Контроль использованием информации, перемещаемой через границы локальной сети компании, является одной из главных задач службы информационной безопасности. С каждым годом эта работа становится все более сложной, в том числе и потому, что резко возросло число всевозможных миниатюрных устройств хранения, например USB-накопителей. В качестве примера можно привести все более вместительные флэш-диски (диски емкостью 4 Гбайт уже давно не редкость), переносные MP3-плейеры с жестким диском, фотоаппараты, мобильные телефоны с большим объемом памяти. Рынок таких устройств показывает экспоненциальный рост, при этом размеры устройств становятся все меньше и меньше, а производительность и объем хранящихся данных — все больше.
Постоянно растут инвестиции в межсетевые экраны, разрабатываются все новые способы шифрования данных, другие средства и технологии контроля для защиты данных от хищения через Internet. Однако не стоит забывать, что все эти меры не способны пресечь попытки хищения данных со стороны самих сотрудников, которые могут принести на работу флэш-диск и скопировать на него конфиденциальную информацию. Все технологии сетевой защиты не смогут остановить обиженных сотрудников, которые вполне могут использовать USB-устройства для загрузки вредоносной программы в сеть компании.
Именно поэтому и был разработан целый класс программного обеспечения для контроля сменных носителей. Типичными примерами данного программного обеспечения являются DeviceLock, которые с 1996 г. разрабатывает компания «Смарт Лайн Инк» (SmartLine Inc), Sanctuary Device Control от люксембургской компании SecureWave S.A., ZLock от российской компании ЗАО «СекьюрИТ», GFI EndPointSecurity мальтийской компании GFI Software и некоторые другие.
В этом году компания Microsoft представила новую операционную систему для рабочих станций — Windows Vista, в которую встроена функция контроля использования сменных носителей, и именно этой функции и посвящена наша статья.
Проверка сменных носителей в Windows Vista
Для применения режима контроля использования внешних носителей в Windows Vista администратор должен задействовать групповые (локальные) политики. При помощи групповых политик он может указать конкретные устройства, использование которых разрешено на данном компьютере. Предположим, что сотруднику для работы выделен флэш-диск А, но из дома он может принести еще флэш-диск В. Средствами групповых политик в Windows Vista можно сделать так, что запись на флэш-диск А работать будет, а при подключении флэш-диска В сотрудник получит сообщение о том, что он нарушает политику безопасности. Рассмотрим соответствующую процедуру настройки.
Каждое устройство, использующее USB-порт, обладает так называемым уникальным цифровым идентификатором, т.е. для создания списка разрешенных устройств нам вначале нужно получить идентификаторы (ID) этих устройств. Для получения соответствующего идентификатора устройства необходимо подсоединить это устройство к USB-порту, дождаться, пока система опознает его, запустить в «Диспетчер устройств» (для этого нужно щелкнуть правой клавишей мыши на значке «Мой компьютер») и из контекстного меню выбрать пункт «Свойства». Появится окно, изображенное на экране 1.
Затем из меню «Задачи» следует выбрать «Диспетчер устройств». В появившемся списке устройств нужно открыть пункт «Контроллеры универсальной последовательной шины USB» (см. экран 2).
В полученном списке необходимо выбрать «Запоминающее устройство для USB». Нажмите правую клавишу мыши и в контекстном меню выберите «Свойства». Потом требуется выбрать вкладку «Сведения». В раскрывающемся меню «Свойство» выберите параметр «Зависимости шины» (см. экран 3).
Скопируйте значение этого параметра в текстовый редактор (например, MS Word), он будет выглядеть приблизительно так: USBSTORDisk&Ven_JetFlash&Prod_TS2GJFV30&Rev_8.07BX1D3DGC&0.
Из полученной строки нужно выделить подстроку типа BX1D3DGC (набор символов от последнего символа до &), это и будет искомый идентификатор ID устройства.
Если вы получите строку, подобную USBSTORDisk&Ven_ChipsBnk& Prod_Flash_Disk&Rev_2.006&1c912e9b&0, имя устройства будет 6&1c912e9b.
После того как вы получили уникальный ID устройства, следует перейти к настройкам групповых политик.
Для настройки групповых политик необходимо запустить режим командной строки от имени учетной записи администратора. Для этого требуется выбрать в меню «Пуск», «Все программы», «Стандартные», cmd. Нажмите правую клавишу и в открывшемся контекстном меню выберите «Запуск от имени администратора». В появившемся окне командной строки наберите gpedit.msc (экран 4).
В появившемся окне редактора групповых политик следует выбрать «Административные шаблоны» — «Система» — «Установка устройства» — «Ограничения на установку устройства» (см. экран 5).
Далее выберите «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» (см. экран 6).
Для создания соответствующего списка устройств нажмите кнопку «Показать». В открывшемся окне (см. экран 7) введите коды разрешенных устройств. В этом окне можно как добавить, так и удалить идентификаторы устройств с помощью соответствующих кнопок. После создания нужного списка устройств необходимо запретить установку устройств, не описанных другими правилами политики (см. экран 8).
В случае если пользователь все же решит задействовать устройство, не описанное в групповой политике, он получит уведомление, заголовок которого администратор может указать (см. экран 9).
Основной текст, отображаемый при этом во всплывающем окне, можно задать при помощи пункта групповой политики «Отображать специальное сообщение, когда установка запрещена политикой» (текст всплывающего сообщения; см. экран 10).
Для окончательного запрета установки устройств нужно выбрать пункт «Запретить установку устройств, не описанных другими параметрами политики».
Параметры, описанные в групповой политике, будут введены в действие после ввода в командной строке команды gpupdate.exe.
Достоинства и недостатки
К несомненным достоинствам подхода, применяемого в новой операционной системе Microsoft, стоит отнести простоту использования, интеграцию с Active Directory, а также то, что такой подход не требует установки программного обеспечения независимых производителей.
Что же касается недостатков, то их, увы, гораздо больше. Данный подход не позволяет контролировать, что же именно пользователь записывает (считывает) с внешнего носителя, так как журналы операций записи/чтения просто не ведутся. Кроме того, нельзя забывать о человеческом факторе. Ведь заведомо легальный флэш-диск может взять (одолжить, украсть) пользователь-злоумышленник. Следовательно, при применении данного способа требуется обеспечить контроль выноса флэш-дисков с территории предприятия (или в случае необходимости следить за их сохранностью).
По способу организации контроля использования внешних носителей данная функция может быть отнесена к средствам контроля внешних устройств начального уровня. Однако не стоит забывать и о том, что на сегодня не существует другого программного обеспечения, способного выполнять аналогичные задачи под управлением Windows Vista.
Владимир Безмалый (Vladimir_Bezmaly@ec.bms-consulting.com ) — руководитель программы подготовки администраторов информационной безопасности Академии БМС Консалтинг. MVP in Windows Security