Комп’ютернаКонтроль за доступом до змінних USB-носіїв
З появою мініатюрних та доступних за ціною флеш-накопичувачів питання корпоративної інформаційної безпеки стає як ніколи актуальним.
З появою мініатюрних, доступних за ціною USB-носіїв, питання корпоративної інформаційної безпеки стало як ніколи актуальним і змусило системних адміністраторів серйозно задуматися над проблемою контролю за використанням співробітниками офісу зовнішніх накопичувачів. Складність завдання пояснюється тим, що навіть за допомогою механізмів розподілу прав доступу та політик безпеки, вбудованих в ОС Windows лінійки NT, не завжди вдається повністю перекрити "кисень" недбайливим користувачам, які вирішили потай уникнути конфіденційну інформацію з метою власного збагачення, шантажу та нанесення фінансової шкоди компанії.
Методів боротьби з цим неподобством, що тягне за собою витік важливих даних, кілька. Можна, наприклад, утруднити фізичний доступ до USB-портів, вимкнути їх у BIOS або зупинити сервіс USB Mass Storage Driver в операційній системі. Також можна заблокувати за допомогою системного реєстру Windows можливість запису на флешку або взяти на озброєння відповідне спеціалізоване програмне забезпечення. Ми сьогодні зупинимося на останньому варіанті та додатку DeviceLock.
Ілюстрація роботи DeviceLock-сервісу (скриншот з веб-сайту розробника)
Схему функціонування DeviceLock ілюструє наведена вище картинка, з якої можна зробити висновок, що діапазон роботи програми не обмежений тільки USB-інтерфейсами. Утиліта вміє вести аудит та контроль доступу до COM-, LPT-, FireWare- та ІЧ-портів, Bluetooth- та Wi-Fi-адаптерів, пристроїв читання/запису оптичних дисків, ZIP-накопичувачів та інших девайсів. Програма такого розмахувідмінно виправдає себе і в домашніх умовах, дозволяючи одним махом заблокувати модем, принтер та інші периферійні принади.
Результатом інсталяції програми є агент DeviceLock Service, який перехоплює кожне звернення системи до тих чи інших пристроїв. Залежно від встановлених адміністратором правил, програма дозволяє або блокує дії користувача. До речі, маніпулювати агентами можна віддалено за допомогою централізованої консолі управління, а в домені Active Directory - через групову політику. Підтримується функція пакетної установки дозволів (Batch permissions).
Додатково DeviceLock дозволяє виставити часові обмеження доступу до вибраних об'єктів. Припустимо, заздалегідь можна визначити час і день тижня, в межах яких користувачеві дозволено користуватися пристроями. Рекомендуємо не залишати без уваги цю функцію, адже ворог, як відомо, не дрімає, а своєчасно налаштовані політики вбережуть від посягань на корпоративну інформацію в час.
Наслідуючи принцип, що все пізнається на практиці, розробник пропонує всім охочим завантажити безкоштовну тридцятиденну версію своєї програми. Термін немаленький і достатній, щоб визначитися, чи варто купувати DeviceLock. Ціна, звичайно, не захмарна (1300 рублів за ліцензію), але в залежності від кількості комп'ютерів у мережі доведеться викласти кругленьку суму. Безпека того варта.
Програма доступна у двох варіантах: для Windows NT/2000/XP/2003 (6,8 Мб) та окремо для Windows лінійки 9х (редакція Millennium Edition, дистрибутив розміром 1,2 Мб). Зверніть увагу, що версія для ОС Windows 95/98/ME сильно урізана у функціональності та не забезпечується технічною підтримкою компанії-розробника.