Utilizzo di PowerShell per il Controllo delle Policy di Sicurezza nei Dispositivi USB

Centrare i registri di Windows per bloccare i dispositivi esterni.

Spesso le policy di controllo dei sistemi operativi Microsoft Windows salvano le loro configurazioni direttamente nei registri di sistema.

Conoscere i registri di sistema coinvolti permette di:

• Implementare monitor di controllo per verificare la corretta applicazione delle regole.
• Implementare i controlli senza coinvolgere Active Directory.

Una delle ricerche che abbiamo svolto si è concentrata sul controllo di accesso ai dispositivi esterni, un argomento ampiamente trattato nei vari motori di ricerca.

Con l’avvento di USB-C, è necessaria maggiore cautela nella configurazione delle policy. I dischi esterni collegati tramite questo bus vengono inizializzati come se fossero dischi di sistema, ovvero collegati al bus interno del computer.

Se la configurazione del disco non è adeguata, la policy può risultare inefficace, permettendo qualsiasi tipo di azione sul dispositivo. È quindi sempre consigliabile applicare le policy per controllare i dischi e i dispositivi portatili in generale.

I registri e le relative chiavi

Elementi dei registri per la gestione degli accessi ai dispositivi esterni.

Le policy per il blocco delle azioni sui file che coinvolgono i dispositivi esterni si articolano su sei chiavi.

Queste chiavi si trovano nella sezione HKEY_LOCAL_MACHINE dei registri di sistema, precisamente nel percorso:

HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices

La sezione RemovableStorageDevices non esiste se la policy non è stata attivata; infatti, il modo più semplice per rimuovere questo tipo di protezione è cancellarla con tutto il suo contenuto.

All’interno del percorso possono essere presenti sei chiavi. Esistono solo quelle relative alle configurazioni implementate, e la loro rimozione disattiva la policy corrispondente.

• {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} – Impostazioni di blocco per i dischi.
• {6AC27878-A6FA-4155-BA85-F98F491D4F33} – Impostazioni di blocco per i dispositivi esterni (telefoni, ecc.).
• {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} – Impostazioni di blocco per i dispositivi esterni (telefoni, ecc.).
• {53f56308-b6bf-11d0-94f2-00a0c91efb8b} – Impostazioni di blocco per CD e DVD.
• {53f56311-b6bf-11d0-94f2-00a0c91efb8b} – Impostazioni di blocco per i floppy disk.
• {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} – Impostazioni di blocco per le unità disco.

All’interno delle chiavi possono essere presenti tre valori di formato DWORD:

• DenyRead – Impostata a 1, disabilita la lettura, bloccando qualsiasi operazione sui dischi.
• DenyWrite – Impostata a 1, disabilita la scrittura.
• DenyExecute – Impostata a 1, disabilita l’esecuzione di programmi; non è presente per i dispositivi portatili.

Creare un elemento con il valore impostato a 1 attiva la protezione; cancellarlo disattiva il blocco, non è necessario impostarlo a zero.

La configurazione appropriata delle chiavi determina il blocco o lo sblocco immediato degli accessi al tipo di dispositivo configurato. I valori presenti sono solo quelli relativi ai blocchi attivati.

È importante prestare massima attenzione quando si agisce sui registri di sistema per evitare gravi danni e malfunzionamenti del computer; infatti, la cancellazione accidentale di un percorso può portare anche al blocco del sistema.

È importante sottolineare che questa realizzazione ha finalità didattiche. Di conseguenza, non ci assumiamo la responsabilità per eventuali malfunzionamenti o risultati inattesi che potrebbero derivare dal suo utilizzo.