USBGuard

Модуль предназначен для настройки ограничений на использование USB-устройств. Модуль работает на основе функционала USBGuard, позволяет вести чёрный и белый списки ограничений и предоставляет два типа действий — allow/block.

Данный модуль предоставляет следующие возможности:

• сканирование подключенных устройств;
• выбор и добавление устройств, из списка подключенных устройств, в набор правил;
• создание предустановленных правил для распространённых сценариев;
• создание правил по дескрипторам интерфейса: CC:SS:PP;
• создание правил по свойствам USB-устройства: PID, VID;
• создание правил по хэшу устройства по PID+VID+SN;
• создание сложных правил с дополнительными условиями;
• загрузка правил из csv-файла;
• редактирование значений в созданных правилах;
• просмотр журнала событий подключения/отключения USB-устройств.

Информационное поле

В информационном поле отображается текущее состояние службы usbguard, список пользователей и групп, которые могут редактировать правила, сообщения об ошибках и предупреждения.

Для включения контроля за USB-устройствами необходимо установить отметку в пункте Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить (служба usbguard будет запущена и добавлена в автозагрузку).

Список USB-устройств

Если служба usbguard запущена, в таблице Список устройств будет отображён список подключённых USB-устройств.

В столбце Статус таблицы Список устройств отображается текущее состояние USB-устройства («allow» — разрешённое устройство, «block» — заблокированное устройство).

Для редактирования состояния устройства, необходимо выделить строку с USB-устройством и нажать кнопку Разблокировать/Заблокировать. При этом соответствующее правило будет добавлено в таблицу Хэш.

Примечание: если активен белый список, то для устройства со статусом «block» будет активна кнопка Разблокировать, если активен чёрный список, то для устройства со статусом «allow» будет активна кнопка Заблокировать.

Кнопка Сканировать позволяет обновить список подключённых USB-устройств.

Добавление/удаление правил

Предустановки

Правила могут работать в режиме белого или чёрного списка. После установки режима Чёрный список, будут заблокированы только перечисленные в данном списке USB-устройства. А после установки режима Белый список, будут заблокированы все USB-устройства, кроме перечисленных в данном списке.

Кроме ручного режима добавления правил в списки существует возможность предварительной настройки списков:

• Заблокировать все, кроме подключенных устройств — в правила (таблица Хэш) с действием «allow» будут добавлены все подключенные устройства. Все новые USB-устройства будут заблокированы;
• Заблокировать все, кроме подключенных и HID/HUB устройств — в правила с действием «allow» будут добавлены все подключенные устройства (таблица Хэш) и все устройства с интерфейсами 03:*:* и 09:*:* (таблица Маски CC:SS:PP). Все новые USB-устройства за исключением HID/HUB-устройств (клавиатуры, мыши, джойстики, USB-концентраторы) будут заблокированы;
• Блокировать устройства по классам дескриптора интерфейса: 06 Image и 08 Mass Storage — в правила (таблица Маски CC:SS:PP) с действием «block» будут добавлены все устройства с интерфейсами 08:*:* и 06:*:*. В результате все USB-устройства Mass Storage Device (USB-накопитель, карта памяти, кардридер, цифровая фотокамера) и Image (веб-камера, сканер) будут заблокированы;
• Блокировать устройства по списку известных PID:VID, использующих Аndroid Debug Bus — в правила (таблица Маски VID:PID) с действием «block» будут добавлены известные Android-устройства. В результате все Android-устройства будут заблокированы.

После добавления/удаления правил следует нажать кнопку Проверить (будут показаны планируемые изменения), а затем кнопку Применить (правила будут применены).

Ручной режим

Для добавления нового правила должен быть выбран пункт Ручной режим в белом или чёрном списках. Если Ручной режим выбран в белом списке, правило будет добавлено с действием «allow», если в чёрном — с действием «block».

В ручном режиме можно добавить правила в таблицы:

• Другие правила — позволяет добавить правила со сложными условиями;
• Маски CC:SS:PP — позволяет добавить правила по типу интерфейса, предоставляемому USB-устройством. Тип интерфейса указывается как три 8-битных числа в шестнадцатеричном формате, разделенных двоеточием (cc:ss:pp). Числа обозначают класс интерфейса (cc), подкласс (ss) и протокол (pp). Вместо номера подкласса и протокола можно использовать символ *;
• Маски VID:PID — позволяет добавить правила по идентификатору разработчика устройства (VID) и идентификатору изделия (PID). Вместо VID и PID можно использовать символ *;
• Хэш — позволяет добавить правила по хэшу, вычисленному на основе значений атрибутов устройства и данных дескриптора USB (PID+VID+SN).

Добавление правил:

1. Нажать кнопку Добавить, расположенную под соответствующей таблицей.
2. Вписать маску.
3. Нажать кнопку Проверить (корректное правило будет выделено зелёным цветом, не корректное — красным).
4. Нажать кнопку Применить.

Удаление правила:

1. В соответствующей таблице установить отметку в поле с правилом, которое необходимо удалить.
2. Нажать кнопку Удалить.
3. Нажать кнопку Проверить.
4. Нажать кнопку Применить.

Загрузка правил из файла

Правила должны быть добавлены в csv-файл, по одному правилу в каждой строке. Строка должна иметь вид allow/block,Interface,PID:VID,Hash.

Внимание! Файл не должен содержать конфликтные правила — должны быть либо все allow, либо все block.

Загрузка правил из файла:

1. Нажать кнопку Обзор и выбрать файл с правилами.
2. Нажать кнопку Загрузить из файла.
3. Нажать кнопку Проверить.
4. Нажать кнопку Применить.

Просмотр журнала аудита

Для просмотра журнала аудита необходимо нажать кнопку Журнал, расположенную в левом нижнем углу модуля. Будет раскрыт журнал аудита.

Передвигаться по журналу к более старым или более новым записям можно с помощью кнопок Назад и Вперёд. Отфильтровать записи можно с помощью поля Фильтровать.

Для того чтобы скрыть панель журнала, необходимо нажать кнопку Свернуть.