Управление внешними запоминающими устройствами в Windows 7

Введение

Мы с вами, увы, живем в печальные времена. Кризис шагает по планете. Что это означает для нас с вами? Это означает то, что с каждым днем армия безработных будет только увеличиваться, все больше сотрудников окажется за воротами. Среди них будут и ИТ-специалисты и менеджеры высокого уровня и т.д. и т.п. Но что это означает для нас, офицеров безопасности? А означает это то, что все больше людей будут терять моральные ценности и устои и заниматься банальным воровством данных. Кто в преддверии увольнения, а кто-то из желания отомстить работодателю. Согласны? Таким образом, все большее значение будет приобретать закрытие каналов утечки информации.

Контроль над информацией, перемещаемой через границы периметра локальной сети компании, является одной из главных задач службы информационной безопасности. С каждым годом эта работа становится все более и более сложной. Резко возросло число всевозможных USB-накопителей. В качестве примера можно привести все возрастающий объем флеш-дисков (диски в 4Гб уже давно не редкость), переносные MP3-плейеры с жестким диском, фотоаппараты, мобильные телефоны с большим объемом памяти. Рынок таких устройств показывает экспоненциальный рост, при этом физические размеры устройств становятся все меньше и меньше, а производительность их и объем переносимых данных – все больше.

Постоянно увеличиваются инвестиции в межсетевые экраны, разрабатываются все новые способы шифрования данных, другие средства и технологии контроля для защиты данных от хищения через Интернет. Однако не стоит забывать, что все эти меры не способны остановить хищение данных со стороны собственных сотрудников, приносящих на работу флеш-диски и скачивающих на них конфиденциальную информацию. Все эти технологии не смогут воспрепятствовать обиженным сотрудникам, которые вполне могут использовать USB-устройства для загрузки злонамеренного ПО в сеть компании.

Наибольшую опасность для информационной безопасности компании представляют именно обиженные внутренние сотрудники.

Все это практически сводит к нулю эффективность административных мер по защите информации в этой области.

Именно поэтому и был разработан целый класс программного обеспечения ля контроля сменных носителей.

Однако начиная с операционной системы Windows Vista, компания Microsoft встраивает в операционные системы возможность управлять использованием внешних запоминающих устройств с помощью локальных (групповых) политик. В данной статье мы с вами попытаемся разобраться, как управлять внешними устройствами с помощью политик.

Установка контроля над использованием сменных носителей в Windows 7

Для использования режима контроля над использованием внешних носителей в Windows 7 администратор должен использовать групповые (локальные) политики. При помощи групповых политик администратор может указать конкретные устройства, использование которых разрешено на данном компьютере.

Способ 1. Управление с помощью ID устройства

Предположим, что сотруднику приказом выделен флеш-диск А, но из дома он может принести еще флеш-диск В. Средствами групповых политик в Windows 7 можно сделать так, что флеш-диск А работать будет, а при включении флеш-диска В сотрудник получит извещение о том, что он нарушает политику безопасности. Давайте рассмотрим подробнее, как это сделать.

Каждое устройство, использующее USB-порт, обладает так называемым уникальным цифровым идентификатором. То есть, для создания списка разрешенных устройств нам вначале нужно получить так называемые идентификаторы (ID) этих устройств.

Получение ID устройства

Для получения соответствующего ID устройства подсоедините его к USB-порту, дождитесь пока система его опознает, и войдите в Диспетчер устройств (рис.1)

Рисунок 1 Свойства компьютера

Затем из меню слева выберите Device Manager. В появившемся списке (рис.2) выберите пункт Universal Serial Bus controllers

Рисунок 2 Диспетчер устройств

В полученном списке выберите USB Mass Storage Device. Для вызова контекстного меню нажмите правую клавишу и выберите пункт Properties. Затем выберите Details. В выпадающем меню Property выберите пункт Bus relations/ (рис 3)

Рисунок 3 Свойства. Запоминающее устройство USB

Скопируйте значение параметра в любой текстовый редактор. Вы получите строку типа

USBSTOR\Disk&Ven_WD&Prod_2500BEV_External&Rev_1.04\575845323038443536353234&0

Из полученной строки выделите подстроку 575845323038443536353234 от последнего символа \ до &. Это и будет искомое имя устройства.

После получения уникального ID устройства вы можете перейти к настройке групповых политик.

Настройка групповых политик

Для настройки групповых политик в режиме командной строки запустите команду gpedit.msc (рис.4).

Рисунок 4 Запуск редактирования групповых политик

В появившемся окне групповых политик выберите Computer Configuration – Administrative Templates – System – Device Installation (рис.5)

Рисунок 5 Окно групповых политик

Далее выберите Allow installation of devices that mach any of these device IDs (рис.6)

Рисунок 6 Ограничение на установку устройств

Разрешить установку (рис.7)

Рисунок 7 Введите ID разрешенных устройств или классов устройств

В полученном окне можно добавлять или удалять ID устройств. После создания разрешенного списка, нужно запретить установку всех остальных устройств (рис.8).

Рисунок 8 Запретить установку устройств не описанных в других правилах

Вместе с тем стоит учесть, что теперь вы сможете запретить установку сменных носителей вообще. Для этого служит следующее правило (рис.9)

Рисунок 9 Запрет установки сменных устройств

Данное правило политики препятствует установке сменных устройств. Существующие сменные устройства не смогут при этом обновить свои драйвера.

Внимание! Данное правило имеет приоритет по отношению к любым другим параметрам настройки политики установки сменных устройств. Для этого правила признаком того, что устройство является сменным, является драйвер устройства, с которым оно связано.

Вместе с тем администратор может создать «черный» список устройств, которые не могут быть установлены на данном компьютере (рис. 10)

Рисунок 10 Создание "черного" списка устройств

Текст, введенный в окне правила (рис.11) определяет сообщение, отображаемое пользователю в окне уведомления в случае, если политика запрещает установку устройства. Если Вы допускаете этой установке, то этот текст отображен как основной основной текст сообщения, отображенного Windows всякий раз, когда инсталляция устройства предотвращена политикой.

Рисунок 11 Отображение текста в случае запрещения установки устройства политикой

Заголовок окна уведомления может быть настроен также с помощью политики (рис.12)

Рисунок 12 Настройка заголовка окна уведомления

Однако не стоит забывать, что в Windows 7 существуют и другие возможности управления сменными носителями информации, в частности с помощью шифрования.

Шифрование сменных носителей информации

Шифрование сменных носителей в Windows 7 может быть осуществлено несколькими способами. Наиболее простой способ – это шифрование USB-диска в том случае, если он отформатирован под NTFS. В этом случае шифрование осуществляется аналогично шифрованию жесткого диска.

Однако не стоит забывать, что некоторые из правил групповой политики шифрования могут быть использованы именно для управления сменными носителями. Например, с помощью Provide the unique identifiers for your organization вы сможете задать уникальное название вашей организации, а затем использовать это поле для управления сменными носителями.

Provide the unique identifiers for your organization

Данное правило политики позволит вам создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker и может быть обновлен для существующих дисков, зашифрованных с помощью BitLocker с помощью программного обеспечения командной строки Manage-BDE.

Второе поле идентификатора используется в комбинации с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками в вашей компании. В нем хранится список идентифицирующих полей вашей или других внешних организаций.

Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации или нет.

В случае если значение данного правила не определено или отключено, поля идентификации не требуются. Поле идентификации может иметь длину до 260 символов.

Как видите, мы с вами можем задать условия, при которых только сменные носители, принадлежащие нашей или другой доверенной организации, смогут быть использованы.

Рассмотрим правила групповой политики, относящиеся к шифрованию сменных дисков.

Removable Data Drives

Control use of BitLocker on removable drives

С помощью данного правила групповой политики вы сможете управлять шифрованием BitLocker на сменных дисках.

Вы можете выбрать с помощью каких параметров настройки пользователи смогут конфигурировать BitLocker.

В частности, для разрешения выполнения мастера установки шифрования BitLocker на сменном диске вы должны выбрать "Allow users to apply BitLocker protection on removable data drives".

Если вы выберете "Allow users to suspend and decrypt BitLocker on removable data drives", то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.

Если данное правило не сконфигурировано, то пользователи могут использовать BitLocker на съемных носителях.

Если данное правило отключено, то пользователи не смогут использовать BitLocker на съемных дисках.

Configure use of smart cards on removable data drives

С помощью данной установки политики вы сможете определить, можно ли использовать смарт-карты для аутентификации пользователя и доступа его к сменным дискам на данном ПК.

Deny write access to removable drives not protected BitLocker

С помощью данного правила политики вы можете запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker будут доступны только для чтения. Если будет выбрана опция "Deny write access to devices configured in another organization", в таком случае запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным согласно правила групповой политики "Provide the unique identifiers for your organization".

Если вы отключили данное правило или оно не сконфигурировано, то все сменные диски будут доступны и по чтению и по записи.

Внимание! Это правило можно отменить параметрами настройки политики User Configuration\Administrative Templates\System\Removable Storage Access Если правило "Removable Disks: Deny write access" разрешено, то это правило будет проигнорировано.

Allow access to BitLocker-protected removable data drives from earlier versions of Windows

Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Если данное правило разрешено или не сконфигурировано, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.

Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.

Данное правило не относится к дискам, отформатированным под NTFS.

Configure password complexity requirements and minimum length

Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите использовать пароль, вы сможете установить требования к его сложности и минимальную длину пароля. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer

Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Choose how BitLocker-protected removable drives can be recovered

Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.

Кроме того, правила использования сменных носителей могут быть заданы в разделе групповой политики Computer Configuration – Administrative Templates –System – Device Installation - Device Installation Restrictions.

Display a custom message when installation is prevented by policy (balloon text)

Определяет сообщение, отображаемое пользователю в тексте подсказки уведомления, если политика предотвращает инсталляцию устройства.

Если данное правило включено, , то этот текст отображается как основной текст сообщения, отображаемого Windows всякий раз, когда инсталляция устройства предотвращена политикой.

Display a custom message when installation is prevented by policy (balloon title)

Определяет заголовок отображаемого сообщения, если политика предотвращает инсталляцию устройства.

Prevent installation of removable devices

Запрет установки сменных устройств

Внимание! Это правило политики имеет приоритет по отношению к любым другим параметрам настройки политики, которые позволяют устанавливать устройства.

Заключение

Как видите сегодня мы с вами можем не только просто управлять перечнем устройств и классов устройств которые можно подключить к ПК, но и тем, можно ли читать/писать на данные сменные носители. Вместе с тем вы сможете задать законный вопрос. Ну, хорошо, мы определили список сменных носителей, на которые можно осуществить запись, зашифровали эти носители, но кто помешает нашему сотруднику записать информацию на наш же носитель, зашифровать его, а потом вынести за пределы предприятия и продать конкурентам? Ничто? На самом деле здесь помимо всего прочего нужна будет политика использования сменных носителей, в которой должно быть определено, что и кому можно выносить за пределы предприятия, а что нельзя. И если сменные носители не подлежат выносу, то они должны сдаваться перед уходом с работы. А вы как думаете?

Источник: sec4all.net

Безмалый В.Ф.
MVP Consumer Security