Jeżeli chodzi o stronę techniczną to przedstawię poniżej jak zarządzać dostępem przy pomocy najnowszej (webowej) konsoli Eset Remote Administrator oraz klientów z zainstalowanym oprogramowaniem Eset Endpoint Security 6.
Instrukcja dotycząca piątej wersji oprogramowania i poprzedniej konsoli znajduje się tutaj - Eset - zarządzanie dostępem do pendrajwów na podstawie grup Active Directory.
A więc. Wstępnym wymaganiem jest posiadanie grupy AD z dodanymi użytkownikami, którzy mają mieć dostęp do pendrajwów. Ja nazwałem taką grupę "użytkownicy pendrajwów". Osoby spoza tej grupy będą mieć zablokowany dostęp.
Zarządzanie oparte na grupach AD definiujemy poprzez polityki w konsoli ERA (Eset Remote Administrator). Tak wiec po zalogowaniu do konsoli przechodzimy do zakładki Administrator → Polityki. Tam definiujemy nową politykę lub edytujemy, tą którą już mamy. Polityka oczywiście musi obejmować wszystkie komputery. Następnie ją edytujemy poprzez przycisk POLITYKI → Edytuj.
 |
| Wykaz polityk w konsoli ERA |
Następnie wchodzimy w USTAWIENIA (1), KONTROLA DOSTĘPU DO URZĄDZEŃ (2) i włączamy opcję Zintegruj z systemem (3). Teraz możemy utworzyć regułę. W tym celu klikamy Edytuj w polu Reguły (4).
 |
| Część polityki odpowiedzialna za kontrolę dostępu do urządzeń. |
Następnie w oknie Reguły kilkamy Dodaj.
 |
| Okno reguł. Na razie puste. |
I dodajemy regułę wzorując się na poniższym screenie. Następnie musimy kliknąć Edytuj przy liście użytkowników, aby określić do kogo reguła ma być stosowana.
 |
| Tworzenie reguły. |
Następnie przy liście użytkowników musimy kliknąć Edytuj, aby określić do kogo reguła ma być stosowana. Pojawia się okno, w którym podajemy SID naszej grupy AD która ma posiadać dostęp do pendrajwów iiiii......
ekhm....
Skąd wziąć SID grupy?....
 |
| Komunikat o podanie numeru SID grupy |
No cóż. Podam swój sposób ustalenia SIDu grupy.
Na użytkowniku należącym do grupy AD, której chcemy przydzielić dostęp do pendrajwów uruchamiamy komendę:
whoami /groupsZ wyniku polecenia bierzemy SID odpowiedniej grupy i wklejamy do okna w konsoli ERA. Następnie zatwierdzamy i pierwszy krok mamy z głowy. Czyli mamy zdefiniowane jaka grupa może korzystać z pendrajwów.
Edycja:
Do ustalenia SIDów można także użyć Microsoftowej aplikacji GetSIDGUI
Do ustalenia SIDów można także użyć Microsoftowej aplikacji GetSIDGUI
Kolejnym krokiem jest dodanie grupy, która ma mieć blokowany dostęp. Ja wybrałem do tego celu grupę Użytkownicy domeny. Tutaj jest problem, ponieważ SID-u tej grupy nie uzyskamy poprzez wcześniejsze polecenie (przynajmniej u mnie się nie wyświetlała). Ale jest na to obejście. Wiemy (stąd - Well-known security identifiers in Windows operating systems), że grupa Domain Users ma końcówkę SID 513, więc teraz wystarczy skopiować SID wcześniejszej grupy i zmienić końcówkę na numer 513.
Jeżeli Wam to nie zadziała to SOA #1 czyli "u mnie działa" ;) -więc próbujcie.
Po dodaniu obydwu grup powinniście otrzymać okno jak poniżej. Tutaj ważna jest kolejność, więc na pierwszym miejscu ustawiamy zezwolenie dla konkretnej grupy, a jeżeli użytkownik do niej nie należy, to realizowana jest kolejna reguła, która blokuje dostęp.
 |
| Gotowe reguły zarządzające dostępem do pendrajwów (część nr SID dotycząca domeny została zamazana) |
Gdy już wszystko "pookejamy", lub po po polsku "pozatwierdzamy"reguła powinna zostać rozdystrybuowana na końcówki. Tam jednak zacznie obowiązywać dopiero po restarcie komputera.
 |
| Informacja o konieczności ponownego uruchomienia komputera |
Jeżeli wszystko przebiegło poprawnie to użytkownicy, którzy mają mieć zablokowanego pendrajwa, przy próbie skorzystania z niego, zobaczą komunikat jak poniżej.
 |
| Komunikat o zablokowaniu pendrajwa |
Przydatne linki:
Fajne. Nie znałem tego. Muszę to wprowadzić u siebie. Dzięki ! Fajny blog swoją drogą.
OdpowiedzUsuńDzięki ;)
Usuń