Kaspersky
Question

Как правильно запретить USB устройства хранения информации?

  • 16 March 2020
  • 9 replies
  • 99 views

Как правильно запретить USB устройства хранения информации? 

 

Задача: не позволить пользователю подключить Flash USB устройства к компьютеру.


9 replies

Userlevel 4
Badge +2

Привет.

 

В KSC в политике для KES через правую кнопку мыши заходишь в свойства\контроль безопасности\контроль устройств и среди списка устройств выбираешь то что необходимо заблокировать, в частности “Съемные диски”

Скрин взят из темы 

https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/blokirovka-portov-usb-6245

Обрати внимание что политика должна распространяться на необходимые группы управлеия и замок должен быть закрыт.

 

Userlevel 6
Badge +2

Главное не включайте в соседней вкладке запрет Шины USB,  так заблокируете множество различных устройств, использующих эту шину.

Ещё данный функционал стоит внедрять на актуальных версиях KES (сейчас KES 11.2.0.2254 патч Critical Fix 1), его значительно доработали после KES10 (долгожданный импорт/экспорт доверенных устройств!, изменены возможности ограничений для MTP-устройств).


Если правила для всех хостов не едины, то сразу делайте исключения параметров через Профили политик, намного удобнее чем отдельные группы с политиками:https://help.kaspersky.com/KSC/11/ru-RU/165778.htm

Главное не включайте в соседней вкладке запрет Шины USB,  так заблокируете множество различных устройств, использующих эту шину.

Ещё данный функционал стоит внедрять на актуальных версиях KES (сейчас KES 11.2.0.2254 патч Critical Fix 1), его значительно доработали после KES10 (долгожданный импорт/экспорт доверенных устройств!, изменены возможности ограничений для MTP-устройств).


Если правила для всех хостов не едины, то сразу делайте исключения параметров через Профили политик, намного удобнее чем отдельные группы с политиками:https://help.kaspersky.com/KSC/11/ru-RU/165778.htm

Сейчас Политики настроены через Группы Администрирования.

Как создать Профиль Политики?

Userlevel 1

 

 

 

Как создать Профиль Политики?

Вот:

 

Userlevel 4
Badge +2

Rasim Valiev

Напишу чуть глубже. Через правую кнопку политики главной для KES жмешь свойства, далее профили политик.

Так же рекомендую прочитать это

https://help.kaspersky.com/ksc/11/ru-ru/177128.htm

Прекрасно дано пояснение на ютубе от Антона, сертифицированного специалиста касперского, если такие ссылки не запрещены - посмотри, 10 минут и все будет понятно…

 

А так же смотри скрин ниже из моей же темы.

Главное - это опции будущей политики и правила активации - тоесть триггер по которому политика будет вступать в силу.

 

 

 

 

 

 

По подразделениям из Active Directory добавить получилось, но не нашел как отдельную учетную запись компьютера выбрать

Userlevel 3
Badge

А зачем учетную запись компьютера? На компьютере же пользователь работает, вот его и добавить.
Например у нас сделано так:
в настройках доступа удалили группу Все, и добавили только тех доменных пользователей, которым разрешено.

А зачем учетную запись компьютера? На компьютере же пользователь работает, вот его и добавить.
Например у нас сделано так:
в настройках доступа удалили группу Все, и добавили только тех доменных пользователей, которым разрешено.

 

Мы ориентируемся на компьютер. Посмотрел способы активация, не обнаружил где можно выбрать доменную учетную запись.

По тегам:

Если тегов два, Профиль политики сработает при обязательном наличии этих двух тегов у компьютера? Если у компьютера три тега установлено, сработает ли Профиль политики с установленными двумя тегами?

Userlevel 4
Badge +2

Rasim Valiev

Если позволяет ситуация - можешь учетки ПК добавить в отдельную OU и ее добавить как триггер политики. Но делай как удобно и как требуется по задаче. По комп. учетке с ходу не скажу.. не помню.

По тегам - если не ошибаюсь политика срабатывает по первому условию (тегу). Тоесть если у тебя 3  или n-тегов то политика применится как только будет положительный первый из тегов по списку…. Первый - значит применится сразу на остальные пофиг, последний из трех - значит сработает по нему. Все три не подходят - не сработает. Тоесть логическое ИЛИ на срабатывание.

Посмотрел - да , учетки AD компьтера нельзя явно указать… но есть Членство в группе безопасности либо размещение в подорезделении AD, воспользуйся чем то из этого.

Опять таки - либо создаешь в KSC отдельную группу управления и в нее кидаешь измененную политику KES без наследования. Не лучший вариант, но он тоже имеет право на жизнь.

Reply / Ответить