Обзор DeviceLock - программы для управления доступом к устройствам

Программа DeviceLock, успевшая завоевать популярность как в нашей стране, так и за рубежом, дополнилась новыми возможностями. В первую очередь они связаны с расширением системы аудита по использованию устройств и дополнения системой теневого копирования. Кроме того, добавлена авторизация не только устройств, но и носителей информации на основе данных, находящихся на них. Здесь мы остановимся именно на новых возможностях программы.

Несколько слов о программе. При помощи DeviceLock администратор компьютера или домена может контролировать доступ пользователей к дисководам, DVD/CD-ROM, другим сменным устройствам, адаптерам WiFi и Bluetooth, а также к USB, FireWire, инфракрасным, COM- и LPT-портам. Кроме функции контроля доступа, DeviceLock позволяет осуществлять протоколирование и аудит использования устройств на локальном компьютере как отдельными пользователями, так и группами. Для хранения записей аудита DeviceLock использует стандартный журнал Windows, что позволяет просматривать их как с помощью стандартной программы просмотра событий, так и встроенного средства.

Вроде бы вполне достаточно, но хотя наличие журнала аудита и позволяет администратору отслеживать все действия пользователя, в том числе и по копированию файлов, только вот сами файлы пользователь, после копирования на носитель, может уничтожить или просто переименовать, и администратор безопасности уже не сможет сказать, была ли информация разрешена для копирования или нет.

При использовании функции теневого копирования (ее можно включить для отдельных пользователей или групп) все файлы и данные, копируемые пользователем на внешние носители и передаваемые через COM- и LPT-порты, будут "зеркалироваться" и сохраняться для последующего просмотра администратором. Сохраняются полные копии файлов и данных. Если в локальной сети установлено несколько сервисов DeviceLock, для каждого из них можно задавать имена одного или нескольких серверов, куда будут пересылаться данные теневого копирования.

Предусмотрена и дополнительная защита от администратора. В системе имеется и журнал для стертых данных теневого копирования. Теперь, когда записи теневого копирования удаляются из журнала, а содержимое файлов стирается из базы данных, информация об этих записях переносится в отдельный журнал Deleted Shadow Data Log. Для его просмотра есть специальный инструмент в DeviceLock Management Console.

Текущая версия программы состоит из трех элементов: агента (DeviceLock Service), сервера (DeviceLock Enterprise Server) и консоли управления. Ядром системы является агент, устанавливаемый на каждый контролируемый компьютер. Консоли управления требуются для удаленного управления агентами, DeviceLock-сервером. Эти элементы обязательны, а вот сервер - элемент дополнительный, используемый для централизованного сбора и хранения данных теневого копирования и журналов. При значительной нагрузке на сервер (когда в сети свыше нескольких сотен контролируемых компьютеров) их может быть установлено несколько.

Для хранения данных теневого копирования используется сервер MS SQL. Желательно, чтобы он был установлен еще до установки DeviceLock. Он может находиться как на одном компьютере с DeviceLock Enterprise Server, так и на разных. Организация работы с SQL-сервером зависит от размера локальной сети. В большой сети, где имеется мощный SQL-сервер, возможна установка нескольких серверов DeviceLock, подключаемых к одному SQL-серверу.

Для того чтобы не зависеть от учетных записей, под которыми будет запускаться сервер, предусмотрена организация его доступа к контролируемым компьютерам с помощью цифровых сертификатов. Закрытый ключ устанавливается на сервере, а на каждый компьютер, к которому должен подключаться сервер, устанавливается соответствующий ему открытый ключ.

Если DeviceLock Enterprise Server лишь обрабатывает поступающие данные и дает возможность их просмотра, то сбором и передачей данных занимается агент DeviceLock, для чего требуется его дополнительная настройка. В число параметров входит раздел на диске, где будут временно размещаться данные, и размер выделяемого пространства (задается в процентах от общего размера логического диска). Но даже выделив под сохраняемые копии многогигабайтный раздел, когда-то вы достигнете предела и его наполнения. Поэтому в качестве дополнительного параметра предусмотрена установка ограничения на наполнение этого раздела. В этом случае при достижении предельных цифр копирование данных в раздел прекращается.

Для предотвращения умышленного наполнения раздела и попытки копирования файлов во время, когда он отключен, предусмотрена возможность установки запрета на любое копирование данных в это время на контролируемые устройства.

Задачу администратора можно облегчить, если использовать еще один параметр настройки - разрешить автоматическое удаление старых файлов, помещенных в это хранилище. Если сервер для сбора данных не установлен, остается лишь риск того, что администратор может не проверить вовремя, что же копировалось на носители. Если же используется связка с сервером, то данные сами без администратора закачиваются на сервер и удаляются из локального хранилища.

Для завершения настройки надо указать программе, копирование на какие носители будет подвергаться контролю и фиксироваться. Для этого в настройках аудита можно включить протоколирование всех заданий по копированию для гибких дисков, CD/DVD-ROM, последовательных и параллельных портов, съемных носителей. Для этих устройств в настройках аудита есть специальный параметр - включение режима теневого копирования. Файлы, копируемые на гибкие и съемные носители, сохраняются со своими первоначальными именами. Для сохранения информации, записываемой на CD/DVD или передаваемой через порты, DeviceLock в процессе копирования формирует собственные имена.

Раздел, в который копируются файлы и данные на локальном компьютере, недоступен для пользователя. Но администратор, используя модуль управления агентом, может получить доступ к просмотрщику, в котором в виде записей будет выведена информация о том, кто, когда, на какой носитель скопировал файл или передал информацию, какой программой при этом воспользовался. А если выбрать заинтересовавшую вас запись, то соответствующий ей файл или данные можно сохранить на диске в доступном разделе, после чего эти данные можно просматривать через соответствующие типу файла приложения. Впрочем, у пользователя остается возможность запрета доступа к скопированным файлам (но не тем, что передавались через порты COM или LPT). Для этого достаточно зашифровать файл, а таких возможностей сейчас имеется достаточно.

Просмотреть сохраненные данные можно и без их выгрузки на диск. Выбрав любую запись, с помощью опции View контекстного меню можно открыть сохраненные данные и просматривать в шестнадцатеричном либо текстовом виде. (Для текстовых файлов вариант не очень удобен - нет возможности выбора кодировок, к тому же русские символы "съедаются".) Используя контекстное меню, можно удалить из хранилища любую запись и соответствующий ей файл или данные, но нельзя вести поиск по сохраненным данным.

Использование DeviceLock Enterprise Server является более корректным решением как по хранению данных, так и по возможностям контекстного поиска в них. Для выбора момента закачки данных на сервер используется сложный алгоритм, в котором учитывается и нагрузка на сеть, и вносится дополнительная случайная величина сдвига по времени. Это минимизирует нагрузку как на сервер, так и на сеть.

Сохранение информации в базе данных возможно в двух режимах - либо вся информация будет записываться непосредственно в базу данных, либо сохраненные в режиме теневого копирования данные будут помещаться на диск в виде файлов, а в базе будут храниться ссылки на них. Во втором варианте проще выполнять поиск файлов по контексту.

Теперь о второй новинке программы - авторизации носителей информации. Авторизованные носители формируют так называемый "белый" список медианосителей. Этот список позволяет идентифицировать, к примеру, определенный CD/DVD- диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. (Но использование - не полное, поскольку на основе "белого" списка пользователю можно предоставить доступ только на чтение, но не на запись.) Изменение данных на носителе приводит к изменению его уникального идентификатора, и, следовательно, этот носитель уже не будет распознан как разрешенный (авторизованный). "Белый" список авторизованных носителей можно экспортировать и устанавливать на любой пользовательский компьютер. Разрешив пользователю доступ к такому носителю, вы предоставляете для него возможность чтения данных даже в том случае, если устройства для него недоступны.

Из других изменений можно отметить изменение интерфейса - стал более удобным. Появилась возможность вывода для пользователей сообщений о том, когда истекает период использования для устройств, разрешенных через функцию временного "белого" списка. Упростился процесс установки программы. Впрочем, о возможностях программы собственное мнение лучше всего формировать при тестировании продукта. А для этого можно использовать бесплатную, 30-дневную пробную версию, доступную для скачивания с сайта компании "Смарт Лайн Инк".