Контроль использования внешних устройств штатными средствами Windows

По статистике в утечке информации чаще всего виноваты не пресловутые хакеры, а штатные сотрудники компании которые по той или иной причине решили унести с собой данные на флешке, телефоне и т.п. Чтобы решить эту проблему предложено наверное с десяток утилит разных производителей. Штатные средства безопасности Windows позволяют решить большинство задач по повышению защищенности систем не прибегая к сторонним решеням. Основную роль здесь играют групповые политики, которые с выходом Windows 7 и Windows Server 2008R2 пополнились рядом интересных возможностей.

Управление групповыми политиками

В Windows для управления конфигурациями компьютеров и правами пользователей применяются наборы правил, объединяемые в объекты групповых политик (Group Policy Object, GPO), которые являются частью ОС и охватывают всевозможные настройки — учетные записи, параметры ОС и безопасности, аудит, конфигурацию устройств и многое другое. Правильной настройке групповых политик новички обычно не уделяют должного внимания, считая их маловажными, запутанными и неинтересными. Между тем установки GP по умолчанию не всегда оптимальны и не гарантируют должный уровень безопасности, поэтому ознакомиться с некоторыми из политик следует в обязательном порядке.
Политики делят на локальные и доменные, применить их можно для всего домена или подразделения, индивидуального компьютера или учетной записи. После настройки GPO подхватываются всеми системами автоматически, достаточно пользователю или ПК подключиться к домену. На клиентской стороне интерпретацией GPO занимаются расширения Client Side Extension (CSE), они специфичны для каждой версии ОС Windows и также требуют периодического обновления. Возможности GP растут от версии к версии, так в ОС Windows 7 и Windows Server 2008R2 доступно более 3000 политик. Полный список можно найти в документах по адресу — clck.ru/0xSTA.
Локальные политики настраиваются при помощи оснастки gpedit.msc, централизованное управление GPO в домене производится при помощи консоли «Управление групповой политикой» (Group Policy Management Editor, GMPC.msc). Часть параметров в этих консолях совпадает, но для домена доступны и специфические настройки, поэтому далее будем вести речь о возможностях GMPC.
Оснастка GMPC автоматически устанавливается на сервере вместе с ролью Доменные службы Active Directory (Active Directory Domain Services). Если компьютер не является контроллером домена, GMPC можно установить из Диспетчера сервера, добавив соответствующий компонент. Или при помощи PowerShell:

PS> Import-Module ServerManager
PS> Add-WindowsFeature GPMC

Чтобы управлять настройками групповых политик из Windows 7, потребуется установить RSAT (Remote Server Administration Tools). Еще один полезный и бесплатный инструмент, о котором нужно знать при работе с GPO — Advanced Group Policy Management (AGPM, расширенное управление политиками групп), позволяющий редактировать GPO в автономном режиме, поддерживается контроль версий, бэкап настроек и делегирование прав на настройки (админ затем просто подтверждает новые GPO).
Получить информацию о текущих установках GPO можно запустив в консоли GMPC «Мастер результатов групповой политики», для локальной системы — Gpresult.exe.
Кроме этого, после установки роли AD DS (или консоли GPMC) станет доступным ряд командлетов PowerShell, позволяющих автоматизировать все этапы работы с групповыми политиками — создание, изменение, удаление, копирование, резервирование и восстановление GPO. Чтобы получить полный список нужных командлетов, набираем:

PS> Import-Module grouppolicy
PS> Get-Command –module grouppolicy

Теперь просмотрим список всех политик, применяемых на домене, их статус и выведем отчет по политикам:

PS> Get-GPO -All
PS> Get-GPOReport -All -ReportType Html -Path C:\allgpo.html

В домене после его создания уже существуют две политики («Политика домена по умолчанию» и «Политика по умолчанию для контроллеров домена«), для дальнейших настроек создадим новую политику, в которой и будем производить все настройки. Вызываем GPMC, выбираем домен, переходим в подпункт «Объекты групповой политики» и в контекстном меню выбираем пункт Создать. По запросу задаем имя и описание, новая политика появится в списке. Для редактирования в контекстном меню выбираем пункт Изменить, после чего запустится консоль «Редактор управления групповыми политиками«.
Теперь рассмотрим некоторые политики, которые помогут повысить общий уровень безопасности в организации.

Блокируем внешние устройства

Сегодня одной из проблем безопасности является неконтролируемое использование внешних устройств сотрудниками организации, что повышает риски утечки конфиденциальной информации или заражения вирусом. Проблема насколько серьезна, что некоторые администраторы подходят к ней радикально, отключая все внешние порты в BIOS или настройках ОС. В ряде случаев применяют специализированное ПО. Но с выходом Win2k8/7 эта проблема решается штатными средствами ОС. Теперь при помощи групповых политик администратор может запретить использование всех или некоторых внешних устройств, задать список разрешенных, установить обязательное шифрование данных и отключить автозапуск.
Все ограничения на использование устройств задаются в разделе «Конфигурация компьютера — Политики — Административные шаблоны — Система — Установка устройства«. Здесь находим ряд интересных параметров, но нас сейчас интересует единственный подраздел «Ограничения на установку устройств«, содержащий 10 политик, позволяющих реализовать практически любой сценарий. Например, активация «Запретить установку съемных устройств» (Prevent installation of removable devices) не позволит пользователям подключать любые девайсы, драйвер которого описывает его как съемное. Конечно, это самый крайний случай, ведь некоторым пользователям возможность подключения флешек или смартфонов необходима по работе (скажем, для синхронизации календаря или документов), поэтому жесткое ограничение не приемлемо. Ситуацию может исправить несколько установок.
Например, чтобы администраторы могли устанавливать устройства, несмотря на ограничения политик, активируем пункт «Разрешить администраторам заменять политики ограничения установки устройств» (Allow administrators to override Device Installation Restriction policies). Теперь шеф, имеющий права локального администратора на своем ноутбуке, сам решает, что ему подключать, а что нет.
Но можно позволить и самим пользователям самостоятельно устанавливать устройства определенного типа. В этом случае лучшим вариантом будет разрешить то, что можно, остальное запретить. Поэтому активируем политику «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» (Allow installation of devices that match any of these device IDs) или «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств» (Allow installation of devices using drivers that match these device setup classes). Их отличие состоит в том, что в первом случае задается ИД оборудования, во втором — используется идентификатор GUID. Соответствующие значения можно подсмотреть в «Диспетчере устройств», во вкладке Сведения, выбрав в раскрывающемся списке нужный параметр (ИД Оборудования, GUID класса устройств).
Вместе с указанными политиками обязательно следует активировать «Запретить установку устройств, не описанных другими параметрами политики» (Prevent installation of devices not described by other policy settings). Кроме этого, есть и аналогичные запрещающие политики, которые отслеживают устройства по ИД и GUID и позволяют создать свой «черный список».
Тут нужно помнить, что производители описывают ИД своего устройства весьма произвольно, в итоге одно устройство может относиться к нескольким классам (это легко определить, посмотрев свойства), поэтому, используя ИД, нужно быть аккуратным, так как запрет можно обойти или заблокировать другие «родственные» девайсы. При создании политик нужно использовать не только данные в списке «ИД Оборудования«, но и «Совместимые ИД«. При большом количестве флешек и устройств от разных производителей придется потрудиться. С GUID в этом отношении проще, они более универсальны. Хотя это дело можно поручить скриптам на PowerShell.
Определить USB-флешки при помощи PowerShell можно несколькими способами: опросив WMI-классы Win32_DiskDrive, Win32_Volume, Win32_LogicalDisk или Win32_PNPEntity. Следующая команда PowerShell покажет список всех устройств и их характеристики:

PS> Get-WmiObject Win32_PNPEntity

Теперь при подключении постороннего устройства оно будет заблокировано, а пользователь получит системное предупреждение (кстати, его можно настроить, отредактировав политики «Отображать специальное сообщение, когда установка запрещена параметром политики» и «Отображать заголовок специального сообщения, когда установка устройства запрещена параметром политики«).
Чтобы предотвратить выполнение autorun-вирусов, следует отключить автозапуск внешних устройств. Для этого переходим в раздел «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Политики автозапуска«, выбираем и включаем политику «Отключить автозапуск«. По умолчанию под запрет попадают все устройства, но в раскрывающемся списке можно изменить значение на компакт-диски и устройства со съемным носителем. Политика «Вариант работы автозапуска по умолчанию» позволяет контролировать выполнение команд автозапуска, прописанных в autorun.inf. Кроме этого, доступна политика, позволяющая отключить автозапуск для устройств, не являющихся томами (например, использующих протокол передачи мультимедиа MTP).

Контролируем операции с внешними устройствами

Простая блокировка или разрешение использования внешних устройств не является гибким подходом. Например, в организации часто проводятся различного рода семинары, на которых гости приходят со своими устройствами, не заставишь же их перед началом ивента регистрировать у админа свои флешки. Но в этом и нет необходимости, групповые политики позволяют ограничить операции, которые могут производить пользователи, подключив внешнее устройство. Например, разрешив только чтение, мы не позволим унести данные с компьютера, а запрет на выполнение позволит защититься от вирусов. Соответствующие политики настраиваются в «Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам«. Здесь находим 19 настроек. Если присмотреться, то часть из них похожи и отличаются только устройствами, на которые они распространяются: компакт/DVD-диски, съемные диски, ленточные и накопители на гибких дисках, WPD-устройства (Windows Portable Device, мобильные телефоны, устройства под управлением WinCE и т.п.) Для каждого типа можно установить запрет на выполнение, чтение и запись. Отдельные политики позволяют контролировать прямой доступ к съемным ЗУ при удаленных сеансах (по умолчанию запрещен) и доступ к нестандартным устройствам (чтобы их прописать, необходимо указать GUID).

Шифрование данных на внешних устройствах

В Win7/2k8R2 появилась технология BitLocker To Go, которая является дальнейшим развитием BitLocker и позволяет шифровать данные на любых сменных девайсах (внешних приводах, SD-картах и USB-накопителях). Доступ к зашифрованным носителям возможен по паролю или смарт-карте с любого компьютера. Хотя при необходимости список ПК, с которых разрешено чтение информации, также можно ограничить, что не позволит вынести информацию за пределы контролируемой зоны. Также можно настроить принудительное использование BitLocker To Go в случае копирования любой информации на сменный носитель.
Все настройки производятся в разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Шифрование диска BitLocker — Съемные диски с данными«. Активация политики «Управление использованием BitLocker для съемных дисков» разрешает шифрование для съемных дисков. Чтобы пользователи не могли самостоятельно отключать BitLocker To Go, следует обязательно снять флажок «Разрешить пользователям временно приостанавливать защиту BitLocker и расшифровывать диски с данными«. Еще одна полезная политика — «Запретить запись на съемные диски, не защищенные BitLocker«, при ее активации все носители, не защищенные BitLocker, подключаются в режиме только для чтения. Причем эта политика имеет дополнительный параметр, позволяющий запретить запись на носители, настроенные в другой организации. Если он активирован, то необходимо задать специфические идентификаторы в политике «Укажите уникальные идентификаторы для организации» (находится на уровень выше по дереву). На уже существующих дисках идентификатор можно задавать при помощи manage-BDE.exe.
Пользователи всегда стараются упростить себе жизнь, устанавливая простые пароли, которые легко можно подобрать. Лучшим выходом из ситуации является применение политики «Настроить использование паролей для съемных дисков с данными«, позволяющей задать минимальную длину пароля и его сложность. Или как вариант, разрешаем использование смарт-карт, активировав политику «Настроить использование смарт-карт на съемных дисках с данными«, после чего будет доступен дополнительный флажок, установка которого будет требовать принудительного использования смарт-карт.

Заключение

Штатные инструменты GPO просты и понятны, а документация позволяет разобраться со всеми нюансами использования. И главное, что их возможностей вполне достаточно для реализации подавляющего большинства стандартных сценариев.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)