Смартфоны, флешки, SD-карты и даже фотоаппараты. Эти устройства объединяет то, что их можно легко подключить к компьютеру и скопировать на них конфиденциальную информацию. Они компактны, подключаются обычным USB шнурком. Если фотоаппараты и флешки надо специально с собой брать, то смартфон обычно всегда с собой.
В данной статье мы будем говорить о способах заблокировать несанкционированное подключение таких съемных носителей информации, а значит и о том, как защитить вашу конфиденциальную информацию.
Рассмотрим следующие способы контроля устройств:
- Ограничение доступа к USB портам
- Отключение USB портов через настройки BIOS
- Включение и отключение USB-накопителей с помощью редактора реестра
- Отключение USB портов в диспетчере устройств
- Запрет доступа к накопителям через групповую политику
- Ограничение доступа к USB средствами антивирусов
- Использование специальных программ контроля устройств
Если брать полный список способов, через которые может быть похищена коммерческая тайна предприятия, то это:
- облачные хранилища, электронная почта, соц сети и мессенджеры
- подключаемые носители информации (в том числе USB накопители, телефоны, DVD-ROM)
- печать документов на принтер
- физическая кража оборудования (стационарных дисков компьютера или его целиком)
Каждому из данных каналов утечки конфиденциальной информации мы посвятим отдельную статью.
Итак, подключаемые носители информации.
Традиционно, есть два подхода к решению вопроса:
- можно блокировать использование сотрудниками не нужных для работы устройств и носителей информации. Это сокращает количество вариантов как унести с рабочего компьютера информацию, а в большинстве случаев, заставляет работника и вовсе отказаться от этой идеи.
- если использование внешних накопителей необходимо для работы сотрудника, то нужно контролировать все, что он копирует и своевременно обнаруживать потенциальные утечки информации.
Вариант с блокировкой менее трудозатратный, однако, применяемые средства не должны причинять вред производственному процессу, то есть, не тормозить работу компьютера и сети, не нарушать движение информации в компании, сохранять работоспособность мышки, клавиатуры, сканеров и принтеров, веб-камеры.
Дополнительные задачи, которые при этом появляются:
- как разрешать подключать определенные накопители, а остальные блокировать (например, чтобы обычные сотрудники не могли использовать флешки на компьютере, а сотрудника IT отдела мог подключить свою флешку к любому компьютеру)
- или определённые устройства не блокировать, а ограничивать доступ к файлам на них. Например: сделать флешку доступной в режиме “только для чтения”.
В таблице приведены основные способы решения задачи с оценкой положительных и отрицательных сторон.
| Решение | Плюсы | Минусы |
|---|---|---|
| Отключить устройства (в том числе USB-порты) физически на компьютерах | Решает вопрос | Неудобно. Многие нужные устройства не будут работать |
| Отключить ненужные устройства в Диспетчере Устройств, через реестр или в BIOS | Решает вопрос адресно | Имеются ограничения. Пользователь с правами администратора может включить их обратно. Хлопотно, неудобно |
| Ограничить через политики Active Directory | Можно достаточно гибко настраивать и делать это централизованно | Надо иметь Active Directory (его может не быть в компаниях с небольшим компьютерным парком) и потребуется привлечение ИТ специалиста для настройки (неудобно в крупных компаниях, где есть отдельно отдел информационной безопасности - постановщик задачи на ограничение устройств и отдельно ИТ отдел). Нет возможности задать список разрешенных устройств по серийным номерам. |
| Ограничение средствами антивирусов | Корпоративные версии ряда антивирусов имеют такую возможность | Такие версии редко используются в небольших компаниях. Потребуется привлечение ИТ специалиста. Не у всех антивирусов можно задать права «только чтение» для накопителей. Нет возможности задать список разрешенных устройств по серийным номерам. |
| Использование специальных программ | В зависимости от выбранной программы, гибкость в настройках блокировок устройств + решение смежных вопросов по ограничению доступа к файлам | Потребуется приобретение лицензии на такие программы |
Теперь разберем способы подробнее:
Ограничение доступа к USB портам
Отключить устройства (в том числе USB-порты) физически на компьютерах.
Плюсы:
- решает проблему блокирования портов;
Минусы:
- произойдет полное отключение портов, что не даст использовать нужные для работы USB устройства (веб камеру, например или USB принтер).
- если отключать порты физически, то придется разбирать системный блок.
Отключить через настройки BIOS или системы. В том числе:
- Отключение USB портов через настройки BIOS
- Включение и отключение USB-накопителей с помощью редактора реестра
- Отключение USB портов в диспетчере устройств
Отключение USB портов через настройки BIOS
Сработает надежно, но это самый неудобный из программных способов. Кроме того, он отключит в том числе и нужные для работы USB устройства. Подойдет если компьютеров всего пара штук, менять настройки не потребуется и USB устройства никогда не потребуются.
Технически делается так: зайти в BIOS, отключить все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support), сохранить изменения.
Отключение USB накопителей через редактор реестра.
Удобнее предыдущего способа тем, что можно отключить USB накопители, но при этом оставить включенными принтеры, сканеры, мышки и т.д.
Минусы:
- срабатывает не всегда (при подключении новой флешки для нее будет переустановлен драйвер и блокировка не сработает).
- Пользователь с правами администратора легко включит устройство обратно
- Нельзя адресно разрешить подключение определенных носителей.
Техническая реализация способа:
- Зайти в редактор реестра (regedit.exe)
- В нем перейти на ветку HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR
- Для ключа реестра «Start» задайте значение «4», чтобы заблокировать доступ к USB накопителям. Чтобы разрешить обратно, измените значение снова на «3».
Отключение USB портов в диспетчере устройств
Также, срабатывает не всегда. Может не примениться для новых подключенных устройств. Пользователь с правами администратора легко включит обратно.
Минусы:
- блокировка порта не сработает на новое подключенное устройство, т.е придется постоянно за этим следить, заходить с правами администратора в систему и отключать устройство в Диспетчере;
- пользователь с правами администратора может обратно включить устройства;
- нет возможности задания прав на устройство, только отключение.
- подойдет только для администрирования пары компьютеров, т.к. нет автоматизации;
Запрет доступа к съемным носителям через групповую политику (Active Directory)
Это решение поможет ограничить пользователю возможность использования флешек, при этом не задев полезных USB-устройств.
Плюсы:
- можно запретить разом подключение всех флешек;
- гибкая настройка подключенных устройств к портам: оставить только чтение флешек, возможность редактировать и т.д.
- обеспечивает возможность централизованного администрирования и управления ресурсами системы;
- централизованное управление правами доступа к информации на основе функциональных групп и уровней доступа.
Минусы:
- потребуется помощь специалиста или администратора для настройки, который не всегда есть в штате компании;
- не во всех компаниях применяется Active Directory;
- не получится блокировать-разрешать конкретные usb накопители по серийным номерам.
Ограничение доступа к USB накопителям средствами антивирусов
Этот метод подходит не для всех антивирусных программ (не все имеют такие функции).
Плюсы:
- В корпоративных версиях антивирусов такая возможность может уже быть в комплекте;
- Как правило есть дистанционное централизованное управление
Минусы:
- в маленьких компаниях редко используют дорогие корпоративные версии антивирусов;
- не во всех антивирусах есть возможность ограничения устройств (смотрите в настройках используемого у вас решения);
- требуется привлечение ИТ-специалиста;
- вы будете привязаны к определенной антивирусной программе и будет не так просто ее сменить, если в этом возникнет необходимость. А лицензию на антивирус надо продлять каждый год.
Кроме того, не во всех антивирусах можно реализовать метод, когда надо не просто отключить устройство, а заблокировать определенные устройства по серийным номерам. Либо, когда не надо отключать, например, флешку, а оставить ее в режиме “только для чтения”.
Также, ни один из перечисленных способов не решает задачу, когда нельзя отключать устройства (нужны для работы), но необходимо знать, что на них копируется, чтобы не допустить утечки важной корпоративной информации.
Использование специальных программ для блокировки флешек
Применение этих программ разнообразно: от контроля устройств, до контроля за всеми манипуляциями с компьютером.
Плюсы:
- Гибкая настройка блокировки устройств (как всех накопителей, так и адресная блокировка),
- Разграничение доступа к файлам на устройстве (режим «только чтение»).
- Контроль файлов, копируемых на устройства.
Минусы:
- Требуется приобретение лицензии для работы программы
Пример специализированной программы - LanAgent.
LanAgent – это программа для контроля и блокировки внешних накопителей (в том числе, флешек, телефонов, карт-ридеров и т.д.). В ней настройка правил работы с устройствами происходит дистанционно и централизованно.
Для контроля подключаемых устройств она:
- Мониторит подключения и отключения носителей информации;li>
- Производит теневое копирование файлов, копируемых на USB-носители или редактируемых в них;
- Блокирует подключения USB-носителей, CD/DVD ROM;
- Можно настроить список разрешенных USB накопителей. С ними на компьютере можно будет работать, а остальные будут блокироваться
- Позволяет применять различные режимы работы с usb флешками: заблокировать, разрешить только чтение, полный доступ.
Из дополнительных возможностей LanAgent:
- Перехватывает отправленные на печать документы;
- Запоминание нажатия клавиш на клавиатуре;
- Снятие скриншотов экрана;
- Мониторинг запуска и завершения программ;
- Перехват сообщений мессенджеров (Skype, Viber, Telegram, …), переписки в соц. сетях, отправленных на печать документов, поисковых запросов, Web-почты;
- Мониторинг посещенных сайтов, файловой системы;
- Контроль включения и выключения компьютера;
- Перехват содержимого буфера обмена;
- Установка и удаление программ;
- Логирование работы с общими ресурсами компьютера;
- Контроль изменения комплектующих компьютера;
- Запись видео, звука и выполнение снимков с веб-камер;
- Онлайн просмотр изображения с веб-камер;
- Активное оповещение о нарушениях заданных политик безопасности;
- Планировщик отчетов и отправка отчетов на e-mail;
Ниже приведены два реальных случая использования программы LanAgent для контроля подключаемых устройств.
В юридической организации использовался ряд флешек, которые надо было занести в реестр, чтобы они получили полный доступ к функциям, а остальным флешкам запретить возможность подключаться к компьютеру, т.е. чтобы пользователь не мог “видеть” и иметь возможности переносить данные. Вопрос был решён функционалом программы LanAgent.
В проектно - строительной компании нельзя было без нарушения бизнес-процесса блокировать внешние устройства, но, с целью предотвращения утечки проектной информации, нужно было сообщать о копировании большого количества файлов. Системный администратор получил уведомление от программы LanAgent о нетипичном поведении одного из сотрудников и проверив, что именно копируется с его компьютера обнаружил попытку унести чертежи, сметы и другую ДСП документацию за последние 3 года. Как выяснилось, сотрудник готовился к увольнению и решил прихватить с собой наработки компании.
Таким образом была предотвращена утечка важной для компании информации.
Для подобной ситуации у LanAgent есть ряд возможностей:
- Оповещение администратора системы при подключении устройства к компьютеру;
- Контроль размера файла и общего размера скопированного файла;
- Кроме того программа может уведомлять, когда копирование происходит в нерабочее время.
Выводы:
- В зависимости от задачи, стоящей перед Вами, можно найти бесплатные способы для блокировки носителей информации. Они имеют свои ограничения и не всегда удобны в использовании.
- Больший набор возможностей и удобное дистанционное и централизованное управление дают платные решения.
- В пользу применения для этой задачи программы LanAgent говорит то, что лицензия на LanAgent бессрочная. Т.е. это однократная оплата и дальше программу можно использовать без ограничений по времени.
