Come bloccare i dispositivi di archiviazione USB non autorizzati tramite GPO

da Renato Brunetti | Ago 22, 2024 | Featured, Microsoft Windows, Tips

I dispositivi USB sono, ancora oggi, il mezzo principale per la diffusione di malware ed il furto di dati da utenti non autorizzati. Sebbene sia un problema risolvibile per gli utenti domestici, per le imprese questo può rappresentare un vero problema.

In questo articolo esploreremo come proteggere la tua rete bloccando i dispositivi di archiviazione USB non autorizzati tramite le Group Policy Object (GPO) di Windows. Questi criteri di sicurezza possono prevenire accessi non autorizzati, minimizzando il rischio di diffusione di malware o furto di dati sensibili.

Perché Bloccare i Dispositivi USB?

La diffusione dei dispositivi USB ha reso la vita più semplice a molte persone, permettendo di trasferire dati tra dispositivi in modo rapido e senza complicazioni. Tuttavia, questi vantaggi nascondono pericoli considerevoli, specialmente in un contesto aziendale. Nell’ambito lavorativo l’utilizzo di dispositivi USB, come chiavette, dischi rigidi e smartphone, è ampiamente utilizzato e spesso può essere un vero rischio per la sicurezza aziendale. Immaginate che una chiavetta connessa ad un computer abbia un malware, questo può infettare il computer ma anche l’intera rete locale. Allo stesso modo, può essere un rischio anche consentire la copia di dati sensibili ad utenti non autorizzati…

Un altro problema è l’installazione di software non autorizzato: un utente può installare software non aziendale sulla propria macchina, causando, potenzialmente, un aumento di vulnerabilità del sistema.

I Benefici del Blocco tramite GPO

Fortunatamente, attraverso l’uso della GPO, è possibile controllare e limitare l’uso dei dispositivi di archiviazione USB all’interno di un’organizzazione. Configurando correttamente i criteri di sicurezza, è possibile:

Prevenire la connessione di dispositivi non autorizzati
Impedire la lettura, scrittura o esecuzione di file su dispositivi USB
Ridurre il rischio di esfiltrazione di dati e attacchi malware

Come Configurare il Blocco dei Dispositivi USB tramite GPO

IL primo step è quello di accedere all’applicativo Windows Group Policy Management Console (GPMC). Questa console consente agli amministratori IT di gestire in modo centralizzato i criteri di sicurezza e configurazioni dei computer all’interno di un dominio Active Directory.

Per avviare la GPMC cliccate sul tasto Windows dalla barra delle applicazioni
Digitate Criteri nel box di ricerca
Dai risultati, cliccate su Modifica criteri di gruppo

Nella console, raggiungete il seguente percorso:

Configurazione computer\Modelli amministrativi\Sistema\Accesso agli archivi rimovibili

A questo punto vedrete un elenco di impostazioni predefinite che possiamo abilitare.

Analizziamo alcune delle impostazioni più rilevanti.

CD e DVD: Limitare l’accesso in modo sicuro

Blocco dell’Esecuzione dei File (Deny Execute Access)
Questa impostazione blocca l’avvio di programmi presenti su CD e DVD. Abilitando questa opzione, impedirai l’esecuzione di software non autorizzato, proteggendo la rete aziendale. Disabilita o lascia non configurato se desideri consentire l’esecuzione di file da questi supporti.
Blocco della Lettura dei Dati (Deny Read Access)
Per prevenire l’accesso non autorizzato alle informazioni memorizzate su CD e DVD, abilita questa impostazione che impedisce la lettura dei dati da parte degli utenti.
Blocco della Scrittura (Deny Write Access)
Se desideri evitare che i dipendenti copino dati su supporti CD e DVD, puoi abilitare il blocco della scrittura. Questa misura è utile per proteggere le informazioni sensibili dall’essere archiviate su supporti rimovibili.

Dischi Rimovibili (USB, Hard Disk Esterni)

Impedire l’Esecuzione Automatica (Deny Execute Access)
Questa impostazione ti permette di bloccare l’avvio automatico di file da chiavette USB e hard disk esterni. Abilitando questa opzione, impedisci che malware o software non autorizzato possano eseguire operazioni dannose.
Bloccare la Lettura (Deny Read Access)
Per una protezione più rigorosa, questa impostazione nega completamente l’accesso in lettura ai dati contenuti su dispositivi USB o hard disk esterni. Ideale per proteggere i dati sensibili da occhi indiscreti o utilizzi non autorizzati.
Impedire la Scrittura (Deny Write Access)
Con questa opzione, blocchi il trasferimento di file dal computer aziendale ai dispositivi rimovibili. Questo è particolarmente utile per evitare che dati aziendali vengano copiati su dispositivi personali senza autorizzazione.

Gestione delle Unità Floppy

Anche se ormai raramente utilizzati, i floppy disk possono ancora essere gestiti tramite GPO per garantire la sicurezza.

Blocco Esecuzione File (Deny Execute Access): Evita che file eseguibili possano partire da floppy disk.
Blocco Lettura Dati (Deny Read Access): Impedisce che dati archiviati su floppy vengano letti.
Blocco Scrittura Dati (Deny Write Access): Preclude la possibilità di scrivere su questi supporti, proteggendo l’integrità dei dati aziendali.

Tape Drives: Controllo delle Unità a Nastro

Anche le unità a nastro, sebbene meno comuni, necessitano di misure di sicurezza adeguate.

Blocco Scrittura Dati (Deny Write Access): Evita che dati vengano scritti o copiati su unità a nastro, minimizzando il rischio di fughe di dati.
Blocco Esecuzione File (Deny Execute Access): Impedisce l’esecuzione di file memorizzati sulle unità a nastro.
Blocco Lettura Dati (Deny Read Access): Restringe l’accesso ai dati presenti, proteggendo le informazioni sensibili.

Dispositivi portatili Windows

Questi includono telefoni cellulari, lettori multimediali e altri dispositivi portatili che possono essere utilizzati per l’archiviazione di dati. Le impostazioni GPO per i dispositivi WPD consentono di bloccare l’accesso in lettura e scrittura, prevenendo potenziali furti di dati tramite questi dispositivi.

Applicazione dei Criteri GPO

Dopo aver configurato le impostazioni desiderate, è sufficiente un riavvio del computer per applicare le modifiche. Se, invece, ci si trova all’interno di un dominio, è importante assicurarsi che vengano applicate correttamente su tutti i computer del dominio. E’ possibile farlo tramite un “refresh” forzato delle impostazioni, eseguibile semplicemente da un comando via prompt dei comandi:

Avvio del prompt dei comandi

Per avviare il Prompt dei comandi, cliccate sul tasto Windows dalla barra delle applicazioni
Digitate cmd nel box di ricerca
Dai risultati, cliccate su Prompt dei comandi

Per eseguire il refresh, digitare questo comando seguito dal tasto Invio.

gpupdate /force

Note aggiuntive

L’uso della GPO per bloccare i dispositivi di archiviazione USB (o altri) è una pratica essenziale per garantire la sicurezza della rete aziendale. Tuttavia, è importante tenere in considerazione che la cybersicurezza è un processo in costante evoluzione e la GPO sola non è sufficiente. Alcuni modi per ampliare le misure di sicurezza aziendali possono essere:

Crittografia dei dati per proteggere i file sensibili in caso di perdita o furto di dispositivi.
Formazione dei dipendenti sulle migliori pratiche di sicurezza informatica.
Monitoraggio continuo della rete per rilevare eventuali anomalie o attività sospette.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	past	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
PHPSESSID		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga_41JCTK78EB	2 years	This cookie is installed by Google Analytics.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durata	Descrizione
ANONCHK	10 minutes	This cookie is used for storing the session ID for a user. This cookie ensures that clicks from advertisement on the Bing search engine are verified and it is used for reporting purposes and for personalization.
MUID	1 year 24 days	Used by Microsoft as a unique identifier. The cookie is set by embedded Microsoft scripts. The purpose of this cookie is to synchronize the ID across many different Microsoft domains to enable user tracking.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.

Cookie	Durata	Descrizione
_clck	1 year	No description
_clsk	1 day	No description
CLID	1 year	No description
CONSENT	16 years 6 months	No description
pvc_visits[0]	1 day	This cookie is created by post-views-counter. This cookie is used to count the number of visits to a post. It also helps in preventing repeat views of a post by a visitor.
SM	session	No description available.
SRM_B	1 year 24 days	No description available.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.