ale neexistuje nic take ako si ty predstavujes ze ked chces, tak sa to zazrakom zapne - pc nevie co si myslis a ze prave teraz chces usb zapnut.
Takze bud budes mat usb ciastocne vypnute - bude tam prud, ale do systemu ti to nic nenamountuje, no zariadenie to zdetekovat moze. S tymto len tak ako uzivatel nic nenarobis.
Alebo to bude vypnutie uplne a pre zapnutie bude nutny restart.
Este by stalo za pokus testnut nejaky program typu "hlidaci pes" ktory dokaze kadejake taketo ficury, ale najpravdepodobnejsie to pridava so systemu nejaky sovj ovladac, cez ktory to riesi, pretoze system ako taky toto riesit nedokaze.
měl jsi to napsat hned, celý tento thread byl zbytečný. mm ti dal úplnou odpověď.
tak to dopadá, když neřekneš co vlastně chceš a jen plýtváš časem lidí. pamatuju si, že u tvých dotazů je to typické.
Uz si sa viac krat v minulosti pohrdavo o mne vyjadril, ze nebudes citat moje temy a ani do nich prispievat.
Tak na co sem furt lezes ?
Sa nestaraj !
problém se dá řešit i se začínajícím lamiakem (který má notebuk plný firemních dat
)
pokud jsi postižen paranoidní představou, že kvůli tobě někdo vyrábí upravený usb krám, máš zakázat usb řadič - to už ti psali. nejde totiž o exploit pro windows, souvisí to s funkcí usb, nějakou odezvu proto můžeš čekat i s linuxem.
aby právě u tvého notebooku s firemními daty nenastala žádná odezva na soubor autorun.inf, pohledej nastavení v registrech pro:
o to celou dobu jde: když nenapíšeš k čemu to je (jako to děláš vždycky), nedá se to řešit.
zkus si hrát s win objekty, ne s rozhraním.
Mozes to dotiahnut ? Lebo neviem co s tym presne mas na mysli
napriklad niecim takymto:
http://www.ebay.com/itm/USB-Ports-HUB-Blocker-Lock ing-Key-inc-4x-Orange-Blocks-Prevents-use-of-USB-P orts-/251819252188?pt=LH_DefaultDomain_3&hash=item 3aa198d9dc
Fantasticke !
Nepisu, ci ten kluc na otvorenie/odblokovanie je univerzalny pre vsetky tieto vyrobky. Mam na mysli, ze ak 2 ludia budu mat to iste, tak ten druhy to moze prvemu odomknut so svojim klucom
Ako sorry, ale čo je na tej posranej záslepke "Fantasticke !" ?
A nič sa "neodomyká", sproste Ti to iný človek s takou istou vecou vytiahne von a máš "po ptákach"...
Ak by som sa mal lepsie vyjadrit, chcel by som v buducnosti zabranit dvom druhom utokov.
1, Softverovy v podobe malware, ten najvychytralejsi, co sa tvari ako driver.
2, Hardwarovy v podobe odpalenia casti maticnej dosky. Napr.: usb-killer).
1,
- tu nepomoze antivirus, antimalware kedze je to prenho ako driver. Teda predpokladam, ze je nutne urobit aby mu bola zamadzena cesta dnu, cize mrvy-vypnuty port. Bez prudu. Teda ako to urobit rychlo a jednoducho ?
- tento program ma zmysel, ze je to nieco lepsie ako antivirak; alebo je to len klamliva reklama pre neznalcov ? www.mcshield.net
2,
- aj ked bude v portoch vypnuty prud, tak vstup je samozrejme tvoreny z vodicov, cize ak sa to tam zasunie, aj tak to moze pokazit pc ? Teda pri tejto hrozbe ostava ako riesenie iba tie plastove zaslepky ?
tretia moznost - nebyt paranoidny a nevymyslat zbytocne blbosti.
precujes ako zamestnanec CIA, FBI alebo NSA? Mas utkvelu predstavu ze po tebe ide cely svet a sleduju/chcu ziskat/vyradit/cracknut/hacknut prave tvoj ntb/pc?
Na USB porte nemozes vypinat "prud" jak ta napadne. Spravidla je to nadratovane rovno na +5V STBY alebo na normalne +5V switched.
Vymyslas uplne kraviny. Vir sa ti dostane do PC len ak tam spustas zavireny kod, tak zavireny kod proste nespustaj. A nepouzivaj tentopocitac ale nieco normalne napr. TC, co pri dvojkliku nespusta autorun. A vypni si vo Win autorun (ovl.panely-autoplay)
Mozete odpovedat na moje otazky ?
To vyssie su odpovede na tvoje otazky. Splietas uplne nezmysly. Antivir vie zachytit akykolvek vir, je uplne fuk ci driver alebo nedriver, keby ten antivir nerobil dement a keby autori mali k dispozicii vsetky viry na svete na analyzu.
ODPOVED (chapes, to je odpoved): bez prudu NIJAK. Zober si noznicky a odstrihni drat, len potom to bude bez prudu.
ODPOVED: v portoch nebude vypnuty prud.
P.S. Rada: jedina hrozba je sam pouzivatel. Ochranu smerovat smerom na neho.
A ten mscshield nepoznam ale taketo veci su zvycajne placebo nezmysly.
Moze sa vyjadrit este niekto ? (kto sa viac rozumie)
mm.., máš to.
on sice nepíše a nechápe co je špatně, ale ví že je to špatně a ty tomu moc nerozumíš.
pro všechny lamiaky:
tak co jsi zatím dokázal kromě keců? jak jsi zabezpečil usb z toho cos tu četl? a čím jsi ověřil, že to funguje?
Pokud softwarove vypnes proud, tak stejne nezamezis tomu, aby ti tam nekdo strcil takovyhle usbkiller, akorat uz nabity, a neodpalil ti desku - porid si zaslepky se zamkem, ale stejne nekdo muze prijit a tomu notebooku jednu jebnout kladivem a mas po zizalickach.
muzes si uvnitr ustrihnout dratky do usb (nebo to vypajet z desky - dle konstrukce) a dat si tam vlastni, se ctyrvypinacem - tim to odstrihnes elektricky. pokud nechces u kazdeho konektoru nevzhlednou packu vypinace (radsi jeste schovanou, aby ji nikdo nenasel a neprepnul), vraz tam proste cryrrelatko s nejakym zesilovacem (staci tranzistor) a ovladej to softwarove poslanim nejake hodnoty na nejaky nepouzity pin, nebo si proste na I2C sbernici v pocitaci pripichni nejake to AVRko (mozna staci i PIC) a ovladej to prez tohle.
Jinak budes mit ty USB konktory pod proudem, protoze tak to v tom NB je proste naletovane a nikdo nepocital s vypinanim, tak tam na to necpal obvody, co by to zbytecne prodrazily a nikdo je stejne nepouzival.
Jestli se ti i takovyto, celkem trivialni ac ponekud pracny, postup zda nad tvoje sily, tak mas proste smulu, nebo si musis koupit novy apple, co ma jen jeden konektor a to napajeci.