Практическое использование DLP-системы DeviceLock в корпоративной среде банка
Часть 5. Интеграция с Active Directory
Программный комплекс DeviceLock Endpoint DLP Suite разработки российской компании «Смарт Лайн Инк» предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, включая контроль содержимого передаваемых файлов и данных.
Возможности продукта и механизмы управления им подробно описаны на сайте разработчика и в руководстве пользователя. В данном цикле статей рассматриваются неочевидные нюансы, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене.
В пятой, заключительной статье цикла речь пойдет о некоторых деталях развертывания и управления DeviceLock Endpoint DLP Suite с использованием возможностей групповых политик домена Active Directory.
Первое, что следует иметь в виду, приступая к интеграции продукта с Active Directory, — это то, что политики DeviceLock Endpoint DLP Suite являются политиками компьютеров, а не пользователей. Например, если вы захотите привязать применение файла настроек агента DeviceLock не к компьютеру, а к пользователю — то есть чтобы настройки подгружались на рабочую станцию, на которой он сделал log-on, когда выполняется log-on, — вы потерпите неудачу.
Иными словами, для распространения настроек применяются GPO, и в списки безопасности GPO включаются только имена компьютеров / групп компьютеров (к слову, файл настроек не захочет прикрепляться к GPO, если на машине администратора домена, который производит операцию, стоит не та версия программы, где был создан файл настроек). Если в домене вы будете использовать несколько GPO с разными настройками DeviceLock и фильтры безопасности этих GPO будут накладываться, то следует учитывать:
- порядок применения GPO;
- тот факт, что значение строки настроек DeviceLock Not Configured при применении таких настроек поверх других ведет к сохранению ранее имевшегося значения этой строки настроек — то есть если к машине с агентом DeviceLock будет применен GPO с файлом настроек «все доступы запретить», а затем GPO с файлом настроек «все доступы — Not Configured», запреты сохранятся.
Профили доступа доменных групп пользователей к устройствам задаются в настройках агентов DeviceLock, например указывается, что группе Floppy_Allow (условное название) не блокируется доступ к дискетам. Доступы конкретных пользователей задаются их членством в доменных группах пользователей.
Таким образом, на первом этапе можно ко всем компьютерам домена применить GPO, определяющий настройки агента DeviceLock. Затем можно установить сам агент. Способов установки множество, в том числе через групповые политики домена AD. К установленным агентам по прошествии периода репликации применяются заданные ранее для всего домена настройки DeviceLock. В результате пользователи, входящие в группу, например, Floppy_Allow, на каком бы компьютере домена они ни залогинились, получат доступ к дискетам, в то время как те, кто входят в группу, например, Floppy_Deny, ни на одном компьютере домена не смогут открыть дискету (к слову, если пользователь окажется членом обеих групп, то будет действовать стандартный для AD приоритет запрета; а если пользователь находится в группах, одна из которых разрешает полный доступ к устройству (чтение и запись), а другая — неполный (только чтение), то включается уже внутренняя логика DeviceLock: давать приоритет тому набору разрешений, где разрешений больше; не забудьте эту особенность программы!).
Такой подход очень удобен, он позволяет использовать архитектуру, ориентированную на пользователя, а не на рабочую станцию, и соответственно за счет создания единообразной среды для пользователей обеспечивает большую мобильность пользователей внутри компании.
Необходимость создания нескольких сегментов рабочих станций с разной строгостью доступа к внешним устройствам или каналам сетевых коммуникаций решается, например, выделением нескольких Organization Unit (OU), к каждому из которых будет применен свой GPO со своими настройками DeviceLock. Тогда, не трогая структуру доменных групп пользователей, заданием разных настроек доступа для групп в разных файлах настроек можно добиться того, что пользователь с полным доступом к дискетам на компьютерах в одном OU будет иметь ограниченный (только чтение) доступ или не будет иметь доступа к дискетам вообще на компьютерах в другом OU.
Таким образом, комплексное использование AD для управления доступом пользователей к любым каналам утечки информации, контролируемым средствами DeviceLock, будет предусматривать:
- объект групповой политики, примененный ко всему домену и предписывающий установку агентов DeviceLock;
- объект групповой политики, примененный ко всему домену, либо несколько объектов групповой политики, примененных к нескольким организационным единицам домена, предписывающий(ие) использование агентами DeviceLock тех или иных настроек доступа доменных групп пользователей к устройствам и сетевым протоколам;
- доменные группы пользователей, прописанные в применяемых с помощью объектов групповой политики настройках агентов DeviceLock.
При реализации такой схемы для включения или отключения доступа пользователей по поступающим от пользователей авторизованным заявкам достаточно включать (исключать) их учетные записи в доменные группы (из доменных групп). После изменения членства пользователя в группах всегда будет требоваться, чтобы сессия его учетной записи была завершена (log-off) и начата заново (log-on). В противном случае изменение прав доступа не вступит в силу даже по прошествии периода репликации доменной политики, поскольку только при завершении сессии учетной записи пользователя обновляется ее Security Descriptor.
В связи с тем, что могут возникать ситуации, когда требуется немедленная блокировка доступа учетной записи к устройству или сетевому протоколу, у администратора безопасности должна быть возможность локально изменить настройки агента (удалить, соединившись с агентом DeviceLock на конкретной машине, из списка доступа к устройству доменную группу или группы, куда входит пользователь). Для того чтобы такая возможность сохранялась, необходимо снять в настройках DeviceLock галочку с параметра Override Local Policy. Обратите внимание, что эта настройка видна только в интерфейсе DeviceLock Service Settings Editor. При подключении консолью DeviceLock Management Console к агенту DeviceLock данная настройка не видна, но в зависимости от ее статуса администратор либо сможет, либо не сможет локально изменить настройки, залитые на машину объектом групповой политики. Чтобы только закрытый список администраторов мог производить такие изменения, необходимо, чтобы Default Security агента была отключена и административный доступ к нему был дан только списку учетных записей пользователей/групп в настройке DeviceLock Administrators.
На этапе развертывания возможен смешанный режим, когда агент устанавливается на компьютеры в ручном режиме через DeviceLock Enterprise Manager и им же ему прописываются настройки. Удобен и альтернативный вариант — развертывание агентов по корпоративной сети путем распространения заранее сконфигурированных файлов MSI, содержащих уже заданные политики доступа. При этом в настройках ставится флаг Use Group Policy и снимается флаг Override Local Policy. В результате, когда компьютер окажется включен в список фильтрации GPO с новыми настройками, настройки автоматически сменятся по прошествии времени репликации либо после gpudate/force и перезагрузки, либо после двух перезагрузок (это обеспечит флаг Use Group Policy), но после этого у администратора безопасности останется возможность быстро изменить настройки до следующей репликации (снятый флаг Override Local Policy). Последнее актуально, когда требуется заблокировать доступ сотруднику немедленно, но делать ему насильный лог-офф или перезагрузку нельзя.
На время развертывания в DeviceLock предусмотрено включение в настройки доступа специальной учетной записи Everyone. При нажатии кнопки Default Settings список разрешений наполняется специальной учетной записью Everyone и локальными группами Users и Administrators. Последние две можно смело удалить, а Everyone сохранить с настройками доступа «всё разрешить». Можно сделать два файла настроек, различающихся одной строкой в списке разрешений для каждого устройства: в одном будут перечислены, например, группы Deny_All, Allow_Read, Allow_All — он будет применяться для выборочной блокировки доступов; во втором будут перечислены Deny_All, Allow_Read, Allow_All, Everyone (последняя — в режиме «всё разрешить»), в результате всем, кроме тех, кому всё явно запрещено, всё будет разрешено.
Заключение
Продукт DeviceLock Endpoint DLP Suite отличается обширными настройками, позволяющими гибко настроить работу компонентов и обеспечить контроль практически всех потенциальных каналов утечки данных. Для решения стандартного набора задач мониторинга, возложенных на подразделение информационной безопасности, большинство возможностей, которые предоставляют настройки, никогда не будет задействовано.
Продукт показал свою высокую надежность. На протяжении свыше года работы агентов на более чем 1000 компьютеров случаи, когда агент занимал большое количество памяти или прекращал откликаться на внешние воздействия, были единичными и относились в основном к проблемным компьютерам: с нестандартной конфигурацией, поврежденными ветвями реестра, проблемами в работе и при использовании приложений.
Из недостатков хотелось бы отметить не слишком широкий список криптографических средств, зашифрованные при помощи которых носители распознаются программой. Впрочем, насколько известно автору, список поддерживаемых криптосредств будет последовательно расширяться.
Также для отдельных специфических задач не хватает предусмотренных программой функций, но все они, по сведениям, имеющимся в распоряжении автора, планируются к внедрению в будущих версиях. К ним относятся расширения списка интерфейсов синхронизации, которые контролируются (требуют добавления, по крайней мере Symbian и Android), и добавление к модулю Monitoring сервера функции установки агентов на машины, где агенты отсутствуют.