m1034-limit-hardware-installation

# M1034 — Limit Hardware Installation ## Visão Geral *Fonte: [MITRE ATT&CK — M1034](https://attack.mitre.org/mitigations/M1034)* ## Descrição Prevent unauthorized users or groups from installing or using hardware, such as external drives, peripheral devices, or unapproved internal hardware components, by enforcing hardware usage policies and technical controls. This includes disabling USB ports, restricting driver installation, and implementing endpoint security tools to monitor and block unapproved devices. This mitigation can be implemented through the following measures: ```mermaid graph TB A["📋 Política de Hardware Inventário de dispositivos aprovados"] --> B["🚫 Bloqueio USB GPO — Removable Storage"] B --> C["✅ Whitelist Serial numbers autorizados"] C --> D["🔒 BIOS/UEFI Secure Boot + senha firmware"] D --> E["🛡️ Endpoint Control Defender for Endpoint / EDR"] E --> F["📊 Logging Event ID 20001 + SIEM alerts"] ``` ### Desabilitar Portas USB e Políticas de Instalação de Hardware - Usar GPOs para desabilitar dispositivos de armazenamento em massa USB: `Computer Configuration > Administrative Templates > System > Removable Storage Access` — Negar acesso de leitura e escrita a dispositivos USB. - Usar lista branca de dispositivos aprovados por número de série via Windows Device Installation Policies. ### Implantar Soluções de Proteção de Endpoint e Controle de Dispositivos - Usar ferramentas como Microsoft Defender for Endpoint, Symantec Endpoint Protection ou Tanium para monitorar e bloquear hardware não autorizado. - Implementar políticas de controle de dispositivos para permitir tipos específicos de hardware (teclados, mouses) e bloquear outros. ### Fortalecer BIOS/UEFI e Firmware do Sistema - Definir senhas fortes para acesso ao BIOS/UEFI. - Habilitar Secure Boot para impedir que componentes de hardware não autorizados carreguem firmware rogue. ### Restringir Dispositivos Periféricos e Drivers - Usar Windows Device Manager Policies para bloquear instalação de drivers não aprovados. - Monitorar tentativas de instalação de hardware por meio de ferramentas de monitoramento de endpoint. ### Desabilitar Hardware Bluetooth e Sem Fio - Usar GPO ou ferramentas MDM para desabilitar interfaces Bluetooth e Wi-Fi nos sistemas. - Restringir emparelhamento de hardware a dispositivos aprovados. ### Logging e Monitoramento - Habilitar logging de eventos de instalação de hardware nos Windows Event Logs (Event ID 20001 — Device Setup Manager). - Usar soluções SIEM (Splunk, Elastic Stack) para detectar atividades de instalação de hardware não autorizada. **Ferramentas para Implementação:** - **Controle USB e Dispositivos:** GPO, Microsoft Defender for Endpoint, Symantec Endpoint Protection, McAfee Device Control - **Monitoramento de Endpoint:** EDRs, OSSEC (IDS host-based open-source) - **Whitelist de Hardware:** BitLocker (drives externos, Windows), Windows Device Installation Policies - **Segurança BIOS/UEFI:** Secure Boot, Dell Command Update, HP Sure Start ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1219.003 | [[t1219-003-remote-access-hardware\|T1219.003 — Remote Access Hardware]] | | T1674 | [[t1674-input-injection\|T1674 — Input Injection]] | | T1091 | [[t1091-replication-through-removable-media\|T1091 — Replication Through Removable Media]] | | T1219 | [[t1219-remote-access-tools\|T1219 — Remote Access Tools]] | | T1200 | [[t1200-hardware-additions\|T1200 — Hardware Additions]] | | T1052.001 | [[t1052-001-exfiltration-over-usb\|T1052.001 — Exfiltration over USB]] | | T1052 | [[t1052-exfiltration-over-physical-medium\|T1052 — Exfiltration Over Physical Medium]] | --- ## Contexto LATAM > [!globe] Relevância Regional > O controle de hardware físico é particularmente relevante no Brasil devido ao alto índice de ameaças internas e ao uso de pen drives infectados como vetor de ataque em ambientes industriais e de governo. Casos de exfiltração via USB são comuns em investigações de crimes corporativos brasileiros. O setor financeiro implementa controles rigorosos de dispositivos USB por exigência do BACEN, mas outros setores — incluindo saúde e educação — têm lacunas significativas. > - Adoção em SOCs brasileiros: alto (setor financeiro) / baixo (setor público e PMEs) > - Regulamentações relevantes: BACEN 4893 (controle de mídias removíveis em IFs), LGPD (prevenção de exfiltração de dados pessoais), Lei Geral de Proteção de Dados > - Desafios regionais: fiscalização física de dispositivos difícil em ambientes de trabalho remoto e híbrido; custo de soluções DLP completas é proibitivo para PMEs