BadUSB防御转载

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BadUSB防御转载相关的知识,希望对你有一定的参考价值。

BadUSB我们以前介绍过很多次,如何攻击什么的,或者是一些建议,今天咱们来讲讲BadUSB的防御方法!

“BadUSB”是近年来计算机安全领域的持续升温的话题之一,该漏洞由Karsten Nohl和Jakob Lell共同发现,并在2014年的BlackHat安全大会上公布。BadUSB攻击属于HID攻击(Human InterfaceDevice,是计算机直接与人交互的设备,例如键盘、鼠标等)的一种,通过将普通u盘通过改写固件模拟成一个虚拟键盘,并模拟键盘输入攻击指令达成入侵目的。

准备工作

我们可以通过建立基于GUID的可信HID设备的组策略对设备的加载进行限制通过运行gpedit.msc 打开本地组策略编辑器。计算机配置 –> 管理模板 –> 系统 –> 设备安装 –> 设备安装限制

技术分享

设备安装策略

如图,共有10条策略,下面笔者将根据重要性分类讲解各个策略

技术分享

1. 对于某一类设备的安装限制策略

第二和第三条策略,分别为允许特定种类设备的安装和禁止特定种类设备的安装。我们可以对使用【阻止使用与下列设备安装程序类相匹配的驱动程序安装设备】这条策略设置,禁止安装键盘类设备,毕竟对于大多数用户而言,并没有使用第二个键盘的需求。右键该策略点击编辑 –> 选择启用策略 –> 点击的显示按钮

技术分享

将需要限制的GUID输入空白处即可。

技术分享

此处电脑使用GUID来区分不同种类的设备类型,下面给出常用的设备类型对应的GUID。

DevicesGUID
Keyboard 4D36E96B-E325-11CE-BFC1-08002BE10318
Mouse 4D36E96F-E325-11CE-BFC1-08002BE10318
Net 4D36E972-E325-11CE-BFC1-08002BE10318
Bluetooth E0CBF06C-CD8B-4647-BB8A-263B45F0F974

更多内容可参见设备类型对应GUID可参考 http://blog.csdn.net/jhqin/article/details/6732299

2. 对单一设备的安装限制策略

第六和第七条策略,分别为允许特定的一个设备安装和禁止特定设备的安装。

顾名思义,这两个策略可以限制或允许特定设备。由于任何两台设备的GUID都一定互不相同,如果要使用这两个策略可以从设备管理器中找到设备的GUID并应用在策略中。

但就实际应用而言,这两种策略的实用价值似乎并不大。BadUSB攻击几乎一定是从你从未使用过的USB设备发动的,因此基于特定设备的限制并无太大意义。而允许特定设备并拒绝其他设备(需结合第十项策略,在下一节中有详细说明)的策略似乎又会带来过多的麻烦。

3. 配合类策略

第一和第十策略一般用于辅助其他策略。

【允许管理员忽略设备安装限制策略】这一策略可以带来充足的灵活性,如果有一个你执意要使用的USB设备被你所设置的安全策略拦截,你可以通过启用这一策略来进行灵活调控(前提是你有管理员权限)。

技术分享

【禁止安装未由其他策略设罝描述的设备】这一策略用于和其他允许类策略进行配合,如果只配置了允许某种类型或某个设备安装,并不意味着其他不在此列的设备就会被禁止,只有启动这项配置才能禁止未被允许类策略描述的设备。这两个策略无需其他配置,直接点击启用即可。

4. 通知类策略和其他

第四【当策略设罝禁止安装时显示自定义信息】和第五条策略【当策略设罝禁止设备安装时显示自定义信息标题】是两种不同的通知类型。不过多赘述。

剩余两种使用并不广泛,如需使用根据需要进行配置即可。【在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒为单位〉】【禁止安装可移动设备】

5. 关于策略搭配的方案

在实际操作中往往需要对不同的策略搭配使用,下面给出几种可行方案。

  1. 对危险设备类(如键盘)全部禁止;允许所有可信常用usb设备白名单(逐个添加允许);禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

  2. 允许所有可信常用usb设备白名单(逐个添加允许);禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

  3. 对危险设备类(如键盘)全部禁止;允许管理员忽略设备安装限制策略。

  4. 对安全设备类(如蓝牙,大容量存储等)全部允许;禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

以上就是一些适用场景有所不同的可行的几种搭配,当然,肯定还有更多的搭配,个人可根据自己的需要进行搭配。其中需要注意的是,对于所有配置的组合而言,都应该开启【允许管理员忽略设备安装限制策略】这一策略,以确保可以灵活的设置例外。

6. 总结

以上就是windows环境下防御BadUSB的一些探讨。对于从前文提到的外国安全网站中提到的,使用本地组策略禁止危险设备安装这一思路,从BadUSB攻击的原理上认为可行,即BadUSB模拟的键盘如果不能被系统安装,那么应该是无法通过该模拟键盘对计算机进行入侵的,但目前并无证据证明其足以拦截BadUSB攻击,所以,小编我先去测试下,明天告诉大家结果;有BadUSB的小伙伴也可以去测试下,咱们可以一起探讨下!

以上是关于BadUSB防御转载的主要内容,如果未能解决你的问题,请参考以下文章

简易BadUSB,攻击效果不简单

BadUSB攻击

Badusb 简易制作

基于ArduinoLeonardo板子的BadUSB攻击实战

badusb-digispark-ATTINY85

[Arduino]利用Arduino Leonardo开发板制作BadUSB,劫持键盘...嘿嘿嘿