La gestión de la seguridad en la empresa pasa, entre otros factores, por el afianzamiento de los sistemas de entrada/salida de los equipos informáticos. Hoy día es extremadamente sencillo para un atacante extraer información de los sistemas, ya que los soportes de almacenamiento no sólo se han hecho más rápidos y eficientes, sino que han multiplicado por millares su capacidad de almacenamiento. Poco tienen que ver los vetustos disquetes de 5,25" ó 3,5", lentos y ruidosos, y con capacidades de 1,2 a 1,44MB (al menos usualmente) con las actuales memorias USB, de 4 u 8 GB, los teléfonos con memorias micro SD de varios GigaBytes, o simplemente con el correo electrónico o la transmisión de los datos por la red, inalámbrica o no.
En concreto, hoy veremos cómo establecer un control mínimo sobre los dispositivos USB, tan fáciles de traer y llevar, y susceptibles a albergar grandes cantidades de información. Nos centraremos en el sistema operativo Windows, y en particular en su edición XP, aunque buena parte de los temas que trataremos podrán ser probados en distintas versiones del mismo.
Podemos saber qué dispositivos se han conectado alguna vez a un equipo -incluidos aquellos que no estén presentes físicamente en el momento de llevar a cabo la comprobación, claro está-, usando el Administrador de Dispositivos de Windows. Si lo ejecutamos normalmente (Inicio->Ejecutar-> devmgmt.msc, o bien mediante botón derecho sobre el icono de Mi PC, seleccionando la opción Administrar del menú contextual y en el árbol desplegable de la izquierda, el Administrador de Dispositivos), veremos dentro de la opción de Unidades de Disco las unidades que hay actualmente conectadas, pero ninguna más.
Para ver todas las unidades a que ha tenido acceso el equipo en cuestión, iniciaremos una consola de comandos (Inicio->Ejecutar->cmd), y estableceremos a verdadera la variable de entorno devmgr_show_nonpresent_devices, mediante la introducción del comando:
set devmgr_show_nonpresent_devices=1
Otra opción sería establecer la variable de entorno para que quedase siempre inicializada de este modo. Para ello, pulsaríamos sobre el icono de Mi PC con el botón derecho del ratón, seleccionaríamos la opción Propiedades, y en la pestaña Avanzadas, haríamos clic sobre el botón de Variables de Entorno, y añadiríamos una nueva variable, bien para el usuario en cuestión, bien para el sistema, de modo que fuese independiente respecto al usuario que esté usando el equipo.
A continuación iniciaremos de nuevo el Administrador de Dispositivos, escribiendo
start devmgmt.msc
en la propia línea de comandos. Aparecerá nuevamente el Administrador, y dentro del menú Ver, activaríamos la opción Mostrar dispositivos ocultos. Ahora sí, encontraríamos todos los dispositivos que han sido instalados alguna vez en nuestro equipo bajo la rama Equipo->Unidades de disco, que aparecerán algo difuminados respecto a aquellos que están presentes en el equipo en ese momento.
De este modo, podemos llevar a cabo una gestión (manual, eso sí, habría que ver cómo automatizar dicha tarea por ejemplo, mediante el uso de PowerShell) de los dispositivos USB conectados.Deshabilitando los puertos USB.
Windows lleva a cabo la gestión de los puertos USB en el propio registro de sistema. Por ello, bastará con editarlo para establecer si están habilitados o deshabilitados. En concreto, podemos llevar a cabo esta activación entrando en el Registro de Windows (Inicio->Ejecutar->regedit), y accediendo al nodo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor.
El valor de la propiedad Inicio (Start) será el que determine el estado del servicio. Si su valor es 3 (que es lo habitual), el servicio de uso de dispositivos de almacenamiento USB estará activado. Bastará con cambiar el valor a 4 para desactivarlo, impidiendo así el acceso a los pendrives, discos duros externos, etc.
Buenas tardes:
ResponderEliminarComo puedo saber los dispositivos que se han activado y descativado en un puerto USB de un windows XP
Queda registrada la informacion