`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

DeviceLock: порты под контроль

0 
 

Современные носители данных представляют серьезную угрозу информационной безопасности любой компании. Они миниатюрны, обладают значительной емкостью и в считаные секунды подключаются к компьютеру посредством быстродействующих коммуникационных портов, в том числе и беспроводных. Далее мы рассмотрим, как можно поставить их использование под строгий контроль.

В наше время, когда изделия из кремния продаются дороже золота, а интернет-сервисы приносят миллиардные доходы, все понимают, что коммерческая информация является важным достоянием любой компании. Базы данных клиентов, финансовая документация и перспективные разработки – все это теперь хранится на компьютерах и с легкостью может быть похищено, точнее, скопировано, что еще хуже, ведь даже зафиксировать такую «пропажу» очень непросто, а уж найти виновных и подавно. Причем, согласно статистике, более половины подобных утечек происходит именно в результате неправомерных действий сотрудников. Поэтому на сегодняшний день одна из основных задач любой службы информационной безопасности – контроль за тем, что было выгружено или загружено в корпоративную компьютерную сеть.

Нешуточную угрозу в этом смысле представляют внешние носители. Флэш-брелоки, жесткие диски с USB-интерфейсом – стремительный технологический прогресс привел к тому, что теперь любой пользователь может буквально в кармане вынести гигабайты доступной ему информации. Не говоря уже о таких привычных атрибутах современного человека, как мобильные телефоны, цифровые плееры и фотоаппараты, каждый из которых вполне реально использовать в качестве контейнера для переноса данных.

В случае использования общественных компьютеров, установленных в интернет-кафе, учебных заведениях и библиотеках, напротив, важно предотвратить запись на машину и выполнение посторонних программ, поскольку даже однократный запуск вируса, следящего модуля или какого-либо взломщика может серьезно повредить работоспособность ПК и свести на нет все усилия по обеспечению безопасности сети.

DeviceLock порты под контроль
Интерфейс DeviceLock Manager внешне прост, но функционален

Проблема осуществления контроля за USB-портами на компьютере решается двумя способами: аппаратным и программным. Самый радикальный, конечно же, аппаратный – можно сделать соответствующие настройки в BIOS, после чего защитить его от внесения изменений с помощью пароля либо вовсе демонтировать USB-разъемы. Однако такой подход слишком груб и негибок. Во-первых, для проведения подобных мероприятий потребуется немало усилий, а в условиях сети, включающей сотни ПК, пожалуй, и специальный сотрудник. Во-вторых, для подсоединения многих периферийных устройств, например принтеров или цифровых фотокамер, применяется именно USB, так что полное ее отключение попросту неприемлемо. К тому же нередки ситуации, когда машину используют несколько человек с разными правами доступа, и каждому из них необходимо создать комфортные условия для работы.

Ввиду всего сказанного программный подход к контролю за портами во многих случаях представляется более рациональным. Частично решить задачу разграничения доступа к аппаратному обеспечению помогают инструментальные средства самой операционной системы. Например, при создании пользовательских профилей можно в отдельных случаях отключать USB-контроллер через Диспетчер устройств. Однако так трудно разобраться с оборудованием, принадлежащим к одному типу. Групповая политика (Group Policy) дает возможность запретить доступ к одному или нескольким логическим разделам или просто скрыть их в Windows Explorer. Но эти ограничения несложно обойти с помощью альтернативного файлового менеджера. Поэтому наиболее гибким и масштабируемым вариантом будут все же специализированные программные продукты, такие, например, как DeviceLock от российской компании SmartLine.

DeviceLock порты под контроль
Для каждого пользователя можно составить расписание доступа к портам или устройствам

DeviceLock позволяет администраторам сетей, созданных на базе Microsoft Windows, устанавливать права доступа не только к USB-порту или отдельным подключаемым к нему устройствам, но также и к дисководам, приводам для работы с компакт-дисками, адаптерам беспроводной связи Wi-Fi и Bluetooth, инфракрасным, последовательным, параллельным портам и FireWire. По заверениям разработчиков, контроль осуществляется на уровне ядра Windows, и до настоящего времени случаи его обхода не зарегистрированы. Централизованный контроль в компьютерных сетях практически любого масштаба значительно упрощают интеграция c Active Directory и возможность управления через групповые политики Windows.

Для установки и работы программы необходимы права администратора. Функционально DeviceLock состоит из двух частей: агента, который в виде сервиса устанавливается на каждой клиентской машине, запускается автоматически и обеспечивает защиту устройств, и консоли управления. Взаимодействие между последней и агентом базируется на технологии удаленного вызова процедур (RPC). По умолчанию для этого используются динамические порты, но при необходимости можно настроиться на какой-то один фиксированный TCP-порт.

DeviceLock порты под контроль
Интеграция с Active Directory позволяет управлять DeviceLock на уровне домена

В действительности в состав DeviceLock входят три различные консоли управления, и выбор той или иной всецело зависит от поставленных задач. Так, для выполнения базовых настроек на отдельных компьютерах предназначен простой Manager. Для организации работы большего количества ПК наилучшим решением является Enterprise Manager, предоставляющий возможность одновременно контролировать множество машин. Если же в сети применяется Active Directory, то лучше всего подойдет Менеджер Групповой Политики, с помощью которого можно в полной мере использовать всю мощь оснастки Group Policy для автоматического развертывания DeviceLock в домене и установки его на новых компьютерах, подключаемых к сети.

Кроме регулирующих функций, DeviceLock позволяет осуществлять аудит и протоколирование доступа к устройствам на локальном компьютере персонально по каждому пользователю. Для хранения записей аудита используется стандартный журнал Windows, благодаря чему просматривать их можно не только с помощью встроенного инструментария Audit Log Viewer, но и EventViewer.

DeviceLock порты под контроль
Доступ запрещен, если в списке управления нет соответствующей записи

Если говорить непосредственно о USB, то контроль доступа отдельных пользователей или их групп посредством DeviceLock реализуется как на уровне интерфейса, так и на уровне типов устройств (например, можно запретить применение только съемных носителей). При необходимости нужное оборудование вносится в белый список, при этом оно идентифицируется по комбинации Vendor ID и Product ID, что позволит использовать данную модель вопреки запрету на тип, к которому она принадлежит. Еще больше гибкость настроек увеличивает возможность составить расписание доступа к аппаратному обеспечению по дням недели и часам с указанием его вида (Full access, Read-only, No access). А пакетная настройка позволяет быстро задать необходимые ограничения сразу для нескольких человек.

Остается добавить, что DeviceLock – продукт платный, и стоимость лицензии существенно зависит от количества контролируемых компьютеров. Полнофункциональную демонстрационную версию можно найти на сайте производителя.

Безусловно, обеспечение информационной безопасности предприятия – задача многоуровневая и комплексная, и ни одно программное или аппаратное решение не может быть исчерпывающим. Скажем, мало толку ограничивать доступ к записывающим устройствам и запрещать подключение внешних носителей, если при этом работник может спокойно переслать конфиденциальные данные вовне через Интернет или унести жесткий диск со своего компьютера домой. Комплекс мер, помимо всего прочего, обязательно должен включать определенные организационные процедуры и дисциплинарные взыскания. Однако при серьезном подходе к построению защиты возможность гибко управлять доступом сотрудников к коммуникационным портам и дистанционно контролировать использование различных носителей данных снимает немалую часть проблем, и DeviceLock представляется довольно удобным для этих целей инструментом.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT