همانطور که میدانید یکی از شایعترین روشهای انتقال ویروس به کامپیوترها در زمان حال حافظه های قابل حمل میباشد عزیزانی که سالهای پیش ، قبل از در دسترس آمدن حافظه های قابل حمل در زمینه کامپیوتر فعالیت داشتند حتما از بالا رفتن آمار انتقال ویروسها در زمان حال نسبت به چندین سال پیش پی برده اند. با توجه به این مسئله ، به عنوان مدیر شبکه بایستی تا حد توان از ورود ویروس به کلاینتها در شبکه خود جلوگیری کنید یکی از بهترین و پرکاربرد ترین روشها استفاده از یک آنتی ویروس متناسب با نیاز خود و نصب بر روی سیستمها و دریافت جدیدترین بروز رسانیها است که متناسب با سلیقه و نیاز میتوانید نصب کنید اما باز هم امکان دارد که برخی ویروسهایی وارد شبکه شما شود که هنوز توسط آنتی ویروسها شناسایی نشده اند ، از طرفی در شبکه هایی که به امنیت اطلاعات خود اهمیت بسیار میدهند ممکن است بستن پورت USB و مدیریت آن بصورت متمرکز راهی مطمئن تر به نظر آید لذا در این مقاله تصمیم دارم روشهای مختلف بستن پورتهای USB را بصورت متمرکز از طریق Group Policy توضیح دادم تا با توجه به نیاز خود مناسب ترین روش را انتخاب و پیاده سازی کنید همچنین با استفاده از این روشها میتوانید این تنظیمات را در صورت نیاز برای کامپیوترهای خانگی و یا Workgroup هم پیاده سازی کنید .
استفاده از Group Policy ( درویندوزهای ویستا یا بالاتر ) :
یکی از این روشها استفاده از Policy های موجود در ویندوز است. در ویندوز ویستا به بعد یک سری پالیسی در مسیر زیر وجود دارد که میتوانید با استفاده از این پالیسی ها بصورت متمرکز از نصب شدن Device های جدید که شامل حافظه های قابل حمل میشوند بر روی کامپیوتر جلوگیری کنید :
1
|
Computer Configuration=>Administrative Templates=>System=>Device Installation=>Device Installation Restrictions |
همچنین با بدست آوردن Hardware IDs دیوایس های مورد نظر ، آنها را در شناسایی مستثنی کرده و یا تنها از Install شدن یک یا چند Device جلوگیری کنید همچنین میتوانید برای آن پیام خطای دلخواه خود را تعیین کنید گرچه این روش از طریق گروپ پالیسی اعمال میشود و پیاده سازی آن راحت بنظر میرسد اما در سازمانهایی که از ویندوزهای ماقبل ویستا ( مثلا WinXP ) استفاده میکنند این پالیسی اعمال نمیشود همچنین با توجه به اینکه ممکن است در کلاینتها ، از قبل دیوایسهایی شناسایی و نصب شده باشد این پالیسی ها در نصب Deviceها محدودیت ایجاد میکنند نه اینکه در استفاده Deviceهای نصب شده محدودیت ایجاد کنند و با دردسرهای خاص خود میتوانید تا حدی آن را برطرف کنید یکی دیگر از مواردی که ما را تا حدی ازهدف خود دور میکنید این است که این پالیسی بر روی تمام دیوایسهایی که به سیستم متصل میشوند موثر خواهد بود یعنی به جز حافظه های قابل حمل ، شامل پرینترها و اسکنرها و یا دیوایسهای دیگر هم که از طریق پورت USB به کامپیوتر متصل میشوند هم شده و بر روی آنان هم تاثیر خواهد گذاشت جدا از همه اینها من خودم مدتی با این پالیسی کار کرده ام و یک سری بد قلقی ها رو در آن دیده ام خلاصه درکل به شما پیشنهاد میکنم که اگر در شبکه های Enterprise تصمیم به محدود کردن فلش مموری ها و کنترل آنها را دارید و همچنین تصمیم بر مستثنی کردن یک سری حافظه های قابل حمل را دارید از ابزارهایی مانند GFI EndpointSecurity که در همین زمینه کاربرد دارند استفاده کنید که بی شک بسیاری از نیازهای شما را در این زمینه برطرف خواهد کرد. برای آموزش استفاده از این ابزار میتوانید به لینک زیر مراجعه کنید :
یک سری پالیسی دیگر هم در مسیر زیر وجود دارد که میتوانید با استفاده از این آنها دسترسی به دستگاههای فابل حمل را از جمله CD-ROM , Floppy Drives , Removable Disks را سلب کنید از جمله اینکه میتوانید آنها را فعال و یا غیر فعال کنید حتی میتوانید اجازه خواندن و یا نوشتن Removable Disks را سلب کنید
1
|
Computer Configuration => Administrative Templates => System => Removable Storage Access |
پالیسیها در اینجا معرفی شدند و شما میتوانید آنها را در شبکه خود بصورت متمرکز و از طریق کنسول مدیریتی Group Policy در ویندوز سرور به کلاینتها اعمال کنید اما همانطور که گفته شد این پالیسی را ویندوزهای قبل از ویستا پشتیبانی نمیکنند لذا بایستی برای اعمال کردن آنها از ویندوز سرور 2008 به بالا استفاده کنید .
روشی که توضیح داده شد برای ویندوزهای ویستا به بالا هست و در ویندوزهای قبل از ویستا ( مثل Win XP ) این پالیسی وجود ندارد ، بنابراین اگر بخواهیم این روش را بصورت متمرکز به کلاینتها اعمال کنیم ، اگر در شبکه ما از ویندوزها ی مختلف استفاده میشد مثل ویندوز 7 و XP و ویستا آنوقت این پالیسی تنها به کلاینتهای دارای ویندوز ویستا یا بالاتر اعمال میشود
تغییر در رجیستری ( در ویندوز های قبل از ویستا ) :
برای اینکه در ویندوزهای قدیمی تر این هدف را پیاده سازی کنید میتوانیم از طریق رجیستری این کار را انجام دهیم شما از این روش در ویندوزهای قدیمی و جدید میتوانید استفاده کنید برای این کار در Run تایپ کنید regedit و در پنجره باز شده بنا به نیاز تغییرات زیر را انجام دهید :
برای جلوگیری از دسترسی و یا اجازه دسترسی به حافظه های قابل حمل متغیر Start را در مسیر زیر تغییر دهید
1
|
HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Services\UsbStor |
در اینجا متغیری به نام Start وجود دارد که با قرار دادن مقدار 4 در آن مانع دسترسی کاربر و با قرار دادن مقدار 3 در آن اجازه دسترسی کاربر را به حافظه های قبل حمل میدهید
اگر بخواهید که حافظه قابل حمل شما شناخته شده و محتوای آن خوانده شود همچنین کاربر بتواند از حافظه خود اطلاعات را بر روی سیستمش کپی کند اما نتواند اطلاعاتی به فلش خود منتقل کند ، در واقع مانع از کپی اطلاعات از شبکه خود به حافظه های قابل حمل شوید به مسیر زیر بروید :
1
|
HKEY _LOCAL_MACHIN\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies |
یک متغیر از نوع DWORD ساخته و نام آن را WriteProtect بگذارید و با قرار دادن مقدار 1 به آن مانع از نوشتن اطلاعات به حافظه های قابل حمل کاربران شوید همچنین با قرار دادن 0 و یا حذف متغیرWriteProtect اجازه نوشتن اطلاعات را به کاربران بدهید
روش اعمال تغییرات در رجیستری از طریق Group Policy در ویندوز سرور 2008 و بالاتر
حالا شما از طریق Group Policy در ویندوز سرور میتوانید این تغییرات را بصورت متمرکز از مسیر زیر اعمال کنید
1
|
Computer Configuration => Preferences => Windows settings => Registry |
روش اعمال تغییرات در رجیستری از طریق Group Policy در ویندوزهای سرور قبل از 2008
در ویندوزهای سرور قدیمی تر در تنظیمات گروپ پالیسی قسمتی با نام Preferences وجود نداشت و شما برای اعمال این تغییرات میتوانید اسکریپت نویسی کرده و آن را به صورت متمرکز به کلاینتها اعمال کنید برای این کار معادل دستوری خط فرمان آنها را که در پایین نوشته شده بنا به نیاز در یک فایل با پسوند Bat کپی و ذخیره کنید آن فایل را در پوشه Share شده با سطح دسترسی مناسب قرار داده و آدرس UNC آن فایل را در مسیر زیر در گروپ پالیسی قرار داده و به کلاینت ها اعمال کنید
1
|
Computer Configuration => Policy => Windows Settings =>Scripts Startup |
برای جلوگیری از دسترسی کاربران به حافظه های قابل حمل
1
|
Reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v Start /t REG_DWORD /d 4 /f |
برای مجاز کردن کاربران به دسترسی به حافظه های قابل حمل
1
|
Reg add HKLM\SYSTEM\CurrentControlSet\Services\UsbStor /v Start /t REG_DWORD /d 3 /f |
برای عدم اجازه نوشتن در حافظه های قابل حمل:
1
|
Reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v writeProtect /t REG_DWORD /d 1 /f |
برای اجازه به نوشتن در حافظه های قابل حمل :
1
|
Reg delete HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v writeProtect /f |
استفاده از فایلهای ADM
اما باز هم روش دیگر و راحت تری وجود دارد و آن هم استفاده از فایلهای Adm است
شما با ساختن فایل Adm و Add کردن آن در GPO میتوانید تعدادی پالیسی را که برای همین تغییرات در رجیستری از پیش ساخته شده اند و برای غیر فعال کردن USB , CD-ROM , Floppy , High Capacity Floppy کاربرد دارند را استفاده کنید این پالیسی ها ، ویندوزهای قبل از Vista را هم پوشش میدهند برای این کار متن زیر را در یک فایل با پسوند ADM ذخیره کنید :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
|
CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN !!explaintextflpy PART !!labeltextflpy DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamels120 KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN !!explaintextls120 PART !!labeltextls120 DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY [strings] category="Custom Policy Settings" categoryname="Restrict Drives" policynameusb="Disable USB" policynamecd="Disable CD-ROM" policynameflpy="Disable Floppy" policynamels120="Disable High Capacity Floppy" explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver" explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver" explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" labeltextusb="Disable USB Ports" labeltextcd="Disable CD-ROM Drive" labeltextflpy="Disable Floppy Drive" labeltextls120="Disable High Capacity Floppy Drive" Enabled="Enabled" Disabled="Disabled" |
سپس در GPOای که قرار است به کلاینتهای شما اعمال شود وارد شده و در مسیر Computer Configuration بر روی Administrative Templates راست کلیک کرده و Add Remove Templates را بزنید و در پنجره باز شده آدرس فایل ADM ساخته شده را بدهید ( نیاز نیست در پوشه Share شده قرار بگیرد ) بدین شکل تعدادی پالیسی در مسیر زیر خواهند آمد :
1
|
Computer Configuration=>Policies=>Administrative Templates=>Classic Administrative Templates (ADM)=>Restrict Drives |
و از این پالیسی ها میتوانید برای بستن پورتهای USB و برخی دیوایس های دیگر استفاده کنید
نکته بسیار مهم: به جز اولین روش که از طریق Policy های خود ویندوز بود مابقی روشها با تغییرات در رجیستری این هدف را پیاده سازی میکنند و شما با استفاده از Group Policy کاری میکنید که متغیرها در رجیستری کلاینت ها تغییر پیدا کنند . به این نکته توجه داشته باشید که برگرداندن این تنظیمات به حالت اولیه تنها با Disabled کردن GPO انجام نمیشود و شما بایستی با استفاده از روشهای فوق متغیرهای رجیستری کلاینتها را خودتان مقدار دهی کرده و به حالت اول برگردانید در غیر این صورت با Disabled کردن GPO تنظیمات در کلاینت شما همچنان باقی خواهد ماند و به حالت اول بر نخواهد گشت.
نتیجه :
در این مقاله روشهایی گفته شد که بوسیله آنها بتوان نصب Deviceها را کنترل کرد همچنین روشهایی گفته شد که با استفاده از آنان بتوان کاربران را در استفاده از حافظه های قابل حمل محدود کرد با استفاده از این روشها شما میتوانید بدون در نظر گرفتن ویندوز کلاینت و یا قدیم یا جدید بودن آن و با استفاده از ویندوزهای سرور قدیمی و یا جدید هدف خود را پیاده سازی کنید . ولی همانطور که در ابتدای مقاله گفته شد اگر تصمیم به مدیریت و یا کنترل بهتر نصب و یا استفاده از دیوایسها یا حافظه های قابل حمل در سطح Enterprise دارید پیشنهاد میکنم که از ابزارهایی که برای این کار ساخته شده اند استفاده کنید ، با استفاده از این ابزارها میتوانید بطور کامل تر و مطمئن تر هدف خود را پیاده سازی کنید .
نویسنده : سعید شمس آبادی
منبع : انجمن تخصصی فناوری اطلاعات ایران ITPro.ir
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.