Bây giờ, bạn đã biết việc sử dụng thiết bị lưu trữ USB trên máy tính có nhiều nguy cơ bảo mật tiềm ẩn. Nếu lo sợ nguy cơ bị nhiễm phần mềm độc hại, ví dụ trojian, keylogger hoặc ransomware, bạn nên vô hiệu hóa hoàn toàn thiết bị lưu trữ USB nếu hệ thống có nhiều dữ liệu nhạy cảm. Bài viết sẽ hướng dẫn các bạn cách vô hiệu hóa cổng USB trên Windows, Mac và Linux.
Vô hiệu hóa thiết bị lưu trữ USB: ưu và nhược điểm
Nếu lo lắng về khả năng bị lây nhiễm phần mềm độc hại trên máy tính thông qua thiết bị lưu trữ USB, bạn nên xem xét vô hiệu hóa hỗ trợ này. Tuy nhiên việc làm này có một số nhược điểm nhất định.
Nhược điểm đầu tiên bạn thấy rõ là không thể sử dụng thiết bị lưu trữ USB trên máy tính. Nếu có thể sử dụng bộ nhớ đám mây một cách dễ dàng thì đây không phải là vấn đề. Tuy nhiên nếu bạn cần một thiết bị để trao đổi dữ liệu thường xuyên giữa hai máy tính và không thể sử dụng lưu trữ đám mây thì sẽ rất khó khăn. Bạn có thể xem xét công cụ như Resilio Sync để tạo một chia sẻ ảo giữa các máy tính PC.
Nếu vẫn muốn vô hiệu hóa thiết bị lưu trữ USB, bài viết sẽ hướng dẫn các bạn các bước để thực hiện trên Windows 10, Mac và Ubuntu 18.04.
Cách vô hiệu hóa thiết bị lưu trữ USB trên Windows
Chặn thiết bị lưu trữ USB trên máy tính Windows rất đơn giản. Bạn cũng có một vài lựa chọn; hai giải pháp đầu tiên dưới đây dành cho Windows 10 Home PC.
1. Chỉnh sửa Registry theo cách thủ công
Mở registry bằng cách nhấn Win + R, sau đó nhập "regedit".
Đồng ý với thông báo User Account Control, sau đó duyệt đến HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR. Ở đây, click đúp vào Start (hoặc bấm chuột phải, chọn Modify) và sửa giá trị.
Để tắt, hãy thay đổi giá trị thành 4. Nếu bạn cần bật lại cổng USB bất kỳ lúc nào, chỉ cần thay đổi lại thành 3, click vào OK khi hoàn tất. Lưu ý rằng nếu bạn đang định thay đổi hệ thống registry, bạn nên sao lưu registry để đề phòng sự cố xảy ra.
2. Tạo một script registry
Ngoài ra, bạn có thể tạo hai file TXT trống trong Notepad. Để thực hiện, khởi chạy trình chỉnh sửa văn bản và nhập dòng sau:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000
Lưu file dưới dạng disableusb.reg, bạn đảm bảo thay đuôi file .TXT thành .REG, nếu không script này sẽ không hoạt động. Tiếp theo, lặp lại quá trình trên và lưu dưới dạng enableusb.reg.
Với file thứ hai, hãy chỉnh sửa dòng:
"Start"=dword:00000004
Thành:
"Start"=dword:00000003
Lưu file sau khi hoàn tất. Bây giờ bất cứ khi nào bạn cần vô hiệu hóa thiết bị lưu trữ USB, chạy file disableusb.reg. Tuy nhiên, mọi thiết bị đã được cắm vào máy tính sẽ không bị ảnh hưởng, cho đến khi rút ra. Nếu bạn cần bật lại thiết bị lưu trữ USB, hãy sử dụng file enableusb.reg. Lưu các tập tin ở đâu đó dễ nhớ để có thể tìm thấy khi cần thiết.
Ngăn chặn người khác sử dụng enableusb.reg không quá khó, bạn có thể thiết lập để chỉ tài khoản quản trị viên mới có thể chạy file, miễn là bạn không chia sẻ hồ sơ của mình.
3. Sử dụng Group Policy Editor
Tùy chọn thứ ba có sẵn cho Windows 10 Pro và Enterprise là chỉnh sửa cài đặt cho thiết bị lưu trữ USB trong Group Policy Editor.
Nhấn Win + R để mở hộp thoại Run và nhập "gpedit.msc". Thao tác này sẽ mở Group Policy Editor, sau đó mở rộng Administrative Templates > System > Removable Storage Access. Trong khung bên phải, bạn sẽ thấy một số mục kiểm soát quyền truy cập phương tiện trên máy tính. Bạn cần kích hoạt ba tùy chọn sau:
- Removable Disks: Deny execute access
- Removable Disks: Deny read access
- Removable Disks: Deny write access
Sau đó, click đúp vào từng mục và nhấp vào nút Enabled. Click OK để xác nhận trước khi chuyển sang mục tiếp theo.
Bây giờ, bất cứ khi nào bạn cắm thiết bị lưu trữ USB vào máy tính sẽ nhận được thông báo Access is denied trên Windows Explorer khi cố gắng mở ký tự ổ đĩa. Để đảo ngược điều này, thay đổi ba cài đặt trên và thiết lập thành Disabled.
Cách vô hiệu hóa các thiết bị lưu trữ USB trên máy Mac
Để hạn chế thiết bị lưu trữ USB trên máy Mac, trước tiên bạn cần vô hiệu hóa System Integrity Protection (SIP). Sau đó mở Utilities > Terminal và gỡ bỏ driver.
Lưu ý: bạn chỉ nên vô hiệu hóa tính năng này khi cần thiết vì nhiều người khuyên bạn không nên làm việc đó, tham khảo bài viết Tại sao bạn không nên vô hiệu hóa tính năng System Integrity Protection trên Mac? để biết thông tin nhé.
kextunload /System/Library/Extensions/IOUSBMassStorageClass.kext/
Tiếp theo, mở /System/Library/Extensions và đổi tên file (hoặc di chuyển đến một nơi an toàn) IOUSBMassStorageClass.kext. Bạn nên thay tên nào đó dễ nhớ để có thể dễ dàng tìm thấy nó khi muốn kích hoạt lại thiết bị lưu trữ USB.
Khi thực hiện xong, hãy quay lại Terminal và nhập:
sudo touch /System/Library/Extensions
Thao tác này sẽ xóa các file bộ nhớ cache, buộc build lại mà không cần tham chiếu đến file được đổi tên. Giờ đây, bạn không thể truy cập các thiết bị lưu trữ USB khi kết nối.
Cách vô hiệu hóa thiết bị lưu trữ USB trên Linux
Bạn cần chặn thiết bị lưu trữ USB trên máy tính? Để thực hiện điều này, mở Terminal và sử dụng lệnh mv (move) để “ẩn” trình điều khiển USB:
sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1
Bây giờ, khi cắm vào thiết bị lưu trữ USB, nó sẽ không hoạt động. Tóm lại bạn không thể truy cập vào thiết bị này. Tuy nhiên thay đổi này sẽ không còn tác dụng trong trường hợp cập nhật kernel.
Mặc dù thiết bị lưu trữ USB và flash di động có thể được bảo vệ bằng mật khẩu nhưng nó không thể ngăn kẻ trộm ăn cắp dữ liệu của bạn. Giải pháp thực sự duy nhất là kiểm soát truy cập USB. Khi ở nhà bạn cần đảm bảo không ai truy cập vào máy tính mà không được sự cho phép của bạn và nên khóa nó khi không sử dụng. Ở nơi công sở, hạn chế số người dùng truy cập USB để có thể quản lý được.
Xem thêm: