BadUSB防御初探

有关 BadUSB 的防御的中文内容实在有限，且多为建议。笔者受一篇国外技术性文章的启发，对其进行翻译，改进，并增加一些必要的补充，尝试对 windows 环境下的 BadUSB 的具体防御方法进行探究。

BadUSB

“BadUSB”是近年来计算机安全领域的持续升温的话题之一，该漏洞由Karsten Nohl和Jakob Lell共同发现，并在2014年的BlackHat安全大会上公布。BadUSB攻击属于HID攻击(Human InterfaceDevice，是计算机直接与人交互的设备，例如键盘、鼠标等)的一种，通过将普通u盘通过改写固件模拟成一个虚拟键盘，并模拟键盘输入攻击指令达成入侵目的。

准备工作

我们可以通过建立基于GUID的可信HID设备的组策略对设备的加载进行限制通过运行gpedit.msc 打开本地组策略编辑器。计算机配置 –> 管理模板 –> 系统 –> 设备安装 –> 设备安装限制

设备安装策略

如图，共有10条策略，下面笔者将根据重要性分类讲解各个策略

1. 对于某一类设备的安装限制策略

第二和第三条策略，分别为允许特定种类设备的安装和禁止特定种类设备的安装。我们可以对使用【阻止使用与下列设备安装程序类相匹配的驱动程序安装设备】这条策略设置，禁止安装键盘类设备，毕竟对于大多数用户而言，并没有使用第二个键盘的需求。右键该策略点击编辑 –> 选择启用策略 –> 点击的显示按钮

将需要限制的GUID输入空白处即可。

此处电脑使用GUID来区分不同种类的设备类型，下面给出常用的设备类型对应的GUID。

Devices

GUID

Keyboard

4D36E96B-E325-11CE-BFC1-08002BE10318

Mouse

4D36E96F-E325-11CE-BFC1-08002BE10318

Net

4D36E972-E325-11CE-BFC1-08002BE10318

Bluetooth

E0CBF06C-CD8B-4647-BB8A-263B45F0F974

更多内容可参见设备类型对应GUID可参考http://blog.csdn.net/jhqin/Article/details/6732299

2. 对单一设备的安装限制策略

第六和第七条策略，分别为允许特定的一个设备安装和禁止特定设备的安装。

顾名思义，这两个策略可以限制或允许特定设备。由于任何两台设备的GUID都一定互不相同，如果要使用这两个策略可以从设备管理器中找到设备的GUID并应用在策略中。

但就实际应用而言，这两种策略的实用价值似乎并不大。BadUSB攻击几乎一定是从你从未使用过的USB设备发动的，因此基于特定设备的限制并无太大意义。而允许特定设备并拒绝其他设备(需结合第十项策略，在下一节中有详细说明)的策略似乎又会带来过多的麻烦。

3. 配合类策略

第一和第十策略一般用于辅助其他策略。

【允许管理员忽略设备安装限制策略】这一策略可以带来充足的灵活性，如果有一个你执意要使用的USB设备被你所设置的安全策略拦截，你可以通过启用这一策略来进行灵活调控(前提是你有管理员权限)。

【禁止安装未由其他策略设罝描述的设备】这一策略用于和其他允许类策略进行配合，如果只配置了允许某种类型或某个设备安装，并不意味着其他不在此列的设备就会被禁止，只有启动这项配置才能禁止未被允许类策略描述的设备。这两个策略无需其他配置，直接点击启用即可。

4. 通知类策略和其他

第四【当策略设罝禁止安装时显示自定义信息】和第五条策略【当策略设罝禁止设备安装时显示自定义信息标题】是两种不同的通知类型。不过多赘述。

剩余两种使用并不广泛，如需使用根据需要进行配置即可。【在策略更改需要重新启动才能生效时，等待强制重新启动的时间(以秒为单位〉】【禁止安装可移动设备】

5. 关于策略搭配的方案

在实际操作中往往需要对不同的策略搭配使用，下面给出几种可行方案。

对危险设备类(如键盘)全部禁止;允许所有可信常用usb设备白名单(逐个添加允许);禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

允许所有可信常用usb设备白名单(逐个添加允许);禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

对危险设备类(如键盘)全部禁止;允许管理员忽略设备安装限制策略。

对安全设备类(如蓝牙，大容量存储等)全部允许;禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

以上就是一些适用场景有所不同的可行的几种搭配，当然，肯定还有更多的搭配，个人可根据自己的需要进行搭配。其中需要注意的是，对于所有配置的组合而言，都应该开启【允许管理员忽略设备安装限制策略】这一策略，以确保可以灵活的设置例外。