Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của các thiết bị lưu trữ USB này, tuy nhiên có một số cài đặt chặn người dùng sử dụng những thiết bị này.. Một phươ
Trang 1Bảo mật Endpoint bằng Group Policy
Group Policy là một cơ chế quan trọng trong tiến trình bảo mật mạng Dưới đây là một số cài đặt rất hữu dụng để khóa chặn truy cập mạng
Thiết lập kiểm soát lưu trữ di động
Các thiết bị lưu trữ Universal Serial Bus (USB) gây ra một mối đe dọa lớn tới sự bảo mật của máy trạm Những thiết bị này giúp kẻ gian dễ dàng đánh cắp thông tin hay cài đặt những phần mềm trái phép vào mạng
Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của các thiết bị lưu trữ USB này, tuy nhiên có một số cài đặt chặn người dùng sử dụng những thiết bị này
Một phương pháp liên quan tới tiến trình tạo một bản mẫu quản trị tùy biến chứa một Group Policy Template, cung cấp khả năng truy cập tới một cài đặt có thể được sử dụng để tắt cổng USB
Nhập bản mẫu này vào Group Policy dưới dạng file adm
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
Trang 2END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
Ngoài ra, các thiết bị lưu trữ USB có thể bị tắt bỏ với các chính sách giới hạn phần mềm Khi một người
dùng kết nối một ổ USB vào hệ thống, Windows sẽ tải file diver%SystemRoot%\Inf\USBSTOR.INF Một
Hash Rule có thể được tạo để chặn truy cập tới file này như trong hình dưới đây
Chặn ổ USB truy cập vào file USBSTOR.INF.
Trang 3Mặc dù đây không phải là một phương pháp nền tảng chính sách, nhưng đây là một phương pháp khá đơn giản để sử dụng những giấy phép của file hệ thống NT để từ chối truy cập tới file USBSTOR.INF Ngoài ra, các công cụ nhóm ba, như GFI EndPoint Security, có thể cung cấp nhiều quyền kiểm soát hơn với những thiết bị lưu trữ di động so với những côgn cụ được tích hợp trong Windows
Kích hoạt chính sách bảo mật cục bộ
Các chính sách bảo mật cục bộ cung cấp nhiều cài đặt tương tự như các chính sách cấp độ mạng, tuy nhiên chúng được thiết kế để bảo vệ hệ thống khi nó không được thẩm định quyền trong một miền Do
đó, một máy tính sẽ không xuất hiện điểm yếu nếu ai đó tìm ra phương pháp đăng nhập cục bộ
Những chính sách bảo mật này thường bị bỏ qua vì chúng không thể được quản lý tập trung, do đó rất khó để có thể cập nhật
Hơn nữa, mỗi máy tính trên mạng cần có một chính sách bảo mật cục bộ với các cài đặt quan trọng đã được kích hoạt Nếu chính sách này trở nên lỗi thời thì các cài đặt chính sách mạng sẽ ghi đè các cài đặt của chính sách cục bộ khi người dùng trực tuyến Khi một người dùng không đăng nhập vào mạng, các chính sách bảo mật cục bộ sẽ bảo vệ cho hệ thống Có sự bảo vệ của một chính sách lỗi thời dù sao cũng tốt hơn được bảo vệ
Windows Mobile
Thông thường, Endpoint Security thường được tập trung vào máy desktop hay laptop và máy chủ Các thiết bị Mobile thường bị bỏ ngỏ do chúng được sử dụng rất ít và khả năng cũng hạn chế Tuy nhiên, hiện nay mọi thứ đã thay đổi
Những chiếc điện thoại thông minh có thể thực hiện chức năng của máy tính xuất hiện ngày cành nhiều, dẫn đến các ứng dụng dành cho điện thoại di dộng cũng lan tràn nhanh chóng
Kết quả là một thiết bị di động không bảo mật có thể gây ra vấn đề bảo mật cho mạng như một chiếc laptop không được bảo mật Nếu người dùng muốn sử dụng thiết bị di động để đột nhập vào mạng, sẽ có ứng dụng đóng vai trò là trợ thủ đắc lực Thực tế là hiện này chúng ta đã được nghe rất nhiều thông tin
về các cuộc lan tràn virus trên những thiết bị di động
Các cài đặt của Group Policy có thể được sử dụng để chặn các thiết bị di động tương tự như khi khóa một hệ thống desktop Tuy nhiên, không phải mọi thiết bị di động đề tương thích với bảo mật nền tảng Group Policy
Các cài đặt Group Policy cấp độ mạng chỉ có thể được áp dụng cho các thành viên miền Do đó, chỉ những thiết bị có thể tham gia vào miền mới được bảo mật bằng Group Policy Hiện nay, chỉ những thiết
bị di động sử dụng hệ điều hành Windows Mobile 6.1 và 6.5 mới có thể tham gia vào miền
Cài đặt Group Policy cho các thiết bị di động không được tích hợp trong Windows Server Để có được những bản mẫu quản trị cần thiết, chúng ta cần cài đặt System Center Mobile Device Manager Công cụ
này bổ sung khoảng 125 cài đặt của Group Policy, có thể truy cập quaGroup Policy Object
Editor tại Administrative Templates / Windows Mobile Settings
Tóm lại, chỉ cần sử dụng một số cài đặt Group Policy sẵn có, chúng ta có thể khóa Endpoint để tăng cường bảo mật