Microsoft Intune


Ograniczenie urządzeń USB w systemach operacyjnych Windo2ws 10/11

Data: 03.02.2023

Opis problemu:

Jednym z najczęstszych wektorów wycieku danych z organizacji jest kopiowanie treści firmowych na dyski zewnętrzne za pomocą interfejs-u USB. Jest to najprostszy i najszybszy sposób dla nieuczciwych użytkowników na kradzież danych, jednocześnie jest on trudny do wykrycia i udowodnienia bez specjalnie do tego celu przeznaczonego programowania.


Rozwiązanie problemu:

Jeżeli posiadamy licencje Microsoft zawierające usługę Microsoft Intune oraz nasze komputery są przypięte do tej usługi, za pomocą panelu centrum administracyjnego usługi Microsoft Endpoint Manager możemy ograniczyć możliwość korzystania z dowolnych urządzeń USB na naszych komputerach, czyli możemy również wykluczyć możliwość korzystania z dysków zewnętrznych. Najprościej będzie wskazać z jakich urządzeń będą mogli korzystać nasi użytkownicy, a resztę będziemy blokować.

Konfiguracja:

  • Przejdź do Urządzenia -> Profile konfiguracji -> Utwórz profil.

  • Wybieramy:

Platforma: Windows 10 i nowsze

Typ profilu: Szablony -> Szablony administracyjne

Klikamy Utwórz.

  • Wprowadzamy dowolną nazwę profilu oraz opcjonalnie wypełniamy pole opis, klikamy Dalej.

  • Wyszukujemy ustawienie o nazwie Zapobiegaj instalacji urządzeń nieopisanych w innych ustawieniach zasad, wybieramy Włączone następnie OK.


  • Aby zezwolić na korzystanie z konkretnych urządzeń musimy je dodać do zasad zezwalających na instalacje, możemy to zrobić za pomocą ustawień:

- Zezwalaj na instalację urządzeń o identyfikatorach odpowiadających tym identyfikatorom urządzeń,

- Zezwalaj na instalację urządzeń o identyfikatorach odpowiadających tym identyfikatorom wystąpień urządzeń,

- Zezwalaj na instalację urządzeń za pomocą sterowników odpowiadających tym klasom konfiguracji urządzeń.

Ja to zrobię za pomocą ustawienia Zezwalaj na instalację urządzeń za pomocą sterowników odpowiadających tym klasom konfiguracji urządzeń.

W tym celu należy podać identyfikator GUID reprezentujący klasę konfiguracji urządzeń, które chcemy dopuści do użytkowania.

Class = Keyboard Class GUID = {4d36e96b-e325-11ce-bfc1-08002be10318}

Class = Mouse Class GUID = {4d36e96f-e325-11ce-bfc1-08002be10318}

Wybieramy Włączone następnie OK.

  • Wybieramy Dalej.

  • Tagi zakresu - opcjonalnie możemy przypisać tagi które mogą nam ułatwić filtrowanie, następnie klikamy Dalej.

  • Przypisania - wybieramy dla jakich użytkowników bądź urządzeń nasz profil ma mieć zastosowanie, możemy też dodać wykluczenia. Następnie wybieramy Dalej. Warto najpierw przetestować poprawne działanie na grupie testowej.

  • Przeglądanie + tworzenie – przedstawione zostaje podsumowanie naszej konfiguracji.


  • Po wybraniu pozycji Utwórz nasz profil zostanie zapisany. Trzeba pamiętać ze nowa konfiguracja nie zacznie działać od razu, czasami będzie trzeba poczekać nawet kilka godzin.

Fakty

Zrealizowane projekty

0

Sprzedane licencje 

0

Oddziały w Polsce

0

Certyfikaty

0