Управління зовнішніми пристроями, що запам`ятовують в windows 7

Вступ

Ми з вами, на жаль, живемо в сумні часи. Криза крокує по планеті. Що це означає для нас з вами? Це означає те, що з кожним днем ​​армія безробітних буде лише збільшуватися, все більше співробітників виявиться за воротами. Серед них будуть і ІТ-фахівці та менеджери високого рівня і т.д. і т.п. Але що це означає для нас, офіцерів безпеки? А означає це те, що все більше людей будуть втрачати моральні цінності й підвалини і займатися банальним злодійством даних. Хто напередодні звільнення, а хтось із бажання помститися роботодавцю. Чи згодні? Таким чином, все більшого значення набуватиме закриття каналів витоку інформації.

Контроль над інформацією, що переміщується через кордони периметра локальної мережі компанії, є одним із головних завдань служби інформаційної безпеки. З кожним роком ця робота стає все більш і більш складною. Різко зросла кількість всіляких USB-накопичувачів. Як приклад можна привести все зростаючий обсяг флеш-дисків (диски в 4Гб вже давно не рідкість), переносні MP3-плеєри з жорстким диском, фотоапарати, мобільні телефони з великим об`ємом пам`яті. Ринок таких пристроїв показує експоненціальне зростання, при цьому фізичні розміри пристроїв стають все менше і менше, а продуктивність їх і обсяг їх переносите даних - все більше.

Постійно збільшуються інвестиції в міжмережеві екрани, розробляються все нові способи шифрування даних, інші засоби і технології контролю для захисту даних від розкрадання через Інтернет. Однак не варто забувати, що всі ці заходи не здатні зупинити розкрадання даних з боку власних співробітників, що приносять на роботу флеш-диски і викачують на них конфіденційну інформацію. Всі ці технології не зможуть перешкодити скривдженим співробітникам, які цілком можуть використовувати USB-пристрої для завантаження зловмисного ПЗ в мережу компанії.

Найбільшу небезпеку для інформаційної безпеки компанії представляють саме скривджені внутрішні співробітники.

Все це практично зводить до нуля ефективність адміністративних заходів щодо захисту інформації в цій області.

Саме тому і був розроблений цілий клас програмного забезпечення ля контролю змінних носіїв.

Однак починаючи з операційної системи Windows Vista, компанія Microsoft вбудовує в операційні системи можливість управляти використанням зовнішніх запам`ятовуючих пристроїв за допомогою локальних (групових) політик. У даній статті ми з вами спробуємо розібратися, як управляти зовнішніми пристроями за допомогою політик.

Відео: Забороняємо запуск програм (ч2)

Установка контролю над використанням змінних носіїв в Windows 7

Щоб користуватися режимом контролю над використанням зовнішніх носіїв в Windows 7 адміністратор повинен використовувати групові (локальні) політики. За допомогою групових політик адміністратор може вказати конкретні пристрої, використання яких дозволено на даному комп`ютері.

Припустимо, що співробітнику наказом виділено флеш-диск А, але з дому він може принести ще флеш-диск В. Засобами групових політик в Windows 7 можна зробити так, що флеш-диск А працювати буде, а при включенні флеш-диска У співробітник отримає повідомлення про те, що він порушує політику безпеки. Давайте розглянемо докладніше, як це зробити.

Кожен пристрій, що використовує USB-порт, має так званий унікальним цифровим кодом. Тобто, для створення списку дозволених пристроїв нам спочатку потрібно отримати так звані ідентифікатори (ID) цих пристроїв.

Отримання ID пристрою

Для отримання відповідного ID пристрою підключіть його до USB-порту, дочекайтеся поки система його пізнає, і увійдіть в Диспетчер пристроїв (рис.1)

Малюнок 1 властивості комп`ютера

Потім з меню зліва виберіть Device Manager. У списку (рис.2) виберіть пункт Universal Serial Bus controllers

малюнок 2 Диспетчер пристроїв

В отриманому списку виберіть USB Mass Storage Device. Для виклику контекстного меню натисніть праву клавішу і виберіть пункт Properties. потім виберіть Details. У випадаючому меню Property виберіть пункт Bus relations/ (Рис 3)

малюнок 3 Властивості. USB-накопичувач

Скопіюйте значення параметра в будь-який текстовий редактор. Ви отримаєте рядок типу

USBSTOR DiskVen_WDProd_2500BEV_ExternalRev_1.04 +5758453230384435363532340

З отриманого рядка виділіть подстроку +575845323038443536353234 від останнього символу до . Це і буде шукане ім`я пристрою.

Після отримання унікального ID пристрою ви можете перейти до налаштування групових політик.

Налаштування групових політик

Для настройки групових політик в режимі командного рядка запустіть команду gpedit.msc (Рис.4).

малюнок 4 Запуск редагування групових політик

У вікні групових політик виберіть Computer Configuration - Administrative Templates - System - Device Installation (рис.5)

малюнок 5 Вікно групових політик

Далі виберіть Allow installation of devices that mach any of these device IDs (рис.6)

малюнок 6 Обмеження на установку пристроїв

Дозволити установку (рис.7)

малюнок 7 Введіть ID дозволених пристроїв або класів пристроїв

Відео: Як заборонити запуск програми в Windows 7

В отриманому вікні можна додавати або видаляти ID пристроїв. Після створення дозволеного списку, потрібно заборонити установку всіх інших пристроїв (рис.8).

малюнок 8 Заборонити установку пристроїв не описаних в інших правилах

Відео: Windows 7. Безпечне вилучення зовнішнього USB пристрою

Разом з тим варто врахувати, що тепер ви зможете заборонити установку змінних носіїв взагалі. Для цього служить наступне правило (рис.9)

малюнок 9 Заборона установки змінних пристроїв

Дане правило політики перешкоджає установці змінних пристроїв. Існуючі змінні пристрої не зможуть при цьому оновити свої драйвера.

Увага! Дане правило має пріоритет по відношенню до будь-яким іншим параметрам настройки політики установки змінних пристроїв. Для цього правила ознакою того, що пристрій є змінним, є драйвер пристрою, з яким воно пов`язане.

Разом з тим адміністратор може створити «чорний» список пристроїв, які не можуть бути встановлені на даному комп`ютері (рис. 10)

малюнок 10 Створення "чорного" списку пристроїв

Текст, введений у вікні правила (рис.11) визначає повідомлення, що відображається користувачеві у вікні повідомлення в разі, якщо політика забороняє установку пристрою. Якщо Ви допускаєте цій установці, то цей текст відображений як основний основний текст повідомлення, відображеного Windows щоразу, коли інсталяція пристрої відвернена політикою.

малюнок 11 Відображення тексту в разі заборони установки пристрою політикою

Заголовок вікна повідомлення може бути налаштований також за допомогою політики (рис.12)

малюнок 12 Налаштування заголовка вікна повідомлення

Однак не варто забувати, що в Windows 7 існують і інші можливості управління змінними носіями інформації, зокрема за допомогою шифрування.

Шифрування змінних носіїв інформації

Шифрування змінних носіїв в Windows 7 може бути здійснено декількома способами. Найбільш простий спосіб - це шифрування USB-диска в тому випадку, якщо він відформатований під NTFS. В цьому випадку шифрування здійснюється аналогічно шифрування жорсткого диска.

Однак не варто забувати, що деякі з правил групової політики шифрування можуть бути використані саме для управління змінними носіями. Наприклад, за допомогою Provide the unique identifiers for your organization ви зможете задати унікальну назву вашої організації, а потім використовувати це поле для управління змінними носіями.

Provide the unique identifiers for your organization

Дане правило політики дозволить вам створювати унікальні ідентифікатори для кожного нового диска, що належить організації і захищається за допомогою BitLocker. Дані ідентифікатори зберігаються як перше і друге поля ідентифікатора. Перше поле ідентифікатора дозволить встановити унікальний ідентифікатор організації на диски, захищені BitLocker. Цей ідентифікатор буде автоматично додаватися до нових дисків, що захищається BitLocker і може бути поновлений на існуючих дисків, зашифрованих за допомогою BitLocker за допомогою програмного забезпечення командного рядка Manage-BDE.

Друге поле ідентифікатора використовується в комбінації з правилом політики «Заборона доступу на змінні носії, не захищені BitLocker» і може використовуватися для управління змінними дисками у вашій компанії. У ньому зберігається список ідентифікують полів вашої або інших зовнішніх організацій.

Комбінація цих полів може використовуватися для визначення, чи належить диск вашої організації чи ні.

У разі якщо значення даного правила не визначено або відключено, поля ідентифікації не потрібні. Поле ідентифікації може мати довжину до 260 символів.

Як бачите, ми з вами можемо поставити умови, при яких тільки змінні носії, що належать нашій або іншої довіреної організації, зможуть бути використані.

Розглянемо правила групової політики, які стосуються шифрування змінних дисків.

Removable Data Drives

Control use of BitLocker on removable drives

За допомогою даного правила групової політики ви зможете управляти шифруванням BitLocker на змінних дисках.

Ви можете вибрати з допомогою яких параметрів настройки користувачі зможуть конфігурувати BitLocker.

Зокрема, для вирішення виконання майстра установки шифрування BitLocker на змінному диску ви повинні вибрати "Allow users to apply BitLocker protection on removable data drives".

Якщо ви виберете "Allow users to suspend and decrypt BitLocker on removable data drives", То користувач зможе розшифрувати ваш змінний диск або призупинити шифрування.

Якщо це правило не налаштоване, то користувачі можуть використовувати BitLocker на знімних носіях.

Якщо дане правило відключено, то користувачі не зможуть використовувати BitLocker на знімних дисках.

Configure use of smart cards on removable data drives

За допомогою даної установки політики ви зможете визначити, чи можна використовувати смарт-карти для аутентифікації користувача і доступу його до змінних дисків на даному ПК.

Deny write access to removable drives not protected BitLocker

За допомогою даного правила політики ви можете заборонити запис на змінні диски, не захищені BitLocker. У такому випадку всі змінні диски, не захищені BitLocker будуть доступні тільки для читання. Якщо буде обрана опція "Deny write access to devices configured in another organization", В такому випадку запис буде доступна тільки на змінні диски, що належать вашій організації. Перевірка проводиться по двох полях ідентифікації, визначеним згідно з правила групової політики" Provide the unique identifiers for your organization ".

Якщо ви відключили дане правило або воно не налаштоване, то все змінні диски будуть доступні і з читання та по запису.

Увага! Це правило можна скасувати параметрами налаштування політики User Configuration Administrative Templates System Removable Storage Access Якщо правило "Removable Disks: Deny write access"Дозволено, то це правило буде проігноровано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows

Це правило визначає, чи можуть змінні диски, відформатовані під FAT, бути розблоковані і переглянуті на комп`ютерах під управлінням Windows 2008, Windows Vista, Windows XP SP3 і Windows XP SP2.

Якщо дане правило Дозволити або налаштоване, то змінні диски з файловою системою FAT можуть бути розблоковані і переглянуті на комп`ютерах під управлінням Windows 2008, Windows Vista, Windows XP SP3 і Windows XP SP2. При цьому ці диски будуть доступні тільки для читання.

Якщо це правило заблоковано, то відповідні змінні диски не можуть бути розблоковані і переглянуті на комп`ютерах під управлінням Windows 2008, Windows Vista, Windows XP SP3 і Windows XP SP2.

Це правило не відноситься до дискам, відформатованим під NTFS.

Configure password complexity requirements and minimum length

Дане правило політики визначає, чи повинні змінні диски, заблоковані за допомогою BitLocker, бути розблоковані за допомогою пароля. Якщо ж ви дозволите використовувати пароль, ви зможете встановити вимоги до його складності і мінімальну довжину пароля. Варто врахувати, що в цьому випадку вимоги складності повинні збігатися з вимогами політики паролів Computer

Configuration Windows Settings Security Settings Account Policies Password Policy

Choose how BitLocker-protected removable drives can be recovered

Дане правило дозволяє вибрати спосіб відновлення змінних дисків, захищених BitLocker.

Крім того, правила використання змінних носіїв можуть бути задані в розділі групової політики Computer Configuration - Administrative Templates -System - Device Installation - Device Installation Restrictions.

Display a custom message when installation is prevented by policy (balloon text)

Визначає повідомлення, що відображається користувачеві в тексті підказки повідомлення, якщо політика запобігає інсталяцію пристрою.

Якщо дане правило включено,, то цей текст відображається як основний текст повідомлення, яке відображається Windows щоразу, коли інсталяція пристрої відвернена політикою.

Display a custom message when installation is prevented by policy (balloon title)

Визначає заголовок відображуваного повідомлення, якщо політика запобігає інсталяцію пристрою.

Prevent installation of removable devices

Заборона установки змінних пристроїв

Відео: Заборона установки небажаного софта за допомогою App locker

Увага! Це правило політики має пріоритет по відношенню до будь-яким іншим параметрам настройки політики, які дозволяють встановлювати пристрої.

висновок

Як бачите сьогодні ми з вами можемо не тільки просто управляти переліком пристроїв і класів пристроїв які можна підключити до ПК, а й тим, чи можна читати / писати на дані змінні носії. Разом з тим ви зможете резонно запитати. Ну, добре, ми визначили список змінних носіїв, на які можна здійснити запис, зашифрували ці носії, але хто завадить нашому співробітнику записати інформацію на наш же носій, зашифрувати його, а потім винести за межі підприємства і продати конкурентам? Ніщо? Насправді тут крім усього іншого потрібна буде політика використання змінних носіїв, в якій повинно бути визначено, що і кому можна виносити за межі підприємства, а що не можна. І якщо змінні носії не підлягають виносу, то вони повинні здаватися перед відходом з роботи. А ви як думаєте?

джерело: sec4all.net

Безмалий В.Ф.
MVP Consumer Security