Kiểm soát các thiết bị USB bằng Group

Policy
Kích cỡ Font:
Khi nói đến bảo mật, bảo vệ mạng, bảo vệ dữ liệu công ty, hoặc các vấn đề
tương tự như vậy trên mạng công ty của bạn, có một thứ mà bạn phải nghĩ
đến đó chính là cách kiểm soát các USB và các ổ đĩa cứng.

Nếu người dùng có thể mang USB vào văn phòng làm việc (có thể bỏ túi một cách quá dễ
dàng), copy tất cả các file mật thiết nào đó vào trong, sau đó cắm USB vào một desktop
khác của họ để copy hoặc thực thi các file từ USB thì sự phơi bày cho một tấn công hoặc
việc tiêm nhiễm virus có thể xuất hiện bất cứ lúc nào. Cho tới lúc này, sự kiểm soát các
thiết bị USB vẫn còn rất hạn chế. Mặc dù vậy, Microsoft đã giới thiệu một tính năng mới
có tên Device Installation Restrictions để kiểm soát các thiết bị USB trong Windows
Vista. Các thiết lập này khá dễ dàng trong việc cấu hình, điều khiển và rất mạnh mẽ khi
chúng được triển khai bằng Group Policy.

Xem xét đến hai kịch bản điều khiển các thiết bị USB

Việc hạn chế các thiết bị USB diễn ra trong hai kịch bản. Kịch bản đầu tiên khá đơn giản
vì nó liên quan tới máy tính chưa hề biết đến các thiết bị USB trước đó. Trong trường
hợp như vậy, máy tính không có bất kỳ các thiết bị USB nào được cài đặt. Kịch bản thứ
hai là khi thiết bị USB đã được cài đặt. Trong trường hợp này, USB đã được cấu hình
trong registry và driver của nó đã được copy vào máy tính.

Kiểm soát sự cài đặt các thiết bị USB trên các phiên bản hệ điều hành
trướcWindows Vista

Khi không có hệ điều hành Windows Vista, hoặc muốn thẩm định quá trình kiểm soát cài
đặt các thiết bị USB trên Windows 2000 hoặc Windows XP, chúng tôi muốn thêm vào
các khả năng mà bạn có đối với các hệ điều hành này. Quá trình này cho phép bạn kiểm
soát các thiết bị USB tuy nhiên không dễ dàng triển khai hoặc điều khiển so với tùy chọn
mới trong việc kiểm soát các thiết bị USB bằng Group Policy.

Với Windows 2000 và XP, bạn cần phải thay đổi các điều khoản của các file tồn tại để
hạn chế sự cài đặt của các thiết bị USB. Hai file mà bạn cần thay đổi nói ở đây đó là
USBSTOR.PNF và USBSTOR.INF, cả hai file này đều nằm trong thư mục %systemroot
%inf. Để từ chối cài đặt các thiết bị USB, bạn cần thay đổi sự bảo mật trên mỗi file này.
Để thay đổi điều kiện bảo mật trên mỗi file, hãy kích chuột phải vào file đó, sau đó bạn
hãy chọn Properties. Trong cửa sổ Properties, hãy chọn tab Security. Sau đó chọn tên
nhóm mà người dùng nằm trong đó (tên nhóm bạn muốn từ chối sự cài đặt của thiết bị
USB), sau đó chọn điều khoản Full Control như thể hiện trong hình 1.
 Hình 1: Cấu hình tên nhóm có các điều khoản Deny là Full Control cho cả hai file

Điều khiển cài đặt USB trên Windows Vista

Với các máy tính Windows Vista, bạn có thể sử dụng các thiết lập đối tượng Group
Policy để hạn chế cài đặt các thiết bị USB. Phương pháp này cung cấp cách chỉnh tinh
hơn trong vấn đề điều khiển các thiết bị USB riêng biệt. Phương pháp này không phải là
một giải pháp “tất cả hoặc không có gì” so với các phương pháp với các hệ điều hành
trước mà nó có khá nhiều tùy chọn tinh chỉnh. Với phương pháp này, bạn sẽ xem xét đến
ID của USB. ID này sẽ được sử dụng trong chính sách kiểm soát thiết bị. Một ưu điểm
của chính sách thông qua Group Policy là bạn có thể hạn chế thiết bị USB hoặc cho phép
nó. Bên cạnh đó bạn cũng có thể thiết lập tinh chỉnh các điều kiện của riêng mình đối với
những gì là được phép và những gì không được phép.Việc phát hiện ID của USB là cài
đặt nó. Đây là những gì bạn có đối với một máy tính test nơi bạn có thể cài đặt thiết bị.

Bên dưới đây là các bước cần thiết để tìm ra ID thiết bị USB đối với thiết bị đã được cài
đặt.

1. Mở Device Manager từ Control Panel.

2. Tìm thiết bị trong danh sách thiết bị. Thiết bị USB sẽ được đặt nằm bên dưới phần
Disk drives.
3. Kích chuột phải vào thiết bị USB và chọn Properties, thao tác đó sẽ mở ra trang
thuộc tính của thiết bị, xem thể hiện trong hình 2.

Hình 2: Chọn Properties của thiết bị USB từ Device Manager

1. Chọn tab Details từ trang thuộc tính của USB

2. Kích vào danh sách dropdown có nhãn Property
3. Chọn tùy chọn Hardware Ids, như thể hiện trong hình 3.
 Hình 3: Device class GUID là những gì bạn sẽ sử dụng cho hardware ID

Với USB ID này, bạn có thể tạo và cấu hình một GPO. Để cấu hình một GPO có USB ID
và hạn chế sự cài đặt thiết bị, bạn hãy thực hiện theo các bước dưới đây trên máy tính mà
thiết bị USB chưa được cài đặt.

1. Kích nút Start, chọn Run, sau đó đánh gpedit.msc, tiếp đó kích nút OK. (Nếu
UAC đã được kích hoạt thì bạn sẽ phải đồng ý cho phép Group Policy editor
chạy).
2. Mở Computer Configuration|Administrative Templates|System|Device
Installation|Device Installation Restrictions, xem thể hiện trong hình 4.
Hình 4: Bạn sẽ cấu hình các chính sách dưới nút Device Installation Restrictions để kiểm
soát các thiết bị USB

1. Kích đúp vào phần ngăn chặn cài đặt các thiết bị tương xứng với chính sách ID
phần cứng này.
2. Chọn nút chọn Enabled.
3. Kích nút Show để mở hộp thoại Show Contents.
4. Kích nút Add trong hộp thoại Show Contents.
5. Đánh vào ID cho thiết bị USB bằng cách sử dụng cú pháp thể hiện trong hình 5.

Hình 5: Đầu vào chính sách hạn chế phần cứng sử dụng Hardware ID của thiết bị

1. Lưu tất cả những thiết lập bên trong chính sách và thoát khỏi trình soạn thảo.

Lúc này, bạn đã thiết lập được chính sách của mình và có thể kiểm tra việc cài đặt thiết bị
USB. Sau khi cắm thiết bị USB trên máy tính, nơi bạn đã cấu hình GPO, bạn sẽ nhận
được một thông báo lỗi giống như thông báo có trong hình 6. Chỉ cần kích vào biểu
tượng trong khay để xem hộp thoại này.
 Hình 6: Nếu chính sách hạn chế cài đặt thiết bị thì một thông báo sẽ được hiển thị

Nếu muốn thêm một số thông tin, bạn cũng có thể cấu hình tùy chỉnh cho thông báo hiển
thị. Có hai chính sách (Hiển thị thông báo tùy chỉnh khi cài đặt bị ngăn chặn bởi chính
sách) đối với việc ngăn chặn USB ID, bạn có thể xem trong hình 4.

Lưu ý:

Nếu thiết bị đã được cài đặt rồi, chính sách sẽ không từ chối việc chạy nó. Bạn sẽ cần
phải hủy bỏ cài đặt driver của thiết bị để chính sách này làm việc, hoặc bạn có thể sử
dụng tùy chọn được liệt trong danh sách trên cho các máy tính Windows Vista đối với
các driver đã được post.

Kiểm soát các thiết bị USB đã được cài đặt

Với kịch bản thứ hai, bạn cần xem xét đến việc điều khiển các thiết bị USB đã cài đặt rồi.
Với kịch bản này, bạn có hai tùy chọn. Tùy chọn thứ nhất là hủy bỏ cài đặt USB drive,
điều đó sẽ đưa máy tính của bạn về trạng thái chưa cài đặt driver USB – do điều này khá
khó khăn trong việc quản lý và không thể thực thi trong một công ty lớn, chính vì vậy
hãy chọn giải pháp khác.

Tùy chọn thứ hai sẽ bắt buộc bạn phải tiếp xúc với registry. Việc can thiệp vào registry
có thể gây ra lỗi màn hình xanh (blue screen!). Việc hack registry có thể được thực hiện
một cách thủ công, bằng kịch bản hoặc thậm chí sử dụng Group Policy để triển khai thiết
lập. Trong trường hợp này, chúng tôi gợi ý bạn sử dụng Group Policy. Bạn cũng có thể
sử dụng Registry Preference hoặc có thể tùy chỉnh mẫu ADM. Việc cấu hình chính sách
Registry Preference từ các thông tin trong mẫu ADM sẽ khá đơn giản! Để tạo một mẫu
này, bạn chỉ cần copy đoạn văn kịch bản dưới đây vào Notepad, sau đó lưu lại dưới dạng
đuôi mở rộng ADM, chú ý rằng bạn không được để nối thêm phần mở rộng .txt với file
này. Tiếp đến, import mẫu này vòa GPO bằng cách sử dụng Group Policy Management
Editor.

CLASS MACHINE
CATEGORY "Braincore.net USB Storage Drive Restriction"
POLICY "How do you want USB Drives to Behave?"
#if version >= 3
EXPLAIN "Policy to disable USB removable storage"
#endif
KEYNAME
SYSTEMCurrentControlSetServicesUSBSTOR
VALUENAME Start
VALUEON NUMERIC 3
VALUEOFF NUMERIC 4
END POLICY
END CATEGORY

Kết luận

Qua bài này chúng ta biết được rằng các thiết bị USB có thể được kiểm soát trong các
máy tính Windows 2000, XP và Vista. Có thể kiểm soát việc cài đặt các thiết bị này nếu
chúng vẫn chưa được cài đặt trước đó, hoặc có thể hạn chế sự sử dụng nếu chúng đã được
cài đặt rồi. Với Windows 2000 và XP, bạn có phương pháp khác để hạn chế sự cài đặt
của thiết bị USB so với Windows Vista. Windows Vista sử dụng GPO, trong đó
Windows 2000/XP lại yêu cầu bạn phải thay đổi các điều khoản trên các file của nó. Nếu
thiết bị đã được cài đặt rồi, khi đó bạn sẽ cần phải thay đổi registry để hạn chế sự sử dụng
của nó. Phương pháp này có thể được thực hiện thủ công hoặc thông qua một kịch bản
hoặc bằng cách sử dụng Group Policy. Giờ đây bạn đã có thể kiểm soát được các ổ USB
của mình và mạng của bạn cũng sẽ an toàn hơn.

benhvientinhoc.com (Theo WindowSecurity)