الحماية المادية لمنافذ USB: كيفية حظر وتأمين أجهزة الكمبيوتر التي تعمل بنظام Windows

  • يجمع سياسات Windows الأصلية مع Intune وDefender للتحكم الدقيق في USB.
  • يتطلب تشفير BitLocker ويستخدم DLP لمنع التسريبات بناءً على حساسية البيانات.
  • إدارة الاستثناءات حسب الجهاز والمستخدم والشبكة، باستخدام التدقيق والتنبيهات في الوقت الفعلي.
Daniel Terrasa

11 دقيقة

حماية منفذ USB في Windows

في عصر العمل عن بعد والأجهزة المحمولة، تظل منافذ USB بمثابة بوابة لإدخال البيانات وخروجها، والتي يجب مراقبتها عن كثب. التحكم في استخدامه أو تقييده أو حظره في Windows يمكنه منع المخاطر الكبرى: من البرامج الضارة التي تتسلل في ثوانٍ إلى النسخ غير المصرح به للملفات الحساسة.

إذا كنت تتساءل كيف إغلاق الصنبور على محركات أقراص USBإذا كنت بحاجة إلى محركات أقراص صلبة خارجية أو هواتف أو طابعات دون التأثير على الإنتاجية، فأنت في المكان المناسب. نحن نشرح الطرق الأصلية لنظامي التشغيل Windows 10 و Windows 11 (إدارة الأجهزة، والسجل، والسياسات المحلية وسياسات المجموعة)، وخيارات المؤسسات مع Intune وMicrosoft Defender for Endpoint، وأدوات احترافية من جهات خارجية. سترى أيضًا سيناريوهات حقيقية (USB، الطابعات، البلوتوث)، متطلبات الإصدار والمبادئ التوجيهية للأنظمة القديمة.

لماذا من المفيد حماية منافذ USB

تعتبر الحوامل القابلة للإزالة عملية للغاية، ولكنها أيضًا مصدرًا كلاسيكيًا للمخاطر: نشر البرامج الضارةإنهم يسهلون تسريب المعلومات وتسمح هذه الأجهزة للهجمات بتجاوز إجراءات الأمان إذا لم تُدار بشكل صحيح. وتؤكد الحالات الحديثة في البيئات الصناعية والشركات أن محركات أقراص USB تُعدّ وسيلة هجوم متكررة وفعالة.

علاوة على ذلك، يمكن لمحرك أقراص USB بسيط تشغيل جهاز كمبيوتر وتجاوز بيانات الاعتماد إذا لم يكن القرص الصلب موجودًا. التشفير. حظر أو تقييد الوصول اعتمادًا على السياق (المستخدم والموقع ونوع العملية)، فإنه يقلل بشكل كبير من سطح الهجوم دون شل العمليات اليومية.

  • دخول البرامج الضارة من خلال الأجهزة المصابة
  • استخراج البيانات السرية دون ترك أثر واضح
  • التمهيد الخارجي لتجاوز كلمات المرور على الأقراص غير المشفرة
  • يؤدي ربط الأجهزة الطرفية غير المعتمدة إلى فتح ثغرات أمنية جديدة

ولا تؤثر هذه التهديدات على الشركات الكبرى فحسب؛ في الأجهزة المنزلية والشركات الصغيرة والمتوسطة ويكون التعرض مشابهًا في حالة عدم وجود سياسة استخدام وآليات تحكم واضحة.

انقطاع التيار الكهربائي عن منافذ USB-5

الخيارات السريعة في Windows 10 وWindows 11

يوفر Windows عدة طرق "لإغلاق" المنافذ الخاصة بأجهزة التخزين. اختر الطريقة وفقًا لإصدار Windows الخاص بك (Home، Pro، Enterprise) ومستوى التحكم الذي تحتاجه.

تعطيل من إدارة الأجهزة

إنها الطريقة الأكثر مباشرة عندما تريد تحقيق قطيعة تامة مع فريق معين. تقوم بتعطيل وحدات تحكم الناقل التسلسلي العالمي وهذا كل شيء، دون المساس بالسياسات العالمية أو السجل.

  1. انقر بزر الماوس الأيمن على قائمة ابدأ وافتح "إدارة الأجهزة".
  2. يعرض "وحدات تحكم الناقل التسلسلي العالمي".
  3. في كل "وحدة تحكم مضيف USB"، انقر بزر الماوس الأيمن وحدد "تعطيل الجهاز".
  4. كرر ذلك على جميع وحدات تحكم مضيف USB.
  5. أعد تشغيل الكمبيوتر لتطبيق التغييرات.

يرجى ملاحظة أن هذا الإجراء قد يؤثر أجهزة USB الطرفية المشروعة (لوحات المفاتيح، والفئران، الطابعاتإذا كنت بحاجة إلى مزيد من التفصيل، ففكر في طرق سياسة أخرى أو قوائم مسموح بها.

حظر برامج التشغيل باستخدام محرر التسجيل

إذا كان إصدارك لا يتضمن محرر السياسات، فسيكون السجل هو حليفك. تغيير في مفتاح USBSTOR يكفي هذا لمنع النظام من تحميل وحدة التحكم في تخزين USB.

  1. اضغط على Windows + R، واكتب "regedit" ثم قم بالتأكيد.
  2. انتقل إلى: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
  3. افتح قيمة "ابدأ" واضبطها على 4 لتعطيلها (استخدم 3 لإعادة التنشيط).

قبل اللمس، قم بإجراء النسخ الاحتياطي: تغيير خاطئ في السجل قد يؤدي هذا الإعداد إلى انقطاع نظامك لفترة. فهو يحظر تخزين USB، ولكنه لا يمنع الأجهزة الطرفية الأخرى، مثل الفأرة أو لوحات المفاتيح، من العمل.

التوجيه الأمني ​​المحلي والتوجيه الجماعي

إذا كنت تستخدم Windows 10/11 Pro أو Enterprise، فيمكنك تطبيق السياسات دون تثبيت أي شيء. الطريقة الأكثر نظافة لرفض الوصول يتم إجراء التخزين القابل للإزالة باستخدام القوالب الإدارية.

  1. افتح gpedit.msc (أو secpol.msc للأمان المحلي).
  2. انتقل إلى تكوين الكمبيوتر > القوالب الإدارية > النظام > الوصول إلى وحدة التخزين القابلة للإزالة.
  3. تمكين "جميع فئات التخزين القابلة للإزالة: رفض كل الوصول".

في نفس هذه العقدة يمكنك التمييز القراءة والكتابة والتنفيذ حسب نوع الوسائط. مفيد لحالات القراءة فقط أو لتقييد الأقراص المضغوطة/أقراص DVD والأجهزة المحمولة (WPD) دون حظر أي شيء آخر.

التحكم المركزي للمؤسسات

عندما تقوم بإدارة فرق متعددة، فأنت بحاجة إلى الاتساق والتدقيق والاستثناءات. تقدم مايكروسوفت ثلاثة ركائز أساسية والتي تغطي كل شيء بدءًا من تثبيت الجهاز وحتى التعامل مع المعلومات الحساسة.

قيود تثبيت Intune والجهاز

باستخدام Intune، يمكنك منع تثبيت برامج التشغيل استنادًا إلى سمات الأجهزة المتعددة: معرف الجهاز أو المثيل أو الفئةمثالية لاستراتيجية "السماح بالقائمة واستبعاد الباقي".

  • الإدارة عبر قوالب ADMX، بما في ذلك خيارات USB
  • توافق BitLocker لفرض التشفير على الوسائط القابلة للإزالة
  • إدارة سياسة موحدة عبر نقاط نهاية Windows

إذا كنت تفضل GPO، فإن Windows يسمح بذلك أيضًا. إدارة تثبيت الجهاز من خلال سياسة المجموعة، باستخدام نفس المنطق المستخدم في القوائم المسموح بها والمحظورة.

التحكم في الجهاز في Microsoft Defender لنقطة النهاية

تشكل وحدة التحكم في الأجهزة في Defender for Endpoint قفزة نحو الحبيبات الدقيقة. أنت تتحكم في أي جهاز، وأي مستخدم، وأي عملية، وعلى أي شبكةبالإضافة إلى ذلك، يمكنك الحصول على الرؤية والبحث المتقدم.

  • القواعد حسب نوع الجهاز (WPD، التخزين، الطابعات)، VID/PID، الرقم التسلسلي، أو مسار المثيل
  • عمليات منفصلة: القراءة والكتابة والتنفيذ
  • النطاق حسب مجموعات المستخدمين أو موقع الشبكة أو نوع الملف
  • الإدارة عبر Intune أو GPO

لأغراض التدقيق، يقوم البحث المتقدم بجمع الأحداث المفيدة. عندما يتم قفل الجهاز بسبب قيود التثبيتستشاهد أحداث PnP المرتبطة بالحظر.

DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

إذا كان ما يتم تقييمه هو سياسة التخزين القابل للإزالة في Defender (السماح/الرفض)، يمكنك التحقق من مشغل السياسة وحكمها.

DeviceEvents
| extend parsed = parse_json(AdditionalFields)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend VID = tostring(parsed.VendorId)
| extend PID = tostring(parsed.ProductId)
| extend VID_PID = strcat(VID, "_", PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess, RemovableStoragePolicyVerdict, SerialNumberId, VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

لكي يعمل Device Control، فإنه يتحقق من وجود الحد الأدنى من إصدارات عميل Defender لمكافحة البرامج الضارة. Windows 10/11 مع 4.18.2103.3 أو أعلى هذه هي نقطة البداية؛ وتضيف الإصدارات الأحدث تحسينات مثل دعم الأحرف البدل، وWPD، وسياسات لكل ملف، أو الوعي بالشبكة/VPN.

  • 4.18.2104+: SerialNumberId ومزيج من SID للكمبيوتر/المستخدم
  • 4.18.2105+: أحرف البدل في HardwareId/DeviceId/InstancePathId ودعم UAS
  • 4.18.2107+: دعم WPD وحقل AccountName في الصيد
  • 4.18.2205+: الطابعات المضمنة في النطاق الافتراضي
  • 4.18.2207+: القواعد حسب نوع الملف وحالة الشبكة/VPN

حاليًا، لا ينطبق التحكم في الأجهزة في Defender على خوادم Windows. هناك وحدة مكافئة في macOS. مع دليل النشر الخاص به.

حماية نقطة النهاية من فقدان البيانات (Microsoft Purview)

إذا كان هدفك ليس مجرد حظر الأجهزة، بل منع المعلومات الحساسة من المغادرةطبقة منع فقدان البيانات (DLP) في نقطة النهاية هي الخيار الأمثل. فهي تتيح لك تطبيق إجراءات بناءً على تصنيف البيانات وسياق استخدامها، بالإضافة إلى التقاط أدلة أرشيفية عند الحاجة.

يغطي الجمع بين التحكم في الجهاز ومنع فقدان البيانات (DLP) جبهتين: من يتصل بأي جهاز؟ ونوع المحتوى المُعالج عليه. هذا يمنع الاتصالات المادية غير المصرح بها ونسخ الوثائق السرية.

ميزة BitLocker

BitLocker كمعيار للوصول إلى الوسائط القابلة للإزالة

أحد التكتيكات الفعالة للغاية هو طلب تشفير أجهزة التخزين القابلة للإزالة. يسمح Windows برفض الوصول للكتابة إلى الوسائط دون استخدام BitLocker. أو قم برفض الكتابة إلى محركات الأقراص القابلة للإزالة بشكل مباشر.

يجعل Intune من السهل نشر السياسات التي تفرض التشفير على محركات أقراص USB التي تعمل بنظام Windows. مدافع عن نقطة النهاية يمكنه أيضًا تحديد شروط الوصول استنادًا إلى حالة التشفير (BitLocker أو نص عادي) وإنشاء استثناءات محددة جيدًا.

السيناريوهات الشائعة خارج نطاق USB: الطابعات والبلوتوث

تعتبر الأجهزة الطرفية للطباعة أيضًا قناة لإخراج البيانات. يسمح لك Windows بتقييد تثبيته مع نفس تقنيات تثبيت الجهاز، ويوفر Defender التحكم بواسطة VID/PID أو النوع (شبكة، USB، مؤسسي).

باستخدام "التحكم في الجهاز"، يمكنك الحد من ما هي أنواع الملفات المطبوعة وأين (على سبيل المثال، منع الطباعة خارج شبكة الشركة). يوفر DLP جانب التصنيف: حظر أو تسجيل طباعة المستندات التي تم وضع علامة عليها على أنها سرية.

في البلوتوث، يتمتع المسؤولون بالتحكم الدقيق في الخدمة: الإعلانات والاكتشاف والخدمات المسموح بهاإذا كنت تبحث عن إيقاف نسخ المستندات إلى أي جهاز لاسلكي، فإن تقنية DLP هي الحل الأمثل مرة أخرى.

قفل USBRP

أدوات الطرف الثالث المتخصصة

عندما تحتاج إلى وحدة تحكم مخصصة ونشر سريع وسياسات دقيقة للغاية، هناك حلول ناضجة تناسبك تمامًا. قفل USB RP وحامي نقطة النهاية هذان مثالان معروفان في بيئات Windows.

USB Lock RP: التحكم في منفذ USB المحلي

قفل USB RP هو نظام التحكم في أجهزة USB للأعمال يعمل النظام محليًا بالكامل. تُدير وحدة التحكم المركزية فيه وتراقب وصول محركات الأقراص القابلة للإزالة والأجهزة المحمولة ومحولات الشبكة اللاسلكية على الخوادم ومحطات العمل وأجهزة الكمبيوتر المحمولة في الوقت الفعلي.

العميل خفيف الوزن ويعمل بشكل مستقل. يسمح لك بإنشاء قوائم بالأجهزة المصرح بها يمكنك تفويض محرك أقراص USB باستخدام مُعرِّف الجهاز وحظر الباقي دون المساس بالأجهزة الطرفية الآمنة. يمكنك تفويض محرك أقراص USB لجهاز مُحدد، أو مجموعة، أو الشبكة بأكملها.

يتضمن تنبيهات فورية وتسجيل الأحداث و مراقبة مفصلة لـ USB من عمليات النقل المعتمدة. جميعها مع تشفير تلقائي اختياري للبيانات المتجهة إلى الوحدات المصرح لها، كإجراء لمنع فقدان البيانات (DLP) لضمان حماية المحتوى أثناء انتقاله.

يمكنك أيضا التقديم القراءة فقط في الوقت الفعلي لوحدات محددة، مما يسمح بتعديل بعضها وحماية بعضها الآخر ضد الكتابة على الجهاز نفسه. تُنشر الحزمة بسهولة عبر GPO أو MSI، ولا تعتمد على السحابة، مما يقلل من مساحة الهجوم.

Endpoint Protector DLP: سياسات مفصلة ومتعددة المنصات

حامي نقطة النهاية إنه يتضمن وحدة من التحكم بالجهاز يمكنه حظر منافذ USB والأجهزة الطرفية تمامًا، أو تطبيق مستويات ثقة بناءً على التشفير. يمكن تخصيص السياسات للمستخدمين أو المجموعات أو أجهزة الكمبيوتر، وضبطها بدقة مع استثناءات.

القيمة المميزة هي تطبيق خارج شبكة الشركةتظل القواعد سارية في المنزل، أثناء التجوال، أو خارج ساعات العمل. يمكنك تحديد المناطق الزمنية، وإعدادات DNS، ومعرّفات شبكة الشركة، وتشديد الشروط عندما لا يكون الفريق في المكتب.

في حالة حدوث حالة طوارئ، تسمح الإدارة بإنشاء كلمة مرور مؤقتة غير متصلة بالإنترنت يفتح الجهاز أو الكمبيوتر أو المستخدم لفترة محدودة. إنه متعدد المنصات، ويتمتع بتكافؤ وظيفي على أنظمة Windows وmacOS وLinux، ويمكن إعداده في غضون ساعات.

أفضل الممارسات للحظر دون إبطاء

إلى جانب التقنية، هناك استراتيجيات تصنع كل الفارق. ابدأ بمشروع تجريبي في مجموعة صغيرة ومراجعة السجلات قبل توسيع السياسات لتشمل المنظمة بأكملها.

  • إعطاء الأولوية لقوائم السماح بدلاً من الحظر الشامل عندما يكون ذلك ممكنًا
  • يتطلب BitLocker على نقاط النهاية والوسائط القابلة للإزالة.
  • أدوار منفصلة: من يستطيع القراءة، ومن يستطيع الكتابة، ومن يستطيع التنفيذ
  • قم بتفعيل التدقيق لفهم الاستخدام الفعلي قبل الرفض
  • قم بتضمين التمهيد عبر USB في سياسة BIOS/UEFI الخاصة بك

في البيئات ذات معدل دوران الأجهزة المرتفع، ضع في اعتبارك الحلول التي تتضمن الرؤية في الوقت الحقيقي إذا كنت تدير عددًا قليلًا من أجهزة الكمبيوتر، فقد تكون خيارات Windows الأصلية مع GPO أو السجل أكثر من كافية.

الأسئلة الشائعة

  • هل حظر محركات أقراص USB "آمن"؟ نعم، يُعزز الحماية من الاتصالات غير المصرح بها، ولكنه قد يُقيّد بعض الوظائف. قيّم التوازن بين الأمان والوظائف.
  • هل يمكنني حظر بعض المنافذ فقط؟ يمكنك تعطيل وحدات تحكم محددة من "إدارة الأجهزة" أو إنشاء قواعد حسب المعرف في Intune/Defender للسماح فقط بما هو ضروري.
  • ماذا عن الفئران ولوحات المفاتيح؟ تؤثر الطرق التي تتضمن USBSTOR أو "الوصول إلى وحدة التخزين القابلة للإزالة" على وحدات التخزين الكبيرة، وليس على مُعرّفات HID التقليدية. مع ذلك، قد يؤثر تعطيل وحدات التحكم على الناقل بأكمله.
  • كيف أقوم بإعادة تفعيل المنافذ؟ التراجع عن التغييرات: تفعيل وحدات التحكم، أو تغيير "ابدأ" إلى 3 في USBSTOR، أو تعطيل كائن نهج المجموعة (GPO) المُطبّق. في حلول الجهات الخارجية، استخدم وحدة التحكم الخاصة بها لإلغاء القفل.
  • هل يمكن القيام بذلك من BIOS/UEFI؟ تسمح لك العديد من الأجهزة بتعطيل USB أو تمهيد USB على مستوى البرامج الثابتة. يُعد هذا حاجزًا إضافيًا مفيدًا لسياسات نظام التشغيل.
  • أي طريقة أفضل؟ لجهاز كمبيوتر واحد، يُعدّ سجل النظام أو إدارة الأجهزة سريعَين. أما في المؤسسات، فيوفر Intune + Defender أو مجموعة أدوات التحكم في الأجهزة/منع فقدان البيانات (DLP) المزودة بوحدة تحكم مركزية التحكم وإمكانية التتبع التي تحتاجها.

إن اعتماد سياسة واضحة لاستخدام USB والأجهزة الطرفية الأخرى، المدعومة بميزات Windows الأصلية، وعندما يكون ذلك مناسبًا، بحلول مثل Defender for Endpoint أو Intune أو مجموعات DLP، يسمح تقليل المخاطر دون التضحية بالإنتاجيةباستخدام نهج متعدد الطبقات (تثبيت الجهاز، وتشفير BitLocker، والقواعد التفصيلية، وتقنية DLP المستندة إلى الحساسية)، سيكون لديك USB والطباعة وBluetooth تحت السيطرة، وستكون قادرًا على الاستجابة بالبيانات إذا حدث أي شيء خارج النص.

تسجيل Windows
المادة ذات الصلة:
كيفية إزالة الحماية ضد الكتابة من USB