пятница, 21 марта 2014 г.

Как закрыть доступ к USB-накопителям с помощью Symentec Endpoint Protection Manager.

"В жизни, как правило, преуспевает больше других тот, кто располагает большей информацией"
                                                                                                                    Бенджамин Дизраэли



Дабы повысить уровень информационной безопасности внутри компании следует запретить доступ пользователей к USB-накопителям, будь то флэшка или внешний HDD. С помощью Symentec Endpoint Protection Manager можно блокировать внешние устройства не только по Class ID, но и по Device ID. Это делает политику запрета использования внешних устройств более гибкой и функциональной. Также существует возможность закрыть доступ на запись, считывать же информацию можно будет беспрепятственно.

Задача:

Закрыть доступ к USB-накопителям (флэшки, внешние HDD).

Решение: Данную задачу можно решить двумя способами:


  1. Блокировка  USB по Class ID + исключения (Human Interface Devices (Mice, Joysticks, Gamepads, and System controls), Printing Devices,  Imaging Devices (Scanners, Digital Cameras).
  2. Блокировка USB-накопителей путем создания нового Device ID: <USBSTOR\DISK&VEN_*>

Способ 1:

  1. Открываем Symantec Endpoint Protection Manager. Переходим в раздел Policies. В данном разделе выбираем Application and Device Control Policy. Здесь мы можем создать новую или изменить политику по умолчанию. На политике Application and Device Control Policy жмем правой кнопкой мыши -> Edit (Рис.1):
     Рис.1.

    2.  Откроется окно настройки политики. Выбираем Device Policy. В разделе Blocked Devices, нажимаем кнопку Add (Рис.2):

     Рис.2.

    3.  В открывшемся окне Device Selection выбираем USB и нажимаем Ok (Рис.3):

        Рис.3.

    4.  Далее, в разделе Devices Excluded From Blocking нажимаем Add (Рис.4):

     Рис.4.

    5.  В окне Device Selection выбираем Human Interface Devices, Printing Devices и Imaging Devices. Нажимаем Ok (Рис.5):

    Рис.5.

    6.  В окне настройки политики проверяем блокируемые устройства и исключения и нажимаем Ok (Рис.6):

       
    Рис.6.

    7.  В окне Application and Device Control Policy нажимаем на нашей политике правой кнопкой мыши -> Assign, выбираем группы применения и еще раз нажимаем Assign (Рис.7):

    Рис.8.

Политика должна примениться на наши клиентские компьютеры. В итоге USB порты будут доступны только для принтеров, сканеров, мышек, клавиатур, плоттеров. USB-накопители будут недоступны.


Способ 2:

  1. Открываем утилиту DevViewer, которая идет в комплекте с дистрибутивом Symantec Endpoint Protection. Находим в списке Дисковых устройств нашу экспериментальную флэшку. Справа находим Device ID и копируем его. Для абсолютно всех USB-накопителей (будь то флэшка или USB-HDD) Device id начинается так (помечено жирным): USBSTOR\DISK&VEN_GENERAL&PROD_USB_FLASH_DISK&REV_1100\0104000000008737&0. Следовательно для всех USB-накопителей мы можем указать Device ID <USBSTOR\DISK&VEN_*> (Рис.9):
    Рис.9.

    2.  Открываем Symantec Endpoint Protection Manager. Переходим в раздел Policies. Открываем список Policy Components и выбираем Hardware Devices. В окне Hardware Devices нажимаем правой кнопкой мыши -> Add (Рис.10):

   Рис.10.

    3.  В появившемся окне Hardware Device задаем Device Name, выбираем Device ID и вписываем туда USBSTOR\DISK&VEN_* и нажимаем Ok (Рис.11):

                          Рис.11.

    4.  В разделе Policies выбираем Application and Device Control Policy. Здесь мы можем создать новую или изменить политику по умолчанию. На политике Application and Device Control Policy жмем правой кнопкой мыши -> Edit (Рис.12):

     Рис.12.

    5.  Откроется окно настройки политики. Выбираем Device Policy. В разделе Blocked Devices, нажимаем кнопку Add (Рис.13):

    Рис.13.

    6.  Выбираем из списка устройство, созданное в пункте и нажимаем Ok два раза (Рис.14):

   Рис.14.

    7.  В окне Application and Device Control Policy нажимаем на нашей политике правой кнопкой мыши -> Assign, выбираем группы применения и еще раз нажимаем Assign (Рис.15):

    Рис.15.

    В статье я описал 2 способа блокировки USB-накопителей с помощью продукта Symantec Endpoint Protection.

Успехов!

Комментариев нет:

Отправить комментарий