Коли ви враховуєте безпеку, захист мережі, захист корпоративних даних або подібні питання у вашій корпоративній мережі, ви повинні замислюватися про те, як контролювати переносні приводи USB і жорсткі диски. Якщо користувачі можуть винести USB накопичувачі за межі офісу в своїх кишенях, скопіювавши практично будь-який файл на них, потім вставити ці накопичувачі в свій робочий комп'ютер і скопіювати або виконати на ньому файл з накопичувача, то потенційна схильність атаці або вірусів значно зростає. До теперішнього часу контролювання USB приводів було обмеженим, незручним і в більшості випадків все USB підпадали під вплив, якщо ви хотіли контролювати USB приводи. Однак компанія Microsoft прийшла на допомогу шляхом додавання Device Installation Restrictions (обмеження установки пристроїв) для контролювання USB пристроїв в Windows Vista. Ці параметри прості в налаштуванні, контролюванні та дуже потужні, оскільки встановлюються вони за допомогою групової політики.
Ви повинні враховувати два сценарії при контролюванні USB накопичувачів
Перш ніж ми зможемо розглянути опції і кроки по обмеженню USB накопичувачів, ми повинні розбити USB накопичувачі на два різні сценарії. Перший сценарій дуже простий, оскільки він відноситься до комп'ютерів, які ніколи раніше не бачили USB накопичувачів. У такій ситуації на комп'ютері не встановлені ніякі USB приводи. Подібним сценарієм буде ситуація, в якій у вас є USB привід (який ви бажаєте обмежити), але який ще не встановлювався на комп'ютер раніше, хоча різні USB накопичувачі вже встановлювалися. В цьому випадку USB привід, який ви хочете обмежити, ніколи не встановлювався, тому ви можете контролювати установку цього USB приводу і його драйвера.
Другим сценарієм буде ситуація, в якій USB привід вже встановлений. В цьому випадку USB накопичувач вже налаштований в системному реєстрі, а призначений для нього драйвер був скопійований на комп'ютер.
Управління установки USB приводів на pre-Windows Vista
Малюнок 1: Налаштування імені групи на заборону дозволів повного доступу до обох файлів
Управління установкою USB накопичувачів на Windows Vista
Для комп'ютерів Windows Vista ви можете використовувати параметри об'єктів групової політики для заборони установки USB приводів. Цей метод надає дуже чіткий спосіб контролювання окремих USB пристроїв. Цей спосіб не є ситуацією 'все або нічого ", як багато інших варіанти. Для цього методу вам потрібно буде виявляти USB ID пристрою. Потім ID буде використовуватися в політиці для контролювання USB пристрою. Ще однією перевагою групової політики є те, що ви можете або заборонити, або дозволити USB пристрій. Ви зможете створювати власний список дозволених і заборонених USB пристроїв.
Для використання виявлення USB ID потрібно його встановити. Тут вам знадобиться тестовий комп'ютер, на який можна буде встановлювати пристрій.
Нижче представлені кроки, яких потрібно дотримуватися, щоб виявити USB ID встановлюваного пристрою.
- Відкрийте Диспетчер пристроїв з панелі управління.
- Знайдіть пристрій зі списку пристроїв. USB накопичувачі як правило знаходяться під розділом жорстких дисків.
- Правою клавішею натисніть на USB пристрої та виберіть Властивості, в результаті чого відкриється сторінка властивостей пристрою, як показано на малюнку 2.
- Виберіть вкладку Докладно на сторінці властивостей.
- Натисніть в списку під назвою Властивості
- Виберіть опцію Hardware Ids, як показано на малюнку 3.
Малюнок 3: GUID класу пристроїв - це те, що ви використовуєте для ID устаткування в політиці
Використовуючи цей USB ID ви можете створювати і налаштовувати GPO. Для настройки GPO на включення USB ID і обмеження установки пристрою, виконайте ці кроки на комп'ютері, на якому пристрій USB не встановлено.
- Двічі натисніть на опції Запобігати установку пристроїв, які відповідають будь-якій з цих політик Ids обладнання.
- Натисніть кнопку Включено.
- Натисніть кнопку Показати, щоб відкрити діалогове вікно «Показати вміст».
- Натисніть кнопку Додати в діалоговому вікні.
- Впишіть ID для USB накопичувача, використовуючи синтаксис, показаний на малюнку 5.
Тепер, коли ваша політика задана, ви можете протестувати установку USB приводу. Коли ви вставляєте USB накопичувач в комп'ютер, на якому налаштували GPO, у вас повинен з'явитися звіт про помилку, як показано на малюнку 6. Вам потрібно лише натиснути на ярлику цього повідомлення, щоб відкрити діалогове вікно.
Малюнок 6: Якщо політика забороняє установку пристрою, з'явиться надпис
Якщо ви хочете піти далі, ви можете налаштувати власну оповіщення. Існує дві політики (Відображати призначене для користувача повідомлення, коли установка заборонена політикою) над запобіганням USB IDs, які можна подивитися на малюнку 4.
Замітка: Якщо пристрій вже встановлено, політика не буде забороняти його запуск. Вам потрібно буде деінсталювати драйвер цього пристрою, щоб політика працювала, або ви можете використовувати опції, перераховані вище для комп'ютерів з ОС pre-Vista. Однак якщо ви використовуєте вищезгадану опцію заборони після установки драйвера, вона буде забороняти встановлення ВСІХ USB накопичувачів.
Контролювання USB пристроїв, які вже були встановлені
Для другого сценарію, вам потрібно врахувати ситуацію, коли USB пристрої вже були встановлені. Для цього сценарію у вас є дві опції. Одна з них - це деінсталяція USB накопичувача, яка поверне комп'ютер в стан відсутності USB накопичувача - оскільки це може бути дуже складним або нездійсненним завданням у великій корпоративної мережі, вам потрібна альтернатива.
CLASS MACHINE CATEGORY «Braincore.net USB Storage Drive Restriction» POLICY «How do you want USB Drives to Behave?» #if version> = 3 EXPLAIN «Policy to disable USB removable storage» #endif KEYNAME SYSTEM \ CurrentControlSet \ Services \ USBSTOR VALUENAME Start VALUEON NUMERIC 3 VALUEOFF NUMERIC 4 END POLICY END CATEGORY