Илья Кузьминовспециалист по защите информации

Данный цикл статей посвящен неочевидным нюансам, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в корпоративной среде, и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене. (предыдущие две статьи цикла опубликованы в №4 и № 5 журнала Windows IT Pro/RE за 2012 год).

Управление устройствами

DeviceLock не препятствует установке устройств в системе, но фильтрует обращения к устройствам пользователей на уровне драйвера. При обращении пользователя к устройству драйвер запрашивает у службы заданные DLP-политикой для этого пользователя разрешения на доступ к данному устройству и предоставляет доступ или ограничивает его.

Все многообразие интерфейсов, доступ к которым способен контролировать DeviceLock, делится на порты и типы устройств:

-порты: Bluetooth, FireWire, Infrared, Parallel Port, Serial port, USB Port;

-типы устройств: DVD/CD-ROM, Floppy, Hard Disk, Printer, Removable, Tape, WiFi, а также смартфоны/КПК Blackberry, iPhone/iPad и устройства под управлением ОС Palm и Windows Mobile.

В седьмой версии DeviceLock предусмотрен также контроль доступа к буферу обмена Windows, с помощью которого можно отслеживать операции копирования/вставки фрагментов текста и графики в документы. Этот интерфейс стоит особняком, он не относится ни к портам, ни к типам устройств.

Агент DeviceLock определяет, предоставлять ли пользователю доступ к устройству, в следующем порядке:

  1. есть ли у него доступ к тому или иному порту;
  2. есть ли у него доступ к тому или иному типу устройств;
  3. есть ли доступ к тому или иному типу файлов.

Отметим, что определение типа файлов в DeviceLock осуществляется не по расширению, а методом сигнатурного анализа.

Описанная иерархия была бы слишком жесткой и неудобной, если бы для нее не были предусмотрены исключения. Основное исключение — белый список USB-устройств. В белый список может быть внесена определенная линейка устройств одного производителя (Vendor ID + Product ID) либо конкретное устройство (Vendor ID + Product ID + Serial Number). Серийный номер должен быть присвоен устройству на производстве. Если в белый список внесена линейка/устройство и при настройке белого списка снят флажок Control as Type, то доступ к линейке/устройству будет открыт независимо от запретов на уровне порта и уровне типа устройств, и операции с ним не будут отражены в журнале аудита (см. рисунок). Каждому пользователю можно назначить свой белый список. Это дает возможность построить надежно защищенную систему, в которой никто не сможет воспользоваться «чужой флэшкой».

 

Интерфейс окна управления белым списком
Рисунок. Интерфейс окна управления белым списком

Доступ к сетевым каналам

Контроль доступа пользователей к каналам сетевых коммуникаций устроен аналогично контролю устройств. Более того, ядро программы, контролирующее обращения к сетевым протоколам, работает непосредственно на контролируемой машине, а не где-то в сети на шлюзе. Это обеспечивает возможность контроля пользователей, даже если они находят вариант выхода в Интернет, минуя сетевой шлюз (скажем, через модем 3G). Модуль NetworkLock, отвечающий за фильтрацию обращений к сетевым протоколам, функционирует также на уровне драйвера.

В числе контролируемых модулем NetworkLock каналов сетевых коммуникаций, приложений и служб – как ежедневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), веб-доступ по протоколам HTTP/HTTPS и файловый обмен по протоколам FTP/SFTP, так и наиболее популярные сетевые приложения и сервисы: службы веб-почты, службы мгновенных сообщений, социальные сети, а также Telnet-сессии.

Как и для контроля USB-устройств в DeviceLock, в модуле NetworkLock реализован «белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем службам и узлам, которые необходимы для выполнения их задач. Например, можно запретить всем пользователям доступ к протоколам SMTP и Web Mail, а затем использовать «белый список», чтобы разрешить определенным сотрудникам отправлять электронную почту на указанные адреса. Применение таких гибких DLP-политик снижает риск утечки и кражи данных.

Интеграция с Active Directory

Первое, что следует иметь в виду, приступая к интеграции продукта с Active Directory, это то, что политики DeviceLock Endpoint DLP Suite являются политиками компьютеров, а не политиками пользователей. Например, если администратор захочет привязать применение файла настроек агента DeviceLock не к компьютеру, а к пользователю, то есть сделать так, чтобы настройки подгружались на рабочую станцию, на которой он выполнил процедуру регистрации, он потерпит неудачу.

Иными словами, для распространения настроек применяются GPO, и в списки безопасности GPO включаются только имена компьютеров/групп компьютеров. Если в домене вы будете использовать несколько GPO с разными настройками DeviceLock и фильтры безопасности этих GPO будут накладываться, помните о двух вещах:

1) порядке применения GPO;

2) о том, что значение строки настроек DeviceLock Not Configured при применении таких настроек поверх других ведет к сохранению прежнего значения этой строки настроек; то есть если к системе с агентом DeviceLock будет применен GPO с файлом настроек «все доступы запретить», а затем GPO с файлом настроек «все доступы — Not Configured», запреты сохранятся.

Профили доступа доменных групп пользователей к устройствам задаются в настройках агентов DeviceLock, например указывается, что группе с условным названием Floppy_Allow не блокируется доступ к дискетам. Доступ конкретных пользователей определяется их членством в доменных группах.

Таким образом, на первом этапе можно ко всем компьютерам домена применить объект GPO, определяющий настройки агента DeviceLock. Затем можно установить сам агент. Способов установки множество, в том числе через групповые политики домена AD. К установленным агентам по прошествии периода репликации будут применены заданные ранее для всего домена настройки DeviceLock. В результате пользователи, входящие в группу, например, Floppy_Allow, на каком бы компьютере домена они ни зарегистрировались, получат доступ к дискетам, в то время как те, кто входит в группу, например, Floppy_Deny ни на одном компьютере домена не смогут открыть дискету. К слову, если пользователь окажется членом обеих групп, будет действовать стандартный для AD приоритет запрета; но если пользователь состоит в группах, одна из которых разрешает полный доступ к устройству (чтение и запись), а другая разрешает неполный (только чтение), включается уже внутренняя логика DeviceLock — давать приоритет тому набору разрешений, где разрешений больше. Помните об этой особенности программы.

Такой подход очень удобен, он позволяет применять архитектуру, ориентированную на пользователя, а не на рабочую станцию, и, соответственно, за счет создания единообразной среды для пользователей, обеспечивает большую их мобильность внутри компании.

Необходимость создания нескольких сегментов рабочих станций с разной строгостью доступа к внешним устройствам или каналам сетевых коммуникаций удовлетворяется, например, путем выделения нескольких Organization Unit (OU), к каждому из которых будет применен свой GPO со своими настройками DeviceLock.

При реализации такой схемы для включения или отключения доступа пользователей по поступающим авторизованным заявкам достаточно включать их учетные записи в доменные группы или исключать записи из доменных групп.

Настроек много

Продукт DeviceLock Endpoint DLP Suite отличается разнообразными настройками, позволяющими отрегулировать работу всех компонентов и обеспечить контроль практически всех потенциальных каналов утечки данных. Надо сказать, что для решения стандартного набора задач мониторинга, возложенных на подразделение информационной безопасности, большинство возможностей, которые предоставляют настройки, никогда не будет задействовано. Кроме того, продукт показал высокую надежность. За год работы агентов на более чем 1000 компьютеров случаи, когда агент занимал большое количество памяти или прекращал откликаться на внешние воздействия, были единичными. И эти случаи относились в основном к проблемным компьютерам: с нестандартными конфигурациями, с поврежденными ветвями реестра и с неполадками в работе.