Una delle più grandi minacce interne per la sicurezza della rete, e una delle principali fonti di preoccupazione per i network administrator, è l'uso di dispositivi di storage USB. Questi possono essere impiegati per sottrarre grandi quantità di dati dalla rete. Tutto ciò a cui ha accesso un utente può essere copiato su un dispositivo storage USB.
In questo articolo abbiamo parlato di alcuni dei vantaggi e degli svantaggi che comporta la disattivazione delle porte USB, sia fisicamente sia attraverso il BIOS. Ora, continueremo la discussione mostrando come è possibile utilizzare policy di gruppo per impedire l'utilizzo di dispositivi di storage USB.
Policy di gruppo
Un modo per impedire agli utenti di utilizzare i dispositivi di storage USB nei sistemi Windows Vista è di definire alcune impostazioni per le policy di gruppo che impediscano l'utilizzo dei dispositivi di storage USB.
La tecnica che spiegheremo è valida solo per Windows Vista. Ciò significa che, per il momento, sarete in grado di implementare questi tipi di impostazioni delle policy di gruppo solo come parte di una policy di sicurezza relativa a una workstation locale. Questo panorama cambierà quando sarà rilasciato Windows Server 2008 (noto precedentemente come Longhorn Server) perché il domanin controller di Windows Server 2008 supporterà tali impostazioni di policy di gruppo - consentendo così di implementarle a livello del dominio dell'Active Directory.
Un altro apsetto da sottolineare è che queste impostazioni delle policy di gruppo in realtà non impediscono che i dispositivi di storage USB siano usati. Impediscono invece agli utenti di installare i driver necessari per fare funzionare i dispositivi di storage USB.
Questa è una distinzione di grande importanza per due motivi. In primo luogo, un utente può usare o meno un particolare dispositivo di storage in funzione del fatto che sia o meno installato il driver. Se un utente ha già installato un driver prima della vostra implementazione delle policy di gruppo tale utente sarà in grado di continuare a utilizzare la periferica di storage, a prescindere da qualsiasi impostazione delle policy di gruppo voi definiate.
Un altro motivo per cui la distinzione è importante è che esiste un'impostazione delle policy di gruppo che permette a un amministratore di aggirare le varie impostazioni che vietano l'installazione di driver. Supponiamo per un momento che un amministratore abbia la necessità di utilizzare un dispositivo di storage USB su una workstation a fini di manutenzione. Quando l'amministratore collegherà il dispositivo, Windows installerà i driver relativi a tale dispositivo. A meno che l'amministratore non rimuova manualmente i driver quando ha finito, detti driver rimarranno sul PC. Questo significa che saranno disponibili all'utente finale, il quale potrà perciò utilizzare una periferica di storage USB (supponendo che l'utente finale abbia lo stesso tipo di dispositivo usato dall'amministratore).
Le impostazioni delle policy di gruppo che controllano l'installazione di dispositivi si trovano nel Group Policy Object Editor all'interno della cartella Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions.
I Device ID
Sfortunatamente, non si può impostare Windows per bloccare soltanto l'uso dei dispositivi USB. Potete invece bloccare solo i dispositivi basati su un Device ID o una Device Setup Class (anche se vi è un'opzione apposita per impedire l'installazione di dispositivi rimovibili).
I Device ID e le Device Setup Class sono specifici per ogni dispositivo. Per esempio, se avete due diverse unità flash USB, avrete probabilmente utilizzato diversi Device ID e Device Setup Class, anche se le unità flash in fondo fanno le stesse cose: i Device ID e Device Setup Class sono infatti univoci per ogni modello di dispositivo. Stando così le cose, non è pratico tentare di bloccare ogni periferica USB che un utente potrebbe voler utilizzare. Ci sono troppi dispositivi differenti sul mercato e ogni momento ne esce uno nuovo.
Se davvero volete utilizzare i Device ID e le Device Setup Class, il consiglio è di fornire a Windows un elenco dei dispositivi autorizzati e bloccare tutti gli altri, piuttosto che cercare di bloccare i dispositivi individualmente.
La miglior soluzione è di installare tutti i driver necessari, quindi creare una policy che impedisca all'utente finale di installare qualsiasi altro dispositivo. Per farlo, consigliamo di cominciare abilitando l'impostazione Allow Administrators to Override Device Installation Restriction Policies. In questo modo, se necessario, il personale It avrà ancora la possibilità di installare nuovi driver.
Successivamente, suggeriamo di abilitare Display a Custom Message When Installation is Prevented By a Policy e Display a Custom Message When Installation is Prevented by a Policy. Questa impostazione vi permette di configurare Windows per visualizzare un messaggio quando un utente tenta di installare un driver. .
La successiva impostazione che consigliamo di abilitare è Prevent Installation of Removable Devices. Questa impedisce agli utenti di installare i driver per i dispositivi di storage USB. Come ulteriore precauzione, sarebbe bene abilitare Prevent Installation of Devices Not Described by Other Policy Settings. Si tratta di una sorta di policy catch-all la quale assicura che gli utenti non possano installare alcun driver autonomamente.
I gruppi di policy relative alle restrizioni dell'installazione dei dispositivi non sono certo la soluzione perfetta per impedire agli utenti di utilizzare i prodotti di storage USB. Anche in questo modo, tali policy possono essere efficaci solo se la workstation di un utente non contiene già i driver per i dispositivi di storage USB.
