Що таке групова політика USB?

У лютому 2000 року Microsoft Windows 2000 додала нову функцію під назвою групова політика. Вона потрібна для централізованого управління та конфігурації користувачів домену Active Directory і параметрів комп’ютера. Групова політика USB керує USB-пристроями.

Адміністратори безпеки можуть використовувати групову політику USB для контролю доступу до USB-пристроїв і налаштування політик їх використання. Наступні версії Windows, включаючи Windows XP, Windows Vista, Windows 7, Windows 8 і Windows 10, оновили та розширили цю функцію. Однак для деяких організацій її рівень контролю та гранулярності може бути недостатнім для певних цілей і дотримання деяких стандартів відповідності.

У цій публікації розглянуто принцип роботи й обмеження групових політик USB від Windows, а також можливості Endpoint Protector від CoSoSys для додаткового контролю.

Принцип роботи групових політик

Після налаштування параметрів групової політики вони зберігаються в об’єкті групової політики (GPO), який також можна створювати, редагувати та прив’язувати до сайтів, доменів або організаційних підрозділів Active Directory.

Коли користувач входить у ПК, або коли той завантажується, система зчитує об’єкти групової політики в Active Directory, що прив’язані до цього користувача або об’єкта комп’ютера. Потім параметри політики GPO застосовуються до конфігурацій користувача чи ПК. Ці налаштування регулярно оновлюються, зазвичай кожні 90 хвилин.

Софт для керування груповими політиками

Оскільки групові політики є важливим компонентом адміністрування Windows, існує кілька інструментів і додатків для створення, редагування та керування ними.

Приклади таких інструментів:

• Консоль керування груповою політикою (GPMC) дозволяє управляти GPO. За допомогою неї можна створювати, редагувати, робити резервні копії та відновлювати об’єкти групової політики, а також прив’язувати їх до сайтів, доменів або організаційних підрозділів.

• Редактор керування груповою політикою (GPME) дає можливість налаштовувати політики, параметри, конфігурації безпеки та адміністративні шаблони в GPO.

• Редактор локальної групової політики (gpedit.msc) дозволяє змінювати параметри локальної групової політики на конкретному комп’ютері.

• Gpupdate дає змогу вручну оновлювати та застосовувати налаштування групової політики до певного ПК чи користувача.

Крім того, існують численні компоненти Windows для керування груповими політиками різними способами, як-от Майстер конфігурації безпеки (SCW), Розширене управління груповою політикою (AGPM), Результати групової політики (GPResult) і Результативний набір політик (RSOP).

Приклади групової політики USB

• Блокування доступу до певних USB-пристроїв, що можуть становити небезпеку.

• Створення білого списку дозволених девайсів, наприклад, перевірених ІТ-відділом.

• Заборона використання всіх USB-накопичувачів, як-от флешки, зовнішні жорсткі диски та будь-які інші знімні носії.

Такий доступ контролюється за допомогою ідентифікаторів або класів пристроїв.

• Повне блокування USB-портів на певних комп’ютерах або для конкретних конфігурацій чи груп користувачів. Наприклад, деяким може бути заборонено підключати USB-пристрої до будь-яких ПК, якими вони користуються, або певні порти можуть бути перманентно заблоковані для всіх користувачів.

• Запобігання встановленню неавторизованих драйверів USB-пристроїв.

• Перевірка використання USB (інформація про девайс, хто і до чого його під’єднав).

Інструкція для керування доступом до USB-накопичувачів у середовищі Windows

Адміністратор може заборонити доступ до читання, запису та виконання для всіх класів знімних накопичувачів, а також увімкнути захист від запису для всіх USB.

1. Увійти в комп’ютер Windows Server як адміністратор.
2. Натиснути Пуск і ввести gpedit.msc у пошук, щоб відкрити редактор локальної групової політики.
3. На лівій панелі перейти до Конфігурація комп’ютера > Administrative Templates > System > Removable Storage Access.
4. На правій панелі двічі натиснути All Removable Storage classes: Deny read access, щоб перейти до редагування.
5. У діалоговому вікні вибрати Enabled та натиснути ОК.
6. Повторити кроки 4 і 5 для Removable Disks: Deny write access та Removable Disks: Deny execute access.
7. Перезавантажити комп’ютер, щоб застосувати налаштування.

Недоліки групових політик USB від Windows

• Обмеженість контролю USB-пристроями.

• Затримки оновлень GPO на кінцевих точках.

• Лімітований набір політик, яких може бути недостатньо для відповідності певним нормативним стандартам.

• Підтримка виключно Windows, що не підходить компаніям, які використовують декілька операційних систем у своєму середовищі.

Переваги впровадження Endpoint Protector

Гранулярний контроль доступу до USB-пристроїв завдяки функції для створення комплексних політик, що визначають, які пристрої можуть використовуватися, ким і за яких обставин.

Розширені можливості моніторингу та звітності для відстеження використання USB-пристроїв і захисту від витоку даних.

Функція створення тіньових копій файлів, переміщених на USB-пристрій, для їх перегляду адміністраторами.

Встановлення політик на основі вмісту даних, що передаються на USB-пристрій (наприклад, блокування передачі ідентифікаційної інформації, PHI тощо).

Захист периферійних портів, включаючи Bluetooth.

Швидке оновлення політик на кінцевих точках.

Підтримка ряду операційних систем: Windows, macOS і Linux. Рішення ідеально підходить для підприємств, яким потрібен комплексний підхід до захисту даних у всій ІТ-інфраструктурі.