當下電腦可外接設備的連接埠主流是USB、Type C等,這些連接埠可接入的設備繁多,主要以外接式儲存裝置為主,例如外接硬碟、隨身碟等設備,這些設備也是讓資料外洩的主要管道,另一種是資料傳輸類型的硬體例如:外接網卡、藍牙傳輸器、印表機等都是可能讓資料外洩的管道,以下我們將討論利用X-FORT來達到控管外接裝置的方法。
裝置分類
電腦的外接設備可分為以下兩類
- 【資料儲存類】所有透過USB、Type C接入電腦的設備,只要會產生磁碟機代號的硬體都是屬於資料儲存類的外接設備,例如:外接硬碟、讀卡機、隨身碟、智慧手機、外接燒錄機等設備,X-FORT的外接式儲存裝置、MTP裝置、光碟裝置主要就是在控管這類儲存設備的。
- 【資料傳輸類】這裡指的是透過資料傳輸方式將檔案傳到電腦外部,傳輸的媒介有可能是資料傳輸線、藍芽設備、印表機等,X-FORT的列印裝置、其他控管主要就是控管這類的資料傳輸設備。
一般控管方式
控管外接裝置對不同的設備有不同的控管方法
軟體控管
很多設備接上電腦後傳輸資料是要透過特定的軟體進行資料傳輸,例如資料傳輸線需透過專屬軟體進行資料傳輸、iPhone手機需透過iTunes才能把電腦檔案傳輸到手機裡,因此透過X-FORT『其他控管』模組可將傳輸線軟體禁用。或者透過軟體安控模組,設定應用程式白名單,就可讓使用者無法自行安裝傳輸線軟體,同理若要禁用iPhone亦可利用這些模組來禁用iTunes。
硬體類型
外接無線網卡、USB連接的網路卡、音效卡、筆電內建的攝影鏡頭….等外接設備只要一接入電腦,Windows自動辨識後即可運行,這類設備建議採用X-FORT『裝置控管』模組來達到禁用效果,此模組主要透過匯入電腦的裝置管理員裡的設備名稱進行控管,此項控管方式是控管所有跟Windows註冊的硬體設備。
虛擬裝置控管方式
上述控管方法皆為實體硬體設備的控管方式,如果遇到虛擬設備呢?例如:虛擬印表機、虛擬網路卡如何達到控管效果呢?以Windows 10為例即使安裝虛擬印表機、虛擬網卡都會在裝置管理員註冊,因此X-FORT 裝置控管模組可將這些虛擬設備禁用。
虛擬印表機還可透過列印裝置模組進行白名單的零信任控管,將信任的印表機加入白名單,除此之外的所有印表機安裝後皆無法控管。
裝置白名單鎖定,放行部分裝置使用
X-FORT對於外接裝置可設定白名單的模組如下說明
- 外接式儲存裝置:可將公司信任的外接碟(隨身碟、外接硬碟)進行註冊,只要使用沒有註冊過的外接碟接入控管電腦則無法使用或者唯讀,以此來達到外接碟零信任的目的。
- 列印裝置:管理員把信任的印表機加入到控管清單,無論本機印表機、虛擬印表機、網路印表機都可加入到控管清單,使用者若自行安裝印表機將會無法列印,達到列印裝置零信任的目的。
- 裝置控管:裝置控管模組主要為控管Windows的裝置管理員裡顯示的硬體設備(虛擬硬體也會在此註冊),企業內部若有硬體裝置白名單的需求,就是白名單以外的硬體設備一律禁用,以下舉例說明
公司資安政策規定,全公司電腦只能使用某通過資安認證檢驗的網路卡,為防止人員自行更換其他有資安疑慮的網路卡,請建立一網路卡裝置白名單,讓公司電腦只能使用此特定網路卡。
此功能需裝置控管模組達到需求,IT人員只需把合法的網路卡設定為允許使用,再把裝置管理員裡的『網路介面卡』裝置類型設定為禁用,以此操作可讓合法的網路卡正常使用,所有實體、虛擬網卡皆無法正常使用,如下圖紅框就是公司合法的白名單網路卡,其他非白名單網路卡皆被停用,依此類推可將此硬體裝置零信任應用在其他硬體周邊設備。
記錄與稽核使用裝置記錄
外接式儲存裝置控管有個紀錄『註冊碟操作』可記錄使用者使用的外接碟是否被X-FORT註冊過,即使插入的外接碟是沒註冊過的也會記錄下來。
至於其他硬體設備需透過硬體資產模組的『硬體異動』記錄或警示來得知用戶端電腦硬體的異動情形,目前硬體異動除了記錄外,亦可透過Mail、瀏覽器、Microsoft Teams、LINE等軟體進行通知。