Kiểm soát các thiết bị USB bằng Group Policy

Khi nói đến bảo mật, bảo vệ mạng, bảo vệ dữ liệu công ty, hoặc các vấn đề tương tự như vậy trên mạng công ty của bạn, có một thứ mà bạn phải nghĩ đến đó chính là cách kiểm soát các USB và các ổ đĩa cứng.
Nội dung trích xuất từ tài liệu:
Kiểm soát các thiết bị USB bằng Group PolicyKiểm soát các thiết bị USB bằng Group PolicyNguồn:quantrimang.comQuản trị mạng - Khi nói đến bảo mật, bảo vệ mạng, bảo vệ dữ liệu công ty, hoặccác vấn đề tương tự như vậy trên mạng công ty của bạn, có một thứ mà bạn phảinghĩ đến đó chính là cách kiểm soát các USB và các ổ đĩa cứng. Nếu ngườidùng có thể mang USB vào văn phòng làm việc (có thể bỏ túi một cách quá dễdàng), copy tất cả các file mật thiết nào đó vào trong, sau đó cắm USB vào mộtdesktop khác của họ để copy hoặc thực thi các file từ USB thì sự phơi bày chomột tấn công hoặc việc tiêm nhiễm virus có thể xuất hiện bất cứ lúc nào. Cho tớilúc này, sự kiểm soát các thiết bị USB vẫn còn rất hạn chế. Mặc dù vậy,Microsoft đã giới thiệu một tính năng mới có tên Device Installation Restrictionsđể kiểm soát các thiết bị USB trong Windows Vista. Các thiết lập này khá dễdàng trong việc cấu hình, điều khiển và rất mạnh mẽ khi chúng được triển khaibằng Group Policy.Xem xét đến hai kịch bản điều khiển các thiết bị USBViệc hạn chế các thiết bị USB diễn ra trong hai kịch bản. Kịch bản đầu tiên kháđơn giản vì nó liên quan tới máy tính chưa hề biết đến các thiết bị USB trước đó.Trong trường hợp như vậy, máy tính không có bất kỳ các thiết bị USB nào đượccài đặt. Kịch bản thứ hai là khi thiết bị USB đã được cài đặt. Trong trường hợpnày, USB đã được cấu hình trong registry và driver của nó đã được copy vàomáy tính.Kiểm soát sự cài đặt các thiết bị USB trên các phiên bản hệ điều hànhtrướcWindows VistaKhi không có hệ điều hành Windows Vista, hoặc muốn thẩm định quá trình kiểmsoát cài đặt các thiết bị USB trên Windows 2000 hoặc Windows XP, chúng tôimuốn thêm vào các khả năng mà bạn có đối với các hệ điều hành này. Quá trìnhnày cho phép bạn kiểm soát các thiết bị USB tuy nhiên không dễ dàng triển khaihoặc điều khiển so với tùy chọn mới trong việc kiểm soát các thiết bị USB bằngGroup Policy.Với Windows 2000 và XP, bạn cần phải thay đổi các điều khoản của các file tồntại để hạn chế sự cài đặt của các thiết bị USB. Hai file mà bạn cần thay đổi nói ởđây đó là USBSTOR.PNF và USBSTOR.INF, cả hai file này đều nằm trong thưmục %systemroot%inf. Để từ chối cài đặt các thiết bị USB, bạn cần thay đổi sựbảo mật trên mỗi file này. Để thay đổi điều kiện bảo mật trên mỗi file, hãy kíchchuột phải vào file đó, sau đó bạn hãy chọn Properties. Trong cửa sổ Properties,hãy chọn tab Security. Sau đó chọn tên nhóm mà người dùng nằm trong đó (tênnhóm bạn muốn từ chối sự cài đặt của thiết bị USB), sau đó chọn điều khoảnFull Control như thể hiện trong hình 1.Hình 1: Cấu hình tên nhóm có các điều khoản Deny là Full Control cho cả hai fileĐiều khiển cài đặt USB trên Windows VistaVới các máy tính Windows Vista, bạn có thể sử dụng các thiết lập đối tượngGroup Policy để hạn chế cài đặt các thiết bị USB. Phương pháp này cung cấpcách chỉnh tinh hơn trong vấn đề điều khiển các thiết bị USB riêng biệt. Phươngpháp này không phải là một giải pháp “tất cả hoặc không có gì” so với cácphương pháp với các hệ điều hành trước mà nó có khá nhiều tùy chọn tinhchỉnh. Với phương pháp này, bạn sẽ xem xét đến ID của USB. ID này sẽ đượcsử dụng trong chính sách kiểm soát thiết bị. Một ưu điểm của chính sách thôngqua Group Policy là bạn có thể hạn chế thiết bị USB hoặc cho phép nó. Bêncạnh đó bạn cũng có thể thiết lập tinh chỉnh các điều kiện của riêng mình đối vớinhững gì là được phép và những gì không được phép.Việc phát hiện ID củaUSB là cài đặt nó. Đây là những gì bạn có đối với một máy tính test nơi bạn cóthể cài đặt thiết bị.Bên dưới đây là các bước cần thiết để tìm ra ID thiết bị USB đối với thiết bị đãđược cài đặt. 1. Mở Device Manager từ Control Panel. 2. Tìm thiết bị trong danh sách thiết bị. Thiết bị USB sẽ được đặt nằm bên dưới phần Disk drives. 3. Kích chuột phải vào thiết bị USB và chọn Properties, thao tác đó sẽ mở ra trang thuộc tính của thiết bị, xem thể hiện trong hình 2. Hình 2: Chọn Properties của thiết bị USB từ Device Manager 4. Chọn tab Details từ trang thuộc tính của USB 5. Kích vào danh sách dropdown có nhãn Property 6. Chọn tùy chọn Hardware Ids, như thể hiện trong hình 3. Hình 3: Device class GUID là những gì bạn sẽ sử dụng cho hardware IDVới USB ID này, bạn có thể tạo và cấu hình một GPO. Để cấu hình một GPO cóUSB ID và hạn chế sự cài đặt thiết bị, bạn hãy thực hiện theo các bước dưới đâytrên máy tính mà thiết bị USB chưa được cài đặt. 1. Kích nút Start, chọn Run, sau đó đánh gpedit.msc, tiếp đó kích nút OK. (Nếu UAC đã được kích hoạt thì bạn sẽ phải đồng ý cho phép Group Policy editor chạy). 2. Mở Computer Configuration|Administrative Templates|System|Device Installation|Device Installation Restrictions, xem thể hiện trong hình 4.Hình 4: Bạn sẽ cấu hình các chính sách dưới nút Device Installation Restrictions để kiểm soát các thiết bị USB ...