Opis problemu:

Jednym z najczęstszych wektorów wycieku danych z organizacji jest kopiowanie treści firmowych na dyski zewnętrzne za pomocą interfejs-u USB. Jest to najprostszy i najszybszy sposób dla nieuczciwych użytkowników na kradzież danych, jednocześnie jest on trudny do wykrycia i udowodnienia bez specjalnie do tego celu przeznaczonego programowania.

Rozwiązanie problemu:

Jeżeli posiadamy licencje Microsoft zawierające usługę Microsoft Intune oraz nasze komputery są przypięte do tej usługi, za pomocą panelu centrum administracyjnego usługi Microsoft Endpoint Manager możemy ograniczyć możliwość korzystania z dowolnych urządzeń USB na naszych komputerach, czyli możemy również wykluczyć możliwość korzystania z dysków zewnętrznych. Najprościej będzie wskazać z jakich urządzeń będą mogli korzystać nasi użytkownicy, a resztę będziemy blokować.

Konfiguracja:

• Zaloguj się do centrum administracyjnego usługi Microsoft Endpoint Manager.

• Przejdź do Urządzenia -> Profile konfiguracji -> Utwórz profil.

• Wybieramy:

Platforma: Windows 10 i nowsze

Typ profilu: Szablony -> Szablony administracyjne

Klikamy Utwórz.

• Wprowadzamy dowolną nazwę profilu oraz opcjonalnie wypełniamy pole opis, klikamy Dalej.

• Wyszukujemy ustawienie o nazwie Zapobiegaj instalacji urządzeń nieopisanych w innych ustawieniach zasad, wybieramy Włączone następnie OK.

• Aby zezwolić na korzystanie z konkretnych urządzeń musimy je dodać do zasad zezwalających na instalacje, możemy to zrobić za pomocą ustawień:

– Zezwalaj na instalację urządzeń o identyfikatorach odpowiadających tym identyfikatorom urządzeń,

– Zezwalaj na instalację urządzeń o identyfikatorach odpowiadających tym identyfikatorom wystąpień urządzeń,

– Zezwalaj na instalację urządzeń za pomocą sterowników odpowiadających tym klasom konfiguracji urządzeń.

Ja to zrobię za pomocą ustawienia Zezwalaj na instalację urządzeń za pomocą sterowników odpowiadających tym klasom konfiguracji urządzeń.

W tym celu należy podać identyfikator GUID reprezentujący klasę konfiguracji urządzeń, które chcemy dopuści do użytkowania.

Class = Keyboard Class GUID = {4d36e96b-e325-11ce-bfc1-08002be10318}

Class = Mouse Class GUID = {4d36e96f-e325-11ce-bfc1-08002be10318}

Wybieramy Włączone następnie OK.

• Wybieramy Dalej.

• Tagi zakresu – opcjonalnie możemy przypisać tagi które mogą nam ułatwić filtrowanie, następnie klikamy Dalej.

• Przypisania – wybieramy dla jakich użytkowników bądź urządzeń nasz profil ma mieć zastosowanie, możemy też dodać wykluczenia. Następnie wybieramy Dalej. Warto najpierw przetestować poprawne działanie na grupie testowej.

• Przeglądanie + tworzenie – przedstawione zostaje podsumowanie naszej konfiguracji.

• Po wybraniu pozycji Utwórz nasz profil zostanie zapisany. Trzeba pamiętać ze nowa konfiguracja nie zacznie działać od razu, czasami będzie trzeba poczekać nawet kilka godzin.