Admin
Admin
.jpg)
מספר הודעות : 138
Join date : 05.06.09
 |  נושא: הגבלת התקנים בשרתי - Windows Server 2008  Sun 01 Aug 2010, 02:53 | |
|
הגבלת התקנים בשרתי - Windows 2008
How to Configure Device Control in Windows 2008
במקרים רבים משתמשים רשאים להכניס מדיה מגנטית (Disk On Key), מדיה אופטית (דיסקים), PDA, Smart phones ועוד. כדי למנוע גישה מותקנות תוכנות להגבלת התקנים כמו PointSec, Control Guard, Safeend או חבילות Endpoint Security מלאות כמו SEP11 של Symantec ועוד... Windows 2008 מאפשר נעילת התקנים למערכות הפעלה Windows Vista\7. חשוב לציין שמדובר בפתרון חינמי, אך גם יש לו חסרונות, בעיקר בתחום הניהול.
ב – Windows 2008 קיימת אפשרות ב – Group Policy להגביל התקנים הן ברמת המחשב והן ברמת המשתמש. האירועים על חסימת התקנים נשמרים ב – Event Viewer של תחנות Vista\7.
כפי שציינתי לעיל, קיימת בעיית ניהול – כיצד אופים את כל ה – Events?
ניתן לאסוף את כל ה – Events למקום אחד מרכזי בשרת ה – Windows 2008, אך ניהול האירועים יהיה מסורבל.
חשוב לציין שקיימת אפשרות שנקראת Attach Task To Event ב – Event Viewer, וניתן להגדיר התרעות עבור אירועים במערכת ההפעלה, אך אני לא הצלחתי למצוא התרעה גנרית עבור כל חימה שמתבצעת.
כיצד מגדירים אכיפת הגבלת התקנים?
ניתן להגדיר הגבלת התקנים ברמת מחשב או משתמש. בשלב זה אסביר על הגדרות ברמת המשתמש היות ולדעתי אפשרות זו יותר גמישה עבור צרכי ארגונים.
שלב 1: איתור סוג ההתקן הנדרש להגבלה לפי Class GUID (סוג הרכיב).
אם המטרה היא לסגור קטגוריה שלמה של התקנים כגון Disk On Key או CD-ROM יש לעבור לשלב 2.
כדי לקבל את ערכי הרכיב הרצוי יש להכנס למערכת ההפעלה Windows Vista\2008 ולחבר את הרכיב הרצוי לביטול. לחיצה על Start ולאחר מכן לכתוב בתיבת החיפוש Device Manager ולהפעילו. ב- Device Manager יש להכנס למאפייני רכיב החומרה הנדרש לביטול, ובחלון המאפיינים יש לעבור ללשונית Details. תחת הכותרת Property יש לבחור ב – Device Class GUID, ללחוץ Right-Click על הערך העליון ולבחור ב – Copy במטרה להדביק את הערך ב – Group Policy בשלב הבא.
שלב 2: הגדרת ה – Group Policy.
בשרת Windows 2008 יש להפעיל את Group Policy Management Console באמצעות Start והרצת הפקודה gpmc.msc. בחלון שיפתח יש להכנס ל – OU הרצוי (בהתאם לצרכים – משתמשים או מחשבים) וללחוץ Right-Click על ה – OU. לאחר מכן יש לבחור ב – Create a GPO in this Domain, and Link it here.
בחלון שיפתח יש להכניס את שם ה – GPO שיחול על ה – OU, לדוגמא: Device Control for Users, ובסוף ללחוץ על OK.
לאחר שנוצר ה – GPO נערוך את האובייקט. יש ללחוץ Right-Click על ה – GPO ולבחור ב – Edit.
בשלב זה יפתח חלון עריכת ה – GPO. היות והדגמה זו מתייחסת למשתמשים יש להכנס לנתיב הבא: User Configuration\ Policies\ Administrative Templates\ System\ Removable Storage Access
כעת תוצגנה כל אפשרויות המניעה לפי קטגוריות (כונני DC-ROM, מדיה נתיקה וכו') וזכויות (כתיבה או קריאה). הערה: אם ברצונכם לבטל Disk On Key תבחרו ב – Removable Disks, אך אני אתייחס להגדרה מותאמת אישית בהמשך לשלב הראשון.
נבחר באפשרות Custom Classes: Deny Read Access ונלחץ Double-Click. בחלון שיפתח יש לבחור ב – Enable ו – Show. החלון שיפתח יש ללחוץ על Add ו"להדביק" את הערך שהעתקנו מה – Device Manager. לסיום יש ללחוץ על שלושת לחצני ה – OK.
יש לחזור על הפעולה גם עבור Custom Classes: Deny Write Access. בסיום הפעולה ה – GPO אמור להראות כפי שבאיור הבא.
בשלב זה הסתיימה הגדרת הגבלת ההתקנים, חשוב לציין כי ההתקנים לא יוגבלו כראוי עד שיבוצע Restart לתחנות אליהן יכנסו המשתמשים.
חשוב לציין שקיימות בחלון הנ"ל אפשרויות נוספות, וניתן לקרוא עליהן בהרחבה בחלון המאפיינים של כל הגדרה.
| |
|
