Kontrola USB w firmie – jak zabezpieczyć nośniki danych

Dlaczego nośniki USB to realne zagrożenie dla firmy

Nośniki USB łączą w sobie dwa niebezpieczne scenariusze: wprowadzenie złośliwego oprogramowania do firmowej sieci oraz eksfiltrację danych poza organizację. Według badań IBM Cost of a Data Breach, ponad 20% naruszeń ma swój początek w błędach pracowników lub działaniach wewnętrznych – a fizyczny nośnik to jedno z najprostszych narzędzi do skopiowania poufnych plików bez zostawiania śladów w systemach DLP czy monitoringu poczty.

Typowe zagrożenia związane z nośnikami USB to:

• Pendrive z malwarem – zainfekowany nośnik podłączony do komputera może uruchomić złośliwy kod automatycznie (autorun) lub po kliknięciu pliku przez nieświadomego pracownika.
• Eksfiltracja danych przez pracownika – odchodzący pracownik kopiuje bazy danych klientów, projekty lub dokumenty finansowe na prywatny pendrive dosłownie w kilka minut.
• Zgubiony lub skradziony nośnik – niezaszyfrowany pendrive ze skanami umów czy danymi osobowymi to naruszenie RODO z potencjalną karą finansową dla firmy.
• BadUSB – sprzętowo zmodyfikowany nośnik, który podszywa się pod klawiaturę i wykonuje złośliwe polecenia bez wiedzy użytkownika.

Dobre wieści: wszystkimi tymi zagrożeniami możesz zarządzać za pomocą narzędzi, które prawdopodobnie masz już w swojej infrastrukturze – Group Policy, Microsoft Intune lub Microsoft Defender.

Blokada USB przez zasady grupy (GPO) – krok po kroku

Jeśli Twoja firma korzysta z Active Directory i kontrolera domeny, Group Policy Objects (GPO) to najszybszy sposób na wdrożenie polityki USB dla wszystkich komputerów w domenie. Konfiguracja nie wymaga dodatkowych licencji – wystarczy Windows Pro lub Enterprise na stacjach roboczych.

Otwórz Group Policy Management Console, utwórz lub edytuj odpowiedni obiekt GPO i przejdź do ścieżki:

Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access

Najważniejsze ustawienia do skonfigurowania:

• All Removable Storage classes: Deny all access – blokuje wszystkie nośniki wymienne (USB, karty SD, zewnętrzne dyski). Opcja najbardziej restrykcyjna, odpowiednia dla działów obsługujących dane wrażliwe.
• Removable Disks: Deny Write Access – zezwala na odczyt z USB, ale blokuje zapis. Przydatne, gdy pracownicy muszą odczytywać pliki, ale nie kopiować ich z komputera firmowego.
• Removable Disks: Deny Execute Access – blokuje uruchamianie plików bezpośrednio z nośnika USB, co minimalizuje ryzyko infekcji malwarem.

Jeśli chcesz zezwolić tylko na konkretne, firmowe nośniki (np. zaszyfrowane pendrive zatwierdzone przez dział IT), skonfiguruj wyjątki przez Device Installation Restrictions na podstawie Hardware ID urządzenia. Identyfikatory uzyskasz w Menedżerze urządzeń na testowym komputerze: właściwości urządzenia > zakładka Details > Hardware Ids.

Ważne: GPO działa wyłącznie na urządzeniach przyłączonych do domeny. Laptopy pracowników zdalnych lub komputery poza domeną wymagają podejścia opisanego w kolejnej sekcji.

Kontrola USB w Microsoft Intune – podejście chmurowe

Dla firm korzystających z Microsoft Intune (dostępnego w licencjach Microsoft 365 Business Premium lub Intune Plan 1), kontrola nośników USB odbywa się przez zasady Endpoint Security lub przez Device Control w Microsoft Defender for Endpoint.

Podstawowa konfiguracja blokady USB przez Intune:

1. Zaloguj się do Intune Admin Center (intune.microsoft.com).
2. Przejdź do Endpoint security > Attack surface reduction > Create policy.
3. Wybierz platformę: Windows 10 and later, profil: Device control.
4. W sekcji dotyczącej urządzeń wymiennych ustaw blokadę zapisu lub całkowity zakaz dostępu do nośników wymiennych.
5. Przypisz politykę do wybranych grup urządzeń lub użytkowników i kliknij Save.

Bardziej szczegółowe możliwości oferuje Defender for Endpoint Device Control (wymagane Microsoft 365 Business Premium lub Defender P1/P2):

• Tworzenie reguł zezwalających lub blokujących konkretne klasy urządzeń – np. tylko zaszyfrowane nośniki USB jednego producenta.
• Tryb Audit Only – nośniki działają normalnie, ale każde zdarzenie jest logowane. Idealny punkt startowy przed wdrożeniem blokad.
• Zezwalanie na dostęp do konkretnych urządzeń na podstawie Vendor ID, Product ID lub numeru seryjnego (Serial Number).
• Centralne zarządzanie urządzeniami w biurze i pracownikami zdalnymi z jednej konsoli – niezależnie od tego, czy komputer jest w sieci firmowej.

Zaletą podejścia Intune jest to, że polityka obowiązuje niezależnie od lokalizacji urządzenia – w biurze, w domu i w podróży. To kluczowe dla firm z modelem pracy hybrydowej.

BitLocker To Go – wymagaj szyfrowania nośników USB

Nawet jeśli całkowita blokada USB nie jest możliwa w Twojej firmie (np. ze względu na specyfikę operacyjną), możesz wymagać, aby wszystkie dane zapisywane na nośnikach zewnętrznych były zaszyfrowane przez BitLocker To Go. Jeśli pendrive zostanie zgubiony lub skradziony, dane pozostaną niedostępne bez hasła – co spełnia wymogi RODO w zakresie ochrony danych osobowych.

Aby wymusić szyfrowanie przez GPO, przejdź do:

Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker Drive Encryption > Removable Data Drives

Włącz opcję Deny write access to removable drives not protected by BitLocker. Od tego momentu Windows odmówi zapisu danych na niezaszyfrowany nośnik USB – użytkownik zobaczy komunikat z prośbą o zaszyfrowanie dysku przed użyciem.

To samo ustawienie możesz wdrożyć przez Intune:

1. W Intune Admin Center przejdź do Endpoint security > Disk encryption > Create policy.
2. Wybierz profil BitLocker.
3. W sekcji BitLocker removable drive settings ustaw opcję blokady zapisu na niezaszyfrowanych nośnikach wymiennych na Yes.
4. Przypisz politykę do odpowiednich grup urządzeń i zapisz.

Uwaga praktyczna: Zanim wdrożysz tę politykę, zadbaj o komunikację z pracownikami – muszą wiedzieć, jak zaszyfrować pendrive i jak bezpiecznie przekazać hasło partnerom zewnętrznym (np. przez Microsoft Teams lub zaszyfrowaną wiadomość e-mail). Brak komunikacji to najczęstsza przyczyna frustracji i zgłoszeń do helpdesku po wdrożeniu.

Monitorowanie i audyt zdarzeń USB w firmie

Samo blokowanie to nie wszystko – monitoring i audyt zdarzeń USB pozwala wykryć próby obejścia polityki, reagować na incydenty i dostarczyć dowodów w przypadku postępowania prawnego lub kontroli RODO.

Dziennik zdarzeń Windows rejestruje podłączenie i odłączenie urządzeń USB w kilku miejscach:

• Podgląd zdarzeń > Dzienniki aplikacji i usług > Microsoft > Windows > DriverFrameworks-UserMode > Operational – szczegółowe zdarzenia instalacji sterowników urządzeń USB wraz z identyfikatorem urządzenia.
• Dziennik systemowy (System Log), Event ID 20001 i 20003 – podłączenie i odłączenie urządzenia Plug and Play.

Jeśli korzystasz z Microsoft Defender for Business lub Defender for Endpoint, zdarzenia USB są automatycznie zbierane i widoczne w portalu Microsoft Defender (security.microsoft.com). Możesz tam:

• Przeglądać historię wszystkich podłączanych urządzeń na konkretnym komputerze w sekcji Device Timeline.
• Tworzyć alerty dla podejrzanych zdarzeń – np. masowe kopiowanie plików na USB poza godzinami pracy.
• Eksportować raporty zdarzeń na potrzeby audytu bezpieczeństwa lub postępowania wewnętrznego.

W przypadku integracji z Microsoft Sentinel lub zewnętrznym systemem SIEM, zdarzenia USB możesz korelować z innymi aktywnościami użytkownika – np. masowym dostępem do SharePoint tuż przed podłączeniem nośnika, co może wskazywać na próbę eksfiltracji danych.

Plan wdrożenia polityki kontroli USB – od czego zacząć

Wdrożenie polityki kontroli USB to nie tylko konfiguracja techniczna – to projekt organizacyjny wymagający komunikacji z pracownikami i akceptacji zarządu. Oto rekomendowany plan działania w pięciu krokach:

1. Inwentaryzacja i audyt (tydzień 1): Uruchom GPO lub Defender w trybie audytu. Zbierz dane o tym, jakie nośniki USB są używane i do jakich celów. Zidentyfikuj wyjątki wymagające specjalnego traktowania – np. kasy fiskalne, urządzenia pomiarowe lub czytniki kart SD.
2. Zdefiniowanie polityki (tydzień 2): Zdecyduj, które działy mogą używać USB i w jakim zakresie (odczyt/zapis). Określ, czy wymagasz szyfrowania BitLocker To Go. Uzyskaj akceptację kierownictwa – to zwiększy skuteczność egzekwowania zasad w organizacji.
3. Wdrożenie techniczne (tydzień 3): Skonfiguruj GPO lub Intune zgodnie z ustaloną polityką. Zacznij od grupy pilotażowej (np. dział IT lub jeden oddział), zanim rozciągniesz zasady na całą firmę.
4. Komunikacja z pracownikami (tydzień 3–4): Wyślij informację o zmianie polityki z wyjaśnieniem powodów. Zaproponuj alternatywy dla USB: udostępnianie plików przez SharePoint, OneDrive lub Teams. Przeprowadź krótkie szkolenie z obsługi zaszyfrowanych nośników, jeśli będą dopuszczone w firmie.
5. Monitoring i przeglądy (ciągłe): Regularnie przeglądaj logi zdarzeń USB. Aktualizuj listę dozwolonych urządzeń. Przeprowadzaj przegląd polityki co 6 miesięcy lub po każdym incydencie bezpieczeństwa.

Potrzebujesz pomocy z wdrożeniem kontroli USB w swojej firmie? Zespół NovaSys przeprowadza audyty bezpieczeństwa IT i konfiguruje polityki ochrony danych dla firm z Wrocławia i okolic – skontaktuj się z nami, aby umówić bezpłatną konsultację.