В статье автор рассматривает способы управления монтированием USB-устройств.
Ключевые слова: GPO, USB, монтирование.
В настоящий момент существует несколько способов управления монтированием USB-устройств. Можно управлять монтированием с помощью:
1) внутренних механизмов Windows;
2) групповых политик;
3) программного обеспечения;
4) программно-аппаратных комплексов.
Внутренние механизмы Windows
Программное обеспечение инициализации начинает работать при подключении к хосту нового USB устройства. Происходит обмен служебной информацией между хостом и USB-устройством. [1]
Когда пользователь монтирует USB-устройство в ПК или демонтирует его, Windows посылает специальные события: DBT_DEVICEARRIVAL и DBT_DEVICEREMOVECOMPLETE. При помощи данных событий пользователь сразу может узнать букву диска, на который смонтировалось устройство.
Есть способ, позволяющий определить, какое устройство добавилось или удалилось из системы. При возникновении события DBT_DEVICEARRIVAL или DBT_DEVICEREMOVECOMPLETE достаточно перечислить все диски в системе, найти среди них USB-устройства и сравнить полученный список с состоянием до прихода события. Такой способ является не очень оптимальным, но позволяет точно узнать, какие USB-устройства монтируются и удаляются из системы.
Групповые политики
Групповая политика GPO (Group Policy Object) — это инструмент, который доступен администраторам, работающим с Active Directory. Этот инструмент позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену.
С помощью GPO можно запретить использование USB-устройств в ОС Windows. Например, можно запретить запись на монтированные USB-flash-накопители или ограничить запуск исполняемых файлов с этих устройств.
Начиная с Windows 7 стало возможно программно ограничить использование только USB-накопителей, но возможность использовать мышь, клавиатуру, принтер и другие USB-устройства останется.
Если необходимо использовать USB-накопители на всех компьютерах в определенном контейнере (OU) домена, необходимо открыть консоль управления доменами (gpmc.msc) и создать новую политику. Если нужно заблокировать USB-накопители для всех пользователей компьютера, нужно настроить параметры в разделе «Конфигурация компьютера».
В разделе «Доступ к съемным запоминающим устройствам» есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т. д. [2]
Можно запретить запуск исполняемых файлов или запретить чтение данных для любого класса устройств с помощью GPO.
При использовании политики: «Removable Disk: Deny write access» пользователи смогут читать данные с USB-flash-накопителя, но при попытке записать на него информацию увидят ошибку, изображенную на рисунке 1.
Рис. 1. Диск защищен от записи
Если возникает необходимость запретить использование USB-накопителей всем пользователям, кроме администратора, то можно использовать Security Filtering в GPO. С помощью фильтров нужно запретить применение политики блокировки группе администраторов домена.
Программное обеспечение
Существует ряд программ, позволяющих ограничивать монтирование USB-устройств на ПК. Одна из них Ratool.
Программа мгновенно запрещает подключение USB-устройств.
Также с ее помощью можно разрешать считывать информацию с USB-накопителей, но запрещать запись. Одной из возможностей программы является то, что она позволяет запретить автозапуск USB-накопителей, блокировать настройки и защитить их собственным паролем. Главное окно программы продемонстрировано на рисунке 2.
Рис. 2. Главное окно программы «Ratool»
Программно-аппаратные комплексы
Одним из программно-аппаратных комплексов, способных управлять монтированием USB-устройств является Аккорд TSE.
Программно-аппаратные комплексы средств защиты информации (ПАК СЗИ) Аккорд-Win32 и Аккорд-Win64 предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам под управлением ОС семейства Windows — 32-х и 64-х разрядных соответственно. [3]
Помимо доверенной загрузки ОС, контроля целостности системных файлов и управления терминальными сессиями, в данном комплексе присутствует контроль доступа к USB-устройствам.
Литература:
- Немоляев А. В. Популярно о USB. — Екатеринбург.: Живая мысль, 2015.
- Яремчук С.А, Матвеев А. А. Системное администрирование Windows 7 и Windows Server 2008 R2. — СПБ.: Питер, 2011.
- ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE) [Электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/pak-accord-win32–64-tse/ (Дата обращения: 20.11.20)
