Централизованное управление политиками безопасности штатными средствами Microsoft - групповые политики безопасности (GPO)

Централизованное управление политиками безопасности штатными средствами Microsoft

Централизованное управление политиками безопасности штатными средствами Microsoft

В данной статье мы расскажем, как при помощи групповых политик безопасности (GPO) для рабочих станций под управлением Windows 7 и Windows Server 2008, можно централизованно управлять работой с внешними устройствами, сокращая риски утечки конфиденциальной информации за пределы компании.

 

Часть 1. Управление внешними устройствами

Среди пользователей давно сложилось мнение, что за информационную безопасность должны отвечать специальные продукты от сторонних производителей. Однако существуют и активно развиваются штатные средства обеспечения безопасности, в том числе встроенные  в операционные системы. Операционные системы Windows 7 и Windows Server 2008 являются результатом эволюционного развития предыдущих версий операционных систем компании Microsoft и включают в себя как инструменты безопасности из прежних версий, так и полезные нововведения. В данном обзоре будет показано, как при помощи штатных настроек Windows 7 и Windows Server 2008 – групповых политик безопасности, можно централизованно управлять работой с внешними устройствами, уменьшая риски несанкционированного копирования и перемещения данных за пределы компании.

 

 

1. Введение

2. Использование групповых политик для управления безопасностью

3. Запрет автозапуска внешних устройств

4. Запрет/разрешение работы с внешними устройствами

- Запрет установки любых внешних устройств

- Запрет работы с устройствами из «черного» списка

- Разрешение работы только с определенными устройствами

5. Осуществление контроля над внешними устройствами

6. Шифрование данных на внешних устройствах

7. Выводы

 

 

Введение

Основное внимание при защите информации по-прежнему уделяется антивирусам, фаерволам, средствам предотвращения вторжений и другим средствам защиты от внешних видов угроз. В то время как другой класс задач – защита от внутренних видов угроз долгое время оставался «в тени». Однако сейчас на эти задачи начинают обращать все больше внимания, особенно это касается контроля за подключением внешних устройств, которые очень часто используются в качестве канала для кражи конфиденциальной информации из компании. Причиной этого является то, что в последнее время наблюдается рост как традиционных внешних устройств для хранения информации – флеш-накопителей, карт памяти и жестких дисков, так и бытовых приборов - MP3-плейеров, фотоаппаратов, мобильных телефонов, которые содержат карты памяти. Рынок таких устройств показывает экспоненциальный рост, при этом физические размеры устройств становятся все меньше и меньше, а производительность их и объем переносимых данных – все больше.

Для компаний данный факт увеличивает два типа рисков – возможность «случайных» утечек (например, баз данных с информацией о клиентах, персональных данных или важной управленческой информации и т.п.) и возможность преднамеренной кражи важной информации из сети с целью мести или инсайда.

Многие вендоры имеют в своем портфеле специализированные программы минимизации   перечисленных типов рисков. Но далеко не все знают, что начиная еще с операционной системы Windows Vista, корпорация Microsoft встраивает в операционные системы возможность управлять использованием внешних запоминающих устройств с помощью групповых политик.

В данном обзоре мы рассмотрим возможности централизованного управления подключением различных внешних устройств (DVD-дисководами, внешними винчестерами, USB-накопителями и т.д.) штатными средствами Microsoft при помощи специально предусмотренных для подобных целей групповых политик.
Вопрос, на который мы хотим ответить, звучит так – какие существуют сценарии для обеспечения безопасности информации при использовании внешних устройств и как их реализовать. Этот вопрос мы рассмотрим на примере работы с флеш-накопителями на рабочей станции с операционной системой Windows 7.

Также следует отметить, что большинство описанных настроек интересны для применения в рамках предприятий, поэтому мы будем описывать функциональность, которая доступна в Windows 7 Enterprise (Корпоративная), а также старшей персональной версии Windows 7 Ultimate (Максимальная).

 

Использование групповых политик для управления безопасностью

Групповые политики (Group Policy Object, GPO) – это набор правил, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются и настраиваются как для домена в целом, так и для  отдельного персонального компьютера. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики. Функциональность групповых политик с каждой следующей операционной системой Windows стабильно увеличивается, и в Windows 7 она включает в себя уже 3200 настроек. Списки групповых политик для разных операционных систем можно скачать по ссылке.

Использование групповых политик позволяет решить следующие основные задачи: снизить риск заражения компьютера вредоносными программами, снизить риск утечки данных и снизить стоимость сопровождения системы.

Для работы с групповыми политиками можно использовать несколько инструментов.

Для локальных задач предусмотрен редактор объектов групповой политики. Он установлен в Windows 7 по умолчанию, и позволяет работать с групповыми политиками на локальном компьютере. Для запуска редактора групповых политик нужно запустить командную строку («Пуск-Все программы-Стандартные») и набрать команду gpedit.msc.

 

Рисунок 1. Запуск редактора объектов групповой политики через командную строку

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Редактор объектов групповой политики содержит два основных раздела: Конфигурация компьютера и Конфигурация пользователя. Параметры раздела «Конфигурация компьютера» всегда применяются при запуске компьютера, а параметры раздела «Конфигурация пользователя» – при входе пользователя в систему. Все политики распределены по разделам. Часть параметров одновременно присутствует в разделах «Конфигурация компьютера» и «Конфигурация пользователя». При конфликте параметров параметр в папке «Конфигурация компьютера» имеет преимущество перед параметром в папке «Конфигурация пользователя».

Окно редактора разделено на две части: в левой находится дерево с разделами, в правой – политики из выбранного раздела.

 

Рисунок 2. Редактор объектов групповой политики

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Для работы с групповыми политиками для набора компьютеров в домене администраторам следует воспользоваться более функциональными инструментами.

Первым таким инструментом является консоль управления групповыми политиками (Group Policy Management Console, GMPC), которая представляет собой универсальный и, в то же время, бесплатный административный инструмент. По умолчанию данная консоль не установлена в Windows 7, её можно скачать по ссылке, а инструкцию по её установке можно прочитать по ссылке.

 

Рисунок 3. Консоль управления групповой политикой, GMPC

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Консоль управления групповыми политиками позволяет выполнять следующие действия:

  • одновременно работать с несколькими групповыми настройками;
  • применять групповые политики к разным группам пользователей;
  • создавать шаблоны с настройками групповых политик;
  • устанавливать различие фильтры для политик;
  • создавать сценарии применения групповых политик;
  • создавать отчеты применения политик.

Таким образом, для настройки безопасности в сети администратору нужно создать наборы политик, применить их ко всем компьютерам в сети или к группам компьютеров. Например, настроить шифрование дисков (при помощи BitLocker), запретить использование «ненужных» приложений (при помощи AppLocker), создать «белые»/«черные» списки с внешними устройствами или полностью запретить доступ к внешним устройствам, запретить изменение настроек IE и т.д.

 

Рисунок 4. Работа с консолью управления групповыми политиками

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Вторым инструментом от Microsoft для работы администратора с групповыми политиками является Advanced Group Policy Management (AGPM или расширенное управление политиками групп). Данный инструмент позволяет редактировать объекты групповой политики (GPO) в автономном режиме, осуществлять контроль версий объектов, а также автоматическое резервное копирование в случае их изменений. С его помощью можно делегировать редактирование GPO кому угодно - изменения не повлияют на компьютеры пользователей, пока имеющий права на установку администратор их не утвердит. По сути дела, AGPM предоставляет функции, необходимые администраторам больших корпоративных сетей. Выбрать версию для установки и просмотреть пошаговое руководство для AGPM можно по ссылке.

 

Рисунок 5. Расширенное управление политиками групп

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Следует отметить, что два данных инструмента являются бесплатными, и их можно скачать с сайта компании Microsoft. Сторонние производители также оценили важность инструментов для работы с групповыми политиками и предлагают свои разработки, которые либо имеют другой пользовательский интерфейс, либо дополнительный набор сервисных функций. Примеры таких программ и их функциональность приведены на рисунке.

 

Рисунок 6. Внешние программы для работы с групповыми политиками

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Пару слов необходимо сказать о составлении отчета, который содержит параметры групповой политики. Существует несколько способов его генерации. На уровне локального компьютера можно использовать инструмент Gpresult.exe, который запускается из командной строки и позволяет просматривать параметры групповой политики. Для генерации отчетов для всех компьютеров в домене можно использовать инструмент «Мастер результатов групповой политики», доступный в GMPC. Внешний вид результата, который генерирует данный мастер, представлен на рисунке.

 

Рисунок 7. Отчет о применении групповой политики

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Для организации безопасной работы с устройствами существует несколько типовых сценариев:

  • Запрет автозапуска внешних устройств;
  • Запрет установки любых внешних устройств;
  • Разрешение работы только определенных устройств;
  • Запрет работы с определенными устройствами;
  • Осуществление контроля над внешними устройствами;
  • Шифрование данных на внешних устройствах.

Windows 7 позволяет одновременно реализовать несколько сценариев для увеличения безопасности компьютера при работе с внешними устройствами как с использованием только групповых политик, так и в их связке с другими механизмами безопасности. В зависимости от решаемой задачи, администратор может выбрать либо один из сценариев организации безопасности, либо их совокупность.

Все административные инструменты предполагают два набора операций при настройке групповой политики – собственно конфигурирование политик и применение данных политик к группам пользователей. В данном обзоре мы рассмотрим настройку конкретных политик в редакторе групповой политики, т.к. именно эта часть является общей для всех административных инструментов.

 

Запрет автозапуска внешних устройств

Автозапуск выполняется при определении внешнего устройства в операционной системе. Действия, которые должны быть выполнены при автозапуске, прописаны в файле autorun.inf. Файл autorun.inf широко используется для распространения компьютерных вирусов посредством флеш-накопителей и сетевых дисков. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в autorun.inf и, при подключении заражённого устройства Windows, запускает вредоносный файл на исполнение, в результате чего происходит заражение компьютера.

При помощи групповых политик мы можем запретить автозапуск для определенных классов устройств или для всех устройств. Для реализации данного сценария в редакторе групповых политик нужно открыть раздел «Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Политики автозапуска». Краткое описание политик управления автозапуском приведено в таблице 1.

 

Рисунок 8. Раздел «Политики автозапуска»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Таблица 1. Политики автозапуска

Параметр политики Описание
Отключить автозапуск (Turn off Autoplay) При включенном автоматическом запуске система приступает к чтению данных сразу же после обнаружения носителя в устройстве. Данная политика позволяет отключить автозапуск либо только для компакт-дисков и других съемных носителей, либо для всех устройств.
Не устанавливать флажок «Всегда выполнять выбранное действие» (Don't set the always do this checkbox) Если данная политика включена, то флажок «Всегда выполнять выбранное действие» в диалоговом окне автозапуска не будет установлен по умолчанию при отображении данного окна.
Отключить автозапуск устройств, не являющихся томами (Turn off Autoplay for non-volume devices) Если включить эту политику, то автозапуск будет отключен для устройств, не являющихся томами, например, устройств на основе протокола передачи мультимедиа (MTP). Если политику отключить или не настраивать, автозапуск для этих устройств, не являющихся томами, остается включенным.
Вариант работы автозапуска по умолчанию (Default behavior for AutoRun) Контролирует поведение команд автозапуска по умолчанию. Политика позволяет определить, будет ли операционной системе разрешено обрабатывать содержимое файла autorun.inf.

Для отключения автозапуска в редакторе групповых политик выбираем политику «Отключить автозапуск», устанавливаем режим «Включить», затем из списка параметров выбираем пункт «Все устройства» и нажимаем кнопку «Ок».

 

Рисунок 9. Настройка политики «Отключить автозапуск»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Для того чтобы исключить возможность доступа к файлу autorun.inf, нужно запретить обрабатывать содержание этого файла. Для этого выбираем политику «Вариант работы автозапуска по умолчанию», устанавливаем режим «Включить», затем из списка параметров выбираем пункт «Не исполнять команды автозапуска» и нажимаем кнопку «Ок».

 

Рисунок 10. Настройка политики «Вариант работы автозапуска по умолчанию»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Таким же образом можно отключить автозапуск для устройств, не являющихся томами.

Однако, помимо автозапуска при помощи autorun.inf, некоторые вирусы используют уязвимости в обработке LNK\PIF файлов, которые нельзя разрешить при помощи запрета автозапуска. Самым правильным решением данной проблемы является установка патча MS10-046, закрывающего данную уязвимость. Для 32-битной версии Windows 7 патч можно скачать здесь.

Вторым вариантом решения проблемы является настройка ограничения на использование программ. Данную настройку можно произвести либо при помощи AppLocker (что доступно только в Корпоративной и Максимальной версии Windows 7), либо при помощи групповых политик. При применении групповых политик нужно воспользоваться разделом «Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ».

Третьим способом является изменение настроек расширений файлов, которые Windows воспринимает как исполняемые. Для этого в редакторе групповых политиках откроем раздел  «Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Назначенные типы файлов» и исключим из списка исполняемых файлов расширение «*.lnk». После этого при открытии флеш-накопителя мы можем избежать заражения при помощи «*.lnk» - файлов.

Хотя установка указанного обновления является самым правильным способом обезопасить себя от описанной угрозы.

 

Запрет/разрешение работы с внешними устройствами

Ситуации, при которых пользователи могут подключать к компьютеру любые внешние устройства, представляют существенный риск безопасности. Для ограничения работы с внешними устройствами в Windows 7 используется набор политик, позволяющий в каждом конкретном случае настраивать правила установки (запрет или разрешение) внешних устройств.

Для настройки разрешения или запрета установки внешних устройств необходимо в редакторе групповых политик открыть раздел «Конфигурация компьютера - Административные шаблоны - Система - Установка устройств - Ограничения на установку устройств». Краткое описание данных политик приведено в таблице 2.

 

Рисунок 11. Раздел «Ограничения на установку устройств»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Таблица 2. Политики ограничения на установку устройств

Параметр политики Описание
Разрешить администраторам заменять политики ограничения установки устройств (Allow administrators to override Device Installation Restriction policies) Эта политики позволяет членам локальной группы администраторов устанавливать и обновлять драйверы любых устройств независимо от других параметров политики.
Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств (Allow installation of devices that match any of these device IDs) Позволяет указать список кодов оборудования и совместимых кодов, соответствующих разрешенным устройствам.
Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств (llow installation of devices using drivers that match these device setup classes) Позволяет указать список глобальных идентификаторов (GUID) классов установки устройств, которые описывают разрешенные устройства.
Запретить установку устройств, не описанных другими параметрами политики (Prevent installation of devices not described by other policy settings) Позволяет запретить установку устройств, которые не указаны в каком-либо ином параметре политики.
Запретить установку устройств, соответствующих этим кодам устройств (Prevent installation of devices that match any of these device IDs) Позволяет указать список кодов оборудования и совместимых кодов устройств Plug and Play, которые запрещено устанавливать.
Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств (Prevent installation of devices using drivers that match these device setup classes) Позволяет указать список глобальных идентификаторов (GUID) классов установки устройств тех драйверов, которые запрещены к установке.
Запретить установку съемных устройств (Prevent installation of removable devices) Запрещает Windows устанавливать съемные устройства. Устройство считается съемным, если подключенный к нему драйвер описывает его как съемное.
Отображать заголовок специального сообщения, когда установка устройства запрещена параметром политики (Display a custom message title when device installation is prevented by a policy setting) Позволяет задать требуемый заголовок всплывающему сообщению, которое появляется при попытке установить устройство, запрещенное параметром политики.
Отображать специальное сообщение, когда установка запрещена параметром политики (Display a custom message when installation is prevented by policy settings) Позволяет задать требуемый текст всплывающего сообщения, которое появляется при попытке установить устройство, запрещенное параметром политики.

Данные политики можно применять одновременно, поэтому для корректной работы каждая из политик имеет свой приоритет (рисунок 12).

 

Рисунок 12. Приоритеты политик для ограничения установки устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Рассмотрим несколько сценариев, которые можно реализовать при помощи данного раздела групповой политики.

 

Запрет установки любых внешних устройств

Данный сценарий является самым радикальным,  потому и самым эффективным. Перефразируя известную поговорку, можно сказать: «Нет внешних устройств, нет проблем». Для запрета всех внешних устройств в разделе «Ограничения на установку устройств» выбираем политику «Запретить установку устройств, не описанных другими параметрами политики» и устанавливаем режим «Включить».

 

Рисунок 13. Настройка политики запрета установки устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Далее выбираем политику «Запретить установку съемных устройств» и устанавливаем режим «Включить».

 

Рисунок 14. Настройка политики «Запретить установку съемных устройств»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Если необходимо предоставить доступ к внешним устройствам пользователям с административными правами, выбираем политику «Разрешить администраторам заменять политики ограничения установки устройств» и устанавливаем режим «Включить».

 

Рисунок 15. Разрешение администраторам обходить политики установки устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

После этого все внешние устройства не будут устанавливаться на компьютере. Однако, не смотря на выбор таких жестких настроек, это не дает гарантии 100% защиты от установки внешних устройств. Это связанно с тем, что операционная система будет блокировать устройства, распознанные как съемные или устройства со встроенной памятью. Теоретически, производитель может прописать для своего устройства любой идентификатор – нестандартный или определенный для другого типа оборудования. В случае, когда необходимо исключить работу со всеми внешними устройствами, можно дополнительно к указанным настройкам запрещать все виды доступа ко всем классам устройств и требовать их принудительного шифрования данных (данные сценарии описаны ниже).

 

Запрет работы с устройствами из «черного» списка

Данный сценарий позволяет организовывать «черный» список устройств, которые по каким-то причинам не должны использоваться на компьютере. Такой причиной может быть замеченная вирусная активность на этом устройстве или ненадежность того или иного сотрудника.

Вначале немного теории. Для управления установкой и настройкой устройств Windows использует идентификаторы двух типов: строки информации об устройствах и классы установки устройств. При установке нового устройства операционная система запрашивает у устройства информацию, которую производитель записал в INF-файле, входящий в драйвер устройства. В соответствии с этой информацией Windows выбирает из набора имеющихся в ней драйверов тот, который в соответствии с набором приоритетов лучше всего подходит для конкретного устройства.

Строки информации об устройствах содержат специфические для каждого устройства коды оборудования (специальные идентификаторы с описанием определенной марки, модели и версии устройства) и коды совместимости (идентификаторы устройств, которые теоретически можно использовать при отсутствии специальных драйверов устройства). Каждый из классов установки устройств содержат идентификатор класса устройств, к которому принадлежит конкретное устройство. Большинство устройств относятся к заранее определенным классам (DVD-проигрыватели, USB-накопители и т.д.), однако следует помнить, что некоторые устройства могут быть определены производителем как относящиеся к нескольким классам устройств или к некому уникальному классу. Поэтому следует внимательно формулировать задачи в процессе настройки безопасности, закрывать все возможные «дыры» в защите и, в некоторых случаях, тестировать результат применения политик.

Для того чтобы включить конкретное устройство в «черный» список устройств, нужно получить идентификаторы данного устройства или классов, к которым оно относится. Вначале рассмотрим использование кодов оборудования и кодов совместимости.

Вставляем флеш-накопитель в компьютер, ждем его определения в операционной системе и вызываем диспетчер задач. Для этого нужно войти в панель управления и выбрать пункт «Система». В открывшемся окне нужно вызвать «Диспетчер устройств».

 

Рисунок 16. Окно «Система» в Панели инструментов

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В окне диспетчера устройств мы видим «дерево», в котором находятся обозначения всех устройств, обнаруженных на компьютере». Из списка устройств компьютера выбираем пункт «Дисковые устройства».

 

Рисунок 17. Открываем Диспетчер устройств в Windows 7

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В этом пункте выбираем строку «JetFlash TS1GJF160 USB Device» (это наш флеш-накопитель), вызываем контекстное меню и выбираем пункт «Свойства». В свойствах диска выбираем вкладку «Сведения» и в выпадающем списке «Свойства» выбираем пункт «ИД Оборудование». Данные коды нужно скопировать в какой-нибудь документ, они нам понадобятся далее.

 

Рисунок 18. Выбор идентификаторов флеш-накопителя

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Затем в выпадающем списке «Свойства» выбираем пункт «Совместимые ИД». Эти коды тоже нужно скопировать.

 

Рисунок 19. Выбор идентификаторов совместимости для флеш-накопителя

Централизованное управление политиками безопасности штатными средствами Microsoft

 

После этого в разделе «Ограничения на установку устройств» выбираем политику «Запретить установку устройств, соответствующих этим кодам устройств» и устанавливаем режим «Включить».

 

Рисунок 20. Политика запрета устройств по идентификатору устройства

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В поле «Параметры» нажимаем на кнопку «Показать» и в открывшемся окне «Вывод содержания» вводим сохраненные ранее значения идентификаторов. Нажимаем «Ок».

 

Рисунок 21. Вводим идентификаторы запрещенного устройства

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Если установить флажок «Также применять для соответствующих устройств, которые уже были установлены», то запрет на устройство будет применен сразу, иначе надо заново вставить устройство. После применения политики будет выведено сообщение «Установка драйвера», в котором нам будет сказано о том, что установка данного устройства запрещена политикой безопасности.

 

Рисунок 22. Сообщение о запрете установки устройства

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В трее будет выведено сообщение «Программное обеспечение для устройства не было установлено».

 

Рисунок 23. Сообщение о запрете установки устройства в трее

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Если посмотреть в диспетчере устройств, мы увидим, что флеш-накопитель стал определяться в разделе «Другие устройства» и недоступен для работы.

 

Рисунок 24. Устройство недоступно для работы

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Также запретить работу с устройством можно по его коду оборудования. Для этого в свойствах диска на вкладке «Сведения», в выпадающем списке «Свойства» выбираем пункт «GUID класса устройств». Копируем этот код.

 

Рисунок 25. Выбор кода оборудования флеш-накопителя

Централизованное управление политиками безопасности штатными средствами Microsoft

 

После этого в разделе «Ограничения на установку устройств» выбираем политику «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств» и устанавливаем режим «Включить».

 

Рисунок 26. Политика запрета устройств по идентификатору класса устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В поле «Параметры» нажимаем на кнопку «Показать» и в открывшемся окне «Вывод содержания» вводим сохраненное ранее значения идентификатора. Нажимаем «Ок».

 

Рисунок 27. Вводим идентификатор запрещенного класса устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Разрешение работы только с определенными устройствами

Данный сценарий при должном контроле над носителями информации (например, запрете их выноса с предприятия) позволяет исключить ситуации воровства информации.

Для выполнения разрешения установки только определенных устройств нужно повторить ту же последовательность действий, что и в предыдущем сценарии. Для разрешения установки устройства по его идентификатору используется политика «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств».

 

Рисунок 28. Политика разрешения устройств по идентификатору устройства

Централизованное управление политиками безопасности штатными средствами Microsoft

 

А для разрешения устройства по классу, к которому оно принадлежит, используется политика «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств».

 

Рисунок 29. Политика разрешения устройств по идентификатору класса устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В конце данного описания стоит сказать еще об одной полезной функции – формировании оповещений пользователям о запрещенных действиях. Для этого используются политики «Отображать заголовок специального сообщения, когда установка устройства запрещена параметром политики» и «Отображать специальное сообщение, когда установка запрещена параметром политики». С их помощью мы можем заменить стандартное сообщение о блокировке устройства на что-нибудь более суровое, например, на такое «Вы нарушили политику использования сменных устройств в нашей фирме, при следующем нарушении из Вашей зарплаты будет вычтено 50$».

 

Осуществление контроля над внешними устройствами

Еще одним способом защиты компьютера от различного вида угроз является установка уровня доступа для различных классов устройств после их установки:

  • запрет на чтение с устройств позволяет уменьшить риск заражения компьютера принесенными «извне» вредоносными программами;
  • запрет на запись, наоборот, не позволит сотруднику вынести за периметр предприятия внутренние документы;
  • запрет на выполнение с внешних устройств позволяет снизить риски заражения компьютера при запуске приложений.

Для настройки доступа к различным видам устройств нужно в редакторе групповых политик открыть раздел «Конфигурация компьютера - Административные шаблоны - Система - Доступ к съемным запоминающим устройствам». Краткое описание политик управления автозапуском приведено в таблице 3. Политики доступа к каждому из классов устройств в таблице объединены в одну группу.

 

Рисунок 30. Раздел «Доступ к съемным запоминающим устройствам»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Таблица 3. Политики доступа к съемным запоминающим устройствам

Параметр политики Описание
Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access) Когда политика включена, то запрещается доступ для чтения и записи к любым устройствам, определенным как устройства, использующие съемные носители. Политика имеет приоритет перед любыми параметрами политики в этом разделе.
Все съемные носители: Разрешать прямой доступ в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions) Политика позволяет под учетной записью обычного пользователя обращаться к съемному носителю в рамках удаленного сеанса.
Компакт-диски и DVD-диски: Запретить выполнение, Запретить чтение, Запретить запись (CD and DVD: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись с CD- и DVD-дисков.
Специальные классы: Запретить чтение, Запретить запись (Custom Classes: Deny read access, Deny write access) Данные политики позволяют запретить чтение и запись с нестандартных устройств.
Накопители на гибких дисках: Запретить выполнение, Запретить чтение, Запретить запись (Floppy Drives: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись с гибких дисков.
Съемные диски: Запретить выполнение, Запретить чтение, Запретить запись (Removable Disks: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись со съемных дисков.
Ленточные накопители: Запретить выполнение, Запретить чтение, Запретить запись (Tape Drives: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись с ленточных накопителей.
WPD-устройства: Запретить выполнение, Запретить чтение, Запретить запись (WPD Devices: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись со съемных дисков в устройствах WPD (Windows Portable Device), например, проигрыватели мультимедиа, мобильные телефоны, устройства под управлением ОС Windows CE.

Запрет любого доступ для всех видов устройств выполняется следующим образом. В редакторе групповой политики выбираем политику «Съемные запоминающие устройства всех классов: Запретить любой доступ», устанавливаем режим «Включить» и нажимаем кнопку «Ок».

 

Рисунок 31. Политика запрета доступа для всех съемных устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Далее следует запретить доступ к съемным устройствам при удаленных сеансах. Для этого в правой части окна выбираем политику «Все съемные носители: Разрешать прямой доступ в удаленных сеансах», устанавливаем режим «Включить» и нажимаем кнопку «Ок».

 

Рисунок 32. Политика для запрета доступа для всех съемных устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

После применения доступ для всех описанных классов устройств будет заблокирован.

Если нам нужно запретить для конкретного класса устройств запретить выполнение, запись или чтение нам нужно включить соответствующую политику. Например, чтобы запретить чтения со съемных дисков, в редакторе групповой политики выбираем политику «Съемные диски: Запретить чтение», устанавливаем режим «Включить» и нажимаем кнопку «Ок».

 

Рисунок 33. Политика для запрета чтения со съемных устройств

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Отключение доступа ко всем классам устройств производится аналогично.

 

Шифрование данных на внешних устройствах

Появившаяся в Windows Vista технология шифрования дисков BitLocker обеспечивает защиту данных и предотвращает взлом защиты неавторизованными пользователями на утерянных или украденных устройствах. В операционной системе Microsoft Windows 7 была добавлена технология BitLocker To Go, которая предназначается для защиты данных на сменных носителях (например, внешних приводах, SD-картах и USB-накопителях). Шифрование может быть настроено таким образом, чтобы доступ к данным был получен только при наличии соответствующего пароля или ключа. Доступ также может быть разрешен только на том компьютере, на котором было зашифровано устройство или только на компьютерах фирмы.

Диски, зашифрованные BitLocker To Go, могут требовать для доступа либо пароль, либо смарт-карту. В последнем случае необходимо обеспечить считывателями смарт-карт все компьютеры, на которых будет использоваться данный съемный диск.

При помощи групповых политик мы можем ввести требование включать на съемном диске защиту BitLocker To Go, прежде чем разрешать копирование на него. Для реализации этого сценария в редакторе групповых политик нужно открыть раздел «Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Шифрование дисков BitLocker - Съемные диски с данными».

 

Рисунок 34. Раздел «Съемные диски с данными»

Централизованное управление политиками безопасности штатными средствами Microsoft

 

В данном разделе находятся шесть политик, краткое описание которых приведено в таблице 4.

 

Таблица 4. Параметры политики шифрования устройств

Параметр политики Описание
Управление использованием BitLocker для съемных дисков (Control use of BitLocker on removable drives) Управляет использованием BitLocker на съемных дисках с данными. Если эта политика задана, пользователи могут шифровать съемные диски. Данная политика также позволяет запрещать отключение шифрования.
Настроить использование смарт-карт на съемных дисках с данными (Configure use of smart cards on removable data drives) Политика позволяет включать возможность использования смарт-карт для проверки подлинности пользователя при доступе к защищенным съемным дискам с данными.
Запретить запись на съемные диски, не защищенные BitLocker (Deny write access to removable drives not protected by BitLocker) Определяет, необходимо ли включить защиту BitLocker, чтобы иметь возможность записи на съемный диск с данными. Также контролирует, можно ли осуществлять запись на диск, защищенный BitLocker в другой организации.
Разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows (Allow access to BitLocker-protected removable data drives from earlier versions of Windows) Эта политика определяет, можно ли разблокировать и просматривать съемные диски с файловой системой FAT на компьютерах под управлением ОС Windows Server 2008, Windows Vista, Windows XP (SP2 и SP3).
Настроить использование паролей для съемных дисков с данными (Configure use of passwords for removable data drives) Политика позволяет включить/отключить использование пароля для разблокирования устройств, защищенных BitLocker. Она также задает параметры пароля: его сложность и длину.
Выбор методов восстановления съемных дисков, защищенных с помощью BitLocker (Choose how BitLocker-protected removable drives can be recovered) Политика включает возможность восстановления данных, при отсутствии требуемых учетных данных, и позволяет настроить используемый для восстановления метод.

В редакторе групповой политики выбираем политику «Управление использованием BitLocker для съемных дисков», устанавливаем режим «Включить», устанавливаем галку «Разрешить пользователям применять защиту BitLocker для съемных дисков с данными». Галка «Разрешить пользователям временно приостанавливать защиту BitLocker и расшифровывать съемные диски с данными» должна быть не установлена. Нажимаем кнопку «Ок».

 

Рисунок 35. Настройка политики включения шифрования

Централизованное управление политиками безопасности штатными средствами Microsoft

 

При наличии смарт-карт можно использовать их для доступа к зашифрованным устройствам при помощи политики «Настроить использование смарт-карт на съемных дисках с данными».

Для запрета записи на незашифрованные диски выбираем политику «Запретить запись на съемные диски, не защищенные BitLocker», устанавливаем режим «Включить». Если мы хотим, чтобы устройства могли читаться только внутри нашей организации, то устанавливаем галку «Запретить запись на устройства, настроенные в другой организации». Нажимаем кнопку «Ок».

 

Рисунок 36. Настройка политики запрета на незашифрованные съемные диски

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Для запрета доступа к зашифрованному носителю на ранних ОС Windows выбираем политику «Разрешить доступ к съемным дискам с данными, защищенным с помощью BitLocker, из более ранних версий Windows», устанавливаем режим «Отключить» и нажимаем кнопку «Ок».

 

Рисунок 37. Настройка политики запрета чтения зашифрованных устройств в ранних версиях Windows

Централизованное управление политиками безопасности штатными средствами Microsoft

 

Также полезно настроить параметры использования пароля для доступа к зашифрованным данным. Для этого выбираем политику «Настроить использование паролей для съемных дисков с данными», устанавливаем режим «Включить», установить галку «Требовать пароль для съемного диска с данными», установить требование вводить сложный пароль и устанавливать длину пароле не менее 8 символов. Нажимаем кнопку «Ок».

 

Рисунок 38. Настройка параметров используемого пароля

Централизованное управление политиками безопасности штатными средствами Microsoft

 

При необходимости можно настроить выбор методов восстановления съемных дисков, защищенных с помощью BitLocker, при помощи соответствующей политики.

После применения данных политик пользователи смогут записывать данные только в зашифрованном виде, на съемные носители только своей организации, только в ОС Windows 7 и получать доступ к данным только при наличии пароля.

 

Выводы

Описав возможности штатных средств Microsoft для управления работой с внешними устройствами в операционных системах Windows Vista/7 и Windows Server 2008, стоит отметить положительные и отрицательные стороны данных средств.

Плюсы:

  1. Простота использования редактора групповых политик и большое количество справочных материалов. Это позволяет с минимальным количеством знаний произвести необходимые настройки.
  2. Наличие инструментов для администраторов (Group Policy Management Console и Advanced Group Policy Management) позволяет эффективно применять настройки к большому числу компьютеров в сети предприятий.
  3. Большое количество сценариев для обеспечения безопасности и набор существующих политик позволяют гибко подходить к различным ситуациям – от полного блокирования всех устройств до блокирования конкретного устройства.
  4. Возможность создавать гибкие политики использования внешних носителей, например, запретить только запись, запретить исполнение, разрешить запись только на зашифрованный носитель и т.п.
  5. В подавляющем большинстве случаев настройка безопасности позволяет исключить риск кражи или потери информации.
  6. Отсутствие необходимости дополнительно покупать и устанавливать сторонние решения.
  7. Возможность управления политиками при помощи внешних решений в случае необходимости. Например, при помощи таких программ как Group Policy Change Reporter, Policy Commander, GPOAaDmin и т.д.

Минусы:

  1. При ограничении работы к внешними устройствам через GPO главное внимание уделяется USB-накопителям и картам памяти. Но ведь утечка данных может произойти не только через эти устройства. Существуют еще локальные принтеры, модемы, жесткие диски, сетевые адаптеры и много других устройств. Часть из них, конечно, можно заблокировать, используя политики, специально «заточенные» под конкретные типы устройств, а часть из них заблокировать  невозможно вовсе. Поэтому в случае необходимости более жесткого контроля следует присмотреться к платным решениям других вендоров.
  2. Описанные в статье возможности появились только в Windows Vista и недоступны пользователям Windows XP, которых в нашей стране еще достаточно много. Для нах доступны только ограничения для уже установленных устройств (через Group Policy Preferences Devices). Поэтому чтобы иметь полный контроль за внешними накопителями в середе Windows XP придется использовать платные решения других вендоров.
  3. Еще одним минусом является то, что для работы большинства настроек требуется, чтобы пользователь не имел прав администратора. Если пользователь обладает правами локального администратора, то он может обходить часть запретов. Одним из способов ограничить таких пользователей является отключение политики «Разрешить администраторам заменять политики ограничения установки устройств». Но это ограничивает только работу с частью устройств.

 


AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.

RSS: Новые статьи на Anti-Malware.ru