การควบคุมการใช้งาน Devices ต่างๆ ด้วย Group Policy เพื่อสร้างความปลอดภัยในองค์กร

     สวัสดีครับท่านผู้อ่านที่รักทุกท่าน  สำหรับบทความตอนนี้จะเป็นเรื่องที่ผมคิดว่ากำลังอยู่ในความสนใจของผู้ดูแลระบบ, ที่ปรึกษทางด้านคอมพิวเตอร์ และอีกหลาย ๆคนครับ และแน่นอนรวมถึงลูกศิษย์ของผมและท่านผู้อ่านที่รักของผมทุกท่านครับ  เรื่องที่ว่านี้ก็คือการที่เราจะทำการวางแผนและควบคุมการใช้งานดีไวซ์ต่างๆ ที่เครี่องของผู้ใช้งานครับ  เพราะการที่ผู้ใช้งานสามารถที่จะใช้งานดีไวซ์ต่างๆ ที่มีอยู่ในเครื่องแล้ว ยังสามารถเอาดีไวซ์อื่น ๆ มาติดตั้งและใช้งาน  โดยดีไวซ์ที่ผมพูดถึงก็คือ ฟล็อปปี้ไดรพ์, ซีดี-ดีวีดีรอมไดรฟ์, Flash หรือ Thumb ไดรฟ์ ครับ เพราะดีไวซ์เหล่านี้นอกจากจะสามารถอ่านและเขียนข้อมูลลงไปเก็บได้แล้ว อาจจะเป็นที่มาของพวกมัลแวร์ ต่าง ๆ เช่น ไวรัส, โทรจัน หรือเวิรม์ ฯลฯ  โดยตัวของผู้ใช้งานก็ไม่ทราบครับว่ามีเจ้าพวกนี้อยู่ในดีไวซ์เหล่านั้น เพราะบางทีอาจจะมากับแผ่น ซีดีหรือดีวีดี ตั้งแต่ตอนที่เราไปซื้อมา หรือจากแผ่นของเพื่อนที่เราไปยืมมาเพื่อมาทำการติดตั้งซอฟท์แวร์ ต่างๆ เพื่อใช้งาน แต่ได้ของแถมคือเจ้าพวกมัลแวร์มาด้วยครับ  และมันอาจจะสร้างความเสียหายมากขึ้นไปอีกถ้าเครื่องดังกล่าวนั้นเป็นเครื่องที่ใช้อยู่ที่ออฟฟิศ  เพราะมันจะทำให้เครื่องของคนอื่นโดนเจ้ามัลแวร์พวกนี้เล่นงานไปอีกด้วย ซึ่งจะทำให้เครื่องเหล่านั้นไม่สามารถใช้งานปกติได้ ก็จะส่งผลเสียกับการทำงานและดำเนินงานขององค์กรนั้น ๆ  และทุกวันนี้ภัยคุกคามที่มาจากพวกดีไวซ์ที่ผมได้กล่าวไว้ตอนต้น ได้สร้างความเสียหายมากมายครับ  อีกทั้งในปัจจุบันเรามีการใช้งานพวก Removable ดีไวซ์ ต่างๆ ทั้ง
Thumb ไดรฟ์, iPod และอุปกรณ์อื่นๆ อีกมากมาย  โดยดีไวซ์เหล่านี้สามารถหาซือ้ได้ง่ายและยังใช้งานได้ง่ายมากอีกด้วย และถ้าในออฟฟิศของท่านผู้อ่านมีคนนำเอาดีไวซ์เหล่านี้เข้ามาใช้งาน และทำการก๊อปปี้ข้อมูลต่างๆ ออกไป หรือทำการติดตั้งโปรแกรมต่างๆ ก็สามารถทำได้อย่างง่ายดาย ซึ่งเหมือนกับที่ผมได้กล่าวไว้ตอนต้นครับ ว่าสิ่งต่างๆ เหล่านี้อาจจะนำเอาพวกมัลแวร์เข้ามาในองค์กรก็ได้ครับ  หรืออาจจะเกิดการรั่วไหลของข้อมูลได้ครับ ซึ่งอาจก่อให้เกิดความเสียหายให้กับองค์กรได้  และถ้าท่านผู้อ่านลองสังเกตให้ดีครับว่า ทุกวันนี้ระบบคอมพิวเตอร์ในออฟฟิศ หรือเครื่องของเราเองก็ได้มีการติดตั้งซอฟท์แวร์ต่างๆ เพื่อป้องกันภัยคุกคามในรูปแบบต่างๆ  เช่น โปรแกรมแอนตี้ไวรัส, ไฟร์วอลล์ , แอนตี้สปายแวร์  ฯลฯ  แต่ก็ไม่ได้ช่วยปกป้องภัยคุกคามที่เกิดจากการใช้งานพวก Removable ดีไวซ์ครับ ดังนั้นองค์กรหลาย ๆ องค์กรก็พยายามวางแผนและหามาตราการณ์การป้องกันกับปัญหานี้  โดยในท้องตลาดก็จะมีหลายหลายโซลูชั่นให้เลือกครับ  แต่ทั้งนี้ทั้งนั้นควรหาข้อมูลและศึกษาให้ละเอียดก่อนที่จะใช้ครับ 

สำหรับโซลูชั่นต่ผมจะนำเสนอจะเป็น โซลูชั่นของทางไมโครซอฟท์ครับ  และถูกใส่เข้ามาในตัวของ Windows Server 2008 /R2เรียบร้อยครับ เพราะฉะนั้นท่านผู้อ่านไม่ต้องไปเสียตังค์ซื้อครับ  โดยโซลูชั่นสำหรับการจัดการและควบคุมดีไวซ์นั้นสามารถทำได้ผ่านทาง Group Policy ที่อยู่ใน Windows Server 2008/R2 ดังรูปด้านล่าง

จากรูปด้านบนแสดงให้เห็นถึง Policy ต่างๆ ที่เราสามารถกำหนดได้เพื่อใช้จัดการดีไวซ์ต่างๆ ที่จะถูกนำเข้ามาติดต้งที่เครื่องของผู้ใช้งาน  ในส่วนต่อไปผมจะอธิบายว่าบาง Policy ครับว่า มันคืออะไร ไปใช้ทำอะไร ได้บ้าง  โดยเริ่มจาก

Allow administrator to override Device Installation Restriction policies

เป็น Policy ที่อนุญาตให้สมาชิกของ Administrator group สามารถทำการติดตั้งและอัพเดท ไดร์เวอร์สำหรับดีไวซ์ใด ๆ ก็ได้  โดยถ้าหากเราทำการเอ็นเอเบิ้ล Policy นี้ ผู้ดูแลระบบสามารถใช้ Add Hardware Wizard หรือ Update Driver Wizard ทำการติดตั้งอัพเดทของไดร์เวอร์ต่างๆ ได้

Allow installation of devices using drivers that match these device setup classes

เป็น Policy ที่อนุญาตให้ทำการติดตั้งดีไวซ์โดยใช้ไดร์เวอร์ที่ตรงกับ Classes ที่กำหนด

Prevent installation of devices using drivers that match these device setup classes

เป็น  Policy ที่ป้องกันการติดตั้งดีไวซ์โดยใช้ไดร์เวอร์ซึ่งตรงกับ Classes ที่กำหนด  ซึ่งจะตรงกันข้ามกับ Policy ก่อนหน้าชนี้ครับ  สำหรับเรี่องของ Classes เดี๋ยวผมจะอธิบายในช่วงต่อไปครับ  แต่ตอนนี้ผมจะอธิบายในส่วนของ Policy ต่างๆ ว่ามันเอาไปใช้ทำอะไรบ้าง  โดยที่ก่อนหน้าที่ผมได้อธิบายไปบาง Policy แล้ว  แต่ไม่ครบทุก Policy             นะครับ แต่ท่านผู้อ่านไม่ต้องกังวลนะครับ เราสามารถเข้าไปดูได้ว่าแต่ละ Policy คืออะไร โดยให้ทำการดับเบิล้คลิกที่ Policy ที่ท่านผู้อ่านต้องการดังรูปครับจากนั้นให้คลิกที่ Explain แท็ป

สำหรับเรื่องต่อมาคือเรื่องของ Classes หรือ Device Classes มันคือตัวที่แยกแยะกลุ่มหรือประเภทของดีไวซ์ต่างๆ โดยถ้าท่านผู้อ่านไปเปิด Device Manager ก็จะเห็นว่า ได้มีการแยกแยะประเภทหรือหมวดหมู่ของดีไวซ์เรียบร้อยแล้ว ดังรูป

ตัวของ Device Classes ก็จะทำการแยกแยะกลุ่มของดีไวซ์ต่างๆ ที่เราได้ทำการติดตั้งและคอนฟิก  โดยที่ดีไวซ์ที่อยู่ใน Classes เดียวกันก็จะใช้ Co-installer เดียวกันเมื่อดีไวซ์เหล่านั้นถูกติดตั้ง  เพราะฉะนั้นแต่ละดีไวซ์ก็จะมีหมายเลขประจำตัวมัน เพื่อทำให้ Windows สามารถรู้และแยกแยะได้ถึงความแตกต่างกันของแต่ละดีไวซ์  โดยที่หมายเลขดังกล่าวนี้เรียกว่า Globally Unique Identifier (GUID)  และเมื่อถึงเวลาที่เราจะเอาใช้ใน  Group Policy เพื่อทำการควบคุมการใช้งานดีไวซ์ ก็สามารถทำได้อย่างง่ายดาย โดยเราสามารถกำหนดด้วย GUID ของดีไวซ์นั้น ๆ   ที่นี้ผมจะนำท่านผู้อ่านไปดู GUID ของดีไวซ์กันครับว่ามันอยู่ที่ไหน  เราสามารถดู GUID ของดีไวซ์ต่าง ๆ ได้โดยใช้ Device Manager ครับ จากนั้นให้ไปที่ดีไวซ์ที่ต้องการจากนั้นให้คลิกเม้าส์ขวาแล้วเลือก Properties ก็จะเข้าสู่ Properties ของดีไวซ์ดังรูปด้านล่างครับ

จากนั้นให้ไปที่แท็ป Details แล้วเลือก Device Class GUID จากลิสต์  จากนั้นท่านผู้อ่านก็จะเห็น GUID ของดีไวซ์นั้น ๆ ที่เลือก

มาถึงตรงนี้ถ้าเราต้องการที่จะทำการป้องกันหรือไม่อนุญาตให้ใช้ดีไวซ์นี้  ก็สามารถทำได้โดยไปกำหนดใน Group Policy ที่ผมได้กล่าวเอาไว้ตอนต้น เช่น  ถ้าผมต้องการป้องกันหรือไม่อนุญาตให้ใช้ดีไวซ์ใด ก็ให้ไปที่ Policy ที่ชื่อว่า Prevent installation of devices using drivers that match these setup classes  จากนั้นให้ทำการกำหนด GUID ของ Device Class ที่ต้องการเข้าไป โดยให้ทำการเอ็นเอเบิ้ล Policy ดังกล่าวดังรูป

จากนั้นให้กดปุ่ม Show… เพื่อทำการกำหนด Device Class GUID ที่ต้องการ ดังรูป

จากนั้นให้ทำการลิงค์ Policy นี้กับแผนกหรือ OU ที่ต้องการ เพื่อทำการ Apply Group Policy  ดังกล่าว ก็เป็นอันเสร็จครับ  เป็นอย่างไรบ้างครับสำหรับโซลูชั่นที่ผมนำมาเสนอ หวังว่าจะเป็นประโยชน์กับท่านผู้อ่านนะครับ  ถ้าต้องการข้อมูลเพิ่มเติมหรือมีข้อสงสัยใด ๆ สามารถเมล์มาสอบถามผมได้เลยครับ.....