Gestionarea tuturor dispozitivelor USB utilizând Politica de grup

Când ia în considerare securitatea, securitatea rețelei, protecția datelor corporative sau probleme similare în rețeaua dvs., trebuie să se gândească la modul de a controla drive-uri USB și hard disk portabil. În cazul în care utilizatorii pot face drive-uri USB în afara biroului în buzunarele lor, copiați aproape orice fișier de pe ele, apoi introduceți drive-urile din PC-ul lor desktop și copia sau rulați-l din fișierul unitate, expunerea potențială a atacului sau a virusului este mult crescut. Până acum, controlul unităților USB a fost limitat, incomod și în majoritatea cazurilor toate dispozitivele USB au fost afectate dacă doriți să controlați unitățile USB. Cu toate acestea, Microsoft a venit la salvare prin adăugarea de Restricții de instalare a dispozitivului pentru a controla dispozitivele USB în Windows Vista. Aceste setări sunt ușor de configurat, monitorizate și foarte puternice, deoarece sunt setate utilizând Politica de grup.

Ar trebui să luați în considerare două scenarii atunci când controlați unitățile USB

Înainte de a putea lua în considerare opțiunile și pașii de limitare a unităților USB, trebuie să împărțim unitățile USB în două scenarii diferite. Primul scenariu este foarte simplu, deoarece se referă la computere care nu au mai văzut niciodată drivere USB. În această situație, pe computer nu sunt instalate unități USB. Un scenariu similar va fi situația în care aveți o unitate USB (pe care doriți să o limitați), dar care nu a fost instalată pe computer înainte, deși au fost deja instalate diverse unități USB. În acest caz, unitatea USB pe care doriți să o limitați nu a fost instalată niciodată, astfel încât să puteți monitoriza instalarea acestei unități USB și a driverului acesteia.

Al doilea scenariu este situația în care este deja instalată unitatea USB. În acest caz, unitatea USB este deja configurată în registrul sistemului, iar driverul alocat acestuia a fost copiat pe computer.

Gestionarea instalării unităților USB în pre-Windows Vista

Gestionarea tuturor dispozitivelor USB utilizând Politica de grup

Figura 1: Setarea numelui grupului pentru a refuza permisiunile de acces complet la ambele fișiere

Gestionarea instalării unităților USB pe Windows Vista

Pentru computerele Windows Vista, puteți utiliza setările obiectului Politică de grup pentru a dezactiva instalarea unităților USB. Această metodă oferă o modalitate foarte clară de a controla dispozitive USB individuale. Această metodă nu este o situație "totală sau totală", ca multe alte opțiuni. Pentru această metodă, va trebui să detectați ID-ul dispozitivului USB. Apoi ID-ul va fi folosit în politica de control al dispozitivului USB. Un alt avantaj al politicii de grup este că puteți să dezactivați sau să permiteți dispozitivul USB. Puteți crea o listă proprie de dispozitive USB interzise și interzise.

Pentru a utiliza detectarea ID-ului USB, trebuie să o instalați. Aici veți avea nevoie de un computer de testare la care să puteți instala dispozitivul.

Mai jos sunt pașii următori pentru a detecta ID-ul USB al dispozitivului instalat.

  1. Deschideți Manager dispozitive din panoul de control.
  2. Găsiți dispozitivul din lista de dispozitive. Unitățile USB sunt de obicei situate sub partiția hard disk.
  3. Faceți clic dreapta pe dispozitivul USB și selectați Properties (Proprietăți), care deschide pagina cu proprietățile dispozitivului, după cum se arată în Figura 2.

Gestionarea tuturor dispozitivelor USB utilizând Politica de grup

Figura 2: Selectarea proprietăților dispozitivului de stocare USB în Manager dispozitive
  1. Selectați fila Detalii din pagina de proprietăți.
  2. Faceți clic pe lista cu numele Proprietăți
  3. Selectați opțiunea Hardware Ids, așa cum se arată în Figura 3.

    Gestionarea tuturor dispozitivelor USB utilizând Politica de grup

    Figura 3: GUID-ul clasei de dispozitiv este ceea ce utilizați pentru ID-ul hardware al politicii

Folosind acest ID USB puteți crea și configura un GPO. Pentru a configura GPO pentru a activa ID-ul USB și a limita instalarea dispozitivului, urmați acești pași pe computerul pe care nu este instalat dispozitivul USB.

Gestionarea tuturor dispozitivelor USB utilizând Politica de grup

Figura 4: Configurați politicile din fila Restricții dispozitiv pentru gestionarea dispozitivelor USB
  1. Faceți dublu clic pe opțiunea Preveniți instalarea dispozitivelor care se potrivește cu oricare dintre aceste politici hardware.
  2. Faceți clic pe butonul Activat.
  3. Faceți clic pe butonul Afișare pentru a deschide caseta de dialog Afișare conținut.
  4. Faceți clic pe butonul Adăugați în caseta de dialog.
  5. Introduceți ID-ul pentru unitatea USB folosind sintaxa prezentată în Figura 5.

    Acum, când politica dvs. este setată, puteți testa instalarea unității USB. Când introduceți unitatea USB în computerul pe care GPO instituit, ar trebui să vedeți raportul de eroare, așa cum este prezentat în figura 6. Trebuie doar să faceți clic pe eticheta mesajului pentru a deschide caseta de dialog.

    Gestionarea tuturor dispozitivelor USB utilizând Politica de grup

    Figura 6: Dacă politica interzice instalarea dispozitivului, este afișat un mesaj

    Dacă doriți să mergeți mai departe, puteți să vă creați o notificare proprie. Există două politici (afișați un mesaj personalizat atunci când setarea este interzisă de politică) de mai sus, împiedicând ID-urile USB, pe care le puteți vedea în Figura 4.

    Notă: dacă dispozitivul este deja instalat, politica nu va împiedica lansarea acestuia. Va trebui să dezinstalați driverul acestui dispozitiv pentru a face politica să funcționeze sau puteți utiliza opțiunile listate mai sus pentru computerele cu sisteme de operare pre-Vista. Cu toate acestea, dacă utilizați opțiunea de dezactivare de mai sus după instalarea driverului, va interzice instalarea tuturor dispozitivelor de stocare USB.

    Controlul dispozitivelor USB care au fost deja instalate

    Pentru al doilea scenariu, trebuie să țineți cont de situația în care dispozitivele USB au fost deja instalate. Pentru acest scenariu, aveți două opțiuni. Unul dintre ele - este de a dezinstala unitatea USB care va reveni computerul la o stare de lipsă de o unitate flash USB - deoarece poate fi sarcină foarte dificilă sau imposibilă într-o rețea corporativă mare, aveți nevoie de o alternativă.

    CLASA CATEGORIE UTILAJ «Braincore.net USB de stocare Unitate de restricție» Politica de «Cum vrei flash-uri USB ComportaŃi?» #if versiune> = 3 EXPLICAȚI «Politica de dezactivare USB de stocare amovibil» # endif KeyName SYSTEM \ CurrentControlSet \ Services \ USBSTOR VALUENAME Începeți VALUEON NUMERIC 3 VALUEOFF NUMERIC 4 CATEGORIE SFÂRȘITĂ DE POLITICĂ END