Firewalls de última geração, ferramentas de IPS e outras soluções de segurança garantem a saúde do seu ambiente, certo? Talvez não. Algumas ameaças e até roubo de informações podem ter a fonte vindo de dentro de sua LAN. Como isso é possível? Geralmente, administradores relaxados não se preocupam em prevenir as entradas de dispositivos removíveis. Isso torna o ambiente suscetível a ações maliciosas internas, que Firewalls não detectam e às vezes o próprio antivírus também não.
Como então garantir que esse tipo de violação não aconteça? Utilizando o Symantec Endpoint Protection, isso se torna possível e até fácil. Nesse artigo iremos detalhar o processo de bloqueio de uma maneira direta, facilitando a vida do leitor.
Utilizando o Symantec EP
A solução de antivírus da Symantec trabalha de uma forma parecida com o Active Directory da Microsoft (até podem ser integrados), no qual a organização é feita por pastas. Essa disposição permite que os clientes sejam agrupados por um critério e políticas sejam aplicadas para que um compliance seja atingido. Segue abaixo uma captura da console do SEP:
Imagem 1: Console do SEP
Utilizando o ADC
Dentro do leque de políticas supracitadas, temos o módulo Application Device Control, que faz o controle de dispositivos e aplicações. É com ele que iremos mostrar como podemos bloquear as portas USB ou somente dispositivos de armazenamento móveis. Esse módulo está localizado na parte esquerda da console no ícone de Políticas, e é dividida em “Antivirus and AntiSpyware”, “Firewall”, “Intrusion Prevention”, “Application and Device Control”, “Host Integrity”, “Live Update” e “Centralized Exceptions”. Abaixo uma imagem demonstrando tal seção:
Imagem 2: Politicas
Primeiramente, antes de fazer o bloqueio é preciso saber como o device será identificado. Existem duas maneiras de fazer isso:
– Class ID
As duas formas são efetivas, cada uma contendo prós e contras e tendo uso apropriado dependendo da situação. A class ID bloqueia uma classe inteira de devices utilizando uma GUID pré determinada para sistemas operacionais Windows.
- Disk Drives – {4d36e967-e325-11ce-bfc1-08002be10318}
- Storage Volumes – {71a27cdd-812a-11d0-bec7-08002be2092f}
- USB devices – {36FC9E60-C465-11CF-8056-444553540000}
- DVD/CD-ROM – {4D36E965-E325-11CE-BFC1-08002BE10318}
- IDE – {4d36e96a-e325-11ce-bfc1-08002be10318}
- PCMCIA – {4d36e977-e325-11ce-bfc1-08002be10318}
– Device ID
Essa forma é mais efetiva pois realiza o bloqueio levando em consideração um ID específico que é resultado de uma concatenação uma lista de dados relacionados ao dispositivo. Nessa forma é possível a utilização de wildcard, podendo bloquear num alto nível mais genérico até em um mais específico. Segue um exemplo dessa lista:
- Qualquer dispositivo USB
- USBSTOR*
- Qualquer disco USB
- USBSTOR\DISK*
- Qualquer disco USB San Disk
- USBSTOR\DISK&VEN_SANDISK*
- Qualquer disco USB San Disk Cruzer Micro
- USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO*
- Um disco San Disk específico
- USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0
Para realizar o bloqueio, o administrador deverá primeiro criar a policy. Na seção Application and Device Control criar uma política customizada (ou editar a Default). Na janela que será aberta, clicar em Device Control e no canto direito, inserir a identificação de bloqueio na opção Blocked Devices:
Imagem 3: Device Control
Aplicando a política
Para que o bloqueio seja efetivo, é preciso aplicar a política recém criada a um grupo de clientes. Como já comentado no artigo, a solução da Symantec usa o uma estrutura de diretórios bem semelhante ao AD da Microsoft. Com isso basta somente escolher em qual unidade organizacional esse bloqueio será efetivo. Para que isso seja alcançado, navegue até a seção de Clients e seleciona a OU desejada. No lado direito, clique na aba Policies e adicione a política de restrição que foi criada anteriormente:
Imagem 4: Politica
No artigo foi demonstrada a função de bloqueio de dispositivos do Symantec Endpoint Protection, bem como o seu funcionamento básico. Com as dicas, é esperado que o leitor tenha uma familiaridade maior com a plataforma e que consiga uma maior efetividade na proteção de sua rede local.
Dessa forma os dispositivos que se enquadram nas políticas criadas serão automaticamente bloqueados pelo SEP. Da mesma forma dispositivos podem ter seu uso autorizado explicitamente fazendo com que seja atingido o objetivo de controlar e limitar o uso de meios externos de armazenamento nos computadores da organização.