Panorama des moyens de contrle des ports USB sous Windows XP

Sommaire
1. 2. PROBLEMATIQUE ................................................................................................ 2 SOLUTIONS DE CONTROLE DES PORTS USB.................................................. 2
2.1.
2.1.1. 2.1.2.

Solutions offertes en standard par Windows XP .............................................2

Le gestionnaire de priphriques Windows ..............................................................2 La base de registre et le systme de fichiers ............................................................3

2.2.
2.2.1.
Cert-IST Association loi 1901 Avis publi au Journal Officiel du 26/04/2003 sous le N 2688

Panorama rapide des logiciels de contrle des ports USB.............................4

Comparatif des Principaux logiciels ..........................................................................4 Test lmentaire de "DeviceLock" (SmartLine).........................................................6

2.2.2.

3. 4.

CONCLUSION........................................................................................................ 8 POUR PLUS DINFORMATIONS........................................................................... 8

9, rue du Prsident Allend 94 526 Gentilly Cedex - France Tl. : 05 34 35 33 88 E-Mail : cert@cert-ist.com Web : www.cert-ist.com

1. PROBLEMATIQUE
Les ports USB prsents sur la quasi-totalit des postes de travail actuels sont une source de menaces pour la scurit des rseaux dentreprise. Parmi ces menaces on peut citer : Lintroduction de code malveillant sur le poste (code qui pourra ventuellement ensuite se propager aux autres postes de lentreprise par lintermdiaire du rseau). Court-circuit de la politique de contre daccs rseau de lentreprise par connexion de modems USB (Wifi ou modem RTC/RNIS). Fuite dinformations : utilisation abusive par les employs de priphriques USB de stockage de masse pour copier et transporter hors de lentreprise des masses considrables dinformations. Un des enjeux de scurit des rseaux dentreprises actuels consiste donc contrler de la manire la plus fine possible, lutilisation des ports USB des postes prsents sur ces rseaux. Ce contrle est dautant plus difficile raliser que la plupart des priphriques actuels (claviers, souris, imprimantes,) ont une connectique USB, ceci rendant caduque la possibilit de dsactivation totale de lensemble des ports USB.

2. SOLUTIONS DE CONTROLE DES PORTS USB

2.1. Solutions offertes en standard par Windows XP
2.1.1. Le gestionnaire de priphriques Windows
Identification des ports USB utiliss par des priphriques : Le mode daffichage "Priphriques par connexion" du Gestionnaire de Priphriques permet didentifier de faon prcise les ports USB utiliss sur le poste et la nature des priphriques qui y sont connects :

CERT-IST 2007

Reproduction, adaptation ou traduction interdites

2.1.2. La base de registre et le systme de fichiers

La Base de Registre des systmes Windows XP offre des fonctionnalits permettant de contrler l'usage des ports USB. Les principales fonctions relatives ce type de port sont dcrites cidessous.

2.1.2.1. Interdiction d'criture sur des supports amovibles USB

Version de Windows : Windows XP SP2 Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control Crer la clef "StorageDevicePolicies" Sous cette cl nouvellement cre, ajouter la valeur "WriteProtect" de type "DWORD" avec pour contenu : "1" dsactive l'criture sur les supports de type USB (mais la lecture reste possible) "0" redonne la possibilit d'crire sur un priphrique connect un port USB Remarque : il est obligatoire de redmarrer l'ordinateur pour que ces modifications soient actives.

2.1.2.2. Dsactivation de l'utilisation des dispositifs de stockage USB

Si aucun dispositif de stockage USB n'est install sur l'ordinateur : Version de Windows : Windows XP SP1 Dans les ACL des fichiers suivants : %systemroot%\Inf\Usbstor.pnf %systemroot%\Inf\Usbstor.inf Rajouter les utilisateurs ou groupes dutilisateurs concerns par cette interdiction et positionner leur droit : Refuser : Contrle total Si un dispositif de stockage USB est dj install sur l'ordinateur : Version de Windows : Windows XP SP1 Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor Modifier la valeur Start de type DWORD avec le contenu suivant : "3" active la dtection des priphriques de type USB "4" dsactive la dtection des dispositifs USB

CERT-IST 2007

Reproduction, adaptation ou traduction interdites

2.2. Panorama rapide des logiciels de contrle des ports USB

2.2.1. Comparatif des Principaux logiciels
Le tableau ci-dessous a t ralis uniquement par rapport aux caractristiques techniques annonces par les diteurs dans les diffrentes "DataSheets".
Produit Editeur GFIEndPointSecurity GFI Disquettes, CDs et DVD ROMs, iPods, Priphriques de stockage, Imprimantes, PDAs Adaptateurs rseau, Modems, Priphriques image, DriveLock Version 5.0 DriveLock Cls USB Disquettes CD-ROM, Bluetooth, Palm Windows Mobile, Smartphones, Lecteurs de cartes, Priphri ques contrls Priphriques image, Adaptateurs rseau, Modems, Cameras, Imprimantes, Contrleurs USB , Contrleurs 1394/Firewire, Contrleurs PCMCIA Contrleurs infrarouges, Ports srie (COM), Ports parallles (LPT), Journalis Oui: Oui: Oui: ation des Journalisation de toutes les Journalisation de toutes les Journalisation des noms des Journalisation de toutes les activits sur activits utilisateurs les noms en activits des particuliers utilisateurs les noms en fichiers lus et crits sur des activits des priphriques amovibles. particuliers utilisateurs les noms en des les particuliers Oui : Safend Protector Safend Cls USB, Disquettes, CD-ROM, Bluetooth, Wifi, Priphriques image, Adaptateurs rseau, Modems, Contrleurs USB, Contrleurs 1394/Firewire, Contrleurs PCMCIA, Contrleurs infrarouges, Ports srie (COM), Ports parallles (LPT), DeviceLock 6.1.1 SmartLine Disquettes, CD-ROM, Bluetooth, Wifi, Contrleurs USB, Contrleurs 1394/Firewire, Ports srie (COM), Ports parallles (LPT),

priphri ques

fichiers lus et crits sur des fichiers lus et crits sur des priphriques amovibles. Politique de contrle d'accs: priphriques amovibles. Politique de contrle Politique de contrle d'accs: Par numro de srie du priphrique, Par type de priphriques Par modle de priphrique Par utilisateurs ou groupes d'utilisateurs Par poste de travail Par type de fichiers

fichiers lus et crits sur des priphriques amovibles. Politique de contrle d'accs: Par utilisateurs ou groupes d'utilisateurs Par plage horaire, Par mode d'accs (lecture seule ou accs complet) Par numro de srie du priphrique, Par type de priphriques Par modle de priphrique Par poste de travail

Granularit du

contrle d'accs

d'accs : Par ordinateur, Par type de Par numro de srie du priphrique, priphrique, Par utilisateur (jusqu'au Par type de niveau de l'utilisateur priphriques ou individuel) groupes de Par mode d'accs priphriques (lecture seule ou accs Par utilisateurs ou complet) groupes d'utilisateurs Par mode d'accs (lecture seule ou accs complet) Par type de fichiers (autoriser ou interdire la copie de certains types de fichiers) Par capacit du priphrique, Par statut de protection (fichier encrypt ou

CERT-IST 2007

Reproduction, adaptation ou traduction interdites

Produit

GFIEndPointSecurity

DriveLock Version 5.0 pas)

Safend Protector

DeviceLock 6.1.1

Mode

de

managem ent

Politique de contrle d'accs Politique de contrle d'accs gre par Active Directory gre par Active Directory

Politique de contrle d'accs gre par Active Directory ou Novell. Composant Safend Auditor (produit complmentaire): Cration de rapports HTML ou XML identifiant utiliss les par

Politique de contrle d'accs gre par Active Directory

Composant GFI ReportPack Composant (module complmentaire). Reporting Center: de

Security

Gnration de rapport et de Console Reporting graphiques sur les tendances centralise

reporting la

permettant

d'utilisation des priphriques ralisation de rapport et la sur le rseau, les noms des mise fichiers transfrs en place de

priphriques types, numros utilisateurs. de

constructeurs, srie et

mcanismes d'alerte. Effacement scuris: oui

Fonctions cryptogra phiques

Effacement scuris: non Cryptage des donnes: non

Cryptage des donnes: oui Effacement scuris: non jusqu' 256 bits (ES, 3DES, Cryptage des donnes: oui Blowfish, etc.) Agent: Agent: - Windows 2000

Effacement scuris: non Cryptage des donnes: non

Systmes d'exploita tion supports

Agent: - Windows 2000/2003 - Windows XP Pro

- Windows 2000 SP4, - Windows XP SP2, - Windows 2003 Server SP1, - Windows Vista (32-bit et 64bit)

- Windows XP (tous services Agent: pack) - Windows NT 4

- Windows XP tablet PC - Windows 2000 Edition - Windows XP

- Windows 2003 Server (tous - Windows 2003 Server services pack) - Windows Vista Invalidation des

Fonctionn alits supplme ntaires

fonctionnalits U3 des cls USB Protection contre les auto excutables Protection contre les

keylogger matriels URL Produit du http://www.gfi.com/endpoints ecurity/ http://www.drivelock.com/feat ures.aspx#PA002 http://www.safend.com/65en/Safend%20Protector.aspx http://www.protectme.com/fr/dl/

CERT-IST 2007

Reproduction, adaptation ou traduction interdites

2.2.2. Test lmentaire de "DeviceLock" (SmartLine)

Ce test rapide a t ralis pour vrifier la prise en main et les caractristiques dun des logiciels prcdemment cits. Le choix sest port sur "DeviceLock" en raison des fonctionnalits relativement reprsentatives proposes et de la disponibilit dune version dvaluation.

2.2.2.1. Installation
Linstallation sest effectue sans problme particulier. A noter : la ncessit de disposer dun serveur MS SQL pour installer "DeviceLock Enterprise Server" (fonction de collecte et stockage des logs), la possibilit dutiliser des ports de communication fixes entre agents "DeviceLock", possibilit utile notamment en environnement filtr.

2.2.2.2. Configuration
La politique de contrle daccs et daudit peut tre dfinie de faon centralise pour chaque poste dun domaine Windows partir de linterface DeviceLock Enterprise Manager :

La politique de contrle daccs peut donc tre dfinie : Au niveau dun poste individuel ou densemble de postes Au niveau dutilisateurs individuels ou de groupes dutilisateurs. Pour chacun de ces lments, il peut tre prcis : Les priphriques sur lesquels porte la politique (port USB, port FireWire, CDROM, disquettes,.) Le type daccs autoris (aucun accs, lecture seul, accs total, formatage,)

CERT-IST 2007

Reproduction, adaptation ou traduction interdites

Les plages horaires autorises Des listes blanches de mdias autoriss

Le niveau daudit souhait (audit de tous les accs, audit des lectures, audit des critures, pas daudit)

2.2.2.3. Rsultats des tests

Concernant le fonctionnement du logiciel, les tests suivants se sont rvls concluants : Interdiction totale daccs des cls USB et des disquettes pour un utilisateur donn sur un poste donn Interdiction totale daccs des cls USB et des disquettes pour un utilisateur donns sur un poste donn certaines plages horaires dtermines Limitation des accs en lecture seule des cls USB et des disquettes pour un utilisateur donn sur un poste donn.

CERT-IST 2007

Reproduction, adaptation ou traduction interdites

Remarque : Le mcanisme de Liste Blanche a t test, mais na pas fonctionn. Il est noter dans tous les cas, que la politique de contrle daccs est dploye et applique dynamiquement. Il nest pas ncessaire de redmarrer le poste ou de dconnecter lutilisateur. Linterface "DeviceLock Enterprise Manager" permet galement de visualiser les traces dutilisation des mdias sur les diffrents postes du domaine avec : Lutilisateur ayant ralis laction La date de lvnement Le type priphrique utilis, Le type daccs lecture, criture, montage/dmontage, Le nom du fichier manipul

Nota : Pour les mdias USB, linformation "nom du fichier manipul" nest pas disponible.

3. CONCLUSION
Cet article a montr quil existe de base sous Windows XP quelques paramtrages permettant de configurer lutilisation des ports USB. Toutefois ces configurations restent trs basiques et peu flexibles. Les outils tiers spcialiss disposent quant eux dun niveau de flexibilit beaucoup plus important ainsi que de fonctionnalits de journalisation intressantes notamment pour des environnements traitant dinformations sensibles dont on souhaite tracer lutilisation. Bien que certaines fonctionnalits annexes aient connus quelques soucis lors des tests (cf. 2.2.2.3), dans lensemble ces outils se sont rvls efficaces. Toutefois un dploiement en production doit saccompagner dune phase de test exhaustive et pousse.

4. POUR PLUS DINFORMATIONS

Article Cert-IST : Scurit des cls USB : http://www.certist.com/fra/ressources/Publications_ArticlesBulletins/Veilletechnologique/SecuriteUSB/ U3 USB Stick (In-) Security : http://www.csnc.ch/static/download/misc/u3_technology_v1.0.pdf Articles Microsoft expliquant le paramtrage de la base de registre en rapport avec le montage des cls USB : http://support.microsoft.com/kb/823732 et http://support.microsoft.com/kb/555441

CERT-IST 2007

Reproduction, adaptation ou traduction interdites