Top menu

Запрет использования USB-портов

Зачем запрещать доступ к USB-портам?

Запрет доступа к USB-портам на корпоративных компьютерах вызван частым использованием сотрудниками неавторизованных устройств.

Сменные накопители и мобильные диски, подключаемые к USB, могут служить инсайдерам отличным инструментом для хищения конфиденциальной информации. Далеко не всегда такие инсайдеры действуют по злому умыслу. Гораздо чаще сотрудники копируют данные ограниченного доступа на USB-носители с благими целями, но потом либо теряют флешки, либо передают их посторонним лицам.

Помимо мобильных носителей к USB-портам могут подключаться и различные шпионские устройства, предназначенные для перехвата клавиатурного ввода и управления компьютером (атака PoisonTap).

Как запретить доступ к USB?

Очевидно, что самый легкий путь это все запретить. Полностью запретить использование USB-портов на компьютерах можно либо физически устранив эти порты, либо отключив их на уровне BIOS. Такой подход хоть и выглядит как простое и надежное решение, однако имеет один большой недостаток – ущерб нормальному рабочему процессу за счет снижения производительности труда сотрудников существенно превысит потенциальный ущерб от утечек данных через USB.

Правильным решением задачи запрета доступа к USB является применение специализированного программного обеспечения для гранулярного контроля и мониторинга действий пользователей с любыми устройствами, подключаемыми через USB-интерфейс.

Принцип гранулярного контроля доступа предполагает следующее:

  • возможность задать определенного пользователя или группу пользователей;
  • возможность задать тип действия (чтение, запись, форматирование) для устройств с файловой системой;
  • возможность задать тип доступа (действие разрешено или запрещено);
  • возможность задать период доступа (время, когда действие разрешено или запрещено);
  • возможность однозначно идентифицировать USB-устройство по серийному номеру;
  • возможность указать разрешенное или запрещенное содержимое файлов (контентный анализ) для устройств с файловой системой;
  • возможность указать разрешенный или запрещенный тип файлов, не основываясь на их расширении для устройств с файловой системой;
  • возможность сохранять точную копию файлов, копируемых на устройства с файловой системой;
  • возможность протоколирования всех действий с любыми устройствами.