Контроль за використанням зовнішніх USB-накопичувачів у Windows Server 2008

використанням

До безперечних переваг підходу, застосовуваного Microsoft, варто віднести простоту налаштування та використання, інтеграцію з Active Directory, а також те, що такий підхід не вимагає встановлення програмного забезпечення сторонніх виробників.

Постійно збільшуються інвестиції в міжмережевих екранах, використовуються все нові й більш надійні алгоритми шифрування, інші засоби та технології контролю для захисту даних від розкрадання через Інтернет. Однак не варто забувати, що більшість розкрадань сьогодні відбувається з вини власних співробітників, які за допомогою різних типів USB-пристроїв завантажують конфіденційну інформацію. Всі технології захисту вашої мережі від зовнішніх зловмисників не можуть перешкодити скривдженим співробітникам, які можуть використовувати USB-пристрої для завантаження зловмисного ПЗ в мережу компанії або для розкрадання інформації з цієї мережі.

При цьому ми чудово розуміємо, що найбільшу небезпеку для інформаційної безпеки становитимуть саме зловмисники з-поміж скривджених внутрішніх співробітників. Це практично зводитиме до нуля ефективність адміністративних заходів щодо захисту інформації в цій галузі.

Разом з тим, найближчим часом компанія Microsoft представить на ринок серверних операційних систем свою нову серверну платформу Windows Server 2008, в яку буде вбудовано контроль за використанням змінних носіїв на рівні групових політик як у разі використання окремого сервера, так і у разі використання домену у складі. Windows Server 2008 як доменний контролер і Windows Vista як робочі станції.

Встановлення контролю за використанням змінних носіїв у Windows Server 2008

Для використання режиму контролю за використанням зовнішніхУ Windows Vista адміністратор повинен використовувати групові (локальні) політики. За допомогою групових політик адміністратор може вказати конкретні пристрої, використання яких дозволено на цьому комп'ютері. Припустимо, що співробітнику наказом виділено флеш-диск А, але з дому він може принести ще флеш-диск В. Засобами групових політик у Windows Vista можна зробити так, що флеш-диск А працюватиме, а при включенні флеш-диску співробітник отримає повідомлення про те, що він порушує безпекову політику. Давайте розглянемо докладніше, як це зробити.

Кожен пристрій, що використовує USB-порт, має так званий унікальний цифровий ідентифікатор. Тобто для створення списку дозволених пристроїв спочатку потрібно отримати так звані ідентифікатори (ID) цих пристроїв.

Отримання ID USB-пристроїв

Для отримання відповідного ідентифікатора пристрою необхідно під'єднати цей пристрій до USB-порту, дочекатися поки система пізнає його, і увійти в Drive Manager (для цього натисніть правою клавішею миші на значку My Computer) і з меню виберіть пункт Properties. Ви отримаєте картинку, зображену малюнку 1.

контроль

Малюнок 1 Перегляд інформації про ваш комп'ютер

Малюнок 2 Device Manager

У списку виберіть USB Mass Storage Device. Натисніть праву клавішу миші та в контекстному меню виберіть Properties. Потім оберіть вкладку Details. Виберіть Device Instance Path (рис.3).

зовнішніх

Налаштування групових політик

Усі дії, наведені нижче, повинні проводитися під управлінням вченого запису з правами Адміністратора.

Для настроювання локальних політик необхідно запустити режим командного рядка з-під облікового запису адміністратора. Для цьогоВиберіть Start-Run-cmd.

У вікні командного рядка наберіть gpedit.msc.

Рисунок 4 Обмеження на встановлення пристрою

Далі виберіть Allow installation of devices that match any of these device IDs (рис.5).

usb-накопичувачів

Рисунок 5 Дозволити встановлення пристроїв, які відповідають будь-якому з цих кодів пристроїв

Щоб створити відповідний список пристроїв, натисніть кнопку Show. У отриманому вікні (мал. 6) введіть коди дозволених пристроїв

використанням

Рисунок 6 Дозволити встановлення пристроїв, які відповідають будь-якому з цих кодів

У отриманому вікні можна додати, так і видалити коди пристроїв за допомогою відповідних кнопок. Після створення цього списку пристроїв, необхідно заборонити встановлення пристроїв, які не описані іншими правилами політики. Для цього оберіть пункт політики Prevent installation of devices (не описаний).

usb-накопичувачів

Рисунок 7 Заборонити встановлення пристроїв, які не описані іншими правилами політики

Якщо користувач все ж таки вирішить використовувати пристрій, не описаний у груповій політиці, він отримає повідомлення, заголовок якого ви зможете вказати за допомогою пункту Display a custom message when installation is prevented by policy setting (рис. 8).

контроль

Рисунок 8 Відображати спеціальне повідомлення, коли установка заборонена політикою (заголовок спливаючого повідомлення)

Рисунок 9 Відображати спеціальне повідомлення, коли установка заборонена політикою (текст спливаючого повідомлення)

Щоб остаточно заборонити інсталяцію пристроїв, виберіть пункт Prevent installation of devices, який не встановлюється за допомогою інших пристроїв, які не описані іншими параметрами.політики). Остаточно параметри, описані в груповій політиці, будуть введені в дію після введення командного рядка команди gpupdate.exe (рис.10).

usb-накопичувачів

Рисунок 10 Оновлення групової політики

Малюнок 11 Спроба підключення пристрою несанкціонованого політикою

До безперечних переваг підходу, застосовуваного Microsoft, варто віднести простоту налаштування та використання, інтеграцію з Active Directory, а також те, що такий підхід не вимагає встановлення програмного забезпечення сторонніх виробників.

Що ж до недоліків, то їх, на жаль, набагато більше. Даний підхід не дозволяє контролювати, що саме користувач записує (зчитує) із зовнішнього носія, так як логи операцій запису/зчитування просто не ведуться. За способом організації контролю за зовнішніми носіями це ПЗ може бути віднесено до ПЗ контролю за зовнішніми пристроями початкового рівня. Однак не варто забувати і про те, що в даний момент немає іншого ПЗ, здатного виконувати аналогічні завдання під керуванням Windows Server 2008 і Windows Vista.