15 ноября, четверг 09:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Запрет доступа к съемным носителям информации

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Запрет доступа к съемным носителям информации

    Форумчане,

    подскажите, кто уже проходил эту задачу:

    Запретить доступ к флешкам, CD и др съемным носителям для пользователей.

    Описание задачи:
    Запретить чтение/запись флешек и CD и др съемных носителей при минимуме затрат.
    Среда - банк из топ 40, домен Win 2008, рабочие места - от win XP до win 7, количество пользователей - 4000, много региональных.

    Рассматриваемое решение:
    запретить с помощью GPO на уровне Windows путем установки в реестре windows параметра USBSTOR=4 и запрета инсталяции новых USB устройств (и иметь группу пользователей, кому это разрешено).
    Я предложил использовать это решение http://www.petri.co.il/disable_usb_disks_with_gpo.htm

    Проблема: Не могу внедрить, т.к. администратор AD уверяет, что данное решение не работает на PC под управлением Windows XP (говорит, что это "фича 2008" и на XP данный GPO не отрабатывает)

    Вопрос: работает ли это решение для XP в домене 2008 или действительно есть проблемы? Кто это уже проходил? Как решить проблему?

    Заранее спасибо!

  • #2
    В статье есть ссылка на KB555324, откуда, собственно, и взято описанное в статье решение.
    В KB555324 есть раздел "Applies to", в котором указано, что оно работает, начиниая с семейства Windows Server 2003.

    Комментарий


    • #3
      У меня используется DeviceLock

      Комментарий


      • #4
        решение данной задачи при помощи GPO самое не затратное, но и по функционалу никакое.....нужно использовать специализированное ПО типа DeviceLock или такой функционал в составе другого ПО (к примеру в Symantec Endpoint Protection есть такая фича)

        Комментарий


        • #5
          Для WinXP делаете"политику" для компьютеров на основе adm-шаблона из статьи, на которую ссылаетесь (+вешаете на неё WMI фильтр на версию ОС, только XP), политику подключаете к подразделению в AD, где у вас лежат компьютеры пользователей или делаете группу для компьютеров (как вам удобнее, но с группой сложнее, лучше сделать разрешающую политику на основе групп, в которой и перечислить те компьютеры, на которых должны работать устройства со съёмными носителями), для W7 используйте штатные политики (они более гибкие, позволяют их привязывать уже к пользователям и/или к компьютерам). И потихоньку плавно переходите на W7.

          К сожалению, у данного решения отсутсвует мониторинг и контроль за данными, которые копируются на устройства пользователями, которым разрешено их использование.

          P.S. А админ AD вас или не понял, или должен удилять больше внимания повышению своей квалификации.

          Комментарий


          • #6
            Сообщение от SecretService Посмотреть сообщение
            Форумчане,

            подскажите, кто уже проходил эту задачу:

            Запретить доступ к флешкам, CD и др съемным носителям для пользователей.

            Описание задачи:
            Запретить чтение/запись флешек и CD и др съемных носителей при минимуме затрат.
            Среда - банк из топ 40, домен Win 2008, рабочие места - от win XP до win 7, количество пользователей - 4000, много региональных.
            А от чего вы решением этой задачи хотите защититься?

            Комментарий


            • #7
              Спасибо Алексей, я как раз хотел этот вопрос задать, но скатился в технику.

              Комментарий


              • #8
                с помощью AD вопрос решается, но не очень удобно, и самое главное отсутствует контроль за использованием разрешенных устройств.
                Конечно, забесплатно тоже лучше, чем ничего.

                Комментарий


                • #9
                  spirtuoso, вы не ответили на поставленный вопрос, зачем вам блокировать доступ? Какова конечная цель? От чего именно защищают такие меры?
                  Последний раз редактировалось Zuz; 29.06.2012, 15:55.

                  Комментарий


                  • #10
                    Сообщение от Zuz Посмотреть сообщение
                    spirtuoso, вы не ответили на поставленный вопрос, зачем вам бликировать доступ? Какова конечная цель? От чего именно защищают такие меры?
                    в нашем случае все просто - 70% пользователей съемные носители не нужны

                    Комментарий


                    • #11
                      Сообщение от spirtuoso Посмотреть сообщение
                      в нашем случае все просто - 70% пользователей съемные носители не нужны
                      А безопасность тогда тут причем? Ну не нужны и не нужны. Блокировать-то зачем? Утечек через них много? Вирусы попадают в сеть? Какая задача ИБ решается блокированием портов?

                      Комментарий


                      • #12
                        6.1.4. В организации БС РФ должна быть определена система
                        контроля доступа, позволяющая осуществлять контроль доступа к
                        коммуникационным портам, устройствам ввода-вывода информации, съемным
                        машинным носителям и внешним накопителям информации ИСПДн.

                        Комментарий


                        • #13
                          Сообщение от idelta Посмотреть сообщение
                          6.1.4. В организации БС РФ должна быть определена система
                          контроля доступа, позволяющая осуществлять контроль доступа к
                          коммуникационным портам, устройствам ввода-вывода информации, съемным
                          машинным носителям и внешним накопителям информации ИСПДн.
                          B что? Система определена - "разрешить все и всем". На вопрос "зачем блокировать порты" ответа пока так и не услышал.

                          Комментарий


                          • #14
                            Алексей, несколько Лукавит.

                            Система - "разрешить все и всем" не может "осуществлять контроль доступа к ...". Это не система удовлетворяющаяя данному требованию.

                            Не ясно же, каким образом это требование распространяется на все 4к компьютеров топикстартера, т.к. это требование относитя только к ИСПДн.

                            Комментарий


                            • #15
                              Сообщение от Zuz Посмотреть сообщение
                              Алексей, несколько Лукавит.

                              Система - "разрешить все и всем" не может "осуществлять контроль доступа к ...". Это не система удовлетворяющаяя данному требованию.

                              Не ясно же, каким образом это требование распространяется на все 4к компьютеров топикстартера, т.к. это требование относитя только к ИСПДн.
                              Почему не может? Я могу настроить Eventlog\Syslog на контроль доступа к портам, но при этом сам доступ не блокировать. Нигде же не говорится о том, что я должен фиксировать все до байта, что идет на внешний носитель. Достаточно фиксации просто попытки обращения. Тут все зависит от цели. Я пока не вижу большой необходимости блокирования портов с помощью навесных отдельных продуктов. Если мне понадобится унести информацию, я могу ее на телефон заснять (как крайний вариант).

                              Комментарий


                              • #16
                                Да, так корректнее.

                                Если бы я принимал решение, то логика была бы минимизация периметра. Это как Windows Core, из системы выкидываются компоненты, которые не используются, следовательно, снижаются риски (хотя это очень спорное утверждение).

                                Кстати, раз затронули тему, пусть есть возможность унести информацию через мобильный телефон сделав снимки с экрана (вообще в системе следов не оставляет, если нет тотального видеонаблюдения за всеми компьютерами, но и тут можно исхитриться) или там распечатать и вынести бумагу (ну тут теоретически можно противодействовать, как минимум, регистрируя и делая ватермарки), то по-вашему ("Я пока не вижу большой необходимости блокирования портов с помощью навесных отдельных продуктов") остальные каналы утечки вообще не имеет смысла закрывать? А когда этот смысл появляется?

                                P.S. Кстати, сама по себе блокировка портов не является выполнением вышеуказанного требования, т.к. не выполняет требование "осуществлять контроль доступа к ...". Блокировка портов не означает, что контроль осуществлять не нужно. Хотя можно выкрутиться и указать, что для заблокированных портов специальный контроль не осущесвляется.
                                Последний раз редактировалось Zuz; 02.07.2012, 12:21.

                                Комментарий


                                • #17
                                  Сообщение от Zuz Посмотреть сообщение
                                  Кстати, раз затронули тему, пусть есть возможность унести информацию через мобильный телефон сделав снимки с экрана (вообще в системе следов не оставляет, если нет тотального видеонаблюдения за всеми компьютерами, но и тут можно исхитриться) или там распечатать и вынести бумагу (ну тут теоретически можно противодействовать, как минимум, регистрируя и делая ватермарки), то по-вашему ("Я пока не вижу большой необходимости блокирования портов с помощью навесных отдельных продуктов") остальные каналы утечки вообще не имеет смысла закрывать? А когда этот смысл появляется?
                                  Смысл появляется после изучения информационных потоков, оценки затрат на оценку стоимости защищаемой информации, оценки вероятности использования конкретного канала утечки, оценки стоимости внедрения системы блокирования этого канала утечки и оценки дополнительных преимуществ/потерь, которые дает/не дает внедрение такой системы. В итоге может оказаться, что в компании основная конфиденциалка ходит совсем не там, где обычно ставят средства контроля утечек. А там где их ставят, они не ловят нужные каналы (например, взаимодействие с БД или голос VoIP или видео ВКС). Ну и какой смысл тогда создавать неудобства для пользователей, если задачу ИБ это средство все равно не решает?..

                                  Комментарий


                                  • #18
                                    Это понятно, но суть вопроса была в том, что всегда можно пронести фотодевайс и переснять. Т.е. понятно, что допустим порты блокировать надо, тырнет запрещён и т.п. Даже оргмеры в виде запрета фотодевайсов приняты (но ведь много мест, где можно спрятать). Имеет ли смысл в этом случае блокировать порты без принятия мер по предотвращению цифрового фотокопирования информации? Т.е. мне интересно почему порты сичтают важным блокировать, а иные каналы утечки нет? Почему после блокировки портов и интернета многие бьют себя пяткой в грудь? Где логика?

                                    Комментарий


                                    • #19
                                      Сообщение от Zuz Посмотреть сообщение
                                      Это понятно, но суть вопроса была в том, что всегда можно пронести фотодевайс и переснять. Т.е. понятно, что допустим порты блокировать надо, тырнет запрещён и т.п. Даже оргмеры в виде запрета фотодевайсов приняты (но ведь много мест, где можно спрятать). Имеет ли смысл в этом случае блокировать порты без принятия мер по предотвращению цифрового фотокопирования информации? Т.е. мне интересно почему порты сичтают важным блокировать, а иные каналы утечки нет? Почему после блокировки портов и интернета многие бьют себя пяткой в грудь? Где логика?
                                      В этом и вопрос ;-) Многие покупают "потому что так надо", забывая подумать над вопросом "а как должны быть на самом деле".

                                      Комментарий


                                      • #20
                                        Коллеги, вопрос изначально не стоял, что он будет блокировать ТОЛЬКО порты. Естественно, в каждой организации своя специфика и надо оценивать необходимости защиты каждого из каналов утечки, но если действовать исходя их ваших рассуждений, то получается ничего не надо блокировать! Мне это обсуждение сейчас напомнило былые разговоры меня (как безопасника) и IT-шников: нафига это всё надо, доставляет только лишней работы?!
                                        Утечка информации посредством внешних портов (и девайсов) - самый лёгкий и незатратный для нарушителя способ. Воспользоваться этим каналом можно быстро и незаметно для окружающих. Да, можно взять камеру и заснять (потратив кучу времени и привлекая внимание), подсмотреть через подзорную трубу в окно (лихорадочно стенографируя при этом), наконец использовать каналы ПЭМИН... НО, это дополнительный геморрой и деньги.
                                        Порты в большинстве случаев не нужны пользователям и их блокировка психологически дисциплинирует.

                                        ЗЫ. Всё это, конечно, если рядом нет другой большой дыры, к примеру, бесконтрольная эл.почта.

                                        Комментарий


                                        • #21
                                          Изначально вопрос стоял именно про блокирование портов. И действительно, блокировать порты не надо ;-) Затраты на решение и ПОДДЕРЖАНИЕ в актуальном состоянии данной задачи больше той выгоды, которое это решение дает. И бороться с утечками надо совершенно по другому, но это ж надо работать и менять многие устоявшиеся догмы. А безопасники (как и большинство людей) в массе своей инертны и не будут ничего менять, стараясь подменить реальное решение задачи борьбы с утечками псевдорешением в виде блокираторов портов.

                                          Комментарий


                                          • #22
                                            Мне кажется, задача тотального контроля использования портов будет гораздо затратнее. А так - нет портов, нет проблем. Что касается других каналов утечки - никто не говрит, что на них не надо обращать внимание, но это совсем другие задачи

                                            Комментарий


                                            • #23
                                              Чем меньше объектов контроля, тем проще жить.
                                              Отключите физически ненужные пользователю устройства, те которые не отключаются - заклейте разъемы наклейками, корпуса опечатайте этими же наклейками.
                                              Мониторинг доступа - контроль целостности наклейки. Для обычных пользователей это в самый раз.

                                              Комментарий


                                              • #24
                                                Идущий, вы сами себе противоречите, т.к. создаёте дополнительные объекты контроля (пломбы).
                                                И я первый сорву с вашего компа пломбы пока вы будите на обеде с понятными для вас санкциями.

                                                Иногда, такое ощущение, что люди советуют то, что сами никогда не делали и мечтали сделать.
                                                Последний раз редактировалось Zuz; 04.07.2012, 10:21.

                                                Комментарий


                                                • #25
                                                  ads-h, и как сделать, чтобы портов не было, если нужно подключать мышки, принтеры, клавиатуры, USB-криптодейвайсы (причём некоторые из них со встроенной флеш памятью), считыватели смарткарт / смарткарты и иногда любые флешки?
                                                  Нет такой задачи как блокировка портов. Максимум такое можно делать, как я уже говорил, с целью снижения потенциального периметра атаки для ИТ-пространства компании в том случае, если это просто и дёшево, чисто в профилактических и превентивных целях. Например, есть чёткий механизм привязки пользователей к компьютеру и возможность, например, политиками AD блокировать по умолчанию всем подключение каких-то девайсов, тут затраты не высоки до момента, когда кому-то нужно будет доступ дать.
                                                  Последний раз редактировалось Zuz; 04.07.2012, 10:57.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Zuz Посмотреть сообщение
                                                    Идущий, вы сами себе противоречите, т.к. создаёте дополнительные объекты контроля (пломбы).
                                                    И я первый сорву с вашего компа пломбы пока вы будите на обеде с понятными для вас санкциями.

                                                    Иногда, такое ощущение, что люди советуют то, что сами никогда не делали и мечали сделать.
                                                    Видеонаблюдение еще никто не отменял - рвите на здоровье.
                                                    Кажущееся противоречие с контролем - только кажущееся: пломба контролируется админом периодически (напрмер 1 раз в 3 месяца обязательно), пользователем - ежедневно (желательно). Дело ведь не только в портах, как Вы понимаете. Снятие жесткого диска пользователем на ночь с мотивировкой "у меня дома целее будет" - более действено, чем сброс на флэшку копии экрана.
                                                    Маленький сумбур, но надеюсь, что Вы поняли.

                                                    Комментарий


                                                    • #27
                                                      Видеонаблюдение в каждом кабинете? Видео может быть уже удалено (перезапишется), когда вы обнаружите срыв пломб. Я вам говою про реальную практику вредительства. Вот вы просто придумали этот кейс или действительно так делате?
                                                      Пломбы работают, когда ежедневно комиссия 2-3 человека осматривают каждую пломбу с журналированием и видеосъёмкой процесса и доступ ограничен в кабинеты, в большенстве случаев это гораздо дороже, чем програмные средства ограничения и контроля портов.
                                                      И даже в этом случае без тотального видеонаблюдения в кабинете, где больше одного человека, установить кто именно из них сорвал пломбу не возможно.

                                                      P.S. Мне вот интересно, езернет вы мне тоже заклеете? Никакой проблемы скопировать файл по езернету нет. Или у вас тотальная IPSec изоляция или подобное решение? Ещё раз прочитайте последнее сообщение Лукацкого, последнее предложение, оно расставляет все точки над i.

                                                      Комментарий


                                                      • #28
                                                        Zuz, видео - к слову пришлось, есть действительно не везде.
                                                        Любая пломба - это психологическая защита, но работает достаточно эффективно: вспомните газовые, электрические и другие счетчики.
                                                        Пломбы применяются во многих местах, например в кассе. На счет дорого - это как сказать.
                                                        В части реальной практики - видел в других организациях (напрмер в ЦБ), да и сами применяем достаточно давно и успешно.

                                                        Для преднамеренного вредительства требуются иные меры. В этом случае блокировка портов политикой за меру противодействия посчитать можно, но я бы не стал этого делать.

                                                        Вопрос в части программного контроля: как Вы сможете проконтролировать программно наличие жесткого диска в выключеном компьютере?

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          P.S. Мне вот интересно, езернет вы мне тоже заклеете? Никакой проблемы скопировать файл по езернету нет. Или у вас тотальная IPSec изоляция или подобное решение? Ещё раз прочитайте последнее сообщение Лукацкого, последнее предложение, оно расставляет все точки над i.
                                                          Согласитесь, что блокировка и отключение/заклеивание портов - вещи разные и вписываются в "последнее сообщение Лукацкого, последнее предложение".
                                                          Теперь по мере поступления:
                                                          1. "езернет вы мне тоже заклеете" - нет
                                                          3. "Или у вас тотальная IPSec изоляция" - нет. Хочется, но дорого как по деньгам так и по последствиям.
                                                          4. "или подобное решение" - нет. Решение "ассиметричное" - сегментация сетей с межсетевыми экранами.

                                                          2. "Никакой проблемы скопировать файл по езернету нет" - согласен, только файл с нужной информацией на компе отсутствует по причине "ассиметрии". Против "сам ручками набрал" (пару сотен мегов или гигов в бинароном виде с использованием ворда) не рассматриваем.

                                                          Комментарий


                                                          • #30
                                                            Пломбы я уже показал в каком случае работают, в противном случае без реальных показательных наказаний и как следствие нагнетания обстановки в коллективе они не работают.

                                                            Ну, например, TPM + шифрование всего диска, но такой способ будет, возможно, дороже, поэтому и была оговорка (я понимаю, что можно унести и материнку, но поверьте есть гораздо простые способы, что-то, откуда-то скопировать). Ну и датчик вскрытия корпуса тоже может тут помочь, но он подобен пломбе.

                                                            К вам вопрос: а как "успешность" меряете? Каковы критерии?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X