poniedziałek, 18 maja 2015

Zarządzanie dostępem do pendrajwów na podstawie grup AD w Eset Endpoint Security

Dzisiaj chyba nie ma instytucji (firmy), która przy większej ilości komputerów nie stosowałaby polityki dostępu do urządzeń zewnętrznych jakimi są na przykład pendrajwy. Podobnie rzecz ma się i u mnie, więc od dłuższego czasu, przy pomocy właśnie firmy Eset i jej oprogramowania antywirusowego, kontroluję kto ma mieć do stęp do pamięci przenośnych, a kto nie. Oczywiście nie jest to moje widzimisie, ale odpowiednie uregulowanie papierowe.

Jeżeli chodzi o stronę techniczną to przedstawię poniżej jak zarządzać dostępem przy pomocy najnowszej (webowej) konsoli Eset Remote Administrator  oraz klientów z zainstalowanym oprogramowaniem Eset Endpoint Security 6.

Instrukcja dotycząca piątej wersji oprogramowania i poprzedniej konsoli znajduje się tutaj - Eset - zarządzanie dostępem do pendrajwów na podstawie grup Active Directory.

A więc. Wstępnym wymaganiem jest posiadanie grupy AD z dodanymi użytkownikami, którzy mają mieć dostęp do pendrajwów. Ja nazwałem taką grupę "użytkownicy pendrajwów". Osoby spoza tej grupy będą mieć zablokowany dostęp.

Zarządzanie oparte na grupach AD definiujemy poprzez polityki w konsoli ERA (Eset Remote Administrator). Tak wiec po zalogowaniu do konsoli przechodzimy do zakładki Administrator Polityki. Tam definiujemy nową politykę lub edytujemy, tą którą już mamy. Polityka oczywiście musi obejmować wszystkie komputery. Następnie ją edytujemy poprzez przycisk POLITYKI Edytuj. 

Wykaz polityk w konsoli ERA
Wykaz polityk w konsoli ERA

Następnie wchodzimy w USTAWIENIA (1), KONTROLA DOSTĘPU DO URZĄDZEŃ (2) i włączamy opcję Zintegruj z systemem (3). Teraz możemy utworzyć regułę. W tym celu klikamy Edytuj w polu Reguły (4).

Część polityki odpowiedzialna za kontrolę dostępu do urządzeń.
Część polityki odpowiedzialna za kontrolę dostępu do urządzeń.


Następnie w oknie Reguły kilkamy Dodaj.

Okno reguł. Na razie puste.
Okno reguł. Na razie puste.


I dodajemy regułę wzorując się na poniższym screenie. Następnie musimy kliknąć Edytuj przy liście użytkowników, aby określić do kogo reguła ma być stosowana.

Tworzenie reguły.
Tworzenie reguły.


Następnie przy liście użytkowników musimy kliknąć Edytuj, aby określić do kogo reguła ma być stosowana. Pojawia się okno, w którym podajemy SID naszej grupy AD która ma posiadać dostęp do pendrajwów iiiii......

ekhm....

Skąd wziąć SID grupy?....

Komunikat o podanie numeru SID grupy
Komunikat o podanie numeru SID grupy


No cóż. Podam swój sposób ustalenia SIDu grupy.
Na użytkowniku należącym do grupy AD, której chcemy przydzielić dostęp do pendrajwów uruchamiamy komendę:

whoami /groups

Z wyniku polecenia bierzemy SID odpowiedniej grupy i wklejamy do okna w konsoli ERA. Następnie zatwierdzamy i pierwszy krok mamy z głowy. Czyli mamy zdefiniowane jaka grupa może korzystać z pendrajwów.
Edycja:
Do ustalenia SIDów można także użyć Microsoftowej aplikacji GetSIDGUI

Kolejnym krokiem jest dodanie grupy, która ma mieć blokowany dostęp. Ja wybrałem do tego celu grupę Użytkownicy domeny. Tutaj jest problem, ponieważ SID-u tej grupy nie uzyskamy poprzez wcześniejsze polecenie (przynajmniej u mnie się nie wyświetlała). Ale jest na to obejście. Wiemy (stąd - Well-known security identifiers in Windows operating systems), że grupa Domain Users ma końcówkę SID 513, więc teraz wystarczy skopiować SID wcześniejszej grupy i zmienić końcówkę na numer 513.

Jeżeli Wam to nie zadziała to SOA #1 czyli "u mnie działa" ;) -więc próbujcie.

Po dodaniu obydwu grup powinniście otrzymać okno jak poniżej. Tutaj ważna jest kolejność, więc na pierwszym miejscu ustawiamy zezwolenie dla konkretnej grupy, a jeżeli użytkownik do niej nie należy, to realizowana jest kolejna reguła, która blokuje dostęp.

Gotowe reguły zarządzające dostępem do pendrajwów (część nr SID dotycząca domeny została zamazana)
Gotowe reguły zarządzające dostępem do pendrajwów (część nr SID dotycząca domeny została zamazana)


Gdy już wszystko "pookejamy", lub po po polsku "pozatwierdzamy"reguła powinna zostać rozdystrybuowana na końcówki. Tam jednak zacznie obowiązywać dopiero po restarcie komputera.

Informacja o konieczności ponownego uruchomienia komputera
Informacja o konieczności ponownego uruchomienia komputera

Jeżeli wszystko przebiegło poprawnie to użytkownicy, którzy mają mieć zablokowanego pendrajwa, przy próbie skorzystania z niego, zobaczą komunikat jak poniżej.

Komunikat o zablokowaniu pendrajwa
Komunikat o zablokowaniu pendrajwa


Przydatne linki:

2 komentarze:

Bardzo proszę o zachowanie netykiety.