Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Контроль використання USB-накопичувачів в Windows Server 2008

Переміщення інформації через кордони периметра локальної мережі компанії доставляє, мабуть, найбільшу кількість клопоту службі інформаційної безпеки. З кожним роком гострота проблеми тільки зростає. За останнім часом різко збільшилася кількість всіляких USB-пристроїв, які можуть використовуватися в якості накопичувачів. При цьому обсяг інформації, який може бути записаний за допомогою таких пристроїв, вже можна порівняти з об'ємом жорстких дисків. Сьогодні USB-накопичувачі ємністю 4 Гбайт вже не рідкість, обсяг жорстких дисків переносних MP3-плеєрів перевищив 80 Гбайт, але ж крім цього є ще й фотоапарати, мобільні телефони, кишенькові комп'ютери з великим обсягом пам'яті і т.д. Ринок таких пристроїв зростає експоненціально: їх фізичні розміри все менше і менше, а продуктивність і обсяг все більше і більше.

Постійно збільшуються інвестиції в міжмережеві екрани, використовуються всі нові і більш надійні алгоритми шифрування, інші засоби і технології контролю для захисту даних від розкрадання через Internet. Однак не варто забувати, що більшість випадків розкрадання сьогодні відбувається з вини самих співробітників, які скачують конфіденційну інформацію на різні USB-пристрої. Всі технології захисту корпоративної мережі від зловмисників за межами компанії не в змозі протистояти скривдженим співробітникам, які цілком можуть використовувати USB-пристрої для завантаження шкідливої ​​програми в мережу компанії або для розкрадання інформації з локальної мережі.

Та все це призвело до того, що був розроблений цілий клас програмного забезпечення для контролю використання змінних накопичувачів. Типовими прикладами даного програмного забезпечення можуть служити DeviceLock, що розробляється з 1996 року компанією «Смарт Лайн Інк» (SmartLine Inc), Sanctuary Device Control від люксембурзької компанії SecureWave SA, ZLock від російської компанії ЗАТ «Секьюр», GFI EndPointSecurity від мальтійської компанії «GFI Software »і деякі інші.

Разом з тим найближчим часом компанія Microsoft представить на ринок серверних операційних систем нову серверну платформу Windows Server 2008, в якій будуть реалізовані функції контролю використання змінних накопичувачів за допомогою групових політик в разі використання як окремого сервера, так і домена з Windows Server 2008 в якості контролера домену та Windows Vista в якості робочих станцій.

Аналізу даної функції і присвячена наша стаття. Для її написання використовувалася 32-розрядної версії Windows Server 2008 RC0 Enterprise.

установка контролю

Для використання функції контролю використання зовнішніх носіїв в Windows Vista адміністратор повинен задіяти групові (локальні) політики. За допомогою групових політик можна вказати конкретні пристрої, використання яких дозволено на даному комп'ютері. Припустимо, що співробітнику розпорядженням керівництва дозволено використовувати флеш-диск А, але з дому він може принести ще флеш-диск В. Засобами групових політик в Windows Vista можна зробити так, що флеш-диск А можна буде підключити до корпоративного комп'ютера, а при підключенні флеш-диска у співробітник отримає повідомлення про те, що в даному випадку він порушує політику безпеки. Розглянемо докладніше, як це зробити.

Кожен пристрій, що використовує USB-порт, має так званий унікальним цифровим кодом. Тобто для створення списку дозволених пристроїв нам спочатку потрібно отримати ідентифікатори (ID) цих пристроїв.

отримання ID

Для отримання відповідного ідентифікатора пристрою необхідно приєднати цей пристрій до USB-порту, дочекатися, поки система пізнає його, і увійти в Drive Manager (для цього клацніть правою клавішею миші на значку My Computer і у спадному меню виберіть пункт Properties). Ви побачите вікно, показане на екрані 1.

Потім з меню Tasks потрібно вибрати Device Manager. У списку пристроїв слід відкрити пункт Universal Serial Bus controllers (екран 2).

В отриманому списку потрібно вибрати USB Mass Storage Device. Натисніть праву кнопку миші і в контекстному меню виберіть Properties. Потім виберіть вкладку Details. Вкажіть параметр Device Instance Path (екран 3).

Тепер потрібно скопіювати значення цього параметра в текстовий редактор (наприклад, Microsoft Word).

Отримаємо приблизно такий рядок: USBSTORDisk & Ven_JetFlash & Prod_TS2GJFV30 & Rev_8.07BX1D3DGC & 0

З отриманого рядка слід виділити підрядок типу BX1D3DGC (набір символів від останнього символу до &) - це і буде шукане ID пристрою.

У разі якщо ви отримаєте рядок, подібну USBSTORDisk & Ven_ChipsBnk & Prod_Flash_Disk & Rev_2.006 & 1c912e9b & 0, ім'я пристрою буде 6 & 1c912e9b.

Після отримання унікального ID пристрою можна перейти до налаштування групових політик.

Налаштування групових політик

Всі дії, перераховані нижче, повинні проводитися під обліковим записом з правами адміністратора.

Для настройки локальних політик необхідно запустити режим командного рядка з-під облікового запису з правами адміністратора. Для цього слід запустити командний рядок (StartRuncmd) і у вікні командного рядка набрати gpedit.msc.

У вікні редактора групових політик (Local Group Policy Editor) виберіть Administrative Templates-System-Device Installation (екран 4).

Далі виберіть параметр Allow installation of devices that match any of these device IDs (екран 5).

Для створення відповідного списку пристроїв необхідно натиснути кнопку Show. В отриманому вікні (екран 6) введіть ідентифікаційні коди дозволених пристроїв.

В отриманому вікні можна як додати, так і видалити коди пристроїв за допомогою відповідних кнопок.

Після створення даного списку пристроїв необхідно заборонити установку пристроїв, що не описаних іншими правилами політики. Для цього виберіть параметр політики Prevent installation of devices not described by other policy settings (екран 7).

Для цього виберіть параметр політики Prevent installation of devices not described by other policy settings (екран 7)

У разі якщо користувач все ж вирішить задіяти пристрій з ідентифікатором, не зазначених в груповій політиці, він отримає повідомлення, заголовок якого ви зможете вказати за допомогою пункту Display a custom message when installation is prevented by policy setting (екран 8).

У разі якщо користувач все ж вирішить задіяти пристрій з ідентифікатором, не зазначених в груповій політиці, він отримає повідомлення, заголовок якого ви зможете вказати за допомогою пункту Display a custom message when installation is prevented by policy setting (екран 8)

Основний текст, який відображається при цьому у спливаючому вікні, також можна задати за допомогою пункту групової політики (екран 9).

Основний текст, який відображається при цьому у спливаючому вікні, також можна задати за допомогою пункту групової політики (екран 9)

Для остаточної заборони встановлення пристроїв слід вибрати параметр Prevent installation of devices not described by other policy setting ( «Заборонити установку пристроїв, що не описаних іншими параметрами політики»).

Остаточно параметри, описані в груповій політиці, будуть введені в дію після введення в командному рядку команди поновлення політик gpupdate.exe (екран 10).

Після застосування політики при спробі підключення USB-пристрою, не описаного в правилах, з'явиться попереджувальний напис (екран 11).

Достоїнства і недоліки

До безперечних достоїнств підходу, застосовуваного Microsoft, варто віднести простоту настройки і використання, інтеграцію з Active Directory, а також те, що такий підхід не вимагає установки програм сторонніх виробників.

Що ж стосується недоліків, то їх, на жаль, набагато більше. Даний підхід не дозволяє контролювати, що ж саме користувач записує (зчитує) з зовнішнього носія, так як журнали операцій запису / зчитування просто не ведуться. За способом організації контролю зовнішніх носіїв дана функція операційної системи може бути віднесена до можливостей контролю використання зовнішніх пристроїв початкового рівня. Однак не варто забувати і про те, що поки що не існує інших програм, здатних виконувати аналогічні завдання під керуванням Windows Server 2008 і Windows Vista.

Володимир Безмалий ( [email protected] ) - керівник програми підготовки адміністраторів інформаційної безпеки «Академії БМС Консалтинг». MVP in Windows Security

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.