Исследование способов управления монтированием USB-устройств | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 13 марта, печатный экземпляр отправим 17 марта.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №49 (339) декабрь 2020 г.

Дата публикации: 03.12.2020

Статья просмотрена: 4 раза

Библиографическое описание:

Машенков, И. Н. Исследование способов управления монтированием USB-устройств / И. Н. Машенков. — Текст : непосредственный // Молодой ученый. — 2020. — № 49 (339). — С. 14-16. — URL: https://moluch.ru/archive/339/76000/ (дата обращения: 01.03.2021).



В статье автор рассматривает способы управления монтированием USB-устройств.

Ключевые слова: GPO, USB, монтирование.

В настоящий момент существует несколько способов управления монтированием USB-устройств. Можно управлять монтированием с помощью:

1) внутренних механизмов Windows;

2) групповых политик;

3) программного обеспечения;

4) программно-аппаратных комплексов.

Внутренние механизмы Windows

Программное обеспечение инициализации начинает работать при подключении к хосту нового USB устройства. Происходит обмен служебной информацией между хостом и USB-устройством. [1]

Когда пользователь монтирует USB-устройство в ПК или демонтирует его, Windows посылает специальные события: DBT_DEVICEARRIVAL и DBT_DEVICEREMOVECOMPLETE. При помощи данных событий пользователь сразу может узнать букву диска, на который смонтировалось устройство.

Есть способ, позволяющий определить, какое устройство добавилось или удалилось из системы. При возникновении события DBT_DEVICEARRIVAL или DBT_DEVICEREMOVECOMPLETE достаточно перечислить все диски в системе, найти среди них USB-устройства и сравнить полученный список с состоянием до прихода события. Такой способ является не очень оптимальным, но позволяет точно узнать, какие USB-устройства монтируются и удаляются из системы.

Групповые политики

Групповая политика GPO (Group Policy Object) — это инструмент, который доступен администраторам, работающим с Active Directory. Этот инструмент позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену.

С помощью GPO можно запретить использование USB-устройств в ОС Windows. Например, можно запретить запись на монтированные USB-flash-накопители или ограничить запуск исполняемых файлов с этих устройств.

Начиная с Windows 7 стало возможно программно ограничить использование только USB-накопителей, но возможность использовать мышь, клавиатуру, принтер и другие USB-устройства останется.

Если необходимо использовать USB-накопители на всех компьютерах в определенном контейнере (OU) домена, необходимо открыть консоль управления доменами (gpmc.msc) и создать новую политику. Если нужно заблокировать USB-накопители для всех пользователей компьютера, нужно настроить параметры в разделе «Конфигурация компьютера».

В разделе «Доступ к съемным запоминающим устройствам» есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т. д. [2]

Можно запретить запуск исполняемых файлов или запретить чтение данных для любого класса устройств с помощью GPO.

При использовании политики: «Removable Disk: Deny write access» пользователи смогут читать данные с USB-flash-накопителя, но при попытке записать на него информацию увидят ошибку, изображенную на рисунке 1.

Диск защищен от записи

Рис. 1. Диск защищен от записи

Если возникает необходимость запретить использование USB-накопителей всем пользователям, кроме администратора, то можно использовать Security Filtering в GPO. С помощью фильтров нужно запретить применение политики блокировки группе администраторов домена.

Программное обеспечение

Существует ряд программ, позволяющих ограничивать монтирование USB-устройств на ПК. Одна из них Ratool.

Программа мгновенно запрещает подключение USB-устройств.

Также с ее помощью можно разрешать считывать информацию с USB-накопителей, но запрещать запись. Одной из возможностей программы является то, что она позволяет запретить автозапуск USB-накопителей, блокировать настройки и защитить их собственным паролем. Главное окно программы продемонстрировано на рисунке 2.

Главное окно программы «Ratool»

Рис. 2. Главное окно программы «Ratool»

Программно-аппаратные комплексы

Одним из программно-аппаратных комплексов, способных управлять монтированием USB-устройств является Аккорд TSE.

Программно-аппаратные комплексы средств защиты информации (ПАК СЗИ) Аккорд-Win32 и Аккорд-Win64 предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам под управлением ОС семейства Windows — 32-х и 64-х разрядных соответственно. [3]

Помимо доверенной загрузки ОС, контроля целостности системных файлов и управления терминальными сессиями, в данном комплексе присутствует контроль доступа к USB-устройствам.

Литература:

  1. Немоляев А. В. Популярно о USB. — Екатеринбург.: Живая мысль, 2015.
  2. Яремчук С.А, Матвеев А. А. Системное администрирование Windows 7 и Windows Server 2008 R2. — СПБ.: Питер, 2011.
  3. ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE) [Электронный ресурс]. URL: https://www.okbsapr.ru/products/accord/pak-accord-win32–64-tse/ (Дата обращения: 20.11.20)
Основные термины (генерируются автоматически): GPO, USB, монтирование USB-устройств, DVD, FDD, TSE, главное окно программы, пользователь, программное обеспечение, способ управления.


Ключевые слова

USB, GPO, монтирование
Задать вопрос