А АMonday, 18 June 2018

Запрещаем USB накопители.

Всем привет.

При подключении нового USB устройства к компьютеру, ОС автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенный USB накопитель. 

В многих организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) отключена из соображений безопасности по умолчанию. 

Например в этой статье показано как с помощью групповых политик полностью отключить возможность использовать внешних USB накопителей, запретить запись данных и запуск исполняемых файлов.


Первой неплохо было бы включить именно политику "Запретить выполнение" со сьемных и других внешних накопителей. Как по мне это самая ценная возможность из всего списка. Однако это опция применима только к Компьютерам и отсутствует как для Пользователей. Также эта опция не применима к компьютерам на которых живет Windows ХР. Достаточно одной такой старушки и у вас будет брешь в безопасности сети.

К тому же у вас может быть группа техподдержки которой необходимо использование служебных флеш-накопителей. С одной стороны можно внести такие накопители в белый список разрешенных к использованию на фирме. С другой - как запретить пользователям использовать служебные флешки вне работы, дома например? Разве что они их должны сдавать своему шефу в конце дня. Или замыкать в служебном сейфе.

Только техническими средствами вы не добьётесь нормальной безопасности, особенно с инсайдером. Вначале должны быть приняты административные меры, и только потом - технические. Причем по административным мерам, извините, нужен пример показательной порки по случаю. Например оставить нарушителя без квартальной премии. Это сильно впечатляет, и может перевоспитать не один десяток любителей фото на природе).

Но помните, как бы они не закручивали гайки - все равно человеческий фактор не исключишь на 100%. И конфиденциальную информацию рано или поздно вынесут. Поэтому главные ваши силы все таки лучше сосредоточить на противодействии привнесения вредного кода через парадный вход. 

Удачи.

Posted by Nyukers в 04:30
По ключу: , , ,

No comments:

Post a Comment

А что вы думаете по этому поводу?

Subscribe to: Post Comments (Atom)

Версия на печать

Популярное

  • Высота строки в MS Excel 409 пт и больше.
    Всем привет. В прошлом году я вам показывал фокус с защитой листа в MS Excel 2010. Но как оказалось в великом и могучем MS Excel сюр...
  • GLPI как беcплатный HelpDesk.
    Всем привет. Рано или поздно в любой кампании поднимается вопрос о эффективности работы подразделения ИТ. Вопрос может подниматься к...
  • Знаете ли вы свой принтер?
    Всем привет. Листая журнал "Системный администратор" я обнаружил неожиданно (для себя), что Игорь Савчук во многом прав относи...
  • Nping - еще один универсальный пинглер.
    Всем привет. Я уже говорил о разных утилитах для тестирования сети, таких как iperf, hping , fping и других. Оказывается существует утилита...
  • Отключаем IP Autoconfiguration.
    Всем привет. Такую ситуацию я наблюдал на виртуальных машинах VmWare , которые имеют IP-адрес реальной машины,  а именно - Windows после зап...