Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB52184 Come proteggere i dispositivi USB con SimplySecure

Ultimo aggiornamento: 09/04/2019
Articolo valido per Beachhead SimplySecure versione: 6.4

SecureUSB: Cifratura e gestione centralizzata dei dispositivi di storage USB


In questa guida osserveremo i passaggi da seguire per cominciare a proteggere i nostri dispositivi USB tramite SimplySecure.
In generale vedremo:

  • Prerequisiti di utilizzo
  • Cifratura di un dispositivo USB
  • Accesso al contenuto di un dispositivo criptato
  • Visualizzazione e gestione dei dispositivi protetti tramite console


PREREQUISITI

 

1.    Verificare che per l'account che stiamo gestendo sia attiva la licenza di protezione USB. E’ visualizzabile in maniera veloce dalla lista dei miei Accounts, abilitando la colonna USB.
 
 

 

In caso non sia attiva, premere col tasto destro sul nome dell’account e selezionare Type and Licenses. Da qui modificare l’Account Type










 

 

2.    Verificare che tra le impostazioni dei Computer la funzione USB sia attiva. Dal menu in alto quindi spostarsi su Manage Devices > Computers > Computers. Premere col tasto destro del mouse sul nome del PC e scegliere Computer Settings


 

 

Selezionare modalità Prompt for USB Encryption (obbligatoria o opzionale) e spuntiamo Make Unencrypted USB Read Only.






 

 

3.    Verifichiamo quali sono le impostazioni USB applicate. Per fare ciò accediamo all’account interessanto in modalità MSP view. Spostandoci sulla sezione Manage Devices > USB vedremo tre sezioni.
-    USB Storage
-    USB Whitelist
-    User Groups (Policies)






 

 

In questa guida ci soffermeremo solo sulla terza sezione, User Groups (Policies). Il funzionamento di SimplySecure USBSecure si basa sul concetto di Gruppi. Ad ogni gruppo che creo posso assegnare diverse impostazioni e regole di comportamento diverse. Gli utenti inseriti in un determinato gruppo erediteranno quindi quelle regole di comportamento attuate sui dispositivi USB che si vuole andare a proteggere.
Cliccando su User Groups (Policies) accedo alla lista dei Gruppi attivi già presenti, che di default sono Administratos e Default User Group. SimplySecure aggiunge qualsiasi utente che rileva all’interno dell’account al gruppo Default User Group, infatti probabilmente lo troverete già popolato.
Per lo scopo di questa guida utilizzeremo proprio questo gruppo. Cliccando sul nome avremo accesso alla configurazione.
Dal menu a sinistra ci muoveremo all’interno delle varie sezioni. Name and Description parla da sé, Users contiene gli utenti che fanno parte del gruppo.
La parte interessante è la sezione Policies


















 

 

Tra le impostazioni configurabili troviamo:

-    Encrypted Media Creation: Permette di abilitare o meno la cifratura delle periferiche USB per tutti gli utenti del gruppo. Verificare che sia impostato Allow.
-    Media Reading: Permette di specificare quali utenti avranno accesso ai contenuti di dispositivi USB cifrati. Da notare che ciò che viene inteso è che chi viene abilitato in lettura in questa sezione semplicemente avrà accesso alla chiavetta USB senza che gli venga richiesta user e password. Tutti gli altri utenti non specificati avranno abilitazione in lettura solo inserendo le credenziali (salvo eccezioni).
-    Media Key Expiration: Permette di impostare un tempo di conservazione in locale delle credenziali di accesso alle periferiche criptate.
-    Local Password Authentication: Permette di impostare il tipo di autenticazione per accedere ai contenuti cifrati. Una volta che un utente inserisce le credenziali di accesso alla periferica la verifica di correttezza delle stesse può essere fatta solo verso Server, solo in locale sulla periferica stessa oppure può essere eseguito un tentativo verso Server, e nel caso fallisse il collegamento avverrà la verifica in locale. Si consiglia di privilegiare il log-in verso Server, considerato più sicuro.

Altra sezione importante, spostandoci dal menu a sinistra, è Rules















 

 

Da qui si può scegliere dopo quanti log-on falliti debbano entrare in atto:

-    la disabilitazione della chiavetta, ovvero nessuno potrà più accedere al contenuto anche se dovesse avere le credenziali corrette. L’accesso sarà ripristinabile dall’amministratore tramite console.
-    l'inaccessibilità dei dati contenuti, dopo la quale i dati non saranno recuperabili in assoluto.
Bisogna notare che le Rules che saranno applicate al dispositivo USB saranno quelle applicate al gruppo a cui fa parte l’utente che l’ha criptata (chiamato owner).


CIFRATURA DI UN DISPOSITIVO USB

 

Se tutto è stato configurato correttamente a livello account come visto finora, collegando una chiavetta USB ad un PC protetto da agent SimplySecure si presenterà la seguente schermata. Il messaggio è personalizzabile da console (Administration > Account Settings).






 

 

A questo punto abbiamo la possibilità di scegliere se utilizzare il dispositivo in sola lettura (quindi non attuare nessuna cifratura) oppure mettere in atto la cifratura per poter scrivere file su di essa.


















 

 

Scegliendo la seconda opzione mi sarà richiesto di creare una user e password per questo dispositivo.












 

 

Fatto ciò il dispositivo sarà pronto per essere scritto, e il layout che mi si presenta sarà il seguente. 






















 

 

Creando un file sulla periferica avrò lo vedrò contrassegnato da colore verde e da lucchetto.














 

 


ACCESSO AL CONTENUTO DI UNA CHIAVETTA CRIPTATA

 

I casi che possono presentarsi sono due:
1.    Se dovessi collegare la chiavetta ad un altro PC con agent SimplySecure installato, mi si presenterà in automatico la finestra di inserimento credenziali. Se user e password sono corrette, i file saranno accessibili. 

















 

 

2.    Nel caso collegassi la chiavetta ad un PC dove non c’è l’agent installato, la finestra per le credenziali non si aprirà in automatico. Per accedere ai dati dovrò lanciare l’eseguibile (SecureUSB.exe) che si trova sulla chiavetta stessa, dopodichè procedere con l’inserimento delle credenziali.










 

 

Da notare che, per PC senza agent installato, al momento del primo accesso verrà installata sulla macchina l’applicazione SecureUSB che permetterà il crypt/decrypt sul dispositivo protetto. Sarà necessaria quindi utenza amministrativa locale sulla macchina.








 

 

I MIEI DISPOSITIVI PROTETTI - VISUALIZZAZIONE IN CONSOLE


Una volta creato il dispositivo USB protetto, per poterlo visualizzare in console, accederemo all’account interessato in modalità MSP view e ci sposteremo dal menu in alto in Manage Devices > USB > USB Storage







 

 


Qui avrò l’elenco di tutti i dispositivi USB protetti per questo account.
Selezionando il dispositivo che mi interessa e cliccando su Change Status avrò la possibilità di compiere diverse azioni, tra le quali Decrypt and Uninstall (per decriptare tutto il contenuto e renderlo leggibile) e Wipe Drive (per ordinare l’inaccessibilità definitiva al contenuto).


Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.