Если у вас возникли вопросы, или появилось предложение, напишите нам

USB Guard. Функциональный модуль UEFI

В ряде операционных систем имеются встроенные инструменты безопасности такие, как, например, функция управления USB-портами. «Управление» в отношении этого механизма – некоторое преувеличение, в общем случае, у него есть два состояния:

  1. он включен, и тогда все USB-порты компьютера работают в режиме «только чтение»
  2. он отключен, тогда все USB-порты работают штатным образом. 

Возможность такого ограничения USB-портов присутствует как в операционных системах (ОС) семейства Windows, так и в ОС семейства Linux. К примеру, в ОС Windows управлять USB-портами возможно несколькими способами: настроить групповые политики управления доступом к USB‑носителям (с помощью настроек GPO) или же изменить настройки параметров доступа к различным классам USB-устройств в реестре, или изменить параметры настройки драйвера USB Storage Driver. В ОС Астра Linux управлять USB‑устройствами можно, например, применяя механизм parsec devices access control (pdac).

Как правило, такого «грубого» управления достаточно, так как используются эти механизмы для запрета записи данных на любые USB‑устройства, а при необходимости более тонкой настройки правил используются не встроенные, а наложенные средства (средства разграничения доступа, DLP-системы, защищенные съемные носители информации и т. д.).

Однако, как и любая функция или настройка, реализованная в ОС, функция контроля USB‑портов может быть несанкционированно отключена (специально, или из-за системного сбоя, или действия вредоносных программ, например). Значит, для того чтобы использование такого механизма имело смысл, в системе должно быть какое-то средство, которое контролировало бы, включен ли механизм, и сигнализировало, если отключен.

Важно отметить одну особенность – эта задача отличается от контроля целостности. Не достаточно убедиться, что механизм не удален и не изменен, нужно убедиться, что он включен.

Такое средство, несомненно, должно быть запущено на исполнение раньше, чем контролируемый механизм (т.е. до загрузки ОС).

Примером такого средства является программное обеспечение «USB Guard», разработанное компанией ОКБ САПР.

Основные сведения

Программное обеспечение (ПО) «USB Guard. Функциональный модуль UEFI» (далее ПО «USB Guard») представляет собой комплекс программных средств, предназначенных для контроля активности механизма управления USB-портами при старте ОС. ПО предназначено для работы на СВТ с ОС Астра Linux.

Основные функции ПО «USB Guard»:

  • проверка наличия модулей из состава ПО «USB Guard» в ОС;
  • проверка активности механизма контроля USB-портов в (pdac);
  • восстановление активности механизма контроля USB-портов в случае, если он был выключен;
  • блокировка ОС в случае невозможности восстановления активности механизма контроля USB-портов.

Принцип работы ПО «USB Guard»

ПО «USB Guard» работает прозрачно для пользователя.

До работы непосредственного пользователя администратор должен выполнить настройку ПО «USB Guard» – активировать его запуск.

Для этого при старте СВТ необходимо удерживать нажатой кнопку Ctrl. Наверху экрана появится окно, предлагающее перейти в режим настройки ПО «USB Guard».

1.png

По нажатии комбинации клавиш Ctrl-u появится окно, в котором нужно запустить ПО «USB Guard», выбрав кнопку <Enable USB guard>.

2.png

На этом настройка ПО «USB Guard» завершается. Далее при работе непосредственного пользователя «USB Guard» будет запускаться автоматически при каждом включении компьютера.

Для того чтобы пользователь сам не отключил «USB Guard», необходимо принять какие-либо организационные или технические меры, например, установить пароль на BIOS.

В дальнейшем проверка наличия и целостности собственных модулей, проверка включенности механизма контроля USB-портов, восстановление включенности или блокировка загрузки, если восстановление выполнить не удается, выполняется при каждом запуске ОС, пока «USB Guard» сам в свою очередь не будет отключен.

Если «USB Guard» обнаружил невозможность включения подконтрольного механизма – например, если выявлено, что модули «USB Guard» в ОС повреждены или отсутствуют, загрузка ОС блокируется и может быть продолжена только с участием администратора, который проведет восстановительные процедуры.

В настоящий момент «USB Guard» реализован для ОС Астра Linux, однако, при наличии запроса, в сжатые сроки возможна реализация для других ОС. Дополнительная функциональность обсуждаема.

от базиса
к надстройке
Кнопка связи