Содержание
USB - наиболее широко используемый интерфейс для подключения периферийных устройств к компьютеру. Большинство компьютеров имеют два или четыре порта USB для подключения клавиатуры, мыши, жестких дисков или флэш-накопителей и других подобных устройств хранения. Блокировка и разблокировка портов с помощью параметров групповой политики Windows (редактор групповой политики) снижает риски, связанные с безопасностью USB.
Риски безопасности
USB-порты и флеш-накопители упрощают резервное копирование и передачу данных. Но, с другой стороны, они также облегчают жизнь тем, кто хочет их украсть. Когда вы вставляете USB-накопитель в компьютер, вы можете заразить его вирусами. Например, червь Conficker, обнаруженный в 2008 году, способен проникать через флешку и распространяться на компьютеры, которые с ней соприкасались. Вот почему важно заблокировать порты, чтобы вывести их из строя и таким образом защитить вашу сеть.
Редактор групповой политики
Начиная с версии Windows Vista, этот параметр предоставляет пользователям инструменты для блокировки портов USB. Удаленный доступ к хранилищу не позволяет порту читать или записывать (или и то, и другое) данные на флэш-накопители и компакт-диски. Администратор может настроить ограничения установки устройства, чтобы ограничить порт, а не авторизовать установка конкретных устройств, например джойстика, или вообще запретить все те, которые поставляются не авторизованными поставщиками. Редактор также имеет функцию создания списков групп и определенных типов оборудования, в дополнение к возможности открывать двери, если администратор авторизует оборудование от нового поставщика.
Дополнительная безопасность
Несмотря на то, что редактор блокирует двери только для определенных авторизованных устройств, возможно, что кто-то, используя авторизованное оборудование, сможет проникнуть в систему. Инструменты, которые требуют, чтобы двери запирали третьи лица, обеспечивают большую защиту. SafeEnd Protector, например, предлагает сетевому администратору возможность блокировать порты для съемных устройств памяти. С помощью DeviceLock администраторы могут контролировать доступ пользователей, определяя определенное время для блокировки USB-портов, а также записывать все копии, сделанные устройствами в течение этого периода.
Соображения
Редактор политик предлагает администратору некоторую гибкость при блокировке и разблокировке портов. Он может, например, настроить параметры для разблокировки дверей, когда они используются, или когда определенной группе требуется доступ к ним. Вы также можете индивидуально настроить компьютер для разблокировки, вместо того, чтобы навязывать конфигурацию по сети. Если установлено правило для разблокировки дверей во время использования, это правило имеет приоритет над настройками безопасности.