Una cuestión a resolver en las empresas que manejan archivos confidenciales suele ser la permisión (o no) de utilización de dispositivos de almacenamiento externos. Aunque en momentos puntuales como la recuperación tras un incidente suelen ser de gran ayuda, los dispositivos externos podrían crean interconexiones no visibles a simple vista por el administrador de red. A estas redes ocultas se les denomina hidden networks y pueden ayudar a cibercriminales a realizar saltos horizontales (e incluso verticales) entre diferentes segmentos dentro de la red interna.
Para tener un mayor control de la red interna, medida muy a tener en cuenta puede ser la deshabilitación de dispositivos USB. En esta entrada se darán las pautas a seguir para deshabilitarlos en Windows. Cabe mencionar que hay que diferenciar si en el ordenador ya se han instalado las memorias o no. Cuando se inserta una memoria USB en Windows, el sistema inmediatamente se dispone a instalarlo, apoyado en los siguientes ficheros que registrarán entre otras cosas, el nombre y el identificador único de la memoria.
- %SystemRoot%\Inf\Usbstor.pnf
- %SystemRoot%\Inf\Usbstor.inf
Para que el ordenador no inicie el proceso de instalación en el sistema, se deshabilitará el control sobre los usuarios que quieran instalar memorias en el ordenador. Volviendo al principio de la entrada y respondiendo al tema de recuperación de desastres, decir que mediante este método se puede habilitar o deshabilitar a cualquier grupo dentro del dominio. En caso de tener integrado Active Directory, se podría buscar la solución de permitir el acceso a la instalación de USBs únicamente al administrador del dominio.
Pero, ¿Qué pasa si el dispositivo de almacenamiento ya ha sido previamente instalado en el sistema? Habiendo realizado únicamente el paso anterior, las memorias USB anteriormente instaladas seguirán funcionando. Cuando una memoria USB ya ha sido instalada en el sistema, Windows mira en el registro de memoria USBstor la posibilidad de ejecutar o no el USB mediante la variable START. Si se escribe en el buscador de Windows la palabra 'ejecutar', Windows redirigirá al interprete de comandos. En el interprete se deberá escribir regedit para que Windows abra el editor de registros. Una vez dentro, la ruta a modificar será la siguiente:
- HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> UsbStor
Haciendo doble clic en el registro, aparecerán las variables y sus valores. Cambiando el valor de START a '4', Windows no ejecutará las memorias USB. Para la recuperación de desastres, el administrador debería editar el valor del registro, permitiendo de este modo ejecutar en casos puntuales las memorias USB.
Editando el registro de dispositivos USB en Windows
Como veis, la configuración por defecto de los dispositivos está orientada a la accesibilidad del usuario y no a la seguridad. Es turno de la dirección de la empresa el poner en la balanza las dos posibilidades para poder evitar sustos y descontrol en la organización con las hidden networks.
Os dejo un link en el que explica paso por paso como llegar a desactivar los ficheros y cambiar el valor del registro.
No hay comentarios:
Publicar un comentario