DeviceLock 6.0 от компании «Смарт Лайн Инк»
Компания «Смарт Лайн Инк» отметила свое 10-летие выпуском новой версии DeviceLock 6.0, которая поддерживает функцию теневого копирования данных.
Ежегодная выставка InfoSecurity для компаний, работающих в области защиты информации, является определенным рубежом, смотром их достижений. Неудивительно, что к этому событию многие компании приурочивают выпуск своих новых продуктов и решений либо новых версий уже известных. Новую версию своего основного продукта — программы DeviceLock — подготовила к выставке InfoSecurity 2006 и российская компания «Смарт Лайн Инк», которой в сентябре исполнилось 10 лет.
«Смарт Лайн Инк» стала первой в мире компанией среди производителей программного обеспечения, контролирующего доступ сотрудников к портам и мобильным устройствам.
Существующая с 1996 года отечественная разработка DeviceLock завоевала популярность как за рубежом, так и в нашей стране и сегодня является признанным мировым лидером в области контроля доступа к периферийным устройствам. В сентябре программа была дополнена новыми возможностями. Основные направления, по которым происходило развитие продукта: значительное расширение возможностей аудита по использованию устройств и включение в него мощной системы теневого копирования, а также новая возможность авторизации не только устройств, но и носителей информации на основе находящихся на них данных.
Для чего потребовалось вводить теневое копирование? Журнал аудита позволяет администратору отслеживать все действия пользователя, в том числе и копирование файлов. Но вот сами файлы после копирования на носитель пользователь мог уничтожить или просто переименовать, а следовательно, администратор безопасности уже не мог сказать, была ли информация разрешена для копирования или нет. При теневом копировании все файлы и данные сохраняются на SQL-сервере в базе, недоступной для пользователя. Лишь администратор, имеющий специальные права, может получить к ним доступ и проанализировать.
Новая версия программы состоит из трех частей: агента (DeviceLock Service), сервера (DeviceLock Enterprise Server) и консоли управления (DeviceLock Management Console, DeviceLock Group Policy Manager и DeviceLock Enterprise Manager). Ядром системы является агент, который устанавливается на каждый контролируемый компьютер. Консоли управления требуются для удаленного управления агентами и DeviceLock-сервером. А вот сервер — элемент дополнительный, используемый для централизованного сбора и хранения данных теневого копирования и журналов. В условиях большой сети в ней может быть установлено несколько экземпляров сервера для распределения между ними нагрузки.
Для работы DeviceLock Enterprise Server необходимо наличие сервера MS SQL, на котором будет храниться собираемая информация. Поэтому в первую очередь необходимо установить (или запустить установленный) SQL-сервер. Он может находиться как на одном компьютере с DeviceLock Enterprise Server, так и на разных (с целью обеспечения максимальной производительности рекомендуется разносить серверы по разным компьютерам). Организация работы с SQL-сервером зависит от размера локальной сети. Варианты могут быть разные: для небольшой сети (до нескольких сотен компьютеров) возможно использование по одному экземпляру каждого сервера; для средней — установка нескольких комплектов серверов (рекомендуется в случаях, когда пропускная способность каналов между отдельными участками сети невысока); в большой сети, где имеется мощный SQL-сервер, возможна установка нескольких серверов DeviceLock, подключаемых к одному SQL-серверу.
Какие особенности необходимо учитывать при установке сервера? Основная — под какой учетной записью будет запускаться эта служба. Ее можно запускать под системной учетной записью, но в этом случае сервер не сможет получить доступ к удаленным ресурсам, которые могли бы быть использованы для хранения собранной о скопированных файлах информации. Поэтому, если сервер устанавливается в домене, корректнее будет использовать учетную запись, входящую в группу администраторов домена. Такой вариант обеспечивает доступ сервера ко всем компьютерам, на которых установлен DeviceLock Service.
Впрочем, даже когда запуск сервера происходит под учетной записью, не обладающей правами локальных администраторов, возможность подключения к удаленным компьютерам все-таки остается. Для этого используется метод доступа с помощью сертификата. Закрытый ключ устанавливается на сервере, а на каждый компьютер, к которому должен подключаться сервер, устанавливается соответствующий ему открытый ключ.
DeviceLock Enterprise Server не выполняет работу по сбору информации с локальных компьютеров — он лишь обрабатывает поступающие данные и предоставляет возможность их просмотра. Обеспечивает передачу сохраненных при теневом копировании данных локальный агент DeviceLock, для чего требуется его дополнительная настройка. Для выполнения теневого копирования необходимо определить раздел на диске, где будут сохраняться данные. Свободное место следует выбирать с учетом того, к каким устройствам будет отслеживаться доступ при теневом копировании. Например, если у вас используется гигабайтная флэшка, то свободное место на диске должно составлять не менее 2 Гбайт. Размер выделяемого места под теневое копирование устанавливается в настройках агента в процентах от общего размера логического диска, где будет размещаться раздел.
Но, даже выделив под сохраняемые копии многогигабайтный раздел, вы когда-нибудь достигнете предела и его наполнения. Поэтому в качестве дополнительного параметра предусмотрена установка ограничения на наполнение этого раздела (например, вы можете указать в качестве предела наполнения цифру, составляющую 60% от свободного места на диске). В таком случае при достижении предельных цифр копирование данных в этот раздел прекращается. Но пусть пользователи не радуются, что они смогут в этот момент втайне от администратора копировать любые данные — вторым параметром настройки можно запретить любое копирование данных на контролируемые устройства в том случае, если теневое копирование невозможно. При возникновении такой ситуации лишь администратор сможет очистить хранилище, тем самым разрешив дальнейшую работу на компьютере.
Задачу администратора можно облегчить, если использовать еще один параметр настройки — разрешение автоматического удаления старых файлов, помещенных в это хранилище. Если сервер для сбора данных не установлен, остается лишь риск того, что администратор вовремя не проверит, что же копировалось на носители. Теперь надо указать программе, копирование на какие носители будет подвергаться контролю и фиксироваться. Для этого нужно обратиться к настройкам аудита. Можно включить протоколирование всех заданий по копированию для гибких дисков, CD/DVD-ROM, последовательных и параллельных портов, съемных носителей. Для этих устройств в настройках аудита есть специальный параметр — включение режима теневого копирования. Файлы, копируемые на гибкие и съемные носители, сохраняются под своими первоначальными именами. Для сохранения информации, записываемой на CD/DVD или передаваемой через порты, DeviceLock в процессе копирования формирует собственные имена.
Раздел, в который копируются файлы и данные на локальном компьютере, недоступен для пользователя. Но администратор, используя модуль управления агентом, может получить доступ к просмотрщику, в котором в виде записей будет выведена информация о том, кто, когда, на какой носитель скопировал файл или передал информацию и какой программой при этом воспользовался. А если выбрать заинтересовавшую вас запись, то соответствующий ей файл или данные можно сохранить на диске в доступном разделе, после чего эти данные можно просматривать через соответствующие типу файла приложения.
Просмотреть сохраненные данные можно и без выгрузки их на диск. Выбрав любую запись, с помощью опции View контекстного меню можно открыть сохраненные данные и просматривать их в шестнадцатеричном либо текстовом виде. (Для текстовых файлов вариант не очень удобен — нет возможности выбора кодировок, к тому же русские символы «съедаются».) Используя контекстное меню, можно удалить из хранилища любую запись и соответствующий ей файл или данные.
В чем же неудобство применения только локального хранения скопированных файлов? В этом случае нет возможности проводить среди них поиск по содержимому, пока подозрительные файлы не будут выгружены во внешний раздел.
Использование DeviceLock Enterprise Server является более корректным решением как по хранению данных, так и по возможностям контекстного поиска в них (впрочем, о контекстном поиске речь пойдет далее). Как уже отмечалось, для работы сервера необходимо, чтобы на локальных компьютерах работала служба теневого копирования. В базовой конфигурации DeviceLock предполагается, что данные на локальном компьютере получает и кэширует агент, с определенной периодичностью копируя их на сервер. После успешного завершения копирования локальная копия сохраненных данных удаляется. Время выгрузки данных на сервер определяется по алгоритму, в котором учитывается время появления данных для закачки, нагрузка на сеть и на сервер.
У DeviceLock Service есть специальный параметр, в котором записывается либо IP-адрес SQL-сервера, либо его имя. Если в сети установлено несколько серверов, то вы можете указать несколько из них или все доступные. Использовать такую возможность рекомендуется как для балансировки нагрузки на серверы, так и для случаев, когда один из них не отвечает. Программа DeviceLock Service после запуска произвольным образом выбирает один из прописанных в настройках серверов и отправляет данные на него. Такой вариант обеспечивает более равномерную загрузку серверных компонентов. Но для администратора оставлена возможность и принудительной выгрузки данных на сервер, которая выполняется через консоль управления.
Сохранение информации в базе данных возможно в двух режимах: либо вся информация непосредственно записывается в базу данных, либо сохраненные в режиме теневого копирования данные помещаются на диск в виде файлов, а в базе хранятся ссылки на них. Во втором варианте проще выполнять поиск файлов по контексту. Но это уже задача не DeviceLock, а сотрудников службы информационной безопасности.
Теперь о второй новинке программы — авторизации носителей информации. Авторизованные носители формируют так называемый белый список медианосителей. Это список позволяет идентифицировать, к примеру, определенный CD/DVD-диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. Однако использование — неполное, поскольку на основе белого списка пользователю можно предоставить доступ только на чтение, но не на запись. Изменение данных на носителе приводит к изменению его уникального идентификатора, а следовательно, этот носитель уже не будет распознан как разрешенный (авторизованный). Белый список авторизованных носителей можно экспортировать и устанавливать на любой пользовательский компьютер. Разрешив пользователю доступ к такому носителю, вы предоставляете ему возможность чтения данных даже в том случае, если устройства для него недоступны.
Из других изменений можно отметить усовершенствование интерфейса — он стал более удобным. Кроме того, значительно обновлена документация. Появилась возможность вывода для пользователей сообщений о том, когда истекает период использования устройств, разрешенных через функцию временного белого списка. Упростился также процесс установки программы. Впрочем, собственное мнение о возможностях программы лучше всего формировать при тестировании продукта. А для этого можно использовать бесплатную 30-дневную пробную версию, доступную для скачивания с сайта компании «Смарт Лайн Инк».
 |
|
