С новой версией своего основного продукта — программы DeviceLock — подошла к выставке InfoSecurity-2006 и компания «Смарт Лайн Инк».
Программа, успевшая завоевать популярность как в нашей стране, так и за рубежом, дополнена новыми возможностями. Основные направления, по которым шло развитие продукта, — значительное расширение возможностей аудита использования устройств и включение в него мощной системы «теневого» копирования, а также новая функция авторизации не только устройств, но и носителей информации на основе находящихся на них данных.
Для чего понадобилось вводить «теневое» копирование? Наличие журнала аудита позволяет администратору отслеживать все действия пользователя, в том числе копирование файлов. Но вот сами файлы пользователь после копирования на носитель мог уничтожить или просто переименовать, и раньше администратор уже не мог сказать, была ли информация разрешена для копирования или нет. При «теневом» же копировании все файлы и данные сохраняются в SQL Server в базе, недоступной для пользователя. Лишь администратор, имеющий специальные права, может получить к ним доступ и проанализировать.
Новая версия программы состоит из трех частей: агента DeviceLock Service, сервера DeviceLock Enterprise Server и консолей управления DeviceLock Management Console, DeviceLock Group Policy Manager и DeviceLock Enterprise Manager. Самым популярным элементом системы является агент, который устанавливается на каждый контролируемый компьютер. Консоли управления необходимы для удаленного управления агентами и сервером DeviceLock. А вот сервер — элемент дополнительный, используемый для централизованного сбора и хранения данных «теневого» копирования и журналов. В условиях крупной сети в ней может быть установлено несколько экземпляров сервера для распределения нагрузки между ними.
Для работы DeviceLock Enterprise Server необходимо наличие сервера Microsoft SQL Server, на котором будет храниться собираемая информация. Поэтому до начала установки следует установить (или запустить имеющийся) SQL Server. Он может находиться как на одном компьютере с компонентом DeviceLock Enterprise Server, так и на разных (с целью обеспечения максимальной производительности рекомендуется разносить серверы по разным компьютерам). Организация работы с SQL Server зависит от размера локальной сети. Варианты возможны разные — для небольшой сети (до нескольких сотен компьютеров) возможно использование по одному экземпляру каждого сервера, для средней — возможна установка нескольких комплектов серверов (рекомендуется использовать в случаях, когда пропускная способность каналов между отдельными участками сети невысока). В большой сети, где имеется мощный SQL Server, возможна установка нескольких серверов DeviceLock, подключаемых к одному SQL Server.
Какие особенности нужно учитывать при установке сервера? Основная — под какой учетной записью будет запускаться данная служба. Ее можно запускать под системной учетной записью, но в этом случае сервер не сможет получить доступ к удаленным ресурсам, которые могли бы использоваться для хранения сведений о скопированных файлах. Поэтому в том случае, если сервер устанавливается в домене, лучше использовать учетную запись, входящую в группу администраторов домена. Такой вариант обеспечивает доступ сервера ко всем компьютерам, на которых установлен DeviceLock Service.
Впрочем, даже в том случае, когда запуск сервера происходит под учетной записью, не обладающей правами локального администратора, возможность подключения к удаленным компьютерам все-таки остается. Для этого применяется метод доступа с помощью сертификата. Закрытый ключ устанавливается на сервере, а на каждый компьютер, к которому должен подключаться сервер, устанавливается соответствующий открытый ключ.
DeviceLock Enterprise Server не выполняет работу по сбору информации с локальных компьютеров — он лишь обрабатывает поступающие данные и позволяет просматривать их. Обеспечивает передачу сохраненных при «теневом» копировании данных локальный агент DeviceLock, только нужно дополнительно настроить его. Для выполнения «теневого» копирования необходимо определить раздел на диске, где будут сохраняться данные. Свободное место нужно выбирать с учетом того, к каким устройствам будет отслеживаться доступ при «теневом» копировании. Например, если у вас используется флэш-накопитель в 1 Гбайт, то свободное место на диске должно составлять не менее 2 Гбайт. Размер выделяемого под «теневое» копирование места устанавливается в настройках агента в процентах от общего размера логического диска, где будет размещаться раздел.
Но, даже если выделить под сохраняемые копии многогигабайтный раздел, предел его наполнения будет достигнут не скоро. Поэтому в качестве дополнительного параметра предусмотрена установка ограничения на наполнение этого раздела (например, можно указать в качестве предела наполнения цифру в 60% от свободного места на диске). В этом случае при достижении предельных цифр копирование данных в этот раздел прекращается. Но пусть не радуются пользователи, что они смогут в этот момент втайне от администратора копировать любые данные — вторым параметром настройки можно запретить любое копирование данных на контролируемые устройства в том случае, если «теневое» копирование невозможно. При возникновении такой ситуации лишь администратор может очистить хранилище, тем самым разрешив дальнейшую работу на компьютере.
Экран 1. Настройка аудита в DeviceLock |
Задачу администратора можно облегчить, если использовать еще один параметр настройки — разрешить автоматическое удаление старых файлов, помещенных в это хранилище. Если сервер для сбора данных не установлен, остается лишь риск того, что администратор может вовремя не проверить, что же копировалось на носители. Теперь требуется указать программе, копирование на какие носители будет подвергаться контролю и фиксироваться. Для этого нужно обратиться к настройкам аудита (см. экран 1). Можно включить протоколирование всех заданий на копирование для гибких дисков, CD/DVD-ROM, последовательных и параллельных портов, съемных носителей. Для этих устройств в настройках аудита есть специальный параметр — включение режима «теневого» копирования. Файлы, копируемые на гибкие и съемные носители, сохраняются со своими первоначальными именами. Для сохранения информации, записываемой на CD/DVD или передаваемой через порты, DeviceLock в процессе копирования формирует собственные имена.
Раздел, в который копируются файлы и данные на локальном компьютере, для пользователя недоступен. Но администратор с помощью модуля управления агентом может получить доступ к программе просмотра (см. экран 2), в которой в виде записей будет выведена информация о том, кто, когда, на какой носитель скопировал файл или передал информацию и какой программой при этом воспользовался. А если выбрать заинтересовавшую вас запись, то соответствующий ей файл или данные можно сохранить на диске в доступном разделе, после чего эти данные можно просматривать через соответствующие типу файла приложения.
Просмотреть сохраненные данные можно и не выгружая их на диск. Выбрав любую запись, с помощью пункта View контекстного меню можно открыть сохраненные данные и просматривать их в шестнадцатеричном либо текстовом виде. Для текстовых файлов вариант не очень удобен — нет возможности выбора кодировок, к тому же русские символы «съедаются». Используя контекстное меню, можно удалить из хранилища любую запись и соответствующий ей файл или данные. Неудобство использования только локального хранения скопированных файлов, на мой взгляд, заключается в отсутствии возможности проводить среди них поиск по содержимому, пока «подозрительные» файлы не будут выгружены во внешний раздел.
Экран 2. Просмотр журнала доступа к данным |
Поэтому использование DeviceLock Enterprise Server является более корректным решением как с точки зрения хранения данных, так и по возможностям контекстного поиска в них. Впрочем, о контекстном поиске чуть ниже. Как уже отмечалось, для функционирования сервера необходимо, чтобы на локальных компьютерах работала служба «теневого» копирования. В базовой конфигурации DeviceLock предполагается, что на локальном компьютере агент получает и кэширует данные и с определенной периодичностью копирует их на сервер. После успешного завершения копирования локальная копия сохраненных данных удаляется. Время выгрузки данных на сервер определяется по алгоритму, в котором учитывается время появления данных для закачки, нагрузка на сеть и на сервер.
У DeviceLock Service предусмотрен специальный параметр, в котором записывает либо IP-адрес SQL Server, либо его имя. Если в сети установлено несколько серверов, можно указать несколько или все доступные серверы. Использовать такую возможность рекомендуется как для балансировки нагрузки на серверы, так и для тех случаев, когда один из них не отвечает. Программа DeviceLock Service после запуска выбирает произвольным образом один из прописанных в настройках серверов и отправляет данные на него. Такой вариант обеспечивает более равномерную загрузку серверных компонентов. Но у администратора остается возможность и принудительной выгрузки данных на сервер. Это действие выполняется через консоль управления.
Сохранение информации в базе данных возможно в двух режимах — либо вся информация будет записываться непосредственно в базу данных, либо сохраненные в режиме «теневого» копирования данные будут помещаться на диск в виде файлов, а в базе будут храниться ссылки на них. Во втором варианте проще выполнять поиск файлов по контексту. Но это уже задача не DeviceLock, а сотрудников службы информационной безопасности.
Теперь о второй новинке программы — авторизации носителей информации. Авторизованные носители формируют так называемый белый список медианосителей. Этот список позволяет идентифицировать, к примеру, определенный CD/DVD-диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. Но использование — не полное, поскольку на основе белого списка пользователю можно предоставить доступ только на чтение, но не на запись. Изменение данных на носителе приводит к изменению его уникального идентификатора и, следовательно, этот носитель уже не будет распознан как разрешенный (авторизованный). Белый список авторизованных носителей можно экспортировать и устанавливать на любой пользовательский компьютер. Разрешив пользователю доступ к такому носителю, вы предоставляете для него возможность чтения данных даже в том случае, если устройства для него недоступны.
Из других новшеств можно отметить изменение интерфейса — он стал более удобным. Значительно обновлена документация. Появилась возможность вывода сообщений о том, когда истекает период использования устройств, разрешенных через функцию временного белого списка. Упростился процесс установки программы. Впрочем, собственное мнение о возможностях программы лучше всего поможет составить тестирование продукта. А для этого можно использовать бесплатную 30-дневную пробную версию, доступную для загрузки с сайта компании «Смарт Лайн Инк».
Михаил Брод - технический обозреватель. mbrod@exler.ru