PDA

View Full Version : Các Giải Pháp Phòng Chống Sử Dụng Thiết Bị Di Động


chip
27-05-2009, 06:45 PM
Chính sách trong công ty muốn ngăn chặn các máy tính không được sử dụng một số thiết bị như: USB Flash Drive, IPod, Wireless Interface, CD-Rom, DVD. Với các thiết bị lưu trữ di động như hiện nay đều đem lại thách thức đối với người quản trị hệ thống như: nguy cơ phát tán Virus, bảo vệ quyền sở hữu trí tuệ của mình… Đối với Windows XP hay Windows Server 2003 thì bạn không có nhiều sự lựa chọn khi muốn kiểm soát các thiết bị này. Tuy nhiên bài viết dưới đây sẽ trình bày những giải pháp nhằm ngăn chặn các thiết bị trên khi sử dụng trong các phiên bản hệ điều hành Windows XP, Windows Server 2003 hay Windows Vista.

I. Cấu hình trong Registry

Bạn có thể cấu hình cho thiết bị USB chỉ đọc bằng cách truy cập vào Registry với đường dẫn sau:
Only the registered members can see the link

Only the registered members can see the link

Only the registered members can see the link

Tuy nhiên, tính năng này không thực sự là một giải pháp cao. Với giải pháp này chỉ tránh tình trạng Copy dữ liệu, nhưng vẫn có thể phát tán được Virus

II. Permission

Nếu USB Storage Device chưa được cài đặt bạn có thể phân quyền DENY cho user tại 02 files:


Trích:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
Only the registered members can see the link

Only the registered members can see the link

Only the registered members can see the link

Only the registered members can see the link

Nếu USB Storage Device đã được cài đặt trên máy tính bạn có thể sử dụng chương trình Microsoft Fix It download tại đây (Only the registered members can see the link) để thay đổi các thông số trong Registry cho người dùng không thể kết nối thiết bị.

III. Cấu hình Group Policy

Mặc định trong GPO chỉ hỗ trợ để quản lý thiết bị rất hạn chế.

Only the registered members can see the link

Only the registered members can see the link

Nhưng bạn có thể tùy chỉnh thêm để năng cao khả năng quản lý thiết bị trong GPO. Sau đây là cách triển khai cấm sử dụng USB bằng GPO trong Domain

Chuẩn Bị: 02 máy

- Windows Server 2003: Domain Controller
- Windows XP: Join Domain
- Tạo User, OU, Computer như sau:

Only the registered members can see the link

Only the registered members can see the link

Triển Khai:

- Nhấn phải vào OU KeToan > Properties

Only the registered members can see the link

- Chọn Tab Group Policy > New

Only the registered members can see the link

- Đặt tên Policy > Edit

Only the registered members can see the link

- Nhấn phải Computer Configuration > Administrative Templates > Add/Remove Templates

Only the registered members can see the link

- Chọn Add

Only the registered members can see the link

- Lựa chọn File ControlDevices.ADM > Open
Lưu Ý: Copy nội dung của file ControlDevices.ADM từ đây (Only the registered members can see the link)

Only the registered members can see the link

- Nhấn Close

Only the registered members can see the link

- Kiểm tra trong Computer Configuration > Administrative Templates > Custom Policy Settings > Restrict Devices

Only the registered members can see the link

- Chọn menu View > Filtering

Only the registered members can see the link

- Bỏ chọn Only show policy...

Only the registered members can see the link

- Đã hiển thị các tùy chọn

Only the registered members can see the link

- Mở Policy Disable USB > Chọn Enable

Only the registered members can see the link

Only the registered members can see the link

- Đóng cửa sổ Group Policy Object > Close

Only the registered members can see the link

- Client khởi động lại máy tính và kiểm tra không sử dụng được USB