13.01.2008

Контроль над использованием внешних USB-накопителей в Windows Server 2008

image

К несомненным достоинствам подхода, применяемого Microsoft, стоит отнести простоту настройки и использования, интеграцию с Active Directory, а также то, что такой подход не требует установки ПО сторонних производителей.

Безмалый В.Ф.

Руководитель программы подготовки администраторов
информационной безопасности
Академии БМС Консалтинг.
MVP in Windows Security
Vladimir_Bezmaly@ec.bms-consulting.com
http://www.itacademy.com.ua

Перемещение информации через границы охраняемого периметра локальной сети компании является, пожалуй, наибольшей головной болью службы информационной безопасности. С каждым годом эта головная боль только растет, а решение проблемы становится все более и более актуальным. Ведь за последнее время резко увеличилось число всевозможных USB-устройств, которые могут использоваться в качестве накопителей. При этом объем информации, который может быть записан с помощью таких устройств, уже догнал объем винчестеров. Сегодня USB-диски с объемом в 4 Гб уже давно не редкость, объем жестких дисков переносных MP3 плейеров превысил 80Гб, а ведь кроме этого есть еще и фотоаппараты, мобильные телефоны, КПК с большим объемом памяти и т.д. Объем рынка таких устройств показывает экспоненциальный рост: физические размеры все меньше и меньше, а производительность и объем все больше и больше.

Постоянно увеличиваются инвестиции в межсетевые экраны, используются все новые и более надежные алгоритмы шифрования, другие средства и технологии контроля для защиты данных от хищения через Интернет. Однако не стоит забывать, что большинство хищений сегодня происходит по вине собственных сотрудников, которые посредством использования различных  типов USB-устройств скачивают конфиденциальную информацию. Все технологии по защите вашей сети от внешних злоумышленников не могут воспрепятствовать обиженным сотрудникам, которые вполне могут использовать USB-устройства для загрузки злонамеренного ПО в сеть компании или для хищения информации из этой сети.

При этом мы прекрасно понимаем, что наибольшую опасность для информационной безопасности будут представлять именно злоумышленники из числа обиженных внутренних сотрудников. Это практически будет сводить к нулю эффективность административных мер по защите информации в этой области.

Все вышеперечисленное привело к тому, что был разработан целый класс программного обеспечения для контроля сменных носителей. Типичными примерами данного ПО являются DeviceLock, которое с 1996 года разрабатывает компания Смарт Лайн Инк (SmartLine Inc), Sanctuary Device Control от люксембургской компании «SecureWave S.A.», ZLock от российской компании ЗАО «СекьюрИТ», GFI EndPointSecurity от мальтийской компании «GFI Software» и многое другое ПО.

Вместе с тем в ближайшее время компания Microsoft представит на рынок серверных операционных систем свою новую серверную платформу Windows Server 2008, в которую будет встроен контроль за использованием сменных носителей на уровне групповых политик как в случае использования отдельного сервера, так и в случае использования домена в составе Windows Server 2008 в качестве доменного контроллера и Windows Vista в качестве рабочих станций.

Анализу данного ПО и будет посвящена наша статья. Для написания статьи использовалось программное обеспечение English Windows Server 2008 RC0 Enterprise Datacenter Standardx86.

Установка контроля над использованием сменных носителей в Windows Server 2008

Для использования режима контроля над использованием внешних носителей в Windows Vista администратор должен использовать групповые (локальные) политики. При помощи групповых политик администратор может указать конкретные устройства, использование которых разрешено на данном компьютере. Предположим, что сотруднику приказом выделен флеш-диск А, но из дома он может принести еще флеш-диск В. Средствами групповых политик в Windows Vista можно сделать так, что флеш-диск А работать будет, а при включении флеш-диска В сотрудник получит извещение о том, что он нарушает политику безопасности. Давайте рассмотрим подробнее, как это сделать.

Каждое устройство, использующее USB-порт, обладает так называемым уникальным цифровым идентификатором. То есть, для создания списка разрешенных устройств нам вначале нужно получить так называемые идентификаторы (ID) этих устройств.

Получение ID USB-устройств

Для получения соответствующего идентификатора устройства необходимо подсоединить это устройство к USB-порту, дождаться пока система опознает его, и войти в Drive Manager (для этого нажмите правой клавишей мыши на значке My Computer) и из выпадающего меню выберите пункт Properties. Вы получите картинку, изображенную на рисунке 1.

Рисунок 1 Просмотр сведений о вашем компьютере

Затем из меню Tasks выберите Device Manager. В появившемся списке устройств откройте пункт Universal Serial Bus controllers (рис.2).

Рисунок 2 Device Manager

В полученном списке выберите USB Mass Storage Device. Нажмите правую клавишу мыши и в контекстном меню выберите Properties. Потом выберите вкладку Details. Выберите пункт Device Instance Path (рис.3).



Скопируйте значение этого пункта меню в текстовый редактор (например, MS Word).
Вы получите приблизительно такую строку USBSTOR\Disk&Ven_JetFlash&Prod_TS2GJFV30&Rev_8.07\BX1D3DGC&0
Из полученной строки выделите подстроку типа BX1D3DGC (набор символов от последнего символа \ до &) – это и будет искомое ID устройства.
В случае если вы получите строку, подобную USBSTOR\Disk&Ven_ChipsBnk&Prod_Flash_Disk&Rev_2.00\6&1c912e9b&0, то имя устройства будет 6&1c912e9b .
После того, как вы получили уникальный ID устройства, нужно переходить к настройкам групповых политик.

Настройка групповых политик

Все действия, перечисленные ниже, должны проводиться под управлением ученой записи с правами Администратора.

Для настройки локальных политик необходимо запустить режим командной строки из-под учетной записи администратора. Для этого выберите Start-Run-cmd.

В появившемся окне командной строки наберите gpedit.msc.

В появившемся окне редактора групповых политик (Local Group Policy Editor) выберите Administrative Templates-System-Device Installation (рис.4).

Рисунок 4 Ограничения на установку устройства

Далее выберите Allow installation of devices that match any of these device IDs (рис.5).


Рисунок 5 Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств

Для создания соответствующего списка устройств нажмите на кнопку Show. В полученном окне (рис. 6) введите коды разрешенных устройств


Рисунок 6 Разрешить установку устройств, соответствующих какому-либо из этих кодов

В получено окне можно как добавить, так и удалить коды устройств с помощью соответствующих кнопок.
После создания данного списка устройств, необходимо запретить установку устройств, не описанных другими правилами политики. Для этого выберите пункт политики Prevent installation of devices not described by other policy settings (рис.7).


Рисунок 7 Запретить установку устройств, не описанных другими правилами политики

В случае если пользователь все же решит использовать устройство, не описанное в групповой политике, он получит уведомление, заголовок которого вы сможете указать с помощью пункта Display a custom message when installation is prevented by policy setting (рис. 8).


Рисунок 8 Отображать специальное сообщение, когда установка запрещена политикой (заголовок всплывающего сообщения)

Основной текст, отображаемый при этом во всплывающем окне, вы также можете задать при помощи пункта групповой политики (рис.9).

Рисунок 9 Отображать специальное сообщение, когда установка запрещена политикой (текст всплывающего сообщения)

Для окончательного запрета установки устройств выберите пункт Prevent installation of devices not described by other policy setting (Запретить установку устройств, не описанных другими параметрами политики).
Окончательно параметры, описанные в групповой политике, будут введены в действие после ввода в командной строке команды gpupdate.exe (рис.10).


Рисунок 10 Обновление групповой политики

После применения политики при попытке подключения USB-устройства, не описанного в правилах, появится следующая надпись (рис.11).

Рисунок 11 Попытка подключения устройства несанкционированного политикой


Достоинства и недостатки подхода к защите от несанкционированной установки USB-устройств

К несомненным достоинствам подхода, применяемого Microsoft, стоит отнести простоту настройки и использования, интеграцию с Active Directory, а также то, что такой подход не требует установки ПО сторонних производителей.

Что же касается недостатков, то их, увы, гораздо больше. Данный подход не позволяет контролировать, что же именно пользователь записывает (считывает) с внешнего носителя, так как логи операций записи/считывания просто не ведутся. По способу организации контроля над внешними носителями данное ПО может быть отнесено к ПО контроля за внешними устройствами начального уровня. Однако не стоит забывать и о том, что в данный момент времени не существует другого ПО, способного выполнять аналогичные задачи под управлением Windows Server 2008 и Windows Vista.

или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  
13-01-2008 10:39:15
Мда, наконец эта возможность появилась и в windows, вот только не понятно нафига она на сервере? Не знаю ни одной организации, где бы пользователи имели доступ к серверу.
0 |
1
13-01-2008 12:37:51
В ActiveDirectory групповые политики наследуются клиентами от сервера. "К несомненным достоинствам подхода стоит отнести интеграцию с Active Directory."
0 |
13-01-2008 16:23:41
Да эт я проглядел, правда это не достоинство, а необходимое условие, от этого "трюка" мало толку. Хм, да от него и так мало толку, если не логировать кто и чего копировал
0 |
1
13-01-2008 13:02:18
это GPO, чувак....
0 |
1
13-01-2008 18:02:21
ну типа счас сделали..епрст, обходиться достаточно легко... 1. логинимся в домен 2. качаем то что нужно 3. логинимся локально без входа в домен ..и привет инфа ушла..
0 |
13-01-2008 19:46:00
1. А что у вас позволено логиниться локальными учетками? 2. GPO может быть настроено и для локальной политики (собственно на скрине оно и есть), и не имея администраторских прав туда не пролезть (в идеале при ситуации без багов для поднятия админских прав). зы ну хоть что то МС родило, пусть хоть на пордок уступающее DevLock & Zlock
0 |
1
13-01-2008 21:55:51
а safe mode забыли? и залогиниться локально всегда можно, есть десяток способов.. да и это рассчитано на непрофессионалов, никс системах такое делаеться очень просто,лишением прав доступа до определенных устройств, а тут решшение предложено через "жопу", как всегда микрософт изобрела велик с квадратными колесами. (без фдейма plz)
0 |
14-01-2008 03:02:26
>1. А что у вас позволено логиниться локальными учетками? by default многие bios подхватывают usb-флешки и пытаются с них грузится. Либо предлагают нажать F11/F12 etc чтобы выбрать загрузочное устройство.
0 |
1
15-01-2008 16:12:20
By default админ не с жопой вместа моска разрешит загрузку только с винта, загрузка с носителя == система твоя.
0 |
16-01-2008 13:47:07
1)многие BIOS просто не умеют отключать хоткей выбора boot device. 2)ничто не мешает загрузиться по сети 3)ничто не мешает воткнуть pci/pcie контроллер-sata/pata и грузиться с него.
0 |
1
17-01-2008 12:12:09
Как сложно! А просто скопировав на локальный хард его унести на ночь домой не судьба? Хотя в висте ентерпрайз/ультимейт есть шифрование харда, может оно и поможет чем... Но ИМХО, такое решается только организационно а не технически.
0 |
1
17-01-2008 14:42:28
2. eto kak? 3. Kuda votknut? Eta esli korpus razobrat ne pomeshajut i kontroller est. 1. Sam ohuel, v institute vo vseh kompah bios zaparolennij, a po F8 vilazit menu zagruzki. Tam pravda fleshki netu. Eto kak-to otkluchit mozhno?
0 |
17-01-2008 20:22:14
насчёт N2: ответ простой - PXE. оно ж для unattended install используется.
0 |
14-01-2008 03:04:52
>2. GPO может быть настроено и для локальной политики (собственно на скрине оно и есть), и не имея администраторских прав туда не пролезть (в идеале при ситуации без багов для поднятия админских прав). а я вот не понимаю, почему даже в sp2 для xp и в массе апдейтов для неё не пофиксили косяк с logon.scr?
0 |
1
14-01-2008 10:41:34
Правда классная штука? Пишешь cmd.exe и радуешься свободному логину под System аккаунтом.
0 |
1
14-01-2008 11:35:10
Я в шоке... Сколько с виндой работал, но тако-о-ого западлостроения даже представить не мог.
0 |
14-01-2008 12:02:17
Ага. в сочетании с возможностью выбора загрузочного устройства не заходя в биос - вообще конфетка.
0 |
1
14-01-2008 12:15:24
ERD Commander, Pnordahl Password Recovery Floppy (или как его там) всегда с нами. Хотя, кто писал "have a boot, have a root" - на Лине пароль rootа скинуть не намного сложнее. Только инструменты отличаются (Knoppix вместо ERD).
0 |
14-01-2008 13:33:03
угу. поэтому /etc & ~ надо держать на nfs
0 |
1
15-01-2008 16:14:03
Этакак? Не говори, что это отключить нельзя.
0 |
1
16-01-2008 00:14:12
Просто, для IBM - ESC.
0 |
1
15-01-2008 16:14:49
Попробуй сделать это на NTFS.
0 |
1
16-01-2008 00:12:49
А какая нафиг разница? Если ограничение доступа работает только при загруженной системе (только она понимает, что эти ограничения значат), то что мне запрещает сделать следующее: 1. Снести пароль в биосе (из под оси, из под перемычки, из под батарейки) 2. Отключить все запреты на загрузку с диска (флешки, дискетки) 3. Забутиться с ERD commanderом и снести пароль локального админа. Правильно - админ, который епнет линейкой по пальцам. Относительно login.scr - давненько хотел попробовать один способ для восстановления пароля админа на доменном контроллере. Принцип, как и выше, только добавляется момент с подменой login.scr на командную строку. Пару месяцев назад дошли руки. Едиственное, чего не учел автор статьи - system аккаунт имеет права только на чтение активной директории. Изменить - не получится, но почитать - без проблем. Даже не логинясь на сервак. А ты нтфс, нтфс...
0 |
1
17-01-2008 14:45:07
Eto otnosilos k bagu s logon.scr, kotorij imho rabotal tolko pod FAT. Pro got boot == got root ya uzhe pisal, variantov more.
0 |
1
18-01-2008 23:25:56
Хм.... я прекрасно забутился на доменном контроллере под НТФС. Еще вопросы есть?
0 |
16-01-2008 13:48:26
а в чём проблема? Тот же knoppix вполне умеет ntfs write support через ntfs-3g.
0 |
1
13-01-2008 20:08:38
Как всегда, любую проблему можно будет решить начиная с версии ххх (деньги пожалуйста в кассу) и ужасным ирректальным путем. И эта технология (в таком чудном виде) придумана лидером индустрии?
0 |
1
14-01-2008 02:35:26
А вот не надо сотрудников обижать ... А стибзить информацию ... ДВД приводы, FTP, через аську передать, на HTTP залить, просто выкрутить винт, если системник не опечатан. Достойно платите, и будет вам счастье
0 |
1
14-01-2008 10:46:45
Как у тебя все просто. Достойно платите. Как ты думаешь, если в зад постоянно общают, но при этом платят много, уровень счастья работников будет высок? Причин стырить инфу - куча. - Чтобы им было обидно. - Чтобы мне не было обидно. - Это мое, я это сделал! - Это не мое, но пофиг. - Это даст мне хорошую должность у конкурентов. - Это даст мне кучу бабла и виллу на Канарах. - За это мне даст вон та сексапильная секретарша конкурентов. - Я просто люблю тырить инфу. - Это типа мой бэкап и я не доверяю админам. - Я умру (уйду) и вы все будете плакать. - А почему ты распустил мою шапочку?
0 |
1
20-01-2008 11:42:23
корпорации - зло
0 |
1
20-01-2008 19:11:27
Поправлю, корпорация - безличность (для меня и Вас - это зло, а кому-то очень даже нравится). Правда любая контора, которая достаточно долго развивается, рано или поздно дойдет до того момента, когда одновременный уход трех-четырех человек из отдела никто не почувствует...
0 |
14-01-2008 03:08:09
Кстати, если архив с мегасуперсвехгиперсекретной информацией весит немного, то что мешает его конвертнуть в base64/uee(я уж не говорю о более сложных способах кодирования) и распечатать?
0 |
Страницы: 1  2  3  4  5