Утилита позволяет управлять доступом к отдельным устройствам компьютера
Согласно результатам исследований Ernst & Young, за 2003 год самый большой урон компаниям нанесли вредоносные программы и нарушения со стороны самих сотрудников. Никогда нельзя быть до конца уверенным, что сотрудник, работающий с ценной информацией, не похитит или не уничтожит ее. Но как выявить нарушителя, который пытается украсть информационные активы путем их записи на съемные носители? Аудит файлов и папок не позволяет обнаружить простую операцию копирования содержимого секретного файла в новый каталог.
Поможет DeviceLock
Утилита DeviceLock компании SmartLine позволяет управлять доступом к различным системным устройствам: дисководам, магнитооптическим дискам, CD-ROM, ZIP, USB, FireWire, последовательным и параллельным портам, адаптерам WiFi и Bluetooth и т. д.
Обычно компьютеры приобретаются со стандартной комплектацией аппаратного обеспечения, в которой присутствуют порты USB, дисковод CD-ROM или CD-RW, параллельный и последовательные порты. Соответственно, любой желающий может беспрепятственно воспользоваться одним из подходящих устройств хранения для копирования информации. Бороться с этим можно как аппаратными, так и программными средствами, но предпочтительнее последние, так как они позволяют создавать политики доступа к аппаратным ресурсам для каждого отдельного пользователя.
Установка и применение
Программа функционирует на системе в качестве службы, а ее установка возможна в трех режимах: обычная установка с графическим интерфейсом, установка с помощью Microsoft Systems Management Server (SMS) и установка из командной строки. Первый вариант прост и даже не требует пояснений, для установки с помощью Microsoft Systems Management Server понадобятся информационные файлы, которые находятся в архиве sms.zip дистрибутива. Для установки с использованием командной строки применяется файл devicelock.ini, позволяющий задать все основные настройки. Все ключи и параметры файла devicelock.ini представлены в табл. 1. Приведу для примера возможное содержимое файла devicelock.ini:
[Lock Devices]
Floppy=1
Removable=1
CDROM=1
USB=1
CtrlUSBPrint=1
AccessToFloppy= Domainprivileged
AccessToRemovable= Domainprivileged
AccessToCDROM= Domainprivileged
AccessToUSB=Domainprivileged
[Install]
Service=1
Manager=0
Documents=0
InstallDir=C:Program filesdevicelock
RegFileDir=C:RegistrationKeyxxxxxx
[Misc]
Run=
Для установки программы в автоматическом режиме, например в командном файле, следует запустить файл setup.exe с ключом /s:
D:DistributivesDeviceLocksetup.exe /s
К сожалению, в процессе установки утилита позволяет создавать лишь локальные группы пользователей. Если сеть состоит из доменов, значительно удобнее создать группы для всего домена. Для этого нужно воспользоваться оснасткой Active Directory Users and Computers или утилитой net group.
Для нормального функционирования программы на компьютерах сети должны быть открыты следующие порты.
- Порт135 (TCP) — для службы RPC.
- Порт 137 (UDP) — для службы NetBIOS Name Service.
- Порт 138 (UDP) — для службы NetBIOS Netlogon and Browsing.
- Порт 139 (TCP) — для службы NetBIOS session (NET USE).
- Порты после 1024 (TCP) — для службы RPC.
Управление работой осуществляется с помощью менеджера DeviceLock (см. экран 1), который позволяет централизованно накладывать разрешения на другие компьютеры в сети двойным щелчком мыши на объекте.
Экран 1. Менеджер DeviceLock |
Назначение политик доступа для определенного устройства производится с помощью диалогового окна Permissions, которое вызывается двойным нажатием левой кнопки мыши на устройстве или через меню File->Set Permissions. Также можно предоставлять пользователям доступ к устройствам в определенное время суток.
Утилита позволяет предоставлять доступ как группам, так и отдельным пользователям. Возможные виды доступа к устройству: Full access, Read-only, No access, Allow Eject, Allow Format. Разрешения Allow Eject действительны лишь для программного изъятия носителя из устройства, поэтому особой нужды в таком правиле, очевидно, нет, так как пользователь всегда сможет нажать на кнопку привода и вставить или изъять носитель.
Заметим, что политика доступа назначается для всей группы устройств, а не для отдельного устройства. Т.е. если на машине имеется два устройства CD-ROM, то невозможно для одного пользователя создать разные разрешения для каждого устройства.
Программа позволяет одновременно создавать политики для определенного типа устройств на всех компьютерах сети. Для этого используется диалоговое окно Batch Permissions (File->Batch Permissions).
Заключение
Проблема защиты информационных активов от атак изнутри сложна и многогранна, и взятая нами утилита представляет собой лишь одно из тех незаменимых средств, которые помогают на практике обеспечить безопасность информации внутри компании.
Информация о продукте
Производитель: SmartLine, www.protect-me.com/ru/
Версия: 5.52
Платформы: Windows NT 4.0/2000/XP/2003
Удаленное управление: да
Удаленная установка: да
Взаимодействие с Active Directory: да
RAM: 32 Mбайт
HDD: 2 Mбайт
Преимущества
- Позволяет создавать правила доступа к устройствам
- Проста в обращении
- Не требует для работы значительных ресурсов
Недостатки
- Не очень удобный интерфейс
- Было бы неплохо выставлять разрешения для каждого устройства, а не для группы устройств. Например, виртуальный и физический привод CD-ROM распознаются как одна группа устройств, что не позволяет запретить некоторым пользователям доступ на чтение с физического устройства
Валерий Марчук (tecklord@securitylab.ru) — системный администратор