Kiểm soát các thiết bị USB bằng Group Policy.

Kiểm soát các thiết bị USB bằng Group Policy.

Khi nói đến bảo mật, bảo vệ mạng, bảo vệ dữ liệu công ty, hoặc các vấn đề tương tự như vậy trên mạng công ty của bạn, có một thứ mà bạn phải nghĩ đến đó chính là cách kiểm soát các USB và các ổ đĩa cứng. Nếu người dùng có thể mang USB vào văn phòng làm việc (có thể bỏ túi một cách quá dễ dàng), copy tất cả các file mật thiết nào đó vào trong, sau đó cắm USB vào một desktop khác của họ để copy hoặc thực thi các file từ USB thì sự phơi bày cho một tấn công hoặc việc tiêm nhiễm virus có thể xuất hiện bất cứ lúc nào. Cho tới lúc này, sự kiểm soát các thiết bị USB vẫn còn rất hạn chế. Mặc dù vậy, Microsoft đã giới thiệu một tính năng mới có tên Device Installation Restrictions để kiểm soát các thiết bị USB trong Windows Vista. Các thiết lập này khá dễ dàng trong việc cấu hình, điều khiển và rất mạnh mẽ khi chúng được triển khai bằng Group Policy.

Xem xét đến hai kịch bản điều khiển các thiết bị USB

Việc hạn chế các thiết bị USB diễn ra trong hai kịch bản. Kịch bản đầu tiên khá đơn giản vì nó liên quan tới máy tính chưa hề biết đến các thiết bị USB trước đó. Trong trường hợp như vậy, máy tính không có bất kỳ các thiết bị USB nào được cài đặt. Kịch bản thứ hai là khi thiết bị USB đã được cài đặt. Trong trường hợp này, USB đã được cấu hình trong registry và driver của nó đã được copy vào máy tính.

Kiểm soát sự cài đặt các thiết bị USB trên các phiên bản hệ điều hành trướcWindows Vista

Khi không có hệ điều hành Windows Vista, hoặc muốn thẩm định quá trình kiểm soát cài đặt các thiết bị USB trên Windows 2000 hoặc Windows XP, chúng tôi muốn thêm vào các khả năng mà bạn có đối với các hệ điều hành này. Quá trình này cho phép bạn kiểm soát các thiết bị USB  tuy nhiên không dễ dàng triển khai hoặc điều khiển so với tùy chọn mới trong việc kiểm soát các thiết bị USB bằng Group Policy.

Với Windows 2000 và XP, bạn cần phải thay đổi các điều khoản của các file tồn tại để hạn chế sự cài đặt của các thiết bị USB. Hai file mà bạn cần thay đổi nói ở đây đó là USBSTOR.PNF và USBSTOR.INF, cả hai file này đều nằm trong thư mục %systemroot%inf. Để từ chối cài đặt các thiết bị USB, bạn cần thay đổi sự bảo mật trên mỗi file này. Để thay đổi điều kiện bảo mật trên mỗi file, hãy kích chuột phải vào file đó, sau đó bạn hãy chọn Properties. Trong cửa sổ Properties, hãy chọn tab Security. Sau đó chọn tên nhóm mà người dùng nằm trong đó (tên nhóm bạn muốn từ chối sự cài đặt của thiết bị USB), sau đó chọn điều khoản Full Control như thể hiện trong hình 1.


Hình 1: Cấu hình tên nhóm có các điều khoản Deny là Full Control cho cả hai file

Điều khiển cài đặt USB trên Windows Vista

Với các máy tính Windows Vista, bạn có thể sử dụng các thiết lập đối tượng Group Policy để hạn chế cài đặt các thiết bị USB. Phương pháp này cung cấp cách chỉnh tinh hơn trong vấn đề điều khiển các thiết bị USB riêng biệt. Phương pháp này không phải là một giải pháp tất cả hoặc không có gì so với các phương pháp với các hệ điều hành trước mà nó có khá nhiều tùy chọn tinh chỉnh. Với phương pháp này, bạn sẽ xem xét đến ID của USB. ID này sẽ được sử dụng trong chính sách kiểm soát thiết bị. Một ưu điểm của chính sách thông qua Group Policy là bạn có thể hạn chế thiết bị USB hoặc cho phép nó. Bên cạnh đó bạn cũng có thể thiết lập tinh chỉnh các điều kiện của riêng mình đối với những gì là được phép và những gì không được phép.Việc phát hiện ID của USB là cài đặt nó. Đây là những gì bạn có đối với một máy tính test nơi bạn có thể cài đặt thiết bị.

Bên dưới đây là các bước cần thiết để tìm ra ID thiết bị USB đối với thiết bị đã được cài đặt.

  1. Mở Device Manager từ Control Panel.

  2. Tìm thiết bị trong danh sách thiết bị. Thiết bị USB sẽ được đặt nằm bên dưới phần Disk drives.

  3. Kích chuột phải vào thiết bị USB và chọn Properties, thao tác đó sẽ mở ra trang thuộc tính của thiết bị, xem thể hiện trong hình 2.


Hình 2: Chọn Properties của thiết bị USB từ Device Manager

  1. Chọn tab Details từ trang thuộc tính của USB

  2. Kích vào danh sách dropdown có nhãn Property

  3. Chọn tùy chọn Hardware Ids, như thể hiện trong hình 3.


Hình 3: Device class GUID là những gì bạn sẽ sử dụng cho hardware ID

Với USB ID này, bạn có thể tạo và cấu hình một GPO. Để cấu hình một GPO có USB ID và hạn chế sự cài đặt thiết bị, bạn hãy thực hiện theo các bước dưới đây trên máy tính mà thiết bị USB chưa được cài đặt.

  1. Kích nút Start, chọn Run, sau đó đánh gpedit.msc, tiếp đó kích nút OK. (Nếu UAC đã được kích hoạt thì bạn sẽ phải đồng ý cho phép Group Policy editor chạy).

  2. Mở Computer Configuration|Administrative Templates|System|Device Installation|Device Installation Restrictions, xem thể hiện trong hình 4.


Hình 4: Bạn sẽ cấu hình các chính sách dưới nút Device Installation Restrictions để kiểm soát các thiết bị USB

  1. Kích đúp vào phần ngăn chặn cài đặt các thiết bị tương xứng với chính sách ID phần cứng này.

  2. Chọn nút chọn Enabled.

  3. Kích nút Show để mở hộp thoại Show Contents.

  4. Kích nút Add trong hộp thoại Show Contents.

  5. Đánh vào ID cho thiết bị USB bằng cách sử dụng cú pháp thể hiện trong hình 5.


Hình 5: Đầu vào chính sách hạn chế phần cứng sử dụng Hardware ID của thiết bị

  1. Lưu tất cả những thiết lập bên trong chính sách và thoát khỏi trình soạn thảo.

Lúc này, bạn đã thiết lập được chính sách của mình và có thể kiểm tra việc cài đặt thiết bị USB. Sau khi cắm thiết bị USB trên máy tính, nơi bạn đã cấu hình GPO, bạn sẽ nhận được một thông báo lỗi giống như thông báo có trong hình 6. Chỉ cần kích vào biểu tượng trong khay để xem hộp thoại này.


Hình 6: Nếu chính sách hạn chế cài đặt thiết bị thì một thông báo sẽ được hiển thị

Nếu muốn thêm một số thông tin, bạn cũng có thể cấu hình tùy chỉnh cho thông báo hiển thị. Có hai chính sách (Hiển thị thông báo tùy chỉnh khi cài đặt bị ngăn chặn bởi chính sách) đối với việc ngăn chặn USB ID, bạn có thể xem trong hình 4.

Lưu ý:

Nếu thiết bị đã được cài đặt rồi, chính sách sẽ không từ chối việc chạy nó. Bạn sẽ cần phải hủy bỏ cài đặt driver của thiết bị để chính sách này làm việc, hoặc bạn có thể sử dụng tùy chọn được liệt trong danh sách trên cho các máy tính Windows Vista đối với các driver đã được post.

Kiểm soát các thiết bị USB đã được cài đặt

Với kịch bản thứ hai, bạn cần xem xét đến việc điều khiển các thiết bị USB đã cài đặt rồi. Với kịch bản này, bạn có hai tùy chọn. Tùy chọn thứ nhất là hủy bỏ cài đặt USB drive, điều đó sẽ đưa máy tính của bạn về trạng thái chưa cài đặt driver USB “ do điều này khá khó khăn trong việc quản lý và không thể thực thi trong một công ty lớn, chính vì vậy hãy chọn giải pháp khác.

Tùy chọn thứ hai sẽ bắt buộc bạn phải tiếp xúc với registry. Việc can thiệp vào registry có thể gây ra lỗi màn hình xanh (blue screen!). Việc hack registry có thể được thực hiện một cách thủ công, bằng kịch bản hoặc thậm chí sử dụng Group Policy để triển khai thiết lập. Trong trường hợp này, chúng tôi gợi ý bạn sử dụng Group Policy. Bạn cũng có thể sử dụng Registry Preference hoặc có thể tùy chỉnh mẫu ADM. Việc cấu hình  chính sách Registry Preference từ các thông tin trong mẫu ADM sẽ khá đơn giản! Để tạo một mẫu này, bạn chỉ cần copy đoạn văn kịch bản dưới đây vào Notepad, sau đó lưu lại dưới dạng đuôi mở rộng ADM, chú ý rằng bạn không được để nối thêm phần mở rộng .txt với file này. Tiếp đến, import mẫu này vòa GPO bằng cách sử dụng Group Policy Management Editor.

CLASS MACHINE
 CATEGORY "Braincore.net USB Storage Drive Restriction"
POLICY "How do you want USB Drives to Behave?"
#if version >= 3
EXPLAIN "Policy to disable USB removable storage"
#endif
KEYNAME
SYSTEMCurrentControlSetServicesUSBSTOR
 VALUENAME Start
VALUEON NUMERIC 3
VALUEOFF NUMERIC 4
END POLICY
END CATEGORY

Kết luận

Qua bài này chúng ta biết được rằng các thiết bị USB có thể được kiểm soát trong các máy tính Windows 2000, XP và Vista. Có thể kiểm soát việc cài đặt các thiết bị này nếu chúng vẫn chưa được cài đặt trước đó, hoặc có thể hạn chế sự sử dụng nếu chúng đã được cài đặt rồi. Với Windows 2000 và XP, bạn có phương pháp khác để hạn chế sự cài đặt của thiết bị USB so với Windows Vista. Windows Vista sử dụng GPO, trong đó Windows 2000/XP lại yêu cầu bạn phải thay đổi các điều khoản trên các file của nó. Nếu thiết bị đã được cài đặt rồi, khi đó bạn sẽ cần phải thay đổi registry để hạn chế sự sử dụng của nó. Phương pháp này có thể được thực hiện thủ công hoặc thông qua một kịch bản hoặc bằng cách sử dụng Group Policy. Giờ đây bạn đã có thể kiểm soát được các ổ USB của mình và mạng của bạn cũng sẽ an toàn hơn.

Tác giả bài viết: Quang Tùng - GiangVien.Net

Nguồn tin: WindowSecurity

Array
(
    [type] => 8192
    [message] => preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead
    [file] => /home/pwhqfmvb/GiangVien/includes/countries.php
    [line] => 435
)