Panorama des moyens de contrôle des ports USB sous Windows XP



Documents pareils
Chapitre 1 L interface de Windows 7 9

Prise en main. Norton Ghost Pour trouver des informations supplémentaires. A propos de Norton Ghost

Tutorial Terminal Server sous

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

CAHIER. DES CLAUSES TECHNIQUES PARTICULIERES N du 16 avril 2007 ORDINATEURS. C.I.E.P 1, Avenue Léon JOURNAULT SEVRES

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

Installer des périphériques

Guide de l utilisateur ArpentGIS-Trajet 1.2 ArpentGIS-Expert 1.4

ATELIERS DE FORMATION TECHNICIEN DE MAINTENANCE INFORMATIQUE

Guide de l'utilisateur

UserLock Quoi de neuf dans UserLock? Version 8.5

Installation 1K-Serveur

Installation et Réinstallation de Windows XP

INSTALLATION MICRO-SESAME

Guide d installation et d utilisation

Dispositif e-learning déployé sur les postes de travail

Leçon 1 : Les principaux composants d un ordinateur

Installer Windows 8 depuis une clé USB

STATISTICA Version 12 : Instructions d'installation

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN

La communication et la gestion de l'information

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

MSP Center Plus. Vue du Produit

Fiche Technique. Cisco Security Agent

Restauration rapide et fiable sur des plates-formes matérielles différentes, dans des environnements virtuels ou sur des sites distants.

User Manual Version 3.6 Manuel de l Utilisateur Version

Procédure d installation des logiciels EBP sous environnement MAGRET

Lutter contre les virus et les attaques... 15

Boot Camp Guide d installation et de configuration

INSTALLER LA DERNIERE VERSION DE SECURITOO PC

Windows 7 - Installation du client

Administration de systèmes

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Pourquoi choisir ESET Business Solutions?

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

LE MICRO ORDINATEUR. Introduction Architecture Les supports amovibles Les composants Le système d exploitation Les portables

cbox VOS FICHIERS DEVIENNENT MOBILES! POUR ORDINATEURS DE BUREAU ET PORTABLES WINDOWS ÉDITION PROFESSIONNELLE MANUEL D UTILISATION

PROXINFO-SERVICES. NOS TARIFS. Prix révisés le 01/03/2010

Fonctionnement de Windows XP Mode avec Windows Virtual PC

Démarrer et quitter... 13

Interface PC Vivago Ultra. Pro. Guide d'utilisation

Mes documents Sauvegardés

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

VOS CONTACTS GUIDE D INSTALLATION DE L ADAPTATEUR WIFI POUR ÊTRE EN RELATION AVEC UN CONSEILLER POUR NOUS ÉCRIRE

Printer Administration Utility 4.2

Microsoft Windows NT Server

Tous les conseils de nos experts pour bien l utiliser.

Guide de Démarrage Rapide

NiceLabel Guide de prise en main rapide

Suivant les windows, le signal pour indiquer l imprimante par défaut est un petit rond noir ou vers avec un V à l intérieur.

Connecteur Zimbra pour Outlook 2007 et 2010 (ZCO) w

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises

Manuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5

Sécurisation de Windows NT 4.0. et Windows 2000

CA Desktop Migration Manager

Mettre à jour son ordinateur vers Windows 7

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

GUIDE NSP Activation et gestion des produits avec NSP

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

McAfee Data Loss Prevention Endpoint 9.4.0

Pré-requis de création de bureaux AppliDis VDI

«Connais toi toi-même comme l as dit Socrate!»

FOIRE AUX QUESTIONS ACT! 2009

Windows 8 Installation et configuration

Commandes Linux. Gestion des fichiers et des répertoires. Gestion des droits. Gestion des imprimantes. Formation Use-IT

Description du logiciel Acronis Backup & Recovery 11.5

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Guide de l administrateur CorpoBack

Boot Camp Guide d installation et de configuration

Toshiba EasyGuard en action :

Configuration de l'ordinateur Manuel de l'utilisateur

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

Guide utilisateur XPAccess. Version Manuel de référence 1/34

Point de connexion Internet Fibe Guide de référence

Installation du client Cisco VPN 5 (Windows)

Mode Opératoire Windows XP

Comment installer un client Rivalis Devis factures

JOSY VIRTUALISATION 9 ET 10 JUIN 2011 POSTE DE TRAVAIL ET VIRTUALISATION. Sébastien Geiger IPHC

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

Mickaël Journo. Assistance et Maintenance Informatique pour particuliers et professionnels.

Manuel d'installation de DVD MAKER USB2.0

Mise en route d'une infrastructure Microsoft VDI

B2i. LE B2i Brevet Informatique et Internet. Niveau : tous. 1 S'approprier un environnement informatique de travail. b2ico1.odt.

Premiers pas sur l ordinateur Support d initiation

Préconisations Techniques & Installation de Gestimum ERP

Avantages. Protection des réseaux corporatifs de gestion centralisée

ACCEDER A SA MESSAGERIE A DISTANCE

TP 1 : prise en main de Windows. TP 1 : prise en main de Windows

Quel PC pour quels usages? 1) PC de Bureau ou Portable? Les différents types de portables. - Les ultra-portables. - Les portables généralistes

MODULE I1. Plan. Introduction. Introduction. Historique. Historique avant R&T 1ère année. Sylvain MERCHEZ

Tsoft et Groupe Eyrolles, 2005, ISBN :

SQL Server Installation Center et SQL Server Management Studio

GUIDE DE L UTILISATEUR

Sauvegarde. de données. Nos conseils de prise en main

a CONserVer a CONserVer COde d activation pack FNaC pc sécurité & ClOud COde d activation protection android

Gestionnaire de connexions Guide de l utilisateur

McAfee Data Loss Prevention Endpoint

Version Guide de l'utilisateur

Transcription:

Panorama des moyens de contrôle des ports USB sous Windows XP Sommaire Cert-IST Association loi 1901 Avis publié au Journal Officiel du 26/04/2003 sous le N 2688 1. PROBLEMATIQUE... 2 2. SOLUTIONS DE CONTROLE DES PORTS USB... 2 2.1. Solutions offertes en standard par Windows XP...2 2.1.1. Le gestionnaire de périphériques Windows...2 2.1.2. La base de registre et le système de fichiers...3 2.2. Panorama rapide des logiciels de contrôle des ports USB...4 2.2.1. Comparatif des Principaux logiciels...4 2.2.2. Test élémentaire de "DeviceLock" (SmartLine)...6 3. CONCLUSION... 8 4. POUR PLUS D INFORMATIONS... 8 9, rue du Président Allendé 94 526 Gentilly Cedex - France Tél. : 05 34 35 33 88 E-Mail : cert@cert-ist.com Web : www.cert-ist.com

1. PROBLEMATIQUE Les ports USB présents sur la quasi-totalité des postes de travail actuels sont une source de menaces pour la sécurité des réseaux d entreprise. Parmi ces menaces on peut citer : L introduction de code malveillant sur le poste (code qui pourra éventuellement ensuite se propager aux autres postes de l entreprise par l intermédiaire du réseau). Court-circuit de la politique de contre d accès réseau de l entreprise par connexion de modems USB (Wifi ou modem RTC/RNIS). Fuite d informations : utilisation abusive par les employés de périphériques USB de stockage de masse pour copier et transporter hors de l entreprise des masses considérables d informations. Un des enjeux de sécurité des réseaux d entreprises actuels consiste donc à contrôler de la manière la plus fine possible, l utilisation des ports USB des postes présents sur ces réseaux. Ce contrôle est d autant plus difficile à réaliser que la plupart des périphériques actuels (claviers, souris, imprimantes, ) ont une connectique USB, ceci rendant caduque la possibilité de désactivation totale de l ensemble des ports USB. 2. SOLUTIONS DE CONTROLE DES PORTS USB 2.1. Solutions offertes en standard par Windows XP 2.1.1. Le gestionnaire de périphériques Windows Identification des ports USB utilisés par des périphériques : Le mode d affichage "Périphériques par connexion" du Gestionnaire de Périphériques permet d identifier de façon précise les ports USB utilisés sur le poste et la nature des périphériques qui y sont connectés :

2.1.2. La base de registre et le système de fichiers La Base de Registre des systèmes Windows XP offre des fonctionnalités permettant de contrôler l'usage des ports USB. Les principales fonctions relatives à ce type de port sont décrites cidessous. 2.1.2.1. Interdiction d'écriture sur des supports amovibles USB Version de Windows : Windows XP SP2 Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control Créer la clef "StorageDevicePolicies" Sous cette clé nouvellement crée, ajouter la valeur "WriteProtect" de type "DWORD" avec pour contenu : "1" désactive l'écriture sur les supports de type USB (mais la lecture reste possible) "0" redonne la possibilité d'écrire sur un périphérique connecté à un port USB Remarque : il est obligatoire de redémarrer l'ordinateur pour que ces modifications soient actives. 2.1.2.2. Désactivation de l'utilisation des dispositifs de stockage USB Si aucun dispositif de stockage USB n'est installé sur l'ordinateur : Version de Windows : Windows XP SP1 Dans les ACL des fichiers suivants : %systemroot%\inf\usbstor.pnf %systemroot%\inf\usbstor.inf Rajouter les utilisateurs ou groupes d utilisateurs concernés par cette interdiction et positionner leur droit à : Refuser : Contrôle total Si un dispositif de stockage USB est déjà installé sur l'ordinateur : Version de Windows : Windows XP SP1 Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor Modifier la valeur Start de type DWORD avec le contenu suivant : "3" active la détection des périphériques de type USB "4" désactive la détection des dispositifs USB

2.2. Panorama rapide des logiciels de contrôle des ports USB 2.2.1. Comparatif des Principaux logiciels Le tableau ci-dessous a été réalisé uniquement par rapport aux caractéristiques techniques annoncées par les éditeurs dans les différentes "DataSheets". Produit GFIEndPointSecurity DriveLock Version 5.0 Safend Protector DeviceLock 6.1.1 Editeur GFI DriveLock Safend SmartLine Disquettes, CDs et DVD ROMs, ipods, Périphériques de stockage, Imprimantes, PDAs Adaptateurs réseau, Modems, Périphériques image, Clés USB Disquettes CD-ROM, Bluetooth, Palm Windows Mobile, Smartphones, Clés USB, Disquettes, CD-ROM, Bluetooth, Wifi, Périphériques image, Adaptateurs réseau, Disquettes, CD-ROM, Bluetooth, Wifi, Contrôleurs USB, Contrôleurs 1394/Firewire, Ports série (COM), Lecteurs de cartes, Modems, Ports parallèles (LPT), Périphéri Périphériques image, Contrôleurs USB, ques Adaptateurs réseau, Contrôleurs 1394/Firewire, contrôlés Modems, Contrôleurs PCMCIA, Cameras, Contrôleurs infrarouges, Imprimantes, Ports série (COM), Contrôleurs USB, Ports parallèles (LPT), Contrôleurs 1394/Firewire, Contrôleurs PCMCIA Contrôleurs infrarouges, Ports série (COM), Ports parallèles (LPT), Journalis ation des Oui : Journalisation de toutes les Oui: Journalisation de toutes les Oui: Journalisation des noms des Oui: Journalisation de toutes les activités activités utilisateurs en activités utilisateurs en fichiers lus et écrits sur des activités utilisateurs en sur les particuliers les noms des particuliers les noms des périphériques amovibles. particuliers les noms des périphéri fichiers lus et écrits sur des fichiers lus et écrits sur des fichiers lus et écrits sur des ques périphériques amovibles. périphériques amovibles. périphériques amovibles. Politique de contrôle d'accès: Politique de contrôle Politique de contrôle d'accès: Politique de contrôle d'accès: Granularit é du contrôle d'accès Par ordinateur, Par type de Par utilisateur (jusqu'au niveau de l'utilisateur individuel) Par mode d'accès (lecture seule ou accès complet) d'accès : Par numéro de série du Par type de périphériques ou groupes de périphériques Par utilisateurs ou groupes d'utilisateurs Par mode d'accès (lecture seule ou accès complet) Par type de fichiers (autoriser ou interdire la copie de certains types de fichiers) Par capacité du Par statut de protection (fichier encrypté ou Par numéro de série du Par type de périphériques Par modèle de périphérique Par utilisateurs ou groupes d'utilisateurs Par poste de travail Par type de fichiers Par utilisateurs ou groupes d'utilisateurs Par plage horaire, Par mode d'accès (lecture seule ou accès complet) Par numéro de série du Par type de périphériques Par modèle de périphérique Par poste de travail

Produit GFIEndPointSecurity DriveLock Version 5.0 Safend Protector DeviceLock 6.1.1 pas) Mode de managem ent Politique de contrôle d'accès gérée par Active Directory Politique de contrôle d'accès gérée par Active Directory Politique de contrôle d'accès gérée par Active Directory ou Novell. Politique de contrôle d'accès gérée par Active Directory Reporting Composant GFI ReportPack (module complémentaire). Génération de rapport et de graphiques sur les tendances d'utilisation des périphériques sur le réseau, les noms des fichiers transférés Composant Security Reporting Center: Console de reporting centralisée permettant la réalisation de rapport et la mise en place de mécanismes d'alerte. Composant Safend Auditor (produit complémentaire): Création de rapports HTML ou XML identifiant les périphériques utilisés par types, constructeurs, numéros de série et utilisateurs. Fonctions cryptogra phiques Effacement sécurisé: non Cryptage des données: non Effacement sécurisé: oui Cryptage des données: oui jusqu'à 256 bits (ES, 3DES, Blowfish, etc.) Effacement sécurisé: non Cryptage des données: oui Effacement sécurisé: non Cryptage des données: non Agent: Systèmes d'exploita tion supportés Agent: - Windows 2000/2003 - Windows XP Pro Agent: - Windows 2000 SP4, - Windows XP SP2, - Windows 2003 Server SP1, - Windows Vista (32-bit et 64- bit) - Windows 2000 - Windows XP (tous services pack) - Windows XP tablet PC Edition - Windows 2003 Server (tous services pack) Agent: - Windows NT 4 - Windows 2000 - Windows XP - Windows 2003 Server - Windows Vista Invalidation des Fonctionn alités suppléme ntaires fonctionnalités U3 des clés USB Protection contre les auto exécutables Protection contre les keylogger matériels URL du http://www.gfi.com/endpoints http://www.drivelock.com/feat http://www.safend.com/65- http://www.protect- Produit ecurity/ ures.aspx#pa002 en/safend%20protector.aspx me.com/fr/dl/

2.2.2. Test élémentaire de "DeviceLock" (SmartLine) Ce test rapide a été réalisé pour vérifier la prise en main et les caractéristiques d un des logiciels précédemment cités. Le choix s est porté sur "DeviceLock" en raison des fonctionnalités relativement représentatives proposées et de la disponibilité d une version d évaluation. 2.2.2.1. Installation L installation s est effectuée sans problème particulier. A noter : la nécessité de disposer d un serveur MS SQL pour installer "DeviceLock Enterprise Server" (fonction de collecte et stockage des logs), la possibilité d utiliser des ports de communication fixes entre agents "DeviceLock", possibilité utile notamment en environnement filtré. 2.2.2.2. Configuration La politique de contrôle d accès et d audit peut être définie de façon centralisée pour chaque poste d un domaine Windows à partir de l interface DeviceLock Enterprise Manager : La politique de contrôle d accès peut donc être définie : Au niveau d un poste individuel ou d ensemble de postes Au niveau d utilisateurs individuels ou de groupes d utilisateurs. Pour chacun de ces éléments, il peut être précisé : Les périphériques sur lesquels porte la politique (port USB, port FireWire, CDROM, disquettes,.) Le type d accès autorisé (aucun accès, lecture seul, accès total, formatage, )

Les plages horaires autorisées Des listes blanches de médias autorisés Le niveau d audit souhaité (audit de tous les accès, audit des lectures, audit des écritures, pas d audit) 2.2.2.3. Résultats des tests Concernant le fonctionnement du logiciel, les tests suivants se sont révélés concluants : Interdiction totale d accès à des clés USB et des disquettes pour un utilisateur donné sur un poste donné Interdiction totale d accès à des clés USB et des disquettes pour un utilisateur donnés sur un poste donné à certaines plages horaires déterminées Limitation à des accès en lecture seule à des clés USB et des disquettes pour un utilisateur donné sur un poste donné.

Remarque : Le mécanisme de Liste Blanche a été testé, mais n a pas fonctionné. Il est à noter dans tous les cas, que la politique de contrôle d accès est déployée et appliquée dynamiquement. Il n est pas nécessaire de redémarrer le poste ou de déconnecter l utilisateur. L interface "DeviceLock Enterprise Manager" permet également de visualiser les traces d utilisation des médias sur les différents postes du domaine avec : L utilisateur ayant réalisé l action La date de l évènement Le type périphérique utilisé, Le type d accès lecture, écriture, montage/démontage, Le nom du fichier manipulé Nota : Pour les médias USB, l information "nom du fichier manipulé" n est pas disponible. 3. CONCLUSION Cet article a montré qu il existe de base sous Windows XP quelques paramétrages permettant de configurer l utilisation des ports USB. Toutefois ces configurations restent très basiques et peu flexibles. Les outils tiers spécialisés disposent quant à eux d un niveau de flexibilité beaucoup plus important ainsi que de fonctionnalités de journalisation intéressantes notamment pour des environnements traitant d informations sensibles dont on souhaite tracer l utilisation. Bien que certaines fonctionnalités annexes aient connus quelques soucis lors des tests (cf. 2.2.2.3), dans l ensemble ces outils se sont révélés efficaces. Toutefois un déploiement en production doit s accompagner d une phase de test exhaustive et poussée. 4. POUR PLUS D INFORMATIONS Article Cert-IST : Sécurité des clés USB : http://www.certist.com/fra/ressources/publications_articlesbulletins/veilletechnologique/securiteusb/ U3 USB Stick (In-) Security : http://www.csnc.ch/static/download/misc/u3_technology_v1.0.pdf Articles Microsoft expliquant le paramétrage de la base de registre en rapport avec le montage des clés USB : http://support.microsoft.com/kb/823732 et http://support.microsoft.com/kb/555441