Kiểm soát các thiết bị USB bằng Group Policy
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (357.92 KB, 7 trang )
Kiểm soát các thiết bị USB bằng Group Policy
Nguồn : quantrimang.com
Quản trị mạng - Khi nói đến bảo mật, bảo vệ mạng, bảo vệ dữ liệu công ty, hoặc
các vấn đề tương tự như vậy trên mạng công ty của bạn, có một thứ mà bạn phải
nghĩ đến đó chính là cách kiểm soát các USB và các ổ đĩa cứng. Nếu người
dùng có thể mang USB vào văn phòng làm việc (có th
ể bỏ túi một cách quá dễ
dàng), copy tất cả các file mật thiết nào đó vào trong, sau đó cắm USB vào một
desktop khác của họ để copy hoặc thực thi các file từ USB thì sự phơi bày cho
một tấn công hoặc việc tiêm nhiễm virus có thể xuất hiện bất cứ lúc nào. Cho tới
lúc này, sự kiểm soát các thiết bị USB vẫn còn rất hạn chế. Mặc dù vậy,
Microsoft đã giới thiệu một tính năng mới có tên Device Installation Restrictions
để
kiểm soát các thiết bị USB trong Windows Vista. Các thiết lập này khá dễ
dàng trong việc cấu hình, điều khiển và rất mạnh mẽ khi chúng được triển khai
bằng Group Policy.
Xem xét đến hai kịch bản điều khiển các thiết bị USB
Việc hạn chế các thiết bị USB diễn ra trong hai kịch bản. Kịch bản đầu tiên khá
đơn giản vì nó liên quan tới máy tính chưa hề biết đến các thiết bị USB trước đó.
Trong trường hợp như vậy, máy tính không có bất kỳ các thiết bị USB nào được
cài đặt. Kịch bản thứ hai là khi thiết bị USB đã được cài đặt. Trong trường hợp
này, USB đã được cấu hình trong registry và driver của nó đã được copy vào
máy tính.
Kiểm soát sự cài đặt các thiết bị USB trên các phiên bản hệ điều hành
trướcWindows Vista
Khi không có hệ điều hành Windows Vista, hoặc muốn thẩm định quá trình kiểm
soát cài đặt các thiết b
ị USB trên Windows 2000 hoặc Windows XP, chúng tôi
muốn thêm vào các khả năng mà bạn có đối với các hệ điều hành này. Quá trình
này cho phép bạn kiểm soát các thiết bị USB tuy nhiên không dễ dàng triển khai
hoặc điều khiển so với tùy chọn mới trong việc kiểm soát các thiết bị USB bằng
Group Policy.
Với Windows 2000 và XP, bạn cần phải thay đổi các điều khoản của các file tồn
tại để hạn chế sự cài đặt của các thiết bị
USB. Hai file mà bạn cần thay đổi nói ở
đây đó là USBSTOR.PNF và USBSTOR.INF, cả hai file này đều nằm trong thư
mục %systemroot%\inf. Để từ chối cài đặt các thiết bị USB, bạn cần thay đổi sự
bảo mật trên mỗi file này. Để thay đổi điều kiện bảo mật trên mỗi file, hãy kích
chuột phải vào file đó, sau đó bạn hãy chọn Properties. Trong cửa sổ Properties,
hãy chọn tab Security. Sau đó chọn tên nhóm mà người dùng nằm trong đó (tên
nhóm bạn muốn từ chối sự cài đặt của thiết bị USB), sau đó chọn điều khoản
Full Control như thể hiện trong hình 1.
Hình 1: Cấu hình tên nhóm có các điều khoản Deny là Full Control cho cả hai file
Điều khiển cài đặt USB trên Windows Vista
Với các máy tính Windows Vista, bạn có thể sử dụng các thiết lập đối tượng
Group Policy để hạn chế cài đặt các thiết bị USB. Phương pháp này cung cấp
cách chỉnh tinh hơn trong vấn đề
điều khiển các thiết bị USB riêng biệt. Phương
pháp này không phải là một giải pháp “tất cả hoặc không có gì” so với các
phương pháp với các hệ điều hành trước mà nó có khá nhiều tùy chọn tinh
chỉnh. Với phương pháp này, bạn sẽ xem xét đến ID của USB. ID này sẽ được
sử dụng trong chính sách kiểm soát thiết bị. Một ưu điểm của chính sách thông
qua Group Policy là bạn có thể hạn chế thiết bị USB hoặ
c cho phép nó. Bên
cạnh đó bạn cũng có thể thiết lập tinh chỉnh các điều kiện của riêng mình đối với
những gì là được phép và những gì không được phép.Việc phát hiện ID của
USB là cài đặt nó. Đây là những gì bạn có đối với một máy tính test nơi bạn có
thể cài đặt thiết bị.
Bên dưới đây là các bước cần thiết để tìm ra ID thiết bị USB đối với thiết bị đã
được cài đặt.
1. Mở Device Manager từ Control Panel.
2. Tìm thiết bị trong danh sách thiết bị. Thiết bị USB sẽ được đặt nằm bên
dưới phần Disk drives.
3. Kích chuột phải vào thiết bị USB và chọn Properties, thao tác
đó sẽ mở ra
trang thuộc tính của thiết bị, xem thể hiện trong hình 2.
Hình 2: Chọn Properties của thiết bị USB từ Device Manager
4. Chọn tab Details từ trang thuộc tính của USB
5. Kích vào danh sách dropdown có nhãn Property
6. Chọn tùy chọn Hardware Ids, như thể hiện trong hình 3.
Hình 3: Device class GUID là những gì bạn sẽ sử dụng cho hardware ID
Với USB ID này, bạn có thể tạo và cấu hình một GPO. Để cấu hình một GPO có
USB ID và hạn chế sự cài đặt thiết bị, bạn hãy thực hiện theo các bước dưới đây
trên máy tính mà thiết bị USB chưa được cài đặt.
1. Kích nút Start, chọn Run, sau đó đánh gpedit.msc, tiếp đó kích nút OK.
(Nếu UAC đã được kích hoạt thì bạn sẽ phải đồng ý cho phép Group
Policy editor chạy).
2. Mở
Computer Configuration|Administrative Templates|System|Device
Installation|Device Installation Restrictions, xem thể hiện trong hình 4.
Hình 4: Bạn sẽ cấu hình các chính sách dưới nút Device Installation Restrictions
để kiểm soát các thiết bị USB
3. Kích đúp vào phần ngăn chặn cài đặt các thiết bị tương xứng với chính
sách ID phần cứng này.
4. Chọn nút chọn Enabled.
5. Kích nút Show để mở hộp thoại Show Contents.
6. Kích nút Add trong hộp thoại Show Contents.
7. Đánh vào ID cho thiết bị USB bằng cách sử dụng cú pháp thể hiện trong
hình 5.
Hình 5: Đầu vào chính sách hạn chế phần cứng sử dụng Hardware ID của thiết
bị
8. Lưu tất cả những thiết lập bên trong chính sách và thoát khỏi trình soạn
thảo.
Lúc này, bạn đã thiết lập được chính sách của mình và có thể kiểm tra việc cài
đặt thiết bị USB. Sau khi cắm thiết bị USB trên máy tính, nơi bạn đã cấu hình
GPO, bạn sẽ nhận được một thông báo lỗi giống như thông báo có trong hình 6.
Chỉ cần kích vào biểu tượng trong khay để xem hộp thoại này.
