|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 76/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Для противостояния описанным рисками рекомендуется защитить компьютеры от установки и использования неразрешенных устройств. Параметры групповой политики позволяют контролировать применение устройств Plug and Play, например USB-накопителей и съемных дисков.
Анализ мер по снижению риска
Используя параметры групповой политики ОС Windows 7, отвечающие за управление установкой устройств, можно снизить риски, описанные в предыдущем разделе, «Оценка рисков». Однако, перед развертыванием этих параметров на рабочие клиентские компьютеры рекомендуется принять во внимание следующие соображения.
Ограничение на использование устройств может заблокировать работу разрешенных общих папок или создать неудобства мобильным пользователям.
При ограничении на использование устройств может оказаться невозможным применять USB-накопитель в рамках схемы шифрования дисков BitLocker. Например, если для пользователя включен параметр политики Removable Disks: Deny write access (Съемные диски: Запретить запись), то, даже если это администратор, он не сможет записать на USB-накопитель ключ запуска при настройке BitLocker.
Некоторые устройства одновременно обозначают себя кодами и съемного, и локального хранилища. В частности, так поступают некоторые USB-накопители, с которых возможен запуск системы. Поэтому следует тщательно протестировать созданные объекты GPO, чтобы убедиться в верности установленных запретов и разрешений.
В определении конфигурации управления и установки устройств, обеспечивающей оптимальную защиту конфиденциальных данных на клиентских компьютерах, поможет следующий процесс.
Ход процесса снижения рисков
Изучить возможности управления и установки устройств в ОС Windows 7.
Примечание Подробнее см. «Пошаговое руководство по контролю установки устройств с помощью групповой политики».
Определить степень необходимости контроля за установкой устройств в текущих условиях.
Изучить параметры групповой политики по управлению и установке устройств.
Определить, какие съемные устройства необходимы для работы, и записать их коды оборудования и совместимые коды.
Определить, какие компьютеры и пользователи нуждаются в съемных устройствах.
Настроить групповую политику на разрешение установки требуемых классов устройств.
Настроить групповую политику на разрешение установки устройств на компьютеры, где такая возможность необходима.
|
| |
