Статьи → Централизованное управление политиками безопасности штатными средствами Microsoft

В статье „Централизованное управление политиками безопасности штатными средствами Microsoft” Михаил Картавенко расскажет, как при помощи групповых политик безопасности (GPO) для рабочих станций под управлением Windows 7 и Windows Server 2008, можно централизованно управлять работой с внешними устройствами, сокращая риски утечки конфиденциальной информации за пределы организации.

Среди пользователей давно сложилось мнение, что за информационную безопасность должны отвечать специальные продукты от сторонних производителей. Однако существуют и активно развиваются штатные средства обеспечения безопасности, в том числе встроенные в операционные системы. Операционные системы Windows 7 и Windows Server 2008 являются результатом эволюционного развития предыдущих версий операционных систем компании Microsoft и включают в себя как инструменты безопасности из прежних версий, так и полезные нововведения.

В данном обзоре будет показано, как при помощи штатных настроек Windows 7 и Windows Server 2008 — групповых политик безопасности, можно централизованно управлять работой с внешними устройствами, уменьшая риски несанкционированного копирования и перемещения данных за пределы компании.

Основное внимание при защите информации по-прежнему уделяется антивирусам, фаерволам, средствам предотвращения вторжений и другим средствам защиты от внешних видов угроз. В то время как другой класс задач — защита от внутренних видов угроз долгое время оставался «в тени». Однако сейчас на эти задачи начинают обращать все больше внимания, особенно это касается контроля за подключением внешних устройств, которые очень часто используются в качестве канала для кражи конфиденциальной информации из компании.

Причиной этого является то, что в последнее время наблюдается рост как традиционных внешних устройств для хранения информации — флеш-накопителей, карт памяти и жестких дисков, так и бытовых приборов — MP3-плейеров, фотоаппаратов, мобильных телефонов, которые содержат карты памяти. Рынок таких устройств показывает экспоненциальный рост, при этом физические размеры устройств становятся все меньше и меньше, а производительность их и объем переносимых данных — все больше.

Для компаний данный факт увеличивает два типа рисков:
возможность «случайных» утечек (например, баз данных с информацией о клиентах, персональных данных или важной управленческой информации и т.п.);
возможность преднамеренной кражи важной информации из сети с целью мести или инсайда;

Многие вендоры имеют в своем портфеле специализированные программы минимизации перечисленных типов рисков. Но далеко не все знают, что начиная еще с операционной системы Windows Vista, корпорация Microsoft встраивает в операционные системы возможность управлять использованием внешних запоминающих устройств с помощью групповых политик.

В данном обзоре мы рассмотрим возможности централизованного управления подключением различных внешних устройств (DVD-дисководами, внешними винчестерами, USB-накопителями и т.д.) штатными средствами Microsoft при помощи специально предусмотренных для подобных целей групповых политик. Вопрос, на который мы хотим ответить, звучит так — какие существуют сценарии для обеспечения безопасности информации при использовании внешних устройств и как их реализовать. Этот вопрос мы рассмотрим на примере работы с флеш-накопителями на рабочей станции с операционной системой Windows 7.

Также следует отметить, что большинство описанных настроек интересны для применения в рамках предприятий, поэтому мы будем описывать функциональность, которая доступна в Windows 7 Enterprise (Корпоративная), а также старшей персональной версии Windows 7 Ultimate (Максимальная).

Описав возможности штатных средств Microsoft для управления работой с внешними устройствами в операционных системах Windows Vista/7 и Windows Server 2008, стоит отметить положительные и отрицательные стороны данных средств.

Плюсы:
  1. Простота использования редактора групповых политик и большое количество справочных материалов. Это позволяет с минимальным количеством знаний произвести необходимые настройки.

  2. Наличие инструментов для администраторов (Group Policy Management Console и Advanced Group Policy Management) позволяет эффективно применять настройки к большому числу компьютеров в сети предприятий.

  3. Большое количество сценариев для обеспечения безопасности и набор существующих политик позволяют гибко подходить к различным ситуациям — от полного блокирования всех устройств до блокирования конкретного устройства.

  4. Возможность создавать гибкие политики использования внешних носителей, например, запретить только запись, запретить исполнение, разрешить запись только на зашифрованный носитель и т.п.

  5. В подавляющем большинстве случаев настройка безопасности позволяет исключить риск кражи или потери информации.

  6. Отсутствие необходимости дополнительно покупать и устанавливать сторонние решения.

  7. Возможность управления политиками при помощи внешних решений в случае необходимости. Например, при помощи таких программ как Group Policy Change Reporter, Policy Commander, GPOAaDmin и т.д.


Минусы:
  1. При ограничении работы к внешними устройствам через GPO главное внимание уделяется USB-накопителям и картам памяти. Но ведь утечка данных может произойти не только через эти устройства. Существуют еще локальные принтеры, модемы, жесткие диски, сетевые адаптеры и много других устройств. Часть из них, конечно, можно заблокировать, используя политики, специально «заточенные» под конкретные типы устройств, а часть из них заблокировать не невозможно вовсе. Поэтому в случае необходимости более жесткого контроля следует присмотреться к платным решениям других вендоров.

  2. Описанные в статье возможности появились только в Windows Vista и недоступно пользователям Windows XP, которых в нашей стране еще достаточно много. Для нах доступны только ограничения для уже установленных устройств (через Group Policy Preferences Devices). Поэтому чтобы иметь полный контроль за внешними накопителями в середе Windows XP придется использовать платные решения других вендоров.

  3. Еще одним минусом является то, что для работы большинства настроек требуется, чтобы пользователь не имел прав администратора. Если пользователь обладает правами локального администратора, то он может обходить часть запретов. Одним из способов ограничить таких пользователей является отключение политики «Разрешить администраторам заменять политики ограничения установки устройств». Но это ограничивает только работу с частью устройств.


Статью „Централизованное управление политиками безопасности штатными средствами Microsoft” можно найти по адресу: www.anti-malware.ru/reviews/Microsoft_Device_Control

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.