Device Control med GP
Med Group Policy kan du nå få full kontroll over de devicene som kobles til maskinene i domenet ditt. Som med GP ellers kan du jo ha ulike policier for ulike enheter i AD, eller grupper ved å bruke ACL lista på GPO'en. Men det er en annen diskusjon, tilbake til det egentlige emnet.
Bakgrunn
Veldig mange ser etterhvert de enorme mulighetene man har med "removable devices" som en stor sikkerhetstrussel og det kan det jo også være på ulike måter. Enkelte organiasjoner har gått så langt som til å bruke lim i USB portene for å sikre at ingen brukte disse... fungerer forsåvidt det...
Løsningen
Med Windows Vista kan man spesifisere i group policy hvilke enheter som kan kobles til maskinen og ikke. Dette gjøres enten basert på "Setup Class" eller "Device ID". Den førstnevnte er overordnet og vil være ting som "Printer", "CDROM" etc.
"device ID" er mer spesifikkt og angir produsent,modell,revisjon etc. noe som gjør det lett å presisere nøyaktig hvilken device man vil tillatte eller ikke.
Man kan f.eks sette opp policyen slik at alle devicer nektes med mindre de er beskrevet i en regel som tillatter dem, eller at alle devicer nektes uansett men at administrator kan overkjøre den regelen, eller at alle devicer er tillatt, minus et par typer man anser som den største trusselen.
Som du ser her kan man også spesifisere teksten som vises til brukeren når en device ikke tillates installert på systemet. Denne beskjeden kommer opp som en ballong:
Ekstra muligheter
I tillegg er det lagt til to relaterte/relevante muligheter til i Group Policy:
- Muligheten til å spesifisere tilgangen til devicer basert på hva slags type device det er. F.eks kan man velge å kun tillatte lese tilgang til USB minnepinner.
- Muligheten til å spesifisere hvilke devicer som skal kunne installeres uten å være administrator. Dette er med på å forenkle det litt å få vanlige brukere ut av Local Admin gruppa.
I tillegg kan det være lurt i en del sammenhenger, av sikkerhetsmessige årsaker, å bruke en eldre mulighet, nemlig å skru av AutoPlay.
Da blir det sikkert litt rolig på denne bloggen fram til 2. Januar. God jul og godt nyttår!