Nell'ambito delle mille e più svariate richieste che mi sono pervenute ce n'è una un cui mi è stato richiesto di configurare sei postazioni, tassativamente non collegate in rete, con due HDD Storage in modo tale che tra questi PC fosse possibile scambiare file e consultare documenti unicamente da un gruppo ristretto di utenti e unicamente sulle sei postazioni prescelte poste in locali videosorvegliati.
Ovviamente l'ulteriore e fondamentale requisito richiesto era che le informazioni/file presenti all'interno dell'infrastruttura non dovevano essere disponibili per la copia e/o l'espostazione all'esterno. É bene precisare che risulta difficile evitare foto allo schermo se non con controlli preliminari all'accesso dei locali.
La soluzione che vi presento non richiede software di terze parti e prevede un numero di PC di cui si vuole formare il cluster con sistema operativo Windows 10, la medesima configurazione può essere effettuata da Vista in su, che consentono lo scambio dei dati tramite più dispositivi protetti da crittografia dei dati e da una password utilizzando il Tool di Windows BitLocker che consente l'accesso ai dati anche senza la necessità di digitare password sulle postazioni precedentemente configurate, ovviamente c'è sempre l'amministratore di sistema che potrà forzare (se non escluso successivamente) la consultazione degli USB Storage e dei PC.
Iniziamo configurando i PC,
la prima cosa da fare è disabilitare le schede di rete e qualsiasi altra periferiche che possa fornire connettività verso l'esterno come schede WiFi o Bluetooth, per fare ciò andiamo in Gestione Periferiche e disabilitiamo tutte le periferiche di comunicazione
come si vede nell'immagine tutte le periferiche disabilitate riporteranno una freccetta verso il basso che sta ad indicare che la periferica e "down" cioè disabilitata.
A questo punto iniziamo con l'identificazione dell'ID Hardware del dispositivo USB che utilizzeremo per il trasposto dei dati. Per fare questo inseriamo la chiavetta o l'HDD portatile nell'USB e attendiamo che venga riconosciuto,
con il tasto destro del mouse clicchiamo sulla periferica e andiamo in proprietà alla scheda Hardvare
quindi clicchiamo nuovamente sul tasto proprietà e portiamoci sulla scheda dettagli
dall'elenco a cascata delle voci Proprietà selezioniamo ID hardware e copiamo la riga più linga che conterrà tutte le informazioni della specitica periferica (costruttore, tipo periferica e identificativo univoco della periferica). Selezionando l'identificativo completo faremo in modo che anche inserendo un HDD della stessa casa costruttrice o una periferica che utilizza lo stesso tipo di driver, quest'ultima non verra riconosciuta perché avrà un identificativo univoco diverso.
Passiamo ora alla configurazione delle Group Policy tramite le quali impediremo l'installazione di nuove periferiche USB, digitiamo gpedit.msc nel campo di ricerca di Windows e premiamo invio
e partiamo con una policy che bloccherà l'installazione di qualsiasi periferica USB andiamo in:
Configurazione computer
> Modelli amministrativi
> Sistema
> Installazione dispositivo
> Restrizioni installazione dispositivo
> Impedisci l’installazione dei dispositivi rimovibili
facciamo doppio click sulla voce Impedisci l’installazione dei dispositivi rimovibili e attiviamo la policy
a questo punto le policy di Windows impediranno l'installazione di qualsiasi periferica USB, nel nostro caso però ci interessa che una periferica in particolare o una serie di periferiche vengano riconosciute ed installate al momento dell'inserimento.
Per fare in modo che Windows permetta l'identificazione e l'installazione di una periferica specifica dobbiamo aggiungere una policy "allow" per un preciso ID Hardware, disponendo già dell'ID del dispositivo che abbiamo copiato prima, andiamo ad inserirlo nelle policy.
Nella medesima cartella della policy appena attivata apriamo la voce Consenti l'installazione dei dispositivi che corrispondono ad uno di questi ID
attiviamo la policy e clicchiamo sul tasto mostra e clicchiamo due volte sul rigo vuoto incolliamo l'ID della nostra periferica nel campo Valore
Ok !!! a questo punto potrete già verificare che qualsiasi periferica inseriate nella posta USB Windows pur riproducendo il classico suono dell'riconoscimento dell'evento di inserimento di una periferica nella porta non avvierà l'installazione a meno che la periferica inserita non sia quella di cui abbiamo inserito l'identificativo nella lista di quelle autorizzate.
La configurazione della periferica di storage la rimando all'atricolo Proteggiamo i nostri dati con BitLocker ma dobbiamo evitare che che gli utenti possano vanificare tutto quello che abbiamo fatto fina ad ora non disattivando la crittografia delle chiacette o dell'HDD di storage e possa arrivare ai dati tramite un PC esterno.
Per chiudere l'ultima "via di fuga" dei dati dobbiamo impostare le policy sui PC dedicati per evitare la rimozione della crittografia di BitLocker sia sui dischi di sistema che sui dispositivi removibili, quindi iniziamo con i dischi di sistema andiamo quindi in
Configurazione computer
> Modelli amministrativi
> Comportamenti di Windows
> Installazione dispositivo
> Crittografia utilità Bitlocker
> Unità del sistema operativo
> Non consentire agli utenti standard di modificare PIN o password
ed abilitiamo la policy poi portiamoci in
Configurazione computer
> Modelli amministrativi
> Comportamenti di Windows
> Installazione dispositivo
> Crittografia utilità Bitlocker
> Unità dati removibili
>Configura utilizzo di BitLocker in unità dati rimovibili
nella schermata abilitiamo la policy cliccando su attiva e togliamo le spunte su entrambi i check box Consenti agli utenti di applicare la protezione BitLocker su unità dati removibili e Consenti agli utenti di sospendere e decrittografare BitLocker su unità dati rimovibili
Bene direi che è quasi tutto, a voler essere proprio precisi io o disabilitato anche l'autoplay su tutte le unità, per evitare che qualche script possa comunque modificare qualche configurazione o intercettare lo sblocco delle unità crittografate con BitLocker.
Ottimo !!! a questo punto tutto dovrebbe essere "blindato".
