Контроль использования переносных устройств хранения данных (USB/CD и т. д.) — обзор программного обеспечения: GFI LANguard PSC
Эти устройства чрезвычайно удобны, но они также могут представлять большой риск для корпоративных сетей. Вы никогда не знаете, что пользователи могут делать с ними: устанавливать несанкционированное или нелицензионное программное обеспечение, загружать программы или документы, содержащие вирусы или трояны, или даже загружать конфиденциальные данные, такие как коммерческая тайна, внутренние служебные записки или финансовая информация компании. Даже если вы сделаете политики, запрещающие их использование, пользователи могут легко проникнуть в устройства. Они маленькие, и многие из них замаскированы под брелоки или спрятаны внутри ручек или других предметов. Вы можете увидеть некоторые примеры этих устройств на http://www.forensics-intl.com/art22.html. Как указывается в сопроводительной статье, правоохранительные органы и эксперты по компьютерной криминалистике бьют тревогу о потенциальных угрозах безопасности, присущих этим скрытым устройствам.
Продукт: GFI EndPointSecurity
Домашняя страница продукта: GFI EndPointSecurity — управление сетевыми устройствами
30-дневная пробная версия: Загрузите GFI EndPointSecurity
Администраторам важно иметь возможность технологически контролировать использование переносных устройств хранения данных, и именно для этого предназначен PSC. В дополнение к накопителям USB и FireWire (IEEE 1394) вы также можете управлять подключением к компьютерам в вашей сети таких устройств, как цифровые камеры, MP3-плееры, смартфоны и карманные компьютеры (карманные компьютеры и КПК на базе Palm OS). Вы даже можете контролировать доступ пользователей к гибким дискам и дисководам компакт-дисков. В этой статье мы рассмотрим новый продукт GFI и то, как он работает для защиты вашей сети.
Зачем вам нужен способ управления портативными устройствами хранения данных
Ключевым преимуществом портативных устройств хранения данных является легкий доступ. С помощью флэш-накопителя или устройства для записи компакт-дисков пользователи могут копировать файлы со своих рабочих компьютеров, чтобы забрать их домой, или они могут переносить программы и файлы данных со своих удаленных компьютеров и помещать их в свои офисные системы. В теории это звучит великолепно, но все мы знаем, что доступ и безопасность находятся на противоположных концах континуума, и чем больше у вас одного, тем меньше у вас другого. Существует множество проблем, связанных с предоставлением пользователям полной свободы действий над тем, что происходит на компьютерах вашей сети, в том числе следующие:
- Пользователи могут преднамеренно или непреднамеренно внедрять вирусы, которые затем могут распространяться на все компьютеры в вашей сети, в некоторых случаях приводя к сбою систем и выходу из строя всей сети.
- Пользователи могут копировать информацию компании, которая должна оставаться конфиденциальной, раскрывая ваши бизнес-данные конкурентам, средствам массовой информации и другим лицам, которым это не нужно. Если ваш бизнес подпадает под действие законов или правительственных постановлений, требующих от вас сохранения конфиденциальности определенной информации (например, HIPAA в сфере здравоохранения или Закона GLB в сфере финансовых услуг), ваша организация может даже быть привлечена к юридической ответственности.
- Пользователи могут передавать на компьютеры компании данные, которых там быть не должно, например, порнографию или другие оскорбительные материалы. Помимо потери времени и снижения производительности, это может привести к гражданскому иску (например, о сексуальных домогательствах, если оскорбительные материалы вызывают дискомфорт у другого сотрудника) или даже к уголовному расследованию (например, в случае детской порнографии или сообщений с участием другие незаконные действия, такие как терроризм).
Новые версии портативных запоминающих устройств представляют еще больший риск, чем раньше, просто потому, что они могут передавать данные гораздо быстрее. USB 2.0 и FireWire (IEEE 1394) имеют гораздо более высокие скорости передачи, чем более старые технологии. Это означает, что похитителю данных может сойти с рук больше вашей ценной информации, а небрежный сотрудник может занести в вашу сеть еще больше вирусов, даже если подключение происходит ненадолго. В то же время емкость увеличивается; Устройства с флэш-памятью теперь могут хранить гигабайт или более данных, и цены на них постоянно падают. Что еще хуже, компьютеры Windows 2000 и XP будут автоматически монтировать эти устройства так, чтобы они выглядели (и могли использоваться как) просто еще один диск на компьютере.
Если у вас есть какие-либо данные в сети вашей компании, которые являются конфиденциальными или не должны быть переданы за пределы организации, или если ваша компания подпадает под действие законов о конфиденциальности или вообще имеет каких-либо сотрудников, которые предположительно могут подать жалобы на сексуальные домогательства, или если есть какой-либо шанс вообще что ни одному сотруднику нельзя доверять в том, что он никогда не сделает ничего противозаконного, вам следует запретить или ограничить использование личных переносных устройств хранения данных.
Аналитики Gartner Research согласны с этим, как и инструкторы по безопасности института SANS, как сообщается на http://www.arcamax.com/cgi-bin/news/story/1017/11162/332261.
Вы можете установить правила, запрещающие использование этих портативных устройств, но всегда найдется определенное количество сотрудников, которые пренебрегают правилами в пользу удобства. Вместо того, чтобы полагаться на добровольное соблюдение, вы можете гарантировать, что эти устройства не нанесут ущерб вашей сети, установив технологические барьеры на пути их использования.
Примечание:
Возможно, вы читали, что корпорация Майкрософт признала угрозу, исходящую от переносных устройств хранения данных, и после установки пакета обновлений 2 в Windows XP вы можете настроить раздел реестра, чтобы сделать USB-устройства хранения данных доступными только для чтения. Это похвально и может помочь предотвратить кражу данных. Однако этого недостаточно для решения проблем, описанных выше. Сотрудники по-прежнему могут отображать незаконные материалы с устройств на своих компьютерах. Кроме того, многие компании используют настольные компьютеры под управлением Windows 9x, NT или 2000, а многие компании, перешедшие на Windows XP, откладывают установку SP2 по разным причинам.
Почему нам нравится GFI LANguard PSC
Мы считаем, что стороннее решение — лучший способ контролировать использование портативных устройств. Копание в реестре всегда сопряжено с определенным риском, и в данном случае оно выполняет лишь часть того, что нам нужно сделать (даже если предположить, что все наши системы работают под управлением Windows XP с пакетом обновления 2). Итак, мы загрузили программное обеспечение PSC с http://www.gfi.com/downloads/register.aspx?pid=esec. Бесплатная пробная версия доступна на веб-сайте (срок действия истекает через 30 дней или 60 дней с ключом, который высылается вам по электронной почте после загрузки программы). Цены варьируются от 295 долларов США (за 25 компьютеров) до 1495 долларов США за неограниченную лицензию. Вы также получаете три месяца бесплатной поддержки и защиты обновлений.
Обратите внимание, что вы должны войти в систему с учетными данными администратора, и вы можете установить только в Windows 2000, XP или Server 2003. В остальном процесс установки был довольно простым.
Мы были рады узнать, что вы можете выбрать любой или все из следующих типов съемных носителей для блокировки или ограничения:
- Съемный носитель
- Дискета
Управление осуществляется на основе пользователя/группы, что упрощает работу администраторов Windows, знакомых с этим типом управления доступом. Вы можете использовать либо глобальные группы Active Directory, либо группы безопасности локального компьютера. В доменной среде вам, вероятно, понадобится централизованное управление через AD. Если у вас автономные системы, вы можете использовать локальные группы, но вы должны быть уверены, что пользователи не являются локальными администраторами; иначе они смогут обойти защиту программы, убив процесс.
Простота управления
Когда вы запускаете программу PSC, запуск может занять некоторое время, так как она проверяет наличие обновлений. На самом деле это хорошо, так как это означает, что программа всегда будет иметь самые последние обновления, пока компьютер, на котором она установлена, подключен к Интернету. Интерфейс консоли показан на рис. 1. Он очень интуитивно понятен, и в большинстве случаев вы можете выполнить то, что хотите, за несколько простых щелчков. По какой-то причине мы не смогли изменить размер окна консоли.
Рисунок 1: Интерфейс консоли PSC
Вы можете указать, каким пользователям будет разрешено использовать съемные носители, дисковод гибких дисков и дисковод(ы) CD или DVD, добавив их в список авторизованных пользователей. Особенно понравилось то, что настроить доступ можно одним из двух способов:
- Укажите пользователей и группы, которым разрешен доступ к устройству
- Укажите пользователей и группы, которым НЕ разрешен доступ к устройству
Это означает, что философия вашей компании заключается в том, чтобы «блокировать все, если у вас нет причин предоставлять доступ» (также известный как принцип наименьших привилегий или метод «необходимо знать») или «разрешать все, если у вас нет причин для предоставления доступа». запретить доступ» (политика открытого доступа), PSC будет так же легко настроить.
Мы боялись, что будет сложно установить программное обеспечение на все компьютеры в большой организации. Это займет много времени и может потребовать физического посещения каждого компьютера, создания пакета MSI, чтобы вы могли использовать функцию установки программного обеспечения групповой политики Windows, или использования дорогостоящего инструмента развертывания, такого как SMS. Нас ждал приятный сюрприз. Программное обеспечение агента можно развернуть на одном или нескольких компьютерах прямо из интерфейса консоли PSC, используя параметр «Развернуть агенты LANguard PSC» в узле «Инструменты» на левой панели консоли. Вы можете развернуть агенты на один компьютер, список компьютеров из домена или список компьютеров из файла.
Не менее легко следить за тем, какие компьютеры в вашей сети защищены PSC. Вы можете щелкнуть вкладку Развернутые агенты, чтобы просмотреть состояние компьютеров, на которых был развернут агент. Вам будет показано, какое программное обеспечение установлено (полная версия и/или агент), путь, по которому установлено программное обеспечение, номер сборки, размеры файлов и запущена ли служба агента, как показано на рисунке 2.
Рисунок 2: Вы можете просмотреть состояние компьютеров, на которых развернут агент
После того, как мы установили программное обеспечение, развернули агентов и настроили контроль доступа, PSC сделал то, что обещал, — когда мы попытались получить доступ к съемным носителям с учетной записью, которая не была включена в список авторизованных пользователей (или члена группы). перечисленных в списке авторизованных пользователей), нам было отказано в доступе.
Резюме
Мы нашли программное обеспечение простым в установке и использовании. Интерфейс прост, и нам нравится, что GFI включает ссылки на свой центр поддержки и базу знаний в консоли управления. Такая программа определенно нужна. Администраторы, несомненно, будут спать спокойно по ночам, зная, что у них есть способ защитить целостность своих сетей от мошеннических USB-накопителей и других съемных носителей.
К положительным сторонам программы относятся:
- прямолинейная, простая установка
- интуитивно понятный интерфейс
- гибкость в настройке доступа
- инструмент развертывания упрощает установку агента на удаленных компьютерах
Мы столкнулись с несколькими незначительными неприятностями:
- невозможность изменить размер консоли управления
- нет контроля над перезагрузкой после установки
- локальные администраторы могут обойти программу, убив процесс.
WindowSecurity.com Рейтинг: 4/5
GFI LANguard Portable Storage Control теперь называется GFI EndPointSecurity — контроль и мониторинг устройств