7 ответов в этой теме

[Strato]

Добрый день.

 

Dr.Web Enterprise Security Suite 13.00.1.

 

 

Возможно кто-то решал уже подобную задачу и сможет направить в нужную сторону.

 

Требуется - заблокировать возможность использования внешних носителей данных на доменных ПК для всех пользователей, кроме входящих в 2 группы безопасности AD (разрешение на чтение и на чтение-запись).

 

Пока в рамках эксперимента на флешках решил проблему приблизительно так:

1. В общих настройках офисного контроля включил пункт "Контролировать доступ к защищаемым объектам" и выбрал класс "дисковые устройства". Результат - флешки блочатся на всех машинах в группе.

2. В групповых настройках взвел галку "Предоставлять доступ только разрешенным устройствам" и добавил маску USBSTOR\*\*, для которой снял галки на чтение и запись в общих правах доступа, а в особых правах указал нужные группы с нужными правами.

 

Это вроде как решает нужную задачу, но заметил один странный эффект. При таких настройках доступ к устройствам класса USBSTOR\*\* идет запрет на доступ для пользователей "NT AUTHORITY\СИСТЕМА" и "NT AUTHORITY\NETWORK SERVICE", что вызывает определенные неудобства(например вставленная флешка не появляется автоматом в проводнике, надо нажать F5).

 

Собственно вопрос - в правильную ли сторону я пошел? Или надо использовать какой-то другой способ? Блокировка доступа для системных пользователей это нормально в данной ситуации?

Сообщение было изменено Strato: 20 Май 2024 - 16:12

[Afalin]

Блокировка доступа для системных пользователей это нормально в данной ситуации?

Вполне нормально.

 

Учтите один нюанс. Всякие мобилки и прочие гаджеты опознаются не только лишь дисковыми устройствами, там много всего ещё следует позапрещать.

[Strato]

Вполне нормально.

Вот это под вопросом. Ибо если сделать описанную мной групповую настройку на маску SCSI\*\*(по ней определяются некоторые внешние диски), то для системных и находящихся не в группах пользователей оказываются заблокированы и встроенные диски, включая системный, что вырубает ПК в незагружаемое состояние, из которого его можно вывести только через LiveCD и чистку драйверов и реестра. Т.е. такой кривой политикой можно положить весь парк ПК(ну или минимум половину, если вовремя заметить и откатить изменения).

 

Учтите один нюанс. Всякие мобилки и прочие гаджеты опознаются не только лишь дисковыми устройствами, там много всего ещё следует позапрещать.

Это понятно. Надо смотреть как что определяется и блокировать-разрешать.

 

А в остальном, как я понял, направление мысли у меня верное?

[Afalin]

Верное, на мой взгляд.

Чтобы не блокировать лишнее – можно блокировать не классы устройств целиком, а классы в привязке к шинам. Разве что всё равно видится сложность в управлении доступом к eSATA дискам и прочему подобному.

[Strato]

А какова вообще логика работы галки "Предоставлять доступ только разрешенным устройствам" в групповых настройках.

Она работает как исключение для групповых настроек?

[katbert]

 

Если вы ограничили доступ к каким-либо шинам или классам устройств, вы можете отдельно разрешить доступ к определенным устройствам, добавив их в список разрешенных.

В список можно добавлять любые типы устройств, в том числе устройства на съемных носителях (USB флеш-накопителях, дискетах, CD/DVD приводах, ZIP-дисках и т. п.), клавиатуры, принтеры, сетевые адаптеры и др. Также в список разрешенных можно добавить конкретное устройство, чтобы не проверять его на наличие BadUSB-уязвимости.

 

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual_agents/Windows/index.html?control_setup_white_list.html

[Strato]

 

 

Если вы ограничили доступ к каким-либо шинам или классам устройств, вы можете отдельно разрешить доступ к определенным устройствам, добавив их в список разрешенных.

В список можно добавлять любые типы устройств, в том числе устройства на съемных носителях (USB флеш-накопителях, дискетах, CD/DVD приводах, ZIP-дисках и т. п.), клавиатуры, принтеры, сетевые адаптеры и др. Также в список разрешенных можно добавить конкретное устройство, чтобы не проверять его на наличие BadUSB-уязвимости.

 

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual_agents/Windows/index.html?control_setup_white_list.htmlНу

 

Я тоже это читал. Или вы подумали, что нет?

 

Написано - если вы что то запретили, то можете кое-что из этого разрешить.

 

Но вот заблокировал я например класс "Дисковые устройства", не по шине, а совсем. И все работает нормально, внутренний SSD(или HDD) диск, определяемый как SCSI\*\* устройство не блокируется, подключаемые внешние диски блокируются, даже если они определяются как тот же SCSI\*\*. Т.е. антивирус тут как-то понимает, что надо блокировать, а что нет.

 

А теперь я говорю, а давай-ка мы разрешим доступ к устройствам класса SCSI\*\* для пользователей

[Strato]

из группы "VIP". И DrWeb разрешает доступ ко всем SCSI\*\* для группы "VIP", но при этом начинает блокировать все SCSI\*\* (включая системный диск) для абсолютно всех остальных, включая пользователей типа "NT AUTHORITY\СИСТЕМА". После чего ПК падает в синий экран и остается там надолго, так как не может получить доступ к диску при загрузке.

 

Поэтому очень похоже, что групповые настройки имеют более высокий приоритет чем общие(что в принципе и ожидалось), но работают по своей особой логике.

 

P.S. случайно отправил пост и не успел отредактировать нормально.

Сообщение было изменено Strato: 22 Май 2024 - 01:49