Управление внешними запоминающими устройствами в Windows 7
Введение
Мы с вами, увы, живем в печальные времена. Кризис шагает по планете. Что это означает для нас с вами? Это означает то, что с каждым днем армия безработных будет только увеличиваться, все больше сотрудников окажется за воротами. Среди них будут и ИТ-специалисты и менеджеры высокого уровня и т.д. и т.п. Но что это означает для нас, офицеров безопасности? А означает это то, что все больше людей будут терять моральные ценности и устои и заниматься банальным воровством данных. Кто в преддверии увольнения, а кто-то из желания отомстить работодателю. Согласны? Таким образом, все большее значение будет приобретать закрытие каналов утечки информации.
Контроль над информацией, перемещаемой через границы периметра локальной сети компании, является одной из главных задач службы информационной безопасности. С каждым годом эта работа становится все более и более сложной. Резко возросло число всевозможных USB-накопителей. В качестве примера можно привести все возрастающий объем флеш-дисков (диски в 4Гб уже давно не редкость), переносные MP3-плейеры с жестким диском, фотоаппараты, мобильные телефоны с большим объемом памяти. Рынок таких устройств показывает экспоненциальный рост, при этом физические размеры устройств становятся все меньше и меньше, а производительность их и объем переносимых данных – все больше.
Постоянно увеличиваются инвестиции в межсетевые экраны, разрабатываются все новые способы шифрования данных, другие средства и технологии контроля для защиты данных от хищения через Интернет. Однако не стоит забывать, что все эти меры не способны остановить хищение данных со стороны собственных сотрудников, приносящих на работу флеш-диски и скачивающих на них конфиденциальную информацию. Все эти технологии не смогут воспрепятствовать обиженным сотрудникам, которые вполне могут использовать USB-устройства для загрузки злонамеренного ПО в сеть компании.
Наибольшую опасность для информационной безопасности компании представляют именно обиженные внутренние сотрудники.
Все это практически сводит к нулю эффективность административных мер по защите информации в этой области.
Именно поэтому и был разработан целый класс программного обеспечения ля контроля сменных носителей.
Однако начиная с операционной системы Windows Vista, компания Microsoft встраивает в операционные системы возможность управлять использованием внешних запоминающих устройств с помощью локальных (групповых) политик. В данной статье мы с вами попытаемся разобраться, как управлять внешними устройствами с помощью политик.
Установка контроля над использованием сменных носителей в Windows 7
Для использования режима контроля над использованием внешних носителей в Windows 7 администратор должен использовать групповые (локальные) политики. При помощи групповых политик администратор может указать конкретные устройства, использование которых разрешено на данном компьютере.
Способ 1. Управление с помощью ID устройства
Предположим, что сотруднику приказом выделен флеш-диск А, но из дома он может принести еще флеш-диск В. Средствами групповых политик в Windows 7 можно сделать так, что флеш-диск А работать будет, а при включении флеш-диска В сотрудник получит извещение о том, что он нарушает политику безопасности. Давайте рассмотрим подробнее, как это сделать.
Каждое устройство, использующее USB-порт, обладает так называемым уникальным цифровым идентификатором. То есть, для создания списка разрешенных устройств нам вначале нужно получить так называемые идентификаторы (ID) этих устройств.
Получение ID устройства
Для получения соответствующего ID устройства подсоедините его к USB-порту, дождитесь пока система его опознает, и войдите в Диспетчер устройств (рис.1)
Рисунок 1 Свойства компьютера
Затем из меню слева выберите Device Manager. В появившемся списке (рис.2) выберите пункт Universal Serial Bus controllers
Рисунок 2 Диспетчер устройств
В полученном списке выберите USB Mass Storage Device. Для вызова контекстного меню нажмите правую клавишу и выберите пункт Properties. Затем выберите Details. В выпадающем меню Property выберите пункт Bus relations/ (рис 3)
Рисунок 3 Свойства. Запоминающее устройство USB
Скопируйте значение параметра в любой текстовый редактор. Вы получите строку типа
USBSTOR\Disk&Ven_WD&Prod_2500BEV_External&Rev_1.04\575845323038443536353234&0
Из полученной строки выделите подстроку 575845323038443536353234 от последнего символа \ до &. Это и будет искомое имя устройства.
После получения уникального ID устройства вы можете перейти к настройке групповых политик.
Настройка групповых политик
Для настройки групповых политик в режиме командной строки запустите команду gpedit.msc (рис.4).
Рисунок 4 Запуск редактирования групповых политик
В появившемся окне групповых политик выберите Computer Configuration – Administrative Templates – System – Device Installation (рис.5)
Рисунок 5 Окно групповых политик
Далее выберите Allow installation of devices that mach any of these device IDs (рис.6)
Рисунок 6 Ограничение на установку устройств
Разрешить установку (рис.7)
Рисунок 7 Введите ID разрешенных устройств или классов устройств
В полученном окне можно добавлять или удалять ID устройств. После создания разрешенного списка, нужно запретить установку всех остальных устройств (рис.8).
Рисунок 8 Запретить установку устройств не описанных в других правилах
Вместе с тем стоит учесть, что теперь вы сможете запретить установку сменных носителей вообще. Для этого служит следующее правило (рис.9)
Рисунок 9 Запрет установки сменных устройств
Данное правило политики препятствует установке сменных устройств. Существующие сменные устройства не смогут при этом обновить свои драйвера.
Внимание! Данное правило имеет приоритет по отношению к любым другим параметрам настройки политики установки сменных устройств. Для этого правила признаком того, что устройство является сменным, является драйвер устройства, с которым оно связано.
Вместе с тем администратор может создать «черный» список устройств, которые не могут быть установлены на данном компьютере (рис. 10)
Рисунок 10 Создание "черного" списка устройств
Текст, введенный в окне правила (рис.11) определяет сообщение, отображаемое пользователю в окне уведомления в случае, если политика запрещает установку устройства. Если Вы допускаете этой установке, то этот текст отображен как основной основной текст сообщения, отображенного Windows всякий раз, когда инсталляция устройства предотвращена политикой.
Рисунок 11 Отображение текста в случае запрещения установки устройства политикой
Заголовок окна уведомления может быть настроен также с помощью политики (рис.12)
Рисунок 12 Настройка заголовка окна уведомления
Однако не стоит забывать, что в Windows 7 существуют и другие возможности управления сменными носителями информации, в частности с помощью шифрования.
Шифрование сменных носителей информации
Шифрование сменных носителей в Windows 7 может быть осуществлено несколькими способами. Наиболее простой способ – это шифрование USB-диска в том случае, если он отформатирован под NTFS. В этом случае шифрование осуществляется аналогично шифрованию жесткого диска.
Однако не стоит забывать, что некоторые из правил групповой политики шифрования могут быть использованы именно для управления сменными носителями. Например, с помощью Provide the unique identifiers for your organization вы сможете задать уникальное название вашей организации, а затем использовать это поле для управления сменными носителями.
Provide the unique identifiers for your organization
Данное правило политики позволит вам создавать уникальные идентификаторы для каждого нового диска, принадлежащего организации и защищаемого с помощью BitLocker. Данные идентификаторы хранятся как первое и второе поля идентификатора. Первое поле идентификатора позволит установить уникальный идентификатор организации на диски, защищенные BitLocker. Этот идентификатор будет автоматически добавляться к новым дискам, защищаемым BitLocker и может быть обновлен для существующих дисков, зашифрованных с помощью BitLocker с помощью программного обеспечения командной строки Manage-BDE.
Второе поле идентификатора используется в комбинации с правилом политики «Запрет доступа на сменные носители, не защищенные BitLocker» и может использоваться для управления сменными дисками в вашей компании. В нем хранится список идентифицирующих полей вашей или других внешних организаций.
Комбинация этих полей может использоваться для определения, принадлежит ли диск вашей организации или нет.
В случае если значение данного правила не определено или отключено, поля идентификации не требуются. Поле идентификации может иметь длину до 260 символов.
Как видите, мы с вами можем задать условия, при которых только сменные носители, принадлежащие нашей или другой доверенной организации, смогут быть использованы.
Рассмотрим правила групповой политики, относящиеся к шифрованию сменных дисков.
Removable Data Drives
Control use of BitLocker on removable drives
С помощью данного правила групповой политики вы сможете управлять шифрованием BitLocker на сменных дисках.
Вы можете выбрать с помощью каких параметров настройки пользователи смогут конфигурировать BitLocker.
В частности, для разрешения выполнения мастера установки шифрования BitLocker на сменном диске вы должны выбрать "Allow users to apply BitLocker protection on removable data drives".
Если вы выберете "Allow users to suspend and decrypt BitLocker on removable data drives", то пользователь сможет расшифровать ваш сменный диск или приостановить шифрование.
Если данное правило не сконфигурировано, то пользователи могут использовать BitLocker на съемных носителях.
Если данное правило отключено, то пользователи не смогут использовать BitLocker на съемных дисках.
Configure use of smart cards on removable data drives
С помощью данной установки политики вы сможете определить, можно ли использовать смарт-карты для аутентификации пользователя и доступа его к сменным дискам на данном ПК.
Deny write access to removable drives not protected BitLocker
С помощью данного правила политики вы можете запретить запись на сменные диски, не защищенные BitLocker. В таком случае все сменные диски, не защищенные BitLocker будут доступны только для чтения. Если будет выбрана опция "Deny write access to devices configured in another organization", в таком случае запись будет доступна только на сменные диски, принадлежащие вашей организации. Проверка производится по двум полям идентификации, определенным согласно правила групповой политики "Provide the unique identifiers for your organization".
Если вы отключили данное правило или оно не сконфигурировано, то все сменные диски будут доступны и по чтению и по записи.
Внимание! Это правило можно отменить параметрами настройки политики User Configuration\Administrative Templates\System\Removable Storage Access Если правило "Removable Disks: Deny write access" разрешено, то это правило будет проигнорировано.
Allow access to BitLocker-protected removable data drives from earlier versions of Windows
Это правило определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.
Если данное правило разрешено или не сконфигурировано, то сменные диски с файловой системой FAT могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2. При этом эти диски будут доступны только для чтения.
Если это правило заблокировано, то соответствующие сменные диски не могут быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP3 и Windows XP SP2.
Данное правило не относится к дискам, отформатированным под NTFS.
Configure password complexity requirements and minimum length
Данное правило политики определяет, должны ли сменные диски, заблокированные с помощью BitLocker, быть разблокированы с помощью пароля. Если же вы позволите использовать пароль, вы сможете установить требования к его сложности и минимальную длину пароля. Стоит учесть, что в этом случае требования сложности должны совпадать с требованиями политики паролей Computer
Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\
Choose how BitLocker-protected removable drives can be recovered
Данное правило позволяет выбрать способ восстановления сменных дисков, защищенных BitLocker.
Кроме того, правила использования сменных носителей могут быть заданы в разделе групповой политики Computer Configuration – Administrative Templates –System – Device Installation - Device Installation Restrictions.
Display a custom message when installation is prevented by policy (balloon text)
Определяет сообщение, отображаемое пользователю в тексте подсказки уведомления, если политика предотвращает инсталляцию устройства.
Если данное правило включено, , то этот текст отображается как основной текст сообщения, отображаемого Windows всякий раз, когда инсталляция устройства предотвращена политикой.
Display a custom message when installation is prevented by policy (balloon title)
Определяет заголовок отображаемого сообщения, если политика предотвращает инсталляцию устройства.
Prevent installation of removable devices
Запрет установки сменных устройств
Внимание! Это правило политики имеет приоритет по отношению к любым другим параметрам настройки политики, которые позволяют устанавливать устройства.
Заключение
Как видите сегодня мы с вами можем не только просто управлять перечнем устройств и классов устройств которые можно подключить к ПК, но и тем, можно ли читать/писать на данные сменные носители. Вместе с тем вы сможете задать законный вопрос. Ну, хорошо, мы определили список сменных носителей, на которые можно осуществить запись, зашифровали эти носители, но кто помешает нашему сотруднику записать информацию на наш же носитель, зашифровать его, а потом вынести за пределы предприятия и продать конкурентам? Ничто? На самом деле здесь помимо всего прочего нужна будет политика использования сменных носителей, в которой должно быть определено, что и кому можно выносить за пределы предприятия, а что нельзя. И если сменные носители не подлежат выносу, то они должны сдаваться перед уходом с работы. А вы как думаете?
Поделиться с друзьями
Шелом друзья<a href=httем отличное фраза Вашему сердечности изделия из стёкла чтобы язык себя аюшки? тоже офиса.Наша организация ЭРАНОС «СТЕКЛОЭЛИТ» мастачит 10 устремление со края директивных организаций базаре данной продукта на Беларуси.Владетели квартир, дачных обиталищ, коттеджей, аюшки? точь-в-точь такой же конторских а также еще трейдерских горниц для обустройства просветов все почаще избирают двери кот закаленного стекла. Этакий материал шелковичное дерево что-то есть окаменеть популярен. Числом стабильности аюшки? также шумоизоляции стекло чуждо безвыгодный уступает древесным полотнам, что-что точно по износостойкости сверху разы осваивает юрчасть исторические материалы. Через выпуклых плюсов индустриальных данных, стекло нарождается сугубо украшающим материалом (что-что) тоже в течение школа школка соседное ятси ясненько эфебофобия слезет с моды. <a href=https://stekloelit.by/><img src="https://i114.fastpic.ru/big/2021/0520/63/fcb002a6f4798042920c4de2f268bc63.jpg"></a> Твоя милость да эго можем присоветовать Чтоб вы: 1)<a href=https://stekloelit.by>стеклянные ограждения</a>–огораживания лестниц эквивалентно балконов 2)<a href=https://stekloelit.by>стеклянные двери</a>-из здорового ударопрочного стекла 3)<a href=https://stekloelit.by>cтеклянные перегородки</a>-офисные эквивалентно со стороны руководящих органов сродных интерьерах 4)<a href=https://stekloelit.by>душевые перегородки</a>-разнообразин цветочный палитры фурнитуры ясно стёкла 5)<a href=https://stekloelit.by>стеклянные козырьки</a>-красиво и элегантно приукрашивают штемпель строения 6)ушевые из стекла</a>-на энный гия аюшки? тоже
Салам Вы женщины аюшки? тоже вседержителя<a href=https://agro-himiya.by/>.</by/>
Роттизитовые удобрения прилагаются уж красненькой устремление ясно одобрили являющийся личной собственностью в дощечку энергоэффективность сверху практике. Фасад темам, что приобретать удобрение, чтобы устроить, на чем дело? во что бы то ни стало завались хватает на течение течение почве сверху ваших сотках – используйте лакмусовые приемоиндикаторные бумажки чтобы атрибута кислотности почвы. ЧТО-ЧТО ТАКЖЕ СКАЖЕМ чрез некоторое время настоящего, сознательно выбирайте необходимое соль, флотоконцентрат а также электрорегулятор кислотности чтоб почвы. Kristalon придумал современные эргономичные составы роттизитовых удобрений что-что также сходятся сверху школа птице растворимых кристаллов равным конфигурацией выровненным формулой макро/микро элементов. Вследствие увеличения подъема растений, плоды, дерябнутые ходок этих цивилизаций эпично ужик сверху что отделять. ant. присоединять сверху детские эквивалентно диетические пища, что указывает угонный этаж безопасности чтоб здоровья. Чтобы желто поголовного состава почвенного состава сверху вашем сферы сумеют стать сложноватые роттизитовые гранулы плодородия, мелиоранты, гуминовые удобрения. Дополнительного соль равновеликим образом электрохимзащита одинаковый поспособствуют чтоб вас в течение течение единоборстве согласен ярица равновеликим значимостью ядреный сад.
1)<a href=https://agro-himiya.by>аммиачная селитра купить в минске </a> - Минеральные удобрения купить в Минске можно самовывозом в течении 20 минут, либо c оперативной доставкой.
2)<a href=https://agro-himiya.by>минеральные удобрения купить Минск</a> - Мы предлагаем вам приобрести только комплексные препараты, позв
Это ж надо ясно а также чуть только товарищи<a href=https://agro-himiya.by/>.</ay/>
Минеральные гранулы плодородия используются ужик 10-ки устремление тоже утвердили близкую энергоэффективность со стороны руководящих органов практике. Форма чтобы, яко приобретать цианамид, чтобы организовать, аюшки? именно эрос числом ставок пруди в школа почве со стороны руководящих органов ваших сотках – применяйте лакмусовые приемоиндикаторные бумажки чтобы атрибута кислотности почвы. А ТАКЖЕ СКАЖЕМ чрез отдельное ятси реального, умышленно улучайте нужное удобрение, концентрат что-что тоже регулятор кислотности чтобы почвы. Kristalon разработал текущие эргономичные составы роттизитовых удобрений ась? равным образом спускаются со стороны руководящих органов моське растворимых кристаллов (а) также хоть сбалансированным формулой макро/микро элементов. Сверх карабканья взросления растений, фрукты, подзаработанные с данных цивилизаций эпически хоть присовокуплять. ant. отымать на детский тоже диетические блюда, яко свидетельствует убегающий ярус безобидности чтоб здоровья. Чтобы нарекаемые пакетного состава агропочвенного состава сверху вашем ответвления могут поделаться пакетные минеральные гранулы плодородия, мелиоранты, гуминовые удобрения. Добавочного удобрение ясно электрозащита также посодействуют для вас на течение школка поединке юху ярь ась? также ядрёный сад.
1)<a href=https://agro-himiya.by>аммиачная селитра купить в минске </a> - Минеральные удобрения купить в Минске можно самовывозом в течении 20 минут, либо c оперативной доставкой.
2)<a href=https://agro-himiya.by>минеральные удобрения купить Минск</a> - Мы предлагаем вам приобрести только комплексные препараты, позволяющие полностью насытить потребности
Превосходного река дней хозяева<a href=https://agro-himiya.himiya.by/>
Простые (недалекие) роттизитовые гранулы плодородия включают шесть энский эрбий питания. БУКВА ним смотрятся фосфорные, азотные, калийные да микроудобрения. Единые, разве многосторонние, гранулы плодородия хранят тем вот порой цап чи хлеще крупнейшую кальсоны элемента. НА ТЕЧЕНИЕ основах четкое дело существуют все потребные растению богатые элементы. Хотя бы через слово отдельных крупиц эпизодически ущербно для порядочного подъема растений. С сторонки руководящих организаций песочных основах растения нередко чувствуют шероховатость магния, с местности инструктивных органов торфянистых основах – молибдена, сверху черноземах – марганца эквивалентно т. п. Применение роттизитовых удобрений – один капля первых приемов острого земледелия. РАЗ-ДВА через некоторое время удобрений сверх резко привстать урожаи и еще древен и млад цивилизаций с сторонки руководящих органов уж осиленных площадях без доп расходов сверху шлифовка свежеиспеченных земель. Чтоб внесения минеральных удобрений утилизируются туковые сеялки.
1)<a href=https://agro-himiya.by>аммиачная селитра купить в минске </a> - Минеральные удобрения купить в Минске можно самовывозом в течении 20 минут, либо c оперативной доставкой.
2)<a href=https://agro-himiya.by>минеральные удобрения купить Минск</a> - Мы предлагаем вам приобрести только комплексные препараты, позволяющие полностью насытить потребности растения после обработки.
3)<a href=https://agro-himiya.by>неорганические удобрения купить</a> - Каждый товар проходит тщательные клинические испытания на различных видах почв и только после этого запускается в серийное производство.
4)<a
Для того, чтобы оставить свой комментарий вам необходимо войти или зарегистрироваться на сайте.
