ბევრ ორგანიზაციას სურს დაბლოკოს USB ფლეშ მეხსიერების ანდა ციფრული კამერების ფლეშ მეხსიერებების გამოყენების შესაძლებლობა კომპანიის საკუთრებაში არსებულ მოწყობილობებზე. ასეთი აკრძალვების პირობებშიც კი საჭიროა დავუშვათ კონკრეტული USB მოწყობილობები, როგორიცაა კლავიატურა ან მაუსი.

USB დისკების დაბლოკვის მიზეზი შეიძლება გახდეს როგორც USB ფლეშ მეხსიერებების მეშვეობით  გარედან მავნე პროგრამული უზრუნველყოფის შეღწევის დაბლოკვა, ასევე კომპანიიდან არაავტორიზებული პირების მიერ ინფორმაციის გატანის საფრთხის შემცირება. მოდით განვხილოთ ეს მიზეზები უფრო დეტალურად.

USB მოწყობილობაზე წვდომის დაბლოკვის მიზეზები

კომპანიის თანამშრომლებისთვის Intune-ის გამოყენებით USB დისკების დაბლოკვით ორგანიზაციებს შეუძლიათ შეამცირონ კიბერუსაფრთხოებასთან დაკავშირებული რისკები:

1. ინფორმაციის გაჟონვის პრევენცია: სენსიტიურ მონაცემებზე არასანქცირებული წვდომა ნებისმიერ ორგანიზაციას მიაყენებს სერიოზულ ფინანსურ და რეპუტაციულ ზიანს. USB დისკების დაბლოკვით თანამშრომლებს მნიშვნელოვნად ეზღუდებათ კონფიდენციალური ინფორმაციის გადაცემის ან კოპირების შესაძლებლობა.

2. მავნე პროგრამებისგან მომავალი საფრთხეების შემცირება: მავნე პროგრამული უზრუნველყოფა ხშირად ვრცელდება ინფიცირებული USB დისკებით. ამ მოწყობილობების დაბლოკვით, ორგანიზაციები ამცირებენ მავნე პროგრამების შეღწევის რისკს მათ სისტემაში და თავიდან იცილებენ სამუშაო პროცესების შეფერხებებს.

3. მონაცემთა დაკარგვის პრევენციის გაძლიერება: მნიშვნელოვანი მონაცემების შემთხვევით დაკარგვა ან ქურდობა კომპანიების მთავარი საზრუნავია. USB დისკების დაბლოკვით კომპანია თავიდან იცილებს დაკარგული ან მოპარული USB დრაივებიდან ინფორმაციის გაჟონვის შესაძლებლობასაც.

4. წვდომის კონტროლის გაძლიერება: USB დისკების გამოყენების შეზღუდვა აძლიერებს ორგანიზაციაში ინფორმაციასთან წვდომის კონტროლს. მსგავსი პოლიტიკების გამოყენების შედეგად კომპანია შეიძლება დარწმუნებული იყოს, რომ მონაცემთა გაზიარებისთვის გამოყენებულ იქნება მხოლოდ წინასწარ რეგლამენტირებული მეთოდები.

USB დისკებზე ჩაწერის აკრძალვა

Microsoft-ის თანახმად, თუ თქვენ Intune-ში გააქტიურებთ Removable Disk Deny Write Access პოლიტიკას, მომხმარებლები დაკარგავენ removable მოწყობილობებზე ჩაწერის შესაძლებლობას.

იმისათვის, რომ მომხმარებლებს მონაცემების ჩაწერა შეეძლოთ მხოლოდ BitLocker-ით დაცულ USB ფლეშ მეხსიერებებზე ან სხვა გარე მოწყობილობებზე, ჩართეთ Deny write access to drives not protected by BitLocker პოლიტიკა, რომელიც განლაგებულია Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives

Microsoft რეკომენდაციას უწევს მრავალშრიან მიდგომას USB მოწყობილობების რისკების გასანეიტრალებლად. ამ სტატიაში კი ჩვენ მხოლოდ ჩაწერის დაბლოკვას შევეხებით, რაც უსაფრთხოების ერთ-ერთი შრეა.

USB დისკებზე ჩაწერის აკრძალვა  ASR პოლიტიკის გამოყენებით

ჩვენ ახლა შევქმნით attack surface reduction პოლიტიკას, რომელიც Intune-ის გამოყენებით.დაბლოკვას USB დისკებს

  • შედით Microsoft Intune-ის ადმინისტრაციულ ცენტრში.
  • გადადით Endpoint Security > Attack Surface Reduction.
  • აირჩიეთ პოლიტიკის შექმნა.

პროფილის შექმნის ფანჯარაში Platform ველში აირჩიეთ  Windows 10 and later და Profile ველში აირჩიეთ Device Control. დააჭირეთ Create.

Basic ჩანართზე მიუთითეთ პროფილის სახელი და დაამატეთ მოკლე აღწერა. აღწერა ეხმარება სხვა ადმინისტრატორებს გაიგონ, რას წარმოადგენს ეს პროფილი. დააწკაპუნეთ Next

Configuration Settings ჩანართზე ჩამოსქროლეთ ქვემოთ და მოძებნეთ პარამეტრი სახელწოდებით “Removable Disk Deny Write Access“. დააწკაპუნეთ ჩამოსაშლელ ღილაკზე და აირჩიეთ „Enabled“, რაც USB მოწყობილობაზე დაბლოკავს ჩაწერას

Scope tags ჩანართი შეგიძლიათ გამოტოვოთ და დააჭიროთ Next

Assignments ჩანართზე დააწკაპუნეთ Add Groups  და აირჩიეთ Entra ჯგუფები, რომლებზეც გსურთ გაავრცელოთ შეზღუდვის ეს პოლიტიკა. ჯგუფის წევრ მოწყობილობებზე აიკრძალება ნებისმიერი USB მოწყობილობის გამოყენება. დააწკაპუნეთ Next.

Review+Create ჩანართზე, გადაამოწმეთ ყველა პარამეტრი და დააჭირეთ Create. უნდა გამოჩნდეს შეტყობინება, რომელიც დაადასტურებს, რომ პროფილი წარმატებით შეიქმნა. Intune-ის გამოყენებით USB დისკებზე ჩაწერის დაბლოკვისთვის საჭირო ASR პოლიტიკა შექმნილია.