Особенности шестой версии DeviceLock
Информационные системы даже самой защищенной “по периметру” организации часто оказываются беззащитны перед собственными сотрудниками. И не важно, произошла ли утечка информации вследствие чьих-то умышленных действий или в связи с тем, что какой-то сотрудник просто поработал с документами дома. Радикальным методом предотвращения такого рода происшествий стало удаление или блокирование на рабочих местах любых записывающих устройств со сменными носителями.
Сканирование ЛВС |
Выполнить эту операцию поможет программный пакет DeviceLock.
На данный момент DeviceLock представлен уже шестой версией. Он работает под управлением ОС Windows семейства NT (от NT 4.0 до Server 2003) и может быть использован как на локальных ПК, так и в составе ЛВС.
Пакет состоит из резидентного модуля, который должен быть установлен на каждом из контролируемых ПК, и интерфейса DeviceLock Manager, позволяющего управлять доступом к различным устройствам на этих компьютерах. Установка всех компонентов DeviceLock производится теперь с помощью одной программы-инсталлятора. Пакет позволяет ограничить доступ не только к USB-накопителям, но и к параллельным, последовательным и инфракрасным портам, портам USB и FireWire, а также к жестким, оптическим дискам и сменным накопителям (Removable Storage).
Возможности DeviceLock увязаны с системой безопасности Windows. Изменять права доступа с помощью DeviceLock может только пользователь с правами администратора — локального или доменного. Для управления удаленными ПК необязательно входить в учетную запись администратора — подключиться к удаленному ПК и работать с системой DeviceLock можно под учетной записью локального пользователя, но резидентный модуль, разумеется, запросит пароль администратора.
С помощью интерфейсной программы администратор может управлять доступом к портам и устройствам системы, причем для некоторых типов устройств предусмотрены дополнительные возможности: можно, например, разрешить полный доступ к жесткому диску, но запретить его форматирование. Для портов ввода-вывода организованы “белые списки” устройств-исключений, использование которых администратор может разрешить при общем запрете доступа к порту. Кроме того, “белый список” USB-устройств всегда разрешает доступ к ним, так как имеет больший приоритет, чем другие настройки. В шестой версии DeviceLock можно создавать “белый список” оптических дисков (Media White List), разрешающий использование определенных оптических дисков с фиксированными данными, даже если сам привод заблокирован. Всякое изменение данных на этом диске блокирует доступ к нему. Каждому пользователю и группе можно назначить свой “белый список” носителей.
Новая версия DeviceLock имеет и другие возможности. Все файлы, копируемые пользователем на внешние сменные носители или переданные через последовательные (параллельные) порты, сохраняются в системе и могут отслеживаться администратором посредством Shadow Log Viewer. Эта процедура называется теневым копированием. Для централизованного сбора и хранения “теневых” данных и журналов аудита введен дополнительный компонент — DeviceLock Enterprise Server, использующий для хранения данных MS SQL-сервер. Максимальный размер области “тени” можно ограничить (тем или иным процентом от свободного места жесткого диска).
В DeviceLock Management Console добавлен модуль удаленного управления доступом ко всем функциям программы с рабочего места администратора системы. Он представляет собой оснастку (snap-in) для Microsoft Management Console со стандартным интерфейсом. Для сетей, где не используется Active Directory, предусмотрена дополнительная консоль с собственным интерфейсом — DeviceLock Enterprise Manager.
Англоязычный интерфейс программы оставляет противоречивые впечатления.
С одной стороны, он кажется интуитивно понятным: в главном меню всего три пункта (File/View/Help), все действия выполняются несколькими щелчками мыши. Но окно поиска файлов сертификатов, открывающееся из окна DeviceLock Temporary White List Administration Tool, показывает все файлы, а не только файлы сертификатов. Правда, некоторые окна поиска файлов других типов не показывают “посторонних” файлов, но понять, что это за типы, быстро не удастся — контекстная справка имеется далеко не у всех окон. То же относится и к аббревиатурам вроде Name (RDN) в окне Select User (Advanced), и здесь контекстная справка молчит (вместе с бесконтекстной). Наконец, все, что касается управления “проектами” (речь идет о создании и хранении политик администратора DeviceLock), лежит за пределами средней интуиции.
В целом же DeviceLock будет полезен администраторам ЛВС малых и средних компаний, так как дает возможность решить программно ряд тех задач, которые принято решать на аппаратном или административном уровне. Надо лишь владеть английским письменным и русским устным.