Come bloccare i dispositivi di archiviazione USB non autorizzati tramite GPO

da | Ago 22, 2024 | Featured, Microsoft Windows, Tips

I dispositivi USB sono, ancora oggi, il mezzo principale per la diffusione di malware ed il furto di dati da utenti non autorizzati. Sebbene sia un problema risolvibile per gli utenti domestici, per le imprese questo può rappresentare un vero problema.

In questo articolo esploreremo come proteggere la tua rete bloccando i dispositivi di archiviazione USB non autorizzati tramite le Group Policy Object (GPO) di Windows. Questi criteri di sicurezza possono prevenire accessi non autorizzati, minimizzando il rischio di diffusione di malware o furto di dati sensibili.

La diffusione dei dispositivi USB ha reso la vita più semplice a molte persone, permettendo di trasferire dati tra dispositivi in modo rapido e senza complicazioni. Tuttavia, questi vantaggi nascondono pericoli considerevoli, specialmente in un contesto aziendale. Nell’ambito lavorativo l’utilizzo di dispositivi USB, come chiavette, dischi rigidi e smartphone, è ampiamente utilizzato e spesso può essere un vero rischio per la sicurezza aziendale. Immaginate che una chiavetta connessa ad un computer abbia un malware, questo può infettare il computer ma anche l’intera rete locale. Allo stesso modo, può essere un rischio anche consentire la copia di dati sensibili ad utenti non autorizzati…

Un altro problema è l’installazione di software non autorizzato: un utente può installare software non aziendale sulla propria macchina, causando, potenzialmente, un aumento di vulnerabilità del sistema.

Fortunatamente, attraverso l’uso della GPO, è possibile controllare e limitare l’uso dei dispositivi di archiviazione USB all’interno di un’organizzazione. Configurando correttamente i criteri di sicurezza, è possibile:

  • Prevenire la connessione di dispositivi non autorizzati
  • Impedire la lettura, scrittura o esecuzione di file su dispositivi USB
  • Ridurre il rischio di esfiltrazione di dati e attacchi malware

IL primo step è quello di accedere all’applicativo Windows Group Policy Management Console (GPMC). Questa console consente agli amministratori IT di gestire in modo centralizzato i criteri di sicurezza e configurazioni dei computer all’interno di un dominio Active Directory.

  • Per avviare la GPMC cliccate sul tasto Windows dalla barra delle applicazioni
  • Digitate Criteri nel box di ricerca
  • Dai risultati, cliccate su Modifica criteri di gruppo

Nella console, raggiungete il seguente percorso:

Configurazione computer\Modelli amministrativi\Sistema\Accesso agli archivi rimovibili

A questo punto vedrete un elenco di impostazioni predefinite che possiamo abilitare.

Analizziamo alcune delle impostazioni più rilevanti.

  1. Blocco dell’Esecuzione dei File (Deny Execute Access)
    Questa impostazione blocca l’avvio di programmi presenti su CD e DVD. Abilitando questa opzione, impedirai l’esecuzione di software non autorizzato, proteggendo la rete aziendale. Disabilita o lascia non configurato se desideri consentire l’esecuzione di file da questi supporti.
  2. Blocco della Lettura dei Dati (Deny Read Access)
    Per prevenire l’accesso non autorizzato alle informazioni memorizzate su CD e DVD, abilita questa impostazione che impedisce la lettura dei dati da parte degli utenti.
  3. Blocco della Scrittura (Deny Write Access)
    Se desideri evitare che i dipendenti copino dati su supporti CD e DVD, puoi abilitare il blocco della scrittura. Questa misura è utile per proteggere le informazioni sensibili dall’essere archiviate su supporti rimovibili.
  1. Impedire l’Esecuzione Automatica (Deny Execute Access)
    Questa impostazione ti permette di bloccare l’avvio automatico di file da chiavette USB e hard disk esterni. Abilitando questa opzione, impedisci che malware o software non autorizzato possano eseguire operazioni dannose.
  2. Bloccare la Lettura (Deny Read Access)
    Per una protezione più rigorosa, questa impostazione nega completamente l’accesso in lettura ai dati contenuti su dispositivi USB o hard disk esterni. Ideale per proteggere i dati sensibili da occhi indiscreti o utilizzi non autorizzati.
  3. Impedire la Scrittura (Deny Write Access)
    Con questa opzione, blocchi il trasferimento di file dal computer aziendale ai dispositivi rimovibili. Questo è particolarmente utile per evitare che dati aziendali vengano copiati su dispositivi personali senza autorizzazione.

Anche se ormai raramente utilizzati, i floppy disk possono ancora essere gestiti tramite GPO per garantire la sicurezza.

  • Blocco Esecuzione File (Deny Execute Access): Evita che file eseguibili possano partire da floppy disk.
  • Blocco Lettura Dati (Deny Read Access): Impedisce che dati archiviati su floppy vengano letti.
  • Blocco Scrittura Dati (Deny Write Access): Preclude la possibilità di scrivere su questi supporti, proteggendo l’integrità dei dati aziendali.

Anche le unità a nastro, sebbene meno comuni, necessitano di misure di sicurezza adeguate.

  • Blocco Scrittura Dati (Deny Write Access): Evita che dati vengano scritti o copiati su unità a nastro, minimizzando il rischio di fughe di dati.
  • Blocco Esecuzione File (Deny Execute Access): Impedisce l’esecuzione di file memorizzati sulle unità a nastro.
  • Blocco Lettura Dati (Deny Read Access): Restringe l’accesso ai dati presenti, proteggendo le informazioni sensibili.

Questi includono telefoni cellulari, lettori multimediali e altri dispositivi portatili che possono essere utilizzati per l’archiviazione di dati. Le impostazioni GPO per i dispositivi WPD consentono di bloccare l’accesso in lettura e scrittura, prevenendo potenziali furti di dati tramite questi dispositivi.

Dopo aver configurato le impostazioni desiderate, è sufficiente un riavvio del computer per applicare le modifiche. Se, invece, ci si trova all’interno di un dominio, è importante assicurarsi che vengano applicate correttamente su tutti i computer del dominio. E’ possibile farlo tramite un “refresh” forzato delle impostazioni, eseguibile semplicemente da un comando via prompt dei comandi:

Avvio del prompt dei comandi

  • Per avviare il Prompt dei comandi, cliccate sul tasto Windows dalla barra delle applicazioni
  • Digitate cmd nel box di ricerca
  • Dai risultati, cliccate su Prompt dei comandi

Per eseguire il refresh, digitare questo comando seguito dal tasto Invio.

gpupdate /force

L’uso della GPO per bloccare i dispositivi di archiviazione USB (o altri) è una pratica essenziale per garantire la sicurezza della rete aziendale. Tuttavia, è importante tenere in considerazione che la cybersicurezza è un processo in costante evoluzione e la GPO sola non è sufficiente. Alcuni modi per ampliare le misure di sicurezza aziendali possono essere:

  • Crittografia dei dati per proteggere i file sensibili in caso di perdita o furto di dispositivi.
  • Formazione dei dipendenti sulle migliori pratiche di sicurezza informatica.
  • Monitoraggio continuo della rete per rilevare eventuali anomalie o attività sospette.

Valuta anche...

acquisti_consigliati

Windows 11 │ Pro EditionMicrosoft Windows 7 PRO SP1Windows 10 ProWindows 10 Pro 64 BitWindows 11 - Home EditionMicrosoft Windows 10 Home

Condividi questo articolo su:

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *