Контроль за доступом к сменным USB-носителям
АрхивСистемаС появлением миниатюрных и доступных по цене флэш-накопителей вопрос корпоративной информационной безопасности становится как никогда актуален.
С появлением миниатюрных, доступных по цене USB-носителей вопрос корпоративной информационной безопасности стал как никогда актуален и заставил системных администраторов всерьез задуматься над проблемой контроля за использованием сотрудниками офиса внешних накопителей. Сложность задачи объясняется тем, что даже с помощью механизмов распределения прав доступа и политик безопасности, встроенных в ОС Windows линейки NT, не всегда удается полностью перекрыть "кислород" нерадивым пользователям, решившим тайком умыкнуть конфиденциальную информацию в целях собственного обогащения, шантажа и нанесения финансового урона компании.
Методов борьбы с этим безобразием, влекущим утечку важных данных, несколько. Можно, например, затруднить физический доступ к USB-портам, отключить их в BIOS или остановить сервис USB Mass Storage Driver в операционной системе. Еще можно заблокировать при помощи системного реестра Windows возможность записи на флэшку или взять на вооружение подходящее специализированное программное обеспечение. Мы сегодня остановимся на последнем варианте и приложении DeviceLock.
Иллюстрация работы DeviceLock-сервиса (скриншот с веб-сайта разработчика)
Схему функционирования DeviceLock иллюстрирует приведенная выше картинка, из которой можно сделать вывод, что диапазон работы программы не ограничен только лишь USB-интерфейсами. Утилита умеет вести аудит и контроль доступа к COM-, LPT-, FireWare- и ИК-портам, Bluetooth- и Wi-Fi-адаптерам, устройствам чтения/записи оптических дисков, ZIP-накопителям и прочим девайсам. Программа такого размаха отлично оправдает себя и в домашних условиях, позволяя одним махом заблокировать модем, принтер и прочие периферийные прелести.
Кроме того, в будущей версии приложения ожидается поддержка функции теневого копирования данных, при которой все копируемые на внешние носители данные зеркалируются для их последующего просмотра контролирующим лицом. Программа работает незаметно для пользователя, и деактивировать ее можно, только обладая администраторскими правами в системе.
Результатом инсталляции приложения является агент DeviceLock Service, перехватывающий каждое обращение системы к тем или иным устройствам. В зависимости от установленных администратором правил программа разрешает или блокирует действия пользователя. Кстати, манипулировать агентами можно удаленно, посредством централизованной консоли управления, а в домене Active Directory - через групповую политику. Поддерживается функция пакетной установки разрешений (Batch permissions).
Дополнительно DeviceLock позволяет выставить временные ограничения доступа к выбранным объектам. Допустим, можно заранее определить время и день недели, в пределах которых пользователю разрешено пользоваться устройствами. Рекомендуем не оставлять без внимания эту функцию, ведь враг, как известно, не дремлет, а своевременно настроенные политики уберегут от посягательств на корпоративную информацию во внеурочное время.
Следуя принципу, что все познается на практике, разработчик предлагает всем желающим скачать бесплатную тридцатидневную версию своей программы. Срок немаленький и вполне достаточный, чтобы определиться, стоит ли покупать DeviceLock. Цена, конечно, не заоблачная (1300 рублей за лицензию), но в зависимости от количества компьютеров в сети придется выложить кругленькую сумму. Безопасность того стоит.
Программа доступна в двух вариантах: для Windows NT/2000/XP/2003 (6,8 Мб) и отдельно для Windows линейки 9х (редакция Millennium Edition, дистрибутив размером 1,2 Мб). Обратите внимание, что версия для ОС Windows 95/98/ME сильно урезана в функциональности и не обеспечивается технической поддержкой компании-разработчика.