Sunday, July 22nd, 2018

Рекомендации по контролю внешних устройств в Windows(часть2)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В предыдущей статье мы рассмотрели некоторые самые важные настройки, которые касаются защиты от встраиваемых устройств (built-in device), которые имеются на вооружении в операционной системе Windows Vista. И, как вы помните, наши настройки очень ограничены, если не использовать совместно с инструментами сторонних производителей. Однако с появлением операционной системы Windows Vista, у нас неожиданно появился целый комплекс инструментов, и некоторые достаточно мощные инструменты для обеспечения безопасности OS, которые мы можем использовать на наше усмотрение.

В этой статье мы кратко рассмотрим настройки для контроля устройств в операционной системе Windows Vista, а также покажем, как вам избежать некоторые подводные камни.

Ваша безопасность должна быть активной и работать хорошо

Когда дело касается безопасности, вы всегда должны пробовать применять активные меры обеспечения безопасности там, где это возможно. Под этим я подразумеваю, чтобы вы пытались защитить вашу систему как от известных угроз, так и от неизвестных. Вы можете задать себе вопрос – как это можно сделать, потому что вы, вероятно, не знаете, откуда начать или, где закончить, если не знать от чего защищаться? Хорошо, ключевыми словами здесь будет принцип наименьших привилегий и белых списков. Невозможно защитить вашу систему от всех известных и неизвестных атак, однако, возможно снизить урон, если он произойдет. Один из способов добиться этого сделать так, чтобы сбой произошел нормально. Другими словами, вы должны убедиться, что если нарушена работа одной из ваших систем, то повреждения ограничатся лишь небольшой областью вашей системы. Это практически искусство (и достаточно часто вызов) попытаться спроектировать систему так, чтобы сбой происходил нормально. Один из принципов, которые вы должны использовать при проектировании таких решений, это много уровневая защита («security in depth»), о которой вы, вероятно, много слышали ранее. Это принцип изображен на рисунке 1.

Tmg privilege запрет контента

Рисунок 1: Многоуровневая защита или «security in depth»

Идея с многоуровневой защитой или «security in depth» заключается в разработке решений, которые состоят из нескольких независимых слоев, целью которых является защита вашего имущества. Для того, чтобы злоумышленник получил доступ к вашему имуществу, которое вы пытаетесь защитить, он должен преодолеть меры безопасности, которые вы реализовали на каждом уровне, включая человечески уровень, который не показан на рисунке 1. Этот принцип поможет вашей системе быть более защищенной, в том случае, если был прорван один из уровней обороны. Помня об этом принципе, давайте посмотрим на некоторые примеры, которые позволяют увидеть, как можно применить принципы активной защиты по отношению контроля над встраиваемыми устройствами в операционной системе Windows Vista.

Контроль подключения устройств

Операционной система Windows Vista загружается с различными инструментами для безопасности, по сравнению с ее предшественниками, о которых мы рассказывали в первой части этой статьи. Один из этих инструментов называется Device Installation Control (контроль подключения устройств), с помощью которого вы можете задавать, как и какие устройства, пользователь может установить на свой компьютер. Компания Microsoft выпустила великолепное поэтапное руководство, посвященное тому, с чего начать при контроле подключения устройств, но мы опустим здесь статью Microsoft, и покажем вам несколько примеров, в которых описываются, как применять на практике вышеупомянутые принципы наименьших привилегий (least privilege) и белых списков (whitelist). Но перед этим, как я покажу, как это сделать, хочу упомянуть о следующих подводных камнях:

  • Устройства не должны быть установлены раньше времени на тех компьютерах, которые вы хотите контролировать. Это значит, что если вы используете стандартный образ для установки устройств, убедитесь в том, что ни одно нежелаемое устройство не будет использоваться в этом образе.
  • Согласно первому совету, который был описан в предыдущем пункте, вы должны использовать отдельный компьютер, на который вы сможете установить устройства различного класса или ID устройств, которые вы не хотите запрещать, или использовать в ваших белых списках (whitelist).
  • Обратите внимание, что контроль встраиваемых устройств (built-in device control) в операционной системе Vista привязан к компьютеру. Это означает, что все пользователи на компьютере попадут под этот контроль. Единственный способ, благодаря которому этого можно избежать, заключается в создании еще одной политики группы для ограничения устройств (device restriction GPO) и создания фильтра для GPO в соответствии с членством в группе безопасности. Однако, если вам нужен контроль устройств, который привязан к пользователю, то вам по-прежнему нужно искать программные продукты сторонних производителей.

Помня об этих пунктах, мы перейдем к рассмотрению наших примеров.

Пример 1: Контроль устройств согласно принципу наименьших привилегий

В этом примере я покажу вам, как запретить любому пользователю (включая пользователя с правами локального администратора) устанавливать любые дополнительные аппаратные устройства на компьютер с операционной системой Vista.

Мы воспользуемся консолью управления политиками групп (Group Policy Management Console) операционной системы Vista. Вы должны войти в систему под учетной записью, зарегистрированной в домене, у которой есть права на модификацию политики группы Group Policies.

В командной строке поиска в операционной системе Vista Start | Search наберите команду GPMC.MSC и нажмите на Enter

  1. Перейдите к Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
  2. Настройте следующие параметры (как изображено ниже на рисунке)
    • В поле Allow administrators to override device installation policy (разрешить администратору преобладать над политикой): выберите Disabled (отключено)
    • В поле Display a custom message when installation is prevented by policy (balloon text) (отображать сообщение, когда политика останавливает установку): выберите Enabled (включено) и добавьте свой собственный текст
    • В поле Display a custom message when installation is prevented by policy (balloon title) : выберите Enabled и добавьте свой собственный текст
    • В поле Prevent installation of devices not described by other policy settings (запретить установку устройств, которые не описаны политикой): в этом поле выберите Enabled

    Примечание: Некоторые настройки политики имеют ту же самую функцию, если они имеют параметры по умолчанию «Not configured» (не настроено). Все это благодаря безопасным настройкам операционной системы Vista по умолчанию. Однако, я рекомендую вам все равно настроить эти параметры специально, т.к. эти настройки будут более понятными, если вы используете консоль Group Policy Management.

    Hardware id

    Рисунок 2: Запретить всем установку дополнительного оборудования

  1. После настройки объекта политики группы GPO, пришло время сделать наши настройки для тестового запуска, что показано на рисунках 3, 4 и 5

    Windows rjynhjkm gjlrk xftvs[ usb yjcbntktq

    Рисунок 3: Носитель USB был вставлен в компьютер

    Hard id

    Рисунок 4: Наша политика ограничения устройств (device restriction policy) сработала и мы получили следующее сообщение

    Hardware id

    Рисунок 5: В менеджере устройств Device Manager мы видим, что носитель USB не был установлен

Давайте перейдем к следующему примеру.

Пример 2: Контроль устройств на основе белых списков (whitelist)

В этом примере мы покажем вам, как запретить любому пользователю установку дополнительного оборудования, за исключением того, что находится в белом списке (whitelist). Теперь, перед тем как продолжить, вы должны знать некоторую информацию, относительно классов устройств (device class) и ID устройств (device ID или hardware ID). На рисунках 6 и 7, вы можете увидеть, что мы подразумеваем под классом устройства и и ID устройства (device ID) – эта информация берется из консоли менеджера устройств Device Manager.

Как запретить инсталляцию в виндовсе?

Рисунок 6: Краткий обзор классов устройств

Hardware id

Рисунок 7: Краткий обзор ID устройств

Для этого примера мы покажем вам, как использовать most важный инструмент в операционной системе Windows Vista по отношению к контролю устройств, который связан с ID устройства.

Вы можете даже объединить классы устройств (device class) и ID устройств для устройств, которые вы хотите запретить с помощью графического пользовательского интерфейса GUI в менеджере устройств Device Manager, или же вы можете использовать для этого командную строку. В этой статье мы покажем вам, как использовать небольшой инструмент, работающий из командной строки от компании Microsoft под названием DevCon, которую можно найти здесь.

Скопируйте утилиту DevCon на ваш компьютер с операционной системой Vista и запустите командную строку от имени администратора. Мы не будем описывать здесь все ее параметры, а просто покажем вам, как использовать DevCon для нашего конкретного примера.

  1. В командной строке наберите следующую команду, как показано на рисунке 8:

    devcon classes

    Это команда позволит увидеть все классы устройств, которые установлены на вашем компьютере. Далее мы будем использовать класс USB device class на следующем этапе.

    Windows rjynhjkm gjlrk xftvs[ usb yjcbntktq

    Рисунок 8: Здесь мы видим полный список всех классов устройств на нашем тестовом компьютере

  1. В нашем примере мы разрешим использовать лишь 4GB USB накопитель, поэтому нам нужен ID устройства (device ID) для этого устройства. Предположив, что это устройство уже установлено на нашем компьютере, мы наберем следующую команду, как показано на рисунке 9:

    devcon hwids usb*

    Обратите внимание, на некоторые моменты в этом примере. Второй параметр ‘usb’ мы увидели из предыдущего рисунка, когда использовали команду DevCon для просмотра различных классов устройств. Во-вторых, мы добавили символ «звездочка», т.к. в результате этого мы захватим все устройства USB, установленные на нашем компьютере. Найдите hardware ID (идентификатор оборудования), который изображен на рисунке 9 и скопируйте его (hardware ID) прежде чем продолжить.

    Hardware id Windows 7

    Рисунок 9: Находим нужный идентификатор оборудования ID из командной строки

    Примечание: Очень важно, чтобы вы скопировали нужный идентификатор оборудования (hardware ID). Когда вы работаете с белыми списками (whitelist), вы должны всегда копировать самый первый идентификатор оборудования (hardware ID) для определенного оборудования. В результате этого вы сможете получить более полный контроль над устройствами, помещаемыми в белый список. Если вы используете черные списки (blacklist), то вам следует использовать самый нижний идентификатор оборудования ID, т.к. в результате этого вы сможете усилить вашу безопасность по отношению к более старым устройствам, таким, как устройства USB 1.1 и т.п., если вы не хотите запретить особые устройства, такие как Ipod и т.п.

    Опять мы будем использовать консоль управления политиками группы (Group Policy Management Console), поэтому вы должны зайти на Vista под учетной записью, зарегистрированной в домене, у которой есть права на изменение политик группы Group Policies

    В командной строке операционной системы Vista Start | Search наберите команду GPMC.MSC и нажмите Enter

  2. Перейдите к Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
  3. Настройте следующие параметры
    • В поле Allow administrators to override device installation policy (разрешить администратору преобладать над политикой): выберите Enabled (включено)
    • В поле Display a custom message when installation is prevented by policy (balloon text) (отображать сообщение, когда установка прерывается политикой): Выберите Enabled и добавьте свой собственный текст
    • В поле Display a custom message when installation is prevented by policy (balloon title) (отображать сообщение, когда установка прерывается политикой) : выберите Enabled и добавьте свой собственный текст
    • В поле Allow installation of devices that match any of these device ID: (разрешить установку устройств, которые соответствуют следующим идентификаторам устройств) выберите Enable и нажмите на кнопку Show… как показано на рисунке 10
    • Нажмите на кнопку Add… и добавьте hardware ID, который мы получили на втором этапе 2
    • В поле Prevent installation of devices not described by other policy settings (запретить установку остальных устройств): Enabled

      Hardware id

      Рисунок 10: Здесь мы добавляем идентификатор оборудования (hardware ID) тех устройств, которые мы хотим добавить в белый список (whitelist)

  1. Проверьте свои настройки путем подключения устройств, которые включены в белый список, и которые не включены в него

Заключение

Хотя он и далек от совершенства, инструмент Device Installation Restrictions в операционной системе Vista – это замечательное средство, которое обладает дополнительными преимуществами, которых мы немного коснулись в первой части этой статьи, а именно беспроводные устройства для общения (wireless communication devices). Очень важно, чтобы вы понимали, что беспроводные устройства могут быть использованы злоумышленником, поэтому необходимо правильно их защищать. С помощью инструмента под названием Device Installation Restriction у вас есть возможность контролировать, какие беспроводные устройства разрешены в вашей среде. Совместно с NAP или NAQ для совместимости с брандмауэром Windows Advanced Firewall с IPSec для изоляции домена, и что более важно для обучения пользователя. Теперь вы самостоятельно сможете встать на путь построения безопасного клиента, в основе которого будет лежать принцип активной безопасности.

Источник www.windowsecurity.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]