Firewalls de última geração, ferramentas de IPS e outras soluções de segurança garantem a saúde do seu ambiente, certo? Talvez não. Algumas ameaças e até roubo de informações podem ter a fonte vindo de dentro de sua LAN. Como isso é possível? Geralmente, administradores relaxados não se preocupam em prevenir as entradas de dispositivos removíveis tornando o ambiente suscetível a ações maliciosas internas que Firewalls não detectam e às vezes o próprio antivírus também não.
Como então garantir que esse tipo de violação não aconteça? Utilizando o Symantec Endpoint Protection isso se torna possível e até fácil. Nesse artigo iremos detalhar o processo de bloqueio de uma maneira direta, facilitando a vida do leitor.
Utilizando o Symantec EP
A solução de antivírus da Symantec trabalha de uma forma parecida com o Active Directory da Microsoft (até podem ser integrados) na qual a organização é feita por pastas. Essa disposição permite que os clientes sejam agrupados por um critério e políticas sejam aplicadas para que um compliance seja atingido. Abaixo uma captura da console do SEP:
Imagem 1: Console do SEP
Utilizando o ADC
Dentro do leque de políticas supracitadas, temos o módulo Application Device Control, que faz o controle de dispositivos e aplicações. É com ele que iremos mostrar como podemos bloquear as portas USB ou somente dispositivos de armazenamento móveis. Esse módulo está localizado na parte esquerda da console no ícone de Políticas e é dividida em “Antivirus and AntiSpyware”, “Firewall”, “Intrusion Prevention”, “Application and Device Control”, “Host Integrity”, “Live Update” e “Centralized Exceptions”. Abaixo uma imagem demonstrando tal seção:
Imagem 2: Politicas
Primeiramente, antes de fazer o bloqueio é preciso saber como o device será identificado. Existem duas maneiras de fazer isso:
– Class ID
As duas formas são efetivas, cada uma contendo prós e contras e tendo uso apropriado dependendo da situação. A class ID bloqueia uma classe inteira de devices utilizando uma GUID pré determinada para sistemas operacionais Windows.
- Disk Drives – {4d36e967-e325-11ce-bfc1-08002be10318}
- Storage Volumes – {71a27cdd-812a-11d0-bec7-08002be2092f}
- USB devices – {36FC9E60-C465-11CF-8056-444553540000}
- DVD/CD-ROM – {4D36E965-E325-11CE-BFC1-08002BE10318}
- IDE – {4d36e96a-e325-11ce-bfc1-08002be10318}
- PCMCIA – {4d36e977-e325-11ce-bfc1-08002be10318}
– Device ID
Essa forma é mais efetiva pois realiza o bloqueio levando em consideração um ID específico que é resultado de uma concatenação uma lista de dados relacionados ao dispositivo. Nessa forma, é possível a utilização de wildcard, podendo bloquear num alto nível mais genérico até em um mais especifico. Abaixo vai um exemplo dessa lista:
- Qualquer dispositivo USB
- USBSTOR*
- Qualquer disco USB
- USBSTOR\DISK*
- Qualquer disco USB San Disk
- USBSTOR\DISK&VEN_SANDISK*
- Qualquer disco USB San Disk Cruzer Micro
- USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO*
- Um disco San Disk específico
- USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0
Para realizar o bloqueio, o administrador deverá primeiro criar a policy. Na seção Application and Device Control, criar uma política customizada (ou editar a Default).
Na janela que será aberta, clicar em Device Control e no canto direito, inserir a identificação de bloqueio na opção Blocked Devices:
Imagem 3: Device Control
Aplicando a política
Para que o bloqueio seja efetivo, é preciso aplicar a política recém criada a um grupo de clientes. Como já comentado no artigo, a solução da Symantec usa o uma estrutura de diretórios bem semelhante ao AD da Microsoft. Com isso basta somente escolher em qual unidade organizacional esse bloqueio será efetivo. Para que isso seja alcançado, navegue até a seção de Clients, e selecione a OU desejada. No lado direito, clique na aba Policies e adicione a política de restrição que foi criada anteriormente:
Imagem 3: Politica