Что такое групповая политика USB?

В феврале 2000 года Microsoft Windows 2000 добавила новую функцию под названием групповая политика. Она необходима для централизованного управления и конфигурации пользователей домена Active Directory и параметров компьютера. Групповая политика USB управляет USB-устройствами.

Администраторы безопасности могут использовать групповую политику USB для контроля доступа к устройствам USB и настройки политик их использования. Следующие версии Windows, включая Windows XP, Windows Vista, Windows 7, Windows 8 и Windows 10, обновили и расширили эту функцию. Однако для некоторых организаций уровень контроля и гранулярности может быть недостаточным для определенных целей и соблюдения некоторых стандартов соответствия.

В данной публикации рассмотрен принцип работы и ограничения групповых политик USB от Windows, а также возможности Endpoint Protector от CoSoSys для дополнительного контроля.

Принцип работы групповых политик

После настройки параметров групповой политики они сохраняются в объекте групповой политики (GPO), который можно создавать, редактировать и привязывать к сайтам, доменам или организационным подразделениям Active Directory.

Когда пользователь входит в ПК или тот загружается, система считывает объекты групповой политики в Active Directory, связанные с этим пользователем или объектом компьютера. Затем параметры политики GPO применяются к конфигурациям пользователя или ПК. Эти настройки регулярно обновляются, обычно каждые 90 минут.

Софт для управления групповыми политиками

Поскольку групповые политики являются важным компонентом администрирования Windows, существует несколько инструментов и приложений для создания, редактирования и управления ними.

Примеры таких инструментов:

• Консоль управления групповой политикой (GPMC) позволяет управлять GPO. С помощью нее можно создавать, редактировать, делать резервные копии и восстанавливать объекты групповой политики, а также привязывать их к сайтам, доменам или организационным подразделениям.

• Редактор управления групповой политикой (GPME) дает возможность настраивать политики, параметры, конфигурации безопасности и административные шаблоны в GPO.

• Редактор локальной политики (gpedit.msc) позволяет изменять параметры локальной политики на конкретном компьютере.

• Gpupdate дает возможность вручную обновлять и применять настройки групповой политики к определенному ПК или пользователю.

Кроме того, существуют многочисленные компоненты Windows для управления групповыми политиками разными способами, например Мастер конфигурации безопасности (SCW), Расширенное управление групповой политикой (AGPM), Результаты групповой политики (GPResult) и Результативный набор политик (RSOP).

Примеры групповой политики USB

• Блокировка доступа к определенным USB-устройствам, которые могут представлять опасность.

• Создание белого списка разрешенных девайсов, например проверенных IT-отделом.

• Запрет использования всех USB-накопителей, как например флешки, внешние жесткие диски и другие съемные носители.

Такой доступ контролируется с помощью идентификаторов или классов устройств.

• Полная блокировка USB-портов на определенных компьютерах или для конкретных конфигураций или групп пользователей. Например, некоторым может быть запрещено подключать USB-устройства к любым ПК, которыми они пользуются, или определенные порты могут быть перманентно заблокированы для всех пользователей.

• Предотвращение установки неавторизованных драйверов USB-устройств.

• Проверка использования USB (информация о девайсе, кто и к чему его подключил).

Инструкция для управления доступом к USB-накопителям в среде Windows

Администратор может запретить доступ к чтению, записи и выполнению всех классов съемных накопителей, а также включить защиту от записи для всех USB.

1. Войти в Windows Server как администратор.
2. Нажать Пуск и ввести gpedit.msc в поиск, чтобы открыть редактор локальной групповой политики.
3. На левой панели выбрать Конфигурация компьютера > Administrative Templates > System > Removable Storage Access.
4. На правой панели дважды щелкнуть All Removable Storage classes: Deny read access, чтобы перейти к редактированию.
5. В открывшемся диалоговом окне выбрать Enabled и нажать ОК.
6. Повторить шаги 4 и 5 для Removable Disks: Deny write access и Removable Disks: Deny execute access.
7. Перезагрузить компьютер, чтобы применить настройки.

Недостатки групповых политик USB от Windows

• Ограниченный контроль USB-устройств.

• Задержки обновлений GPO на конечных точках.

• Лимитированный набор политик, которых может быть недостаточно для соответствия определенным нормативным стандартам.

• Поддержка исключительно Windows, что не подходит компаниям, которые используют несколько операционных систем в своей среде.

Преимущества внедрения Endpoint Protector

Гранулярный контроль доступа к USB-устройствам благодаря функции для создания комплексных политик, определяющих, какие устройства могут использоваться, кем и при каких обстоятельствах.

Расширенные возможности мониторинга и отчетности для отслеживания использования USB-устройств и защиты от утечки данных.

Функция создания теневых копий файлов, перемещенных на USB-устройства, для их просмотра администраторами.

Установка политик на основе содержимого данных, которые передаются на USB-устройства (например, блокировка передачи идентификационной информации, PHI и т.п.).

Защита периферийных портов, включая Bluetooth.

Быстрое обновление политик на конечных точках.

Поддержка ряда операционных систем: Windows, MacOS и Linux. Решение идеально подходит для предприятий, которым требуется комплексный подход к защите данных по всей IT-инфраструктуре.