БЕЗОПАСНОЕ ИСПОЛЬЗОВАНИЕ СЪЕМНЫХ НАКОПИТЕЛЕЙ ИНФОРМАЦИИ
В последнее время широкое распространение получили съемные USB-накопители информации и, при решении вопросов связанных с безопасностью информации, защитой сети или отдельного компьютера, необходимо задумываться о том, каким образом их контролировать. Так же большое число компьютерных вирусов «облюбовали» себе место на таких накопителях информации и активно используют их для своего распространения.
Если пользователи могут бесконтрольно использовать USB-накопители, копируя на них любые файлы и переносить их на другие компьютеры, то потенциальная возможность нежелательного распространения конфиденциальной информации, а также подверженность заражения вирусами или распространения какого-либо другого вредоносного программного обеспечения значительно возрастает.
Запрет использования USB-накопителей
для отдельных групп пользователей (Win Vista, Win 7)
Самое простое решение для ограничения бесконтрольного использования внешних USB-накопителей в операционных системах Windows Vista и Windows 7 – это полное отключение возможности их использования для отдельных групп пользователей. Для этого необходимо изменить параметры безопасности для двух файлов USBSTOR.PNF USBSTOR.INF, которые расположены в папке %systemroot%\INF. Чтобы запретить установку USB-устройств, необходимо изменить параметры безопасности для каждого из этих файлов. Для этого правой кнопкой мыши щелкаем на выбранном файле, выбираем «Свойства», затем вкладку «Безопасность», выбираем на ней группы, к которой принадлежит пользователь (для которого необходимо запретить установку USB-накопителей) и затем выбираем опцию «Запретить – Полный доступ» (рисунок 1). Этот способ работает для накопителей ранее не подключавшихся к компьютеру.
Рисунок 1 – Настройка группы пользователей на запрещение полного доступа к файлу usbstor.inf
Запрет использования USB-накопителей через реестр
(Win XP, Win Vista, Win 7)
Запрет на использование USB-накопителей можно осуществить и через реестр. Для этого потребуется изменить ветку HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR, где параметру Start необходимо присвоить значение «4». Для этого в редакторе реестра regedit выбираем нужную ветку, выделяем указателем мыши USBSTOR, находим параметр Start, выделяем его, нажимаем правую кнопку, выбираем «Изменить» и в появившемся окне вводим новое значение (рисунок 2). Теперь при подключении к компьютеру USB-накопитель работать не будет. Этот способ работает только для тех накопителей, которые были уже установлены в компьютер ранее. При установке нового накопителя измененный параметр вернет свое ранее установленное значение – «3». Для того, чтобы внесенные в реестр изменения вступили в силу перезагрузка компьютера не требуется.
Рисунок 2 – Изменение значения параметра Start в ветке HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
Запрет записи на USB-накопители через реестр
(Win XP, Win Vista, Win 7)
Для запрета записи информации на съемные носители необходимо в значение параметра WriteProtect в ветке реестра HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies установить в «1». Тогда в случае попытки записи на съемный носитель пользователь получит предупреждение. Раздел StorageDevicePolicies и параметр WriteProtect может отсутствовать в реестре, поэтому для использования предложенного способа необходимо их создать и записать нужное значение (для запрета записи – «1», для разрешения – «0»).
Для создания раздела необходимо в ветке HKLM\SYSTEM\CurrentControlSet выбрать указателем мыши Control, нажать правую кнопку, выбрать «Создать», далее выбрать «Раздел» и далее созданный раздел переименовать в StorageDevicePolicies. Вновь созданный раздел StorageDevicePolicies выделяем указателем мыши, щелкаем правой кнопкой и выбираем «Создать», далее «Параметр DWORD (32 бита)». Полученный параметр переименовываем в WriteProtect и изменяем его содержимое на «1» (рисунок 3). После внесения изменений в этом случае перезагрузка компьютера не требуется.
Рисунок 3 – Добавление раздела StorageDevicePolicies и изменение значения параметра WriteProtect
Управление USB-устройствами
с помощью групповых политик (Win Vista, Win 7)
Для компьютеров с Windows Vista или Windows 7 можно использовать параметры объектов групповой политики для запрещения использования внешних USB-накопителей. Этот способ позволяет более гибко настраивать правила использования USB-накопителей. Он позволяет либо запрещать, либо разрешать использование USB-устройств, а также создавать списки запрещенных и разрешенных устройств. Для использования этого способа необходимо определить идентификатор устройства ID. Этот идентификатор будет использоваться для контролирования подключаемых к компьютеру внешних накопителей.
Для определения ID идентификатора сменного накопителя необходимо выполнить следующие шаги:
1. Подключить USB-накопитель к компьютеру и дождаться его установки.
2. Открыть «Диспетчер устройств».
3. Найти сменный USB-накопитель в списке устройств. Как правило, USB-накопители находятся в разделе «Дисковые накопители» (рисунок 4).
Рисунок 4 – USB-накопитель в «Диспетчере устройств»
4. Указателем мыши выбрать нужный накопитель и нажать правую кнопку, выбрать «Свойства», в результате откроется окно свойств накопителя.
5. Выбираем в открывшемся окне свойств вкладку «Сведения».
6. Выбираем опцию «ИД оборудования» (рисунок 5), и записываем полученный в верхней строке идентификатор USB-накопителя. После этого деинсталлируем накопитель из системы, выбрав в контекстном меню «Удалить». Деинсталляция накопителя необходима для правильной работы политики управления внешними накопителями.
Рисунок 5 – Идентификатор USB-накопителя на вкладке «Сведения» окна «Свойства»
-
Используя полученный идентификатор USB-накопителя можно создавать и настраивать политики управления внешними накопителями. Для правильной работы политики управления внешними накопителями, необходимо произвести деинсталляцию всех ранее установленных в системе внешних USB-накопителей. Это можно сделать с помощью утилиты USBDeview (www.nirsoft.net).
Для создания списка разрешенных к установке внешних накопителей, необходимо для всех разрешенных накопителей получить описанным выше способом идентификаторы и настроить для них групповую политику:
1. Из меню «Выполнить» запускаем редактор групповой политики gpedit.msc (рисунок 6).
Рисунок 6 – Запуск редактора групповых политик
2. В открывшемся редакторе групповых политик разворачиваем «Конфигурация компьютера», «Административные шаблоны», «Система», «Установка устройства», «Ограничение на установку устройств» и выбираем «Разрешить установку устройств соответствующих какому-либо из этих кодов устройств»(рисунок 7).
Рисунок 7 – Редактор объектов групповой политики
3. Правой кнопкой мыши нажимаем на выбранной опции «Разрешить установку устройств соответствующих какому-либо из этих кодов устройств» и выбираем «Свойства».
4. Нажимаем «Включен», затем показать и в открывшемся диалоговом окне «Добавить».
5. Вписываем в появившемся окне идентификатор накопителя (рисунок 8).
Рисунок 8 – Добавление идентификатора внешнего накопителя в список разрешенных устройств
6. Таким же образом добавляем в список разрешенных устройств остальные идентификаторы.
7. Выбираем в редакторе групповых политик «Запретить установку устройств, не описанных другими параметрами политики», нажимаем правую кнопку мыши, выбираем «Свойства» и нажимаем «Включен».
8. Сохраняем все параметры политики и выходим из редактора.
Таким образом, мы сформировали список разрешенных к установке внешних USB-накопителей и настроили политику их контроля.
Можно пойти дальше и настроить собственное оповещение. Для этого существуют две политики «Отображать специальное сообщение, когда установка запрещена политикой (текст всплывающего уведомления)» и «Отображать специальное сообщение, когда установка запрещена политикой (заголовок всплывающего сообщения)».
ПРЕДОТВРАЩЕНИЕ РАСПРОСТРАНЕНИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ С ПОМОЩЬЮ USB-НАКОПИТЕЛЕЙ
Принцип распространения вирусов через внешние USB-накопители очень прост. Любой вирус, распространяющийся посредством сменных носителей, как правило, состоит из двух файлов, первый – AUTORUN.INF, второй – собственно тело вируса. При подключении носителя компьютер считывает файл AUTORUN.INF и, следуя в нем прописанным указаниям, запускает тело вируса или же исполняет его во время двойного щелчка мышью по иконке накопителя. После того, как вирус прописался в системе, он начинает заражать все внешние накопители, подключаемые к зараженному компьютеру.
Для того чтобы обезопасить себя от вирусов распространяющихся подобным способом необходимо запретить запуск файла AUTORUN.INF при подключении накопителя к компьютеру и исключить возможность записи на подключенный внешний носитель этого файла.
Запрет автозапуска файла AUTORUN.INF при подключении внешних носителей (Win XP, Win Vista, Win 7)
1. Отключаем автозапуск стандартными средствами Windows Vista. Заходим в «Панель управления», далее выбираем «Автозапуск» и снимаем галочку с «Использовать автозапуск для всех носителей и устройств».
2. В Windows XP запускаем редактор групповых политик и преходим в «Конфигурация компьютера», «Административные шаблоны», «Система». Находим в правом окне «Отключение автозапуска» и нажимаем «Включен».
3. Изменяем ключ реестра, отвечающий за автозапуск с CD или DVD привода. Заходим в редактор реестра regedit, переходим в ветку HKLM\System\CurrentControlSet\Services\cdrom и устанавливаем параметр AutoRun равным «0» (рисунок 9).
Рисунок 9 – Изменение ключа реестра, отвечающего за автозапуск с CD и DVD
4. Создаем новый ключ NoDriveTypeAutoRun типа dword в ветке HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer и задаем его значение равным «ff» в шестнадцатеричной системе (рисунок 10).
5. Обновляем параметры файлов, для которых не будет работать автозапуск, добавив в них в них маску *.*. В разделе HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\explorer\AutoplayHandlers\CancelAutoplay\ Files создаем строковой параметр типа REG_SZ с названием *.* (рисунок 11).
Также есть весьма простой способ не выполнять автозапуск файлов со сменных носителей при их подключении к компьютеру. Необходимо перед подключением внешнего носителя нажать и удерживать клавишу «SHIFT» и отпустить ее после того как внешнее устройство будет установлено. При этом открывать установленный диск необходимо не двойным щелчком указателем мыши по иконке, а через контекстное меню, выбрав «Проводник».
Рисунок 10 – Новый ключ NoDriveTypeAutoRun в ветке HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer
Рисунок 11 – Добавление маски *.* в список файлов, для которых не будет работать автозапуск
Исключение возможности записи файла AUTORUN.INF на USB-накопитель, использующий файловую систему NTFS
Для реализации этого способа необходимо отформатировать USB-накопитель в NTFS, далее в корневом каталоге создаем папку, в которой будет храниться вся информация, записываемая на этот носитель. Имя этой папки может быть любым. Чтобы исключить возможность записи файла AUTORUN.INF и файла содержащего тело вируса, необходимо запретить запись в корневой каталог, оставив при этом возможность записи в папку, которую мы создали ранее. Для этого выделяем созданную папку указателем мыши, нажимаем правую кнопку, выбираем «Свойства» и вкладку «Безопасность», нажимаем на «Дополнительно», в появившемся окне нажимаем «Изменить» и снимаем галочку с «Добавить разрешения, наследуемые от родительских объектов» (рисунок 12).
Рисунок 12 – Отключение наследования разрешений для выбранной папки
Теперь можно отключить запись в корневой каталог, не опасаясь, что запрет будет унаследован для выбранной папки для хранения файлов. Выбираем указателем мыши диск соответствующий подключенному USB-накопителю, нажимаем правую кнопку, выбираем «Свойства», затем вкладку «Безопасность», нажимаем «Изменить», в появившемся окне в колонке «Запретить» выбираем галочкой «Запись» и сохраняем сделанные изменения (рисунок 13).
Рисунок 13 – Запрет записи в корневой каталог съемного носителя
Таким образом, мы получили USB-накопитель на который не может записаться файл AUTORUN.INF и сам вирус. При этом всю информацию необходимо сохранять в предварительно созданной папке. Также следует помнить, что при извлечении из компьютера носителей отформатированных в NTFS необходимо обязательно использовать «Безопасное извлечение устройства».
Исключение возможности записи файла AUTORUN.INF на USB-накопитель, использующий файловую систему FAT
В случае использования на USB-накопителе файловой системы FAT, для запрета записи на него файла AUTORUN.INF необходимо создать в корневом каталоге съемного диска каталог AUTORUN.INF, а в него поместить другой каталог с некорректным для операционной системы именем, например COM1. Для этого в командной строке необходимо набрать команду mkdir \\?\x:\autorun.inf\com1 (вместо x необходимо поставить букву, соответствующую съемному диску в вашей системе). После выполнения этой команды в корневом каталоге съемного диска будет создан каталог AUTORUN.INF, который нельзя удалить обычными средствами операционной системы. Поскольку в одном месте два файла или каталога с одинаковым именем находиться не могут, то файл AUTORUN.INF создать в корневом каталоге съемного диска будет невозможно. При этом следует помнить, что само тело вируса записываться на диск будет, но поскольку файл AUTORUN.INF отсутствует, то вредоносный код при подключении съемного накопителя выполняться не будет, и заражения компьютера уже не произойдет. Для автоматизации перечисленных действий можно использовать скрипт вакцина.bat (прикреплен к статье в вид zip-архива). Для его использования, необходимо сначала извлечь скрипт из архива, затем запустить его из меню "Выполнить" или из командной строки набрав вакцина x, где x - буква, соответствующая сменному носителю.
Перечисленные способы и возможности операционных систем Windows XP, Windows Vista и Windows 7 позволяют значительно снизить вероятность заражения компьютеров вирусами, использующие для своего размножения съемные USB-накопители и помогут контролировать их использование. При этом не требуется никакого дополнительного программного обеспечения, а сами способы достаточно просто реализуются.
Дроботун Е. Б., г. Тверь, Военная академия Воздушно-космической обороны, кандидат технических наук, преподаватель.
e-mail:
На конкурс "Школа - территория информационной безопасности"
|