1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Lan-Local Area Networks >>

Hindre uautoriserte USB-enheter med programvare policyer, tredjeparts apps

Restriksjoner

Selv om det ikke egentlig er beregnet for bruk i kampen mot flyttbare lagringsenheter, programvare policyer kan være av litt hjelp. Programvarebegrensningspolicyer er gruppepolicyinnstillinger som er utformet for å hindre brukere fra å installere uautorisert programvare på sine arbeidsstasjoner. Som sådan, vil programvaren policyer ikke til hinder for bruk av USB-lagringsenheter, heller ikke vil de hindre brukere fra å kopiere data til disse enhetene. De kan imidlertid brukes til å hindre brukere fra å bruke en USB-enhet for å få uautorisert programvare inn i organisasjonen.
Les mer om å blokkere USB-enheter
USB-lagringsenheter: To måter å stoppe trusselen mot nettverket securityUsing Windows Vista group policy å hindre uautorisert bruk USB-enheten

Du kan lage programvare Restriksjoner ved å åpne Group Policy Object Editor og navigere gjennom konsolltreet til Computer Configuration | Windows Innstillinger | Sikkerhetsinnstillinger | Programvarebegrensningspolicyer. Deretter høyreklikker du på programvarebegrensningspolicyer beholderen og velg Ny Software Restriction Policies kommandoen fra den resulterende hurtigmenyen. Windows vil da opprette to underbeholdere: Sikkerhet Nivåer og tilleggsregler.

Når du oppretter en programvare begrensning politikk, sikkerhetsnivåer brukes til sikkerhetsregler. Sikkerhetsnivåene er opprettet som standard. De består av " tillatt " og " Forbudt ". Dette betyr at alt du trenger å gjøre er å lage policyregler og så fortelle Windows om programmer installeres som oppfyller kriteriene for disse reglene bør være tillatt eller forbudt.

Du kan opprette en regel ved å høyreklikke på tilleggsregler beholderen og deretter velge den type regel som du vil opprette. Det finnes fire typer regler: bevisregler, stekte regler, Internet Zone regler og baneregler. Jeg kunne sikkert skrive en bok om disse fire typer regler, men i forbindelse med denne artikkelen, vil jeg prøve å holde ting enkelt og bare gi deg en idé om styrker og svakheter ved hver type regel.

Sertifikat regler
er langt den sikreste form for regelen. Den grunnleggende ideen er at mange programvare utgivere signere koden som de slipper for å bevise at koden er autentisk. Du kan opprette sertifikat regler som arbeid basert på følgende digitale signaturer. Dette gjør det mulig å tillate søknader fra enkelte utgivere mens benektes usignerte programmer eller programmer fra utgivere som du ikke har godkjent. Den største ulempen til sertifikatregler er at ikke alle utgiver signerer sin kode.

A hash regel
lar deg lage en digital hash av en fil (en matematisk ligning basert på filens innhold) og deretter enten godkjenne eller avslå fil basert på at hasj. Det fine med hasj reglene er at de fungerer selv om en bruker forsøker å endre navn på en fil eller installere en fil til en ukonvensjonell sted. Problemet med hasj regler, skjønt, er at hashes er filen bestemt. Hvis en ny versjon av en fil er gitt ut, eller hvis en eneste byte av en fil er endret, er det hasj ikke lenger gyldig.

Bane regler
er utformet for å tillate eller nekte et program basert på sin plassering i enten filsystemet eller Windows-registeret. For eksempel, hvis du ønsket å hindre brukere fra å kjøre videospill, kan du lage en bane regel som blokkerte programmer som ligger på \\ Programfiler \\ Microsoft Games \\. Problemet med bane reglene er at hvis en bruker flytter en fil til et annet sted som ikke er under jurisdiksjonen av banen regel, da programmet er gratis å gjennomføre. Likevel, det faktum at baneregler kan inneholde miljøvariabler eller registernøkler betyr at du kan lage noen ganske kraftige bane reglene hvis du vet hva du gjør.

Internet Zone regler
er nesten verdiløs etter min mening. De er laget for å hindre brukere fra å kjøre programmer som de laster ned fra Internett. Likevel vil Internet Zone reglene fungerer bare hvis en bruker laster ned en fil fra et nettsted som eksisterer i en begrenset sone. Hvis en annen maskin brukes til å laste ned filen, vil Internett-sonen regel ikke stoppe brukeren fra å kjøre filen, fordi datamaskinen ikke vet at filen kom fra Internett. Videre kan Internet Zone regler bare brukes til å begrense Windows Installer-filer (* MSI-filer).

Tredjepartsprogrammer

Sannsynligvis det beste forsvaret mot USB-lagringsenheter er å bruke tredjepartsprogrammer. GFI gjør et produkt som kalles Endpoint Security som er spesielt utformet for å hindre bruk av USB-lagringsenheter.

Hvis målet ditt er å holde uautorisert programvare av nettverket ditt, kan du sjekke ut et produkt som kalles Paritet fra et selskap kalt Bit9. Paritet er utviklet for å tillate deg å kontrollere hvilke prosesser er og ikke er autorisert til å kjøre på arbeidsstasjoner.

Konklusjon

I denne serien, jeg har diskutert problemene som USB-lagringsenheter utgjør i en organisasjon og har snakket om flere mulige løsninger på disse problemene. Det er en mye mer detaljert whitepaper om dette emnet på min hjemmeside, hvor du kan lese mer om programvarebegrensningspolicyer eller Bit9 sin Paritet.