为什么选择 Kingston IronKey™?
Kingston Technology 为其每一款产品都注入了强大的力量和经典的品质。在 IronKey 的保护下,您的数据定能安全无忧。
什么是白名单机制
将 USB 设备列入白名单是一种安全措施,它通过限定仅允许“白名单”中列明的特定已批准设备访问电脑,从而增强安全性。该措施能够防止未知或不受信任的 USB 设备引发数据泄露或未经授权的数据传输,同时还能阻断恶意软件常见的传播途径。
通过供应商 ID 或产品 ID (VID/PID) 进行白名单设置,可使终端管理员能够基于设备的唯一标识符授权特定的 USB 设备只有 VID/PID 组合相匹配的设备才能获得连接和运行的权限。根据所使用的安全软件或操作系统的不同,将设备列入白名单的具体步骤也会有所差异。一般来说,该过程包括识别设备的 VID 和 PID,然后将其添加到白名单(允许列表)中。
什么是 VID/PID?
USB 设备在插入时,会通过其 VID/PID 组合来标识自身。VID(供应商 ID)是一个 16 位的供应商编号。PID(产品 ID)是一个 16 位的产品编号。设备的 VID/PID 组合共同构成了一个唯一标识符,类似于系统可用于识别并与设备进行交互的条形码。主机可以利用 VID/PID 组合来查找(如果有的话)适用于该 USB 设备的驱动程序。
为什么要同时使用 VID 和 PID?
USB 存储设备具有多层级保护机制,具体取决于所采用的方法。利用 USB 存储设备各自的供应商标识符和产品标识符值将其列入白名单,既有效又简便。每位 USB 外设制造商都拥有独一无二的 VID,但每款新产品的 PID 则各不相同。就白名单机制而言,仅使用制造商的VID范围过广,难以保障安全:因为该制造商生产的所有 USB 设备都将被允许接入。仅采用 PID 作为安全措施则更为精准,可限制仅特定型号的设备能够访问主机系统。然而,这并非完美解决方案,因为用户可能从消费市场上自行购买到与授权型号相匹配的设备。
Kingston 的定制化服务能够为一系列 Kingston 加密 U 盘创建并应用专属于特定组织的定制 PID 配置文件。联系您的 Kingston 代表,了解更多信息。
白名单机制的优势
- 白名单机制通过“拒绝大多数设备接入,仅授权特定设备”的方式,实现了对设备接入的更精细管控。
- 白名单机制使员工无需承担监控职责,从而节省了时间和资源,提高了工作效率。
- 最显而易见的是,白名单机制增强了网络安全防护能力,由于全面封锁了未经批准的设备,因此提高了系统被渗透的难度。未经授权的 USB 设备是恶意软件传播的常见途径,可能给组织带来数据泄露等各种危害。
- 因此,白名单机制是一种有效的数据泄露防护 (DLP) 手段。
- 鉴于其安全优势,白名单机制也是确保符合 HIPAA 或 GDPR 等数据保护法规的有效方法。
白名单机制的替代方案
若设备序列号可用,您可根据序列号将设备列入白名单。其他替代方案还包括使用自定义分类,即根据设备类型或组织认为可接受的其他各种标准对设备进行分组管理。
如何查找设备的 VID/PID
- 在 Windows 中:单击“开始”。键入“设备管理器”,然后打开它以查看所有连接到您的电脑的设备。选择并双击您的设备。转到“详细信息”选项卡。从下拉菜单中,选择“父级”以查看 VID 和 PID。
- 在 macOS 中:在搜索栏中输入“系统信息”,然后点击“硬件”。在该驱动器的相关信息中,您可以找到 USB 设备的 VID/PID。
- 在 Linux 中:在终端中输入“lsusb”命令。您将看到每个连接到电脑的 USB 设备所列出的 VID 和 PID 组合。
Kingston IronKey™ VID/PID 组合
| 当前产品 | 产品 SKU | USB VID(十六进制/十进制) | USB PID(十六进制/十进制) | HID PID(十六进制/十进制) |
|---|---|---|---|---|
| IronKey Locker+ 50 G2 | IKLP50G2 | 0951 / 2385 | 159D / 5533 | 00D3 / 211 |
| IronKey Locker+ 50 | IKLP50 | 0951 / 2385 | 1577 / 5495 | 00A8 / 168 |
| IronKey Vault Privacy 50 | IKVP50 | 0951 / 2385 | 1575 / 5493 | 00A6 / 166 |
| IronKey Vault Privacy 50C | IKVP50C | 0951 / 2385 | 1576 / 5494 | 00A7 / 167 |
| IronKey Keypad 200 | IKKP200 | 2009 / 8201 | 7100 / 28928 | E100 / 57600 |
| IronKey Keypad 200C | IKKP200C | 2009 / 8201 | 7200 / 29184 | E200 / 57856 |
| 存档产品 | 产品 SKU | USB VID(十六进制/十进制) | USB PID(十六进制/十进制) | HID PID(十六进制/十进制) |
|---|---|---|---|---|
| IronKey Locker+ 50 | IKLP50 | 0951 / 2385 | 1577 / 5495 | 00A8 / 168 |
| IronKey Vault Privacy 80ES | IKVP80ES | 0951 / 2385 | 1574 / 5492 | N/A |
| IronKey D500S | IKD500S | 0951 / 2385 | 1572 / 5490 | 00A3 / 163 |
| IronKey Basic S1000 | IKS1000B | 0951 / 2385 | 1013 / 4115 | N/A |
| IronKey Enterprise S1000 | IKS1000E | 0951 / 2385 | 1014 / 4116 | N/A |
| IronKey D500SM | IKD500SM | 0951 / 2385 | 1573 / 5491 | 00A4 / 164 |
| IronKey D300 | IKD300 | 0951 / 2385 | 1539 / 5433 | 0059 / 89 |
| IronKey D300S | IKD300S | 0951 / 2385 | 1560 / 5472 | 0089 / 137 |
| IronKey D300M | IKD300M | 0951 / 2385 | 153B / 5435 | 005B / 91 |
| IronKey D300SM | IKD300SM | 0951 / 2385 | 1561 / 5473 | 008A / 138 |
| DataTraveler Locker+ G3 | DTLPG3 | 0951 / 2385 | 169D / 5789 | 0018 / 24 |
| DataTraveler VaultPrivacy 30 | DTVP30 | 0951 / 2385 | 1505 / 5381 | 0017 / 23 |
| DataTraveler DT2000 | DT2000 | 2009 / 8201 | 16AF / 5807 | E6AF / 59055 |
| DataTraveler DT4000G2 | DT4000G2 | 0951 / 2385 | 1508 / 5384 | 001B / 27 |
| DataTraveler DT4000G2DM | DT4000G2DM | 0951 / 2385 | 152F / 5423 | 004C / 76 |
| 表格说明: | ||
| VID – 供应商 ID | PID – 产品 ID | HID – 人机接口设备* |
| Hex – 十六进制 | Dec – 十进制** | |
* 在极少数受限制的环境中,加密 U 盘可能会切换至 HID 模式。若发生这种情况,除标准 PID 外,还需将 HID PID 列入白名单。
** 部分终端解决方案会以十进制而非标准的十六进制数值来显示 VID/PID 值。
总结
终端管理是各规模组织普遍面临的痛点问题。若对 USB 设备的使用不加以限制,可能会危及系统与数据完整性,这不仅会给组织带来数百万美元的经济损失,还会损害其声誉。然而,全面禁止 USB 设备又会限制组织灵活开展工作与共享必要信息的能力。白名单机制为组织提供了一种安全的方式,既允许员工使用经批准的设备,又不会给恶意软件及其他安全问题留下可乘之机。Kingston 针对组织定制的专属 PID 配置文件提供了一种定制化解决方案,既能简化白名单设置流程,又能提升安全性。
