Negli ultimi anni le memorie rimovibili USB hanno notevolmente facilitato lo scambio di dati e documenti tra computer, grazie alla loro capienza, leggerezza, portabilità e semplicità d’uso. Soprattutto le pratiche “chiavette” flash, senza bisogno di alimentazione esterna, hanno di fatto mandato in pensione i gloriosi floppy da 3,5″, di cui qualcuno sente già nostalgia.
Con il tempo però sono sorti alcuni problemi: in alcuni ambienti può essere pericoloso consentire l’utilizzo di queste memorie. Avendo accesso fisico al terminale, si potrebbe in pochi minuti rubare anni di lavoro lasciando pochissime traccie. Purtroppo non è sufficiente far usare i computer senza i permessi di amministratore, in quanto una volta installate non richiedono privilegi elevati per essere utilizzate.
Con Windows Vista sono state aggiunte numerose policy per porre freno al problema, che probabilmente vedremo applicate nel prossimo futuro, soprattutto abbinate al nuovo Windows Server “Longhorn” come controller di dominio. Nel frattempo si può comunque risolvere agevolmente il problema: è possibile inibire l’utilizzo di tutte le perifiche di memorizzazione di massa USB (compresi quindi i dischi rigidi portatili) disabilitando l’avvio del driver USBSTOR modificando manualmente il registro di sistema.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
In questa maniera al successivo inserimento della chiavetta, anche se già installata, non verrà abilitata e non gli verrà assegnata la lettera relativa d’unità. Se si desidera lasciare l’utilizzo dei pendrive a personale selezionato, una volta collegato il dispositivo basta avviare manualmente il driver con il comando net start usbstor, che richiede i diritti di amministratore.
Nelle grandi realtà può tornare comodo utilizzare una policy in Active Directory per applicare la modifica al registro a tutta una serie di computer. Salvate le seguenti righe in un file con estensione adm:
CLASS MACHINE
CATEGORY "Servizi e Driver"
POLICY "Periferiche di archiviazione di massa USB"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Tipo di avvio" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Avvio" VALUE NUMERIC 0
NAME "Sistema" VALUE NUMERIC 1
NAME "Automatico" VALUE NUMERIC 2
NAME "Richiesta" VALUE NUMERIC 3 DEFAULT
NAME "Disabilitato" VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
Quindi create un nuovo criterio di gruppo (Group Policy), o modificatene uno esistente, e aggiungete un modello amministrativo nelle policy del computer (Configurazione computer > Modelli Amministrativi > Azione > Aggiunta o rimozione modelli). Una volta aggiunto dovrebbe comparire una nuova categoria “Servizi e Driver” con all’interno la nostra nuova policy. Se la categoria è vuota, disabilitate il filtro di visualizzazione dei criteri completamente gestibili (clic su Visualizza > Filtri > Visualizza solo le impostazioni dei criteri completamente gestibili). A questo punto resta che abilitare la policy e disabiltare l’avvio del driver (clic su Azione > Proprietà > Attivata > Tipo di avvio: “Disabilitato”). La policy verrà applicata al riavvio.
Non è possibile impostare la policy a livello utente: se si desidera che solo a certi utenti sia inibito l’utilizzo del driver, consiglio di creare due script che modificano il registro, uno che disabilita il driver e l’altro che lo riabilita, da far eseguire rispettivamente al login e logout degli utenti interessati.