Управление всеми USB устройствами с помощью групповой политики

Когда вы учитываете безопасность, защиту сети, защиту корпоративных данных или подобные вопросы в вашей корпоративной сети, вы должны задумываться о том, как контролировать переносные приводы USB и жесткие диски. Если пользователи могут вынести USB накопители за пределы офиса в своих карманах, скопировав практически любой файл на них, затем вставить эти накопители в свой рабочий компьютер и скопировать или выполнить на нем файл с накопителя, то потенциальная подверженность атаке или вирусам значительно возрастает. До настоящего времени контролирование USB приводов было ограниченным, неудобным и в большинстве случаев все USB подвергались влиянию, если вы хотели контролировать USB приводы. Однако компания Microsoft пришла на помощь путем добавления Device Installation Restrictions (ограничения установки устройств) для контролирования USB устройств в Windows Vista. Эти параметры просты в настройке, контролировании и очень мощные, поскольку устанавливаются они с помощью групповой политики.

Вы должны учитывать два сценария при контролировании USB накопителей

Прежде чем мы сможем рассмотреть опции и шаги по ограничению USB накопителей, мы должны разбить USB накопители на два различных сценария. Первый сценарий очень прост, поскольку он относится к компьютерам, которые никогда прежде не видели USB накопителей. В такой ситуации на компьютере не установлены никакие USB приводы. Подобным сценарием будет ситуация, в которой у вас есть USB привод (который вы желаете ограничить), но который еще не устанавливался на компьютер ранее, хотя различные USB накопители уже устанавливались. В этом случае USB привод, который вы хотите ограничить, никогда не устанавливался, поэтому вы можете контролировать установку этого USB привода и его драйвера.

Вторым сценарием будет ситуация, в которой USB привод уже установлен. В этом случае USB накопитель уже настроен в системном реестре, а предназначенный для него драйвер был скопирован на компьютер.

Управление установки USB приводов на pre-Windows Vista

Для тех, кто еще не использует Windows Vista, или желает проверить процесс контролирования установки USB устройств на Windows 2000 или Windows XP, я хочу поделиться возможностями, которые у вас есть для этих ОС. Этот процесс позволяет вам управлять USB устройствами, но не настолько просто устанавливать или контролировать по сравнению с новой возможностью управления USB приводами с помощью групповой политики.

Для Windows 2000 и XP вам потребуется изменить разрешения существующих файлов для ограничения установки USB накопителей. Это будут два файла USBSTOR.PNF и USBSTOR.INF, которые расположены в папке %systemroot%\inf. Чтобы запретить установку USB устройств, вам потребуется изменить безопасность на каждом файле. Чтобы изменить параметры безопасности для каждого файла, правой клавишей нажмите на файле, затем выберите свойства. В окне свойств выберите вкладку Безопасность. Затем выберите имя группы, к которой пользователь(и) принадлежит (для которого вы хотите запретить установку USB накопителей), а затем выберите опцию Запретить – Полный доступ, как показано на рисунке 1.

 
Рисунок 1: Настройка имени группы на запрещение разрешений полного доступа к обоим файлам

Управление установкой USB накопителей на Windows Vista

Для компьютеров Windows Vista вы можете использовать параметры объектов групповой политики для запрещения установки USB приводов. Этот метод предоставляет очень четкий способ контролирования отдельных USB устройств. Этот способ не является ситуацией ‘все или ничего’, как многие другие варианты. Для этого метода вам нужно будет обнаруживать USB ID устройства. Затем ID будет использоваться в политике для контролирования USB устройства. Еще одним преимуществом групповой политики является то, что вы можете либо запретить, либо разрешить USB устройство. Вы сможете создавать собственный список разрешенных и запрещенных USB устройств.

Для использования обнаружения USB ID нужно его установить. Здесь вам понадобится тестовый компьютер, на который можно будет устанавливать устройство.

Ниже представлены шаги, которым нужно следовать, чтобы обнаружить USB ID устанавливаемого устройства.

  1. Откройте Диспетчер устройств из панели управления.
  2. Найдите устройство в списке устройств. USB накопители как правило находятся под разделом жестких дисков.
  3. Правой клавишей нажмите на USB устройстве и выберите Свойства, в результате чего откроется страница свойств устройства, как показано на рисунке 2.
 
Рисунок 2: Выбор Свойств вашего устройства хранения USB в диспетчере устройств
  1. Выберите вкладку Подробно на странице свойств.
  2. Нажмите в списке под названием Свойства
  3. Выберите опцию Hardware Ids, как показано на рисунке 3.
Рисунок 3: GUID класса устройств – это то, что вы используете для ID оборудования в политике

Используя этот USB ID вы можете создавать и настраивать GPO. Для настройки GPO на включение USB ID и ограничение установки устройства, проделайте эти шаги на компьютере, на котором устройство USB не установлено.

  1. Нажмите меню Пуск, выберите Выполнить, впишите gpedit.msc, затем нажмите кнопку OK. (Если у вас включена UAC, вы должны будете согласиться с разрешением запуска редактора групповой политики. 
  2. Разверните Конфигурация компьютера | Административные шаблоны | Система | Установка устройств | Ограничения установки устройств , как показано на рисунке 4.
 
Рисунок 4: Вы настраиваете политики во вкладке ограничения установки устройств для управления USB устройствами
  1. Дважды нажмите на опции Предотвращать установку устройств, которые соответствуют любой из этих политик Ids оборудования.
  2. Нажмите кнопку Включено.
  3. Нажмите кнопку Показать, чтобы открыть диалоговое окно «Показать содержимое».
  4. Нажмите кнопку Добавить в диалоговом окне.
  5. Впишите ID для USB накопителя, используя синтаксис, показанный на рисунке 5.
 
Рисунок 5: Вводимая информация политики ограничения установки устройств использует ID устройства
  1. Сохраните все параметры политики и выйдите из редактора.

Теперь, когда ваша политика задана, вы можете протестировать установку USB привода. Когда вы вставляете USB накопитель в компьютер, на котором настроили GPO, у вас должен появиться отчет об ошибке, как показано на рисунке 6. Вам нужно лишь нажать на ярлыке этого сообщения, чтобы открыть диалоговое окно.

 
Рисунок 6: Если политика запрещает установку устройства, отображается сообщение

Если вы хотите пойти дальше, вы можете настроить собственное оповещение. Существует две политики (Отображать пользовательское сообщение, когда установка запрещена политикой) над предотвращением USB IDs, которые можно посмотреть на рисунке 4.

Заметка: Если устройство уже установлено, политика не будет запрещать его запуск. Вам нужно будет деинсталлировать драйвер этого устройства, чтобы политика работала, или вы можете использовать опции, перечисленные выше для компьютеров с ОС pre-Vista. Однако если вы используете вышеупомянутую опцию запрета после установки драйвера, она будет запрещать установку ВСЕХ USB накопителей.

Контролирование USB устройств, которые уже были установлены

Для второго сценария, вам нужно учесть ситуацию, когда USB устройства уже были установлены. Для этого сценария у вас есть две опции. Одна из них – это деинсталляция USB накопителя, которая вернет компьютер в состояние отсутствия USB накопителя – поскольку это может быть очень сложным или невыполнимым заданием в большой корпоративной сети, вам нужна альтернатива.

Второй вариант – это работа с системным реестром. Не бойтесь, вы сможете изменить системный реестр, не вызвав повреждений системы! Благодаря изменениям реестра вы сможете вносить изменения вручную, с помощью сценария или используя групповую политику для установки параметра. В этом случае, я бы предложил использовать групповую политику. Вы можете использовать новую привилегию реестра или вы можете изменить ADM шаблон. Я покажу вам, как должен выглядеть ADM шаблон ниже. Настройка политики привилегии реестра из информации в ADM шаблоне будет супер простой! Для создания ADM шаблона просто скопируйте текст, приведенный ниже, в блокнот и сохраните файл с ADM расширением, убедившись, что у вас не стоит .txt расширение файла. Далее, просто импортируйте ADM шаблон в GPO, используя редактор Group Policy Management Editor.

CLASS MACHINE CATEGORY "Braincore.net USB Storage Drive Restriction" POLICY "How do you want USB Drives to Behave?" #if version >= 3 EXPLAIN "Policy to disable USB removable storage" #endif KEYNAME SYSTEM\CurrentControlSet\Services\USBSTOR VALUENAME Start VALUEON NUMERIC 3 VALUEOFF NUMERIC 4 END POLICY END CATEGORY

Резюме

USB устройства можно контролировать на компьютерах Windows 2000, XP и Vista. Вы можете контролировать устройства, ограничивая их установку, если они не устанавливались ранее, или вы можете ограничить их использование, если они уже установлены. Для Windows 2000 и XP у вас есть другие способы ограничения установки USB по сравнению с Windows Vista. Windows Vista использует GPO, где для Windows 2000/XP требуется изменение разрешений файлов. Если устройство уже установлено, вам нужно изменить системный реестр, чтобы ограничить его использование. Этот метод может быть выполнен вручную, с помощью сценария или с помощью групповой политики. Теперь, когда у вас есть арсенал для управления USB накопителями, ваша сеть должна стать немного безопаснее и более защищенной.

Дерек Мелбер (Derek Melber)