Контролируйте ВСЕ USB-устройства с помощью групповой политики
Когда вы рассматриваете вопросы безопасности, защиты сети, защиты корпоративных данных или подобных проблем в вашей корпоративной сети, вы должны подумать о том, как управлять USB-накопителями и жесткими дисками. Если пользователь может взять USB-накопитель из офиса в карман, скопировать на него практически любой файл, а затем подключить его к своему рабочему рабочему столу, чтобы скопировать или выполнить файлы с USB-накопителя, то риск атаки или внедрения вирус довольно экстремальный. До сих пор управление USB-накопителями было ограниченным, неуклюжим, и в большинстве случаев затрагивались все USB-устройства, если вы хотите управлять USB-накопителями. Однако Microsoft пришла на помощь, добавив ограничения на установку устройств для управления USB-устройствами в Windows Vista. Эти параметры легко настроить, контролировать и они очень эффективны, поскольку они развертываются с помощью групповой политики.
Вы должны рассмотреть два сценария управления USB-накопителями
Прежде чем мы сможем исследовать варианты и шаги, необходимые для ограничения USB-накопителей, мы должны разбить USB-накопители на два разных сценария. Первый сценарий довольно прост, поскольку он имеет дело с компьютером, который никогда раньше не видел USB-накопитель. В таком случае на компьютере не установлены USB-накопители. Аналогичный сценарий может заключаться в том, что у вас есть USB-накопитель, который вы хотите ограничить, который не был установлен на компьютере ранее, даже если был установлен другой USB-накопитель. В этом случае USB-накопитель, которым вы хотите управлять, никогда не устанавливался, поэтому вы все равно можете контролировать установку USB-накопителя и его драйвера.
Второй сценарий — когда USB-накопитель уже установлен. В этом случае USB-накопитель был настроен в реестре, а связанный с ним драйвер был скопирован на компьютер.
Управление установкой USB-накопителей в системах до Windows Vista
Для тех, у кого еще нет Windows Vista или кто хочет проверить процесс управления установкой USB-устройств в Windows 2000 или Windows XP, я хотел добавить возможности, которые у вас есть для этих операционных систем. Этот процесс позволяет вам контролировать USB-устройства, но его не так легко развернуть или контролировать по сравнению с новым вариантом управления USB-накопителями с помощью групповой политики.
Для Windows 2000 и XP вам потребуется изменить права доступа к существующим файлам, чтобы ограничить установку USB-накопителей. Это два файла USBSTOR.PNF и USBSTOR.INF, которые находятся в папке . Чтобы запретить установку USB-устройств, вам необходимо изменить безопасность каждого файла. Чтобы изменить безопасность каждого файла, щелкните файл правой кнопкой мыши и выберите «Свойства». В окне «Свойства» выберите вкладку «Безопасность». Затем выберите имя группы, к которой принадлежат пользователи (которым вы хотите запретить установку USB-накопителей), а затем выберите разрешение «Запретить полный доступ», как показано на рисунке 1.
Фигура 1:
Настройте имя группы, чтобы запретить разрешения полного доступа для обоих файлов.
Управление установкой USB-накопителей в Windows Vista
Для компьютеров с Windows Vista вы можете использовать параметр объекта групповой политики, чтобы запретить установку USB-накопителей. Этот метод обеспечивает очень детальный метод управления отдельными USB-устройствами. Этот метод не является ситуацией «все или ничего», как многие другие варианты. С помощью этого метода вам нужно будет узнать USB ID для устройства. Идентификатор затем будет использоваться в политике для управления USB-устройством. Другое преимущество политики через групповую политику заключается в том, что вы можете либо запретить USB-устройство, либо разрешить USB-устройство. Вы можете создать свою собственную матрицу USB-устройств, что разрешено, а что запрещено.
Уловка обнаружения USB ID заключается в его установке. Здесь вам просто необходимо иметь тестовый компьютер, на который вы сможете установить устройство.
Ниже приведены шаги, которые необходимо выполнить, чтобы узнать идентификатор USB для установленного устройства.
- Откройте Диспетчер устройств из Панели управления.
- Найдите устройство в списке устройств. USB-накопители обычно находятся в разделе «Диски».
- Щелкните правой кнопкой мыши USB-устройство и выберите «Свойства», после чего откроется лист свойств устройства, как показано на рис. 2.
Фигура 2:
Выберите Свойства вашего USB-накопителя в диспетчере устройств.
- Выберите вкладку «Сведения» на странице свойств USB.
- Щелкните раскрывающийся список с надписью «Свойство».
- Выберите опцию Hardware Ids, как показано на рисунке 3.
Рисунок 3:
GUID класса устройства — это то, что вы будете использовать в качестве идентификатора оборудования для политики.
С помощью этого USB-идентификатора вы можете создать и настроить объект групповой политики. Чтобы настроить объект групповой политики для включения идентификатора USB и ограничить установку устройства, выполните следующие действия на компьютере, на котором устройство USB не установлено.
- Нажмите кнопку «Пуск», выберите «Выполнить», затем введите gpedit.msc и нажмите кнопку «ОК». (Если у вас включен контроль учетных записей, вам необходимо разрешить запуск редактора групповой политики. Дополнительные сведения о UAC см. в разделе Общие сведения о UAC в Vista.)
- Разверните Конфигурация компьютера|Административные шаблоны|Система|Установка устройства|Ограничения установки устройства, как показано на рисунке 4.
Рисунок 4:
Вы настроите политики в узле Ограничения установки устройств для управления USB-устройствами.
- Дважды щелкните Запретить установку устройств, соответствующих любому из этих идентификаторов оборудования.
- Выберите переключатель Включено.
- Нажмите кнопку «Показать», чтобы открыть диалоговое окно «Показать содержимое».
- Нажмите кнопку «Добавить» в диалоговом окне «Показать содержимое».
- Введите идентификатор USB-накопителя, используя синтаксис, показанный на рис. 5.
Рисунок 5:
Ввод политики ограничения оборудования использует идентификатор оборудования с устройства.
- Сохраните все свои настройки из политики и выйдите из редактора.
Теперь, когда вы настроили политику, вы можете протестировать установку USB-накопителя. После подключения USB-накопителя к компьютеру, на котором вы настроили объект групповой политики, вы должны получить сообщение об ошибке, похожее на то, что показано на рисунке 6. Вам нужно только щелкнуть значок в области уведомлений, чтобы увидеть это диалоговое окно.
Рисунок 6:
Если политика запрещает установку устройства, может появиться сообщение
Если вы хотите пройти лишнюю милю, вы также можете настроить отображение пользовательских сообщений. Существуют две политики (отображать пользовательское сообщение, когда установка запрещена политикой (текст всплывающей подсказки и заголовок всплывающей подсказки)) над предотвращением идентификаторов USB, которые можно увидеть на рисунке 4.
ПРИМЕЧАНИЕ:
Если устройство уже установлено, политика не запрещает его запуск. Вам нужно будет удалить драйвер устройства, чтобы эта политика работала, или вы можете использовать параметр, указанный выше для компьютеров до Vista, для отказа в установке после установки драйвера. Однако, если вы используете указанный выше вариант отказа после установки драйвера, он будет запрещать ВСЕ USB-накопители.
Управление уже установленными USB-устройствами
Для второго сценария вам нужно будет рассмотреть возможность управления уже установленными USB-устройствами. Для этого сценария у вас есть два варианта. Одним из вариантов является удаление USB-накопителя, что приведет к тому, что компьютер не будет иметь установленного USB-накопителя — поскольку это может быть сложно управлять и невозможно реализовать в крупной корпорации, вам нужно искать альтернативу.
Второй заставит вас взломать реестр. Не бойтесь реестра, вы сможете взломать его, не вызывая синего экрана! С помощью взломов реестра вы можете внести изменения вручную, с помощью сценария или даже использовать групповую политику для развертывания параметра. В этом случае я бы посоветовал вам использовать групповую политику. Вы можете использовать новую настройку реестра или настроить шаблон ADM. Я покажу вам, как будет выглядеть шаблон ADM ниже. Настроить политику предпочтений реестра на основе информации в шаблоне ADM было бы очень просто! Чтобы создать шаблон ADM, просто скопируйте приведенный ниже текст в Блокнот и сохраните файл с расширением ADM, убедившись, что вы не добавляете к файлу расширение.txt. Затем просто импортируйте шаблон ADM в объект групповой политики с помощью редактора управления групповыми политиками. Инструкции по импорту шаблона ADM в объект групповой политики можно найти по адресу http://technet.microsoft.com/en-us/magazine/cc162497.aspx, а также в наборе ресурсов групповой политики.
Резюме
Устройствами USB можно управлять на компьютерах с Windows 2000, XP и Vista. Вы можете запретить установку устройств, если они не были установлены ранее, или запретить их использование, если они были установлены. Для Windows 2000 и XP у вас есть другой метод ограничения установки USB-устройства по сравнению с Windows Vista. Windows Vista использует объект групповой политики, в то время как Windows 2000/XP требует, чтобы вы изменяли права доступа к файлам. Если устройство уже установлено, вам потребуется изменить реестр, чтобы ограничить его использование. Этот метод можно выполнить вручную, с помощью сценария или с помощью групповой политики. Теперь, когда у вас есть арсенал для управления USB-накопителями, ваша сеть должна стать немного безопаснее и надежнее.