poniedziałek, 23 czerwca 2014

Eset - zarządzanie dostępem do pendrajwów na podstawie grup Active Directory

Opis dotyczący konfiguracji pendrajwów w nowszej wersji Eset Endpoint Security 6 oraz webowej wersji Eset Remote Administrator (ERA) znajdziecie tutaj - http://www.sajdyk.pl/2015/05/zarzadzanie-dostepem-do-pendrajwow-na.html

Czasami zapisy polityki bezpieczeństwa wymuszają wprowadzenie blokad pendrajwów dla użytkowników, którzy nie mają jawnie zdefiniowanej zgody do ich używania. Podobnie jest u mnie. Kiedyś do tego celu używałem specjalnego GPO, który blokował montowanie sterownika USB. W większości wypadków działało to poprawnie, ale jednak pozostawiało pewien niedosyt, że nie jest to rozwiązanie 100% pewne. Z tego też względu zdecydowałem się wykorzystać możliwości jakie daje oprogramowanie Eset Endpoint Antivirus, które mam na klientach i które jest zarządzane przez konsolę centralną.
U mnie zarządzanie jest per użytkownik, a nie per urządzenie. Oznacza to, że prawo do używania przypisane jest do użytkownika, niezależnie jakiego pendrajwa będzie on używał.
Jeżeli ktoś ma potrzebę zrobić blokadę na konkretne pendrajwy, to procedura jest niemalże identyczna.

  1. Najpierw należy utworzyć grupę użytkowników w Active Directory, która będzie miała możliwość korzystania z pendrajwów oraz przypisać do niej użytkowników. 
  2. Teraz należy wejść do "Eset Remote Administrator Console" i sprawdzić z jakiej polityki korzystają podłączne komputery klienckie. Dowiemy się tego z kolumny "Żądana nazwa polityki"

    Nazwa zastosowanej polityki wobec klientów w programie "Eset Remote Administrator Console"
    1. Nazwa zastosowanej polityki wobec klientów w programie "Eset Remote Administrator Console"
  3. Znając już nazwę polityki wchodzimy w menu "Narzędzia" -> "Menedżer Polityk" (lub przez skrót klawiaturowy "Ctrl" + "Shift" + "P") aby tam wybrać odpowiednią politykę i ją wyedytować.

    Menedżer polityk
    2. Menedżer polityk
  4. Przechodzimy do gałęzi "Windows Desktop v5" -> "Zarządzanie urządzeniem" -> "Ustawienia" i zaznaczamy "Reguły: Zobacz okno dialogowe", aby następnie kliknąć po prawej stronie przycisk "Edytuj"

    Edytor konfiguracji Eset z zaznaczoną ścieżką
    3. Edytor konfiguracji z zaznaczoną ścieżką
  5. W "Edytorze reguł sterowania urządzeniami" klikamy tworzymy dwie reguły:
    - zezwalającą na używanie pendrajwów - w oknie "Lista użytkowników" dodajemy grupę AD utworzoną w pkt 1.

    Reguła zezwalająca na korzystanie z pendrajwów
    4. Reguła zezwalająca na korzystanie z pendrajwów

    - zabraniającą korzystania z pendrajwów - w oknie "Lista użytkowników" dodajemy grupę do której należą wszyscy użytkownicy np. "Użytkownicy domeny"

    Reguła blokująca korzystanie z pendrajwów
    5. Reguła blokująca korzystanie z pendrajwów
  6. Na koniec należy zweryfikować, czy w oknie "Edytor reguł sterowania urządzeniami" mamy dodane przez siebie reguły oraz czy reguła zabraniająca jest wyżej od reguły zezwalającej.

    Prawidłowa kolejność reguł w "Edytorze reguł sterowania urządzeniami"
    6. Prawidłowa kolejność reguł w "Edytorze reguł sterowania urządzeniami"

Jeżeli wszystko poszło zgodnie z planem, osoba która nie ma mieć dostępu do pendrajwa (bądź innej pamięci masowej) po jego podłączeniu do komputera otrzyma poniższy komunikat.

Komunikat Eseta o zablokowaniu urządzenia
7. Komunikat Eseta o zablokowaniu urządzenia

Brak komentarzy:

Prześlij komentarz

Bardzo proszę o zachowanie netykiety.