Контроль використання USB-накопичувачів в Windows Server 2008











Переміщення інформації через кордони периметра локальної мережі компанії доставляє, мабуть, найбільшу кількість турбот службі інформаційної безпеки. З кожним роком гострота проблеми тільки зростає. За останній час різко збільшилась кількість всіляких USB-пристроїв, які можуть використовуватися в якості накопичувачів. При цьому обсяг інформації, який може бути записаний за допомогою таких пристроїв, вже можна порівняти з об'ємом жорстких дисків. Сьогодні USB-накопичувачі ємністю 4 Гбайт вже не рідкість, об'єм жорстких дисків переносних MP3-плеєрів перевищив 80 Гбайт, але ж крім цього є ще і фотоапарати, мобільні телефони, кишенькові комп'ютери з великим обсягом пам'яті і т.д. Ринок таких пристроїв зростає експоненціально: їх фізичні розміри все менше і менше, а продуктивність і обсяг все більше і більше.

Постійно збільшуються інвестиції в міжмережеві екрани, використовуються все нові і більш надійні алгоритми шифрування, інші засоби і технології контролю для захисту даних від розкрадання через Internet. Однак не варто забувати, що більшість випадків розкрадання сьогодні відбувається з вини самих співробітників, які скачують конфіденційну інформацію на різні USB-пристрої. Усі технології захисту корпоративної мережі від зловмисників за межами компанії не в змозі протистояти скривдженим співробітникам, які цілком можуть використовувати USB-пристрою для завантаження шкідливої програми в мережу компанії або для розкрадання інформації з локальної мережі.


Все перераховане вище привело до того, що був розроблений цілий клас програмного забезпечення для контролю використання змінних накопичувачів. Типовими прикладами даного програмного забезпечення можуть служити DeviceLock, розробляється з 1996 року компанією «Смарт Лайн Інк» (SmartLine Inc), Sanctuary Device Control від люксембурзької компанії SecureWave SA, ZLock від російської компанії ЗАТ «сек'юр», GFI EndPointSecurity від мальтійської компанії «GFI Software» і деякі інші.


Разом з тим найближчим часом компанія Microsoft представить на ринок серверних операційних систем нову серверну платформу Windows Server 2008, у якій будуть реалізовані функції контролю використання змінних накопичувачів за допомогою групових політик в разі використання як окремого сервера, так і домену з Windows Server 2008 в якості контролера домену і Windows Vista в якості робочих станцій.


Аналізу даної функції і присвячена наша стаття. Для її написання використовувалася 32-розрядна версія Windows Server 2008 RC0 Enterprise.


Установка контролю


Для використання функції контролю використання зовнішніх носіїв в Windows Vista адміністратор повинен задіяти групові (локальні) політики. За допомогою групових політик можна вказати конкретні пристрою, використання яких дозволено на даному комп'ютері. Припустимо, що співробітнику розпорядженням керівництва дозволено використовувати флеш-диск А, але з дому він може принести ще флеш-диск В. Засобами групових політик в Windows Vista можна зробити так, що флеш-диск А можна буде підключити до корпоративного комп'ютера, а при підключенні флеш-диску У співробітник отримає повідомлення про те, що в даному випадку він порушує політику безпеки. Розглянемо докладніше, як це зробити.


Кожне пристрій, що використовує USB-порт, має так званим унікальним цифровим ідентифікатором. Тобто для створення списку дозволених пристроїв нам спочатку потрібно отримати ідентифікатори (ID) цих пристроїв.


Отримання ID


Для отримання відповідного ідентифікатора пристрою необхідно приєднати цей пристрій до USB-порту, дочекатися, поки система пізнає його, і ввійти в Drive Manager (для цього клацніть правою клавішею миші на значку My Computer і з розкривного меню виберіть пункт Properties). Ви побачите вікно, показане на екрані 1.



Екран 1. Перегляд відомостей про комп'ютер.


Потім з меню Tasks потрібно вибрати Device Manager. У списку пристроїв слід відкрити пункт Universal Serial Bus controllers (екран 2).



Екран 2. Device Manager.


В отриманому списку потрібно вибрати USB Mass Storage Device. Натисніть праву клавішу миші і в контекстному меню виберіть Properties. Потім виберіть вкладку Details. Вкажіть параметр Device Instance Path (Екран 3).



Екран 3. Властивості. Запам'ятовуючі пристрої для USB.


Тепер потрібно скопіювати значення цього параметра в текстовий редактор (наприклад, Microsoft Word).


Отримаємо приблизно такий рядок: USBSTORDisk & Ven_JetFlash & Prod_TS2GJFV30 & Rev_8.07BX1D3DGC & 0


З отриманої рядки слід виділити підрядок типу BX1D3DGC (набір символів від останнього символу до &) – це і буде шукане ID пристрою.


У випадку якщо ви отримаєте рядок, подібну USBSTORDisk & Ven_ChipsBnk & Prod_Flash_Disk & Rev_2.006 & 1c912e9b & 0, ім'я пристрою буде 6 & 1c912e9b.


Після отримання унікального ID пристрою можна перейти до налаштування групових політик.


Налаштування групових політик


Всі дії, перераховані нижче, повинні проводитися під обліковим записом з правами адміністратора.


Для налаштування локальних політик необхідно запустити режим командного рядка з-під облікового запису з правами адміністратора. Для цього слід запустити командний рядок (StartRuncmd) і у вікні командного рядка набрати gpedit.msc.


У вікні редактора групових політик (Local Group Policy Editor) виберіть Administrative Templates-System-Device Installation (екран 4).



Екран 4. Обмеження на встановлення пристрою.


Далі виберіть параметр Allow installation of devices that match any of these device IDs (екран 5).



Екран 5. Створення списку дозволених пристроїв.


Для створення відповідного списку пристроїв необхідно натиснути кнопку Show. В отриманому вікні (екран 6) введіть ідентифікаційні коди дозволених пристроїв.



Екран 6. Дозволити установку пристроїв, відповідних якого-небудь з цих кодів.


В отриманому вікні можна як додати, так і видалити коди пристроїв за допомогою відповідних кнопок.


Після створення даного списку пристроїв необхідно заборонити установку пристроїв, не описаних іншими правилами політики. Для цього виберіть параметр політики Prevent installation of devices not described by other policy settings (екран 7).



Екран 7. Заборона на установку пристроїв, не описаних іншими правилами політики.


У разі якщо користувач все ж таки вирішить задіяти пристрій з ідентифікатором, не зазначених у груповій політиці, він отримає повідомлення, заголовок якого ви зможете вказати за допомогою пункту Display a custom message when installation is prevented by policy setting (екран 8).



Екран 8. Вказівка заголовка вікна повідомлення, що установка цього пристрою заборонено політикою.


Основний текст, що відображається при цьому у спливаючому вікні, також можна задати за допомогою пункту групової політики (екран 9).



Екран 9. Вибір у вікні повідомлення тексту "Установка пристроїв заборонена політикою".


Для остаточної заборони встановлення пристроїв слід вибрати параметр Prevent installation of devices not described by other policy setting («Заборонити встановлення пристроїв, не описаних іншими параметрами політики »).


Остаточно параметри, описані в груповій політиці, будуть введені в дію після введення в командному рядку команди оновлення політик gpupdate.exe (екран 10).



Екран 10. Оновлення групової політики.


Після застосування політики при спробі підключення USB-пристрої, не описаного в правилах, з'явиться попереджувальний напис (екран 11).



Екран 11. Спроба підключення недозволеного пристрою.


Переваги і недоліки


До безперечних достоїнств підходу, застосовуваного Microsoft, варто віднести простоту установки і використання, інтеграцію з Active Directory, а також те, що такий підхід не вимагає установки програм сторонніх виробників.


Що ж стосується недоліків, то їх, на жаль, набагато більше. Даний підхід не дозволяє контролювати, що ж саме користувач записує (зчитує) з зовнішнього носія, так як журнали операцій запису / зчитування просто не ведуться. За способом організації контролю зовнішніх носіїв дана функція операційної системи може бути віднесена до можливостей контролю використання зовнішніх пристроїв початкового рівня. Однак не варто забувати і про те, що поки що не існує інших програм, здатних виконувати аналогічні завдання під управлінням Windows Server 2008 і Windows Vista.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*