Введение ограничений на использование сменных дисков

1502

Безопасность системы существенно снижается из-за физического подключения к ней внешних носителей информации. Зачастую у имеющих доступ к компьютеру пользователей есть возможность приносить флешки и другие съемные носители, подключать их, и как копировать информацию, так и запускать со съемных носителей программы, представляющие опасность. Причем зачастую пользователь может даже и не подозревать, что на его носителе имеются вирусы (так как они неплохо маскируются), а, следовательно – невольно заражать систему, что приводит как к потере, так и разглашению конфиденциальной информации.

За сменными носителями обычно пристально наблюдают антивирусные программы-мониторы. Мы же расскажем, как обезопасить систему ее же встроенными средствами.

Наверняка вы уже сталкивались с вирусами, скрывающими на флешке ваши папки и маскирующимися под них? Выглядит это приблизительно таким образом:

1501

Открыв флешку в “Проводнике”, мы вроде бы видим наши папки с музыкой, картинками и видеофайлами. Однако если быть осторожными и включить в свойствах папки отображение расширений для файлов, мы увидим следующую картину:

1502

Как видим, это совсем не то, что мы думали, а запускаемые .exe файлы вируса, замаскированные под наши, находившиеся на флешке, папки. Куда же пропали наши папки? Включив отображение скрытых файлов, мы обязательно обнаружим папки на своем месте, вот так:

1503
Стоило нам кликнуть мышью на запускаемый файл, притворившийся папкой, и компьютер был бы заражен, мы сами бы запустили вирус и дали бы ему возможность безнаказанно хозяйничать в системе.

Само собой, вряд ли вы будете проверять таким образом все флешки, попадающие в ваши руки. Стало быть, необходимо категорически запретить запуск программ непосредственно со сменных носителей. В таком случае необходимые программы можно использовать, скопировав их с флешки на жесткий диск компьютера, а вот случайно запустить вирус, притворяющийся папкой – уже будет невозможно.

Для этой цели нам необходимо отредактировать локальную групповую политику, которая и позволяет ограничить пользователя в некоторых действиях, что в итоге приведет к более безопасной работе всей системы в целом (ведь пользователь, как неожиданно это не звучит, тоже является частью компьютерной системы, причем зачастую гораздо менее дисциплинированной).

Требуемый редактор запускается следующим образом – после нажатия клавиш Win/R, в открывшемся окне “Выполнить” необходимо ввести команду gpedit.msc, после чего подтвердить ее нажатием кнопки “Ok”:

1504

В окне редактора нас интересует “Конфигурация компьютера” (для того, чтобы применить наши настройки независимо от того, какой пользователь будет им пользоваться), а в ней – раздел “Административные шаблоны”:

1505

В этом разделе открываем подраздел “Система”, а уже в нем – “Доступ к съемным запоминающим устройствам”:

1506

Для запрета запуска файлов с любых сменных дисков, необходимо включить параметр “Съемные диски: запретить выполнение”:

1507

По щелчку мышью откроется окно, в котором необходимо переключить радиокнопку в положение “Включить”, а после не забыть применить изменения.

1508

После внесенных нами изменений, ни одна программа со сменного диска не сможет быть запущена, а при попытке запуска будет выдаваться окно, сообщающее о запрете действия:

1509

Таким образом, появление подобного окна не при попытке запуска приложения, хранящегося на флешке, а при открытии папки, будет сигнализировать о том, что под видом папки скрывается запускаемая программа-вирус, которая в вашей системе запущена не будет, но, конечно же, требует немедленного излечения любым доступным антивирусом, или удаления вручную.

Само собой, подобное редактирование имеет смысл в том случае, когда пользователи, имеющие доступ к компьютеру, не обладают административными правами и не могут отключить установленные нами ограничения.

При желании, можно ввести и более жёсткие ограничения, например, запретив использовать сменные диски, или даже запретив устанавливать их в систему (тем, у кого есть привилегии установки драйверов).

В первом случае, для полного запрета использования сменных дисков, необходимо включить параметр: “Съемные диски: запретить чтение”, аналогично тому, как мы включали запрет на выполнение для запускаемых файлов:

1510

После включения запрета, все пользователи, пытающиеся получить доступ к флешке, будут получать сообщение о запрете доступа:

1511

Вероятно, подобный запрет вызовет недовольство, тем не менее, это достаточно эффективное средство для ограничения посторонней деятельности на вашем компьютере, как пользователей, так и приносимых ими программ.

Для второго случая, в целях запрета установки сменных устройств, необходимо открыть раздел “Установка устройства”, в нем – “Ограничения на установку устройств”, где нужно включить параметр, указанный на изображении:

1512

Установка всех устройств, в драйвере которых указано, что это сменный носитель, будет запрещена полностью, в том числе и пользователям с административными привилегиями. Если же вы хотите оставить возможность установки сменных устройств для группы “Администраторы”, включите указанный ниже параметр:

1513

в этом случае, администратор будет иметь возможность устанавливать и обновлять драйвера для сменных носителей при помощи “Диспетчера устройств”.

Как видите, ограничить доступ к сменным носителям в целях повышения безопасности системы – не так уж и сложно, а выигрыш оправдывает затраченное время.

Комментарии закрыты.