DLP-системы DeviceLock в банках. Интеграция с Active Directory

 ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

DLP-системы DeviceLock в банках
Интеграция с Active Directory

Программный комплекс DeviceLock Endpoint DLP Suite, разработанный российской компанией Смарт Лайн Инк, предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, включая контроль содержимого передаваемых файлов и данных

Данный цикл статей [1] посвящен описанию неочевидных нюансов, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене. Пятая, заключительная, статья цикла описывает некоторые нюансы развертывания и управления DeviceLock Endpoint DLP Suite с использованием возможностей групповых политик домена Active Directory.

Интеграция с Active Directory

Первое, что следует иметь в виду, приступая к интеграции продукта с Active Directory, это то, что политики DeviceLock Endpoint DLP Suite являются политиками компьютеров, а не политиками пользователей. Например, если вы захотите привязать применение файла настроек агента DeviceLock не к компьютеру, а к пользователю – то есть чтобы настройки подгружались на рабочую станцию, на которой он сделал log-on, когда он делает log-on, – вы потерпите неудачу.

Иными словами, для распространения настроек применяются GPO, и в списки безопасности GPO включаются только имена компьютеров/групп компьютеров (к слову, файл настроек не захочет прикрепляться к GPO, если на машине администратора домена, который производит операцию, стоит не та версия программы, в которой создан файл настроек).

Если в домене вы будете использовать несколько GPO с разными настройками DeviceLock и фильтры безопасности этих GPO будут накладываться, помните о двух вещах:

• порядок применения GPO;
• тот факт, что значение строки настроек DeviceLock «Not Configured» при применении таких настроек поверх других настроек ведет к сохранению ранее имевшегося значения этой строки настроек, то есть, если к машине с агентом DeviceLock будет применен GPO с файлом настроек «все доступы запретить», а затем GPO с файлом настроек «все доступы – Not Configured», запреты сохранятся.

Профили доступа доменных групп пользователей к устройствам задаются в настройках агентов DeviceLock, например, указывается, что группе Floppy_Allow (условное название) не блокируется доступ к дискетам. Доступы конкретных пользователей задаются их членством в доменных группах пользователей.

Таким образом, на первом этапе можно ко всем компьютерам домена применить GPO, определяющий настройки агента DeviceLock. Затем можно установить сам агент. Способов установки множество, в том числе также через групповые политики домена AD.

К установленным агентам по прошествии периода репликации применятся заданные ранее для всего домена настройки DeviceLock. В результате пользователи, входящие в группу, например, Floppy_Allow, на каком бы компьютере домена они ни залогинились, получат доступ к дискетам, в то время как те, кто входят в группу, например, Floppy_Deny, ни на одном компьютере домена не смогут открыть дискету.

К слову, если пользователь окажется членом обоих групп, будет действовать стандартный для AD приоритет запрета. Но вот если пользователь находится в группах, одна из которых разрешает полный доступ к устройству (чтение и запись), а другая разрешает неполный (только чтение), включается уже внутренняя логика DeviceLock – давать приоритет тому набору разрешений, где разрешений больше. Не забудьте эту особенность программы!

Такой подход очень удобен, он позволяет использовать архитектуру, ориентированную на пользователя, а не на рабочую станцию, и соответственно за счет создания единообразной среды для пользователей обеспечивает большую мобильность пользователей внутри компании.

Необходимость создания нескольких сегментов рабочих станций с разной строгостью доступа к внешним устройствам или каналам сетевых коммуникаций решается, например, выделением нескольких Organization Unit (OU), к каждому из которых будет применен свой GPO со своими настройками DeviceLock.

Тогда, не трогая структуру доменных групп пользователей, заданием разных настроек доступа для групп в разных файлах настроек можно добиться того, что у пользователя, имеющего полный доступ к дискетам на компьютерах в одном OU, будет ограниченный (только чтение) доступ или не будет его вообще на компьютерах в другом OU.

Таким образом, комплексное использование AD для управления доступами пользователей к любым каналам утечки информации, контролируемым средствами DeviceLock, будет предусматривать:

• Объект групповой политики, примененный ко всему домену, предписывающий установку агентов DeviceLock.
• Объект групповой политики, примененный ко всему домену, либо несколько объектов групповой политики, примененных к нескольким организационным единицам домена, предписывающий(ие) применение агентами DeviceLock тех или ин=ых настроек доступа доменных групп пользователей к устройствам и сетевым протоколам.
• Доменные группы пользователей, прописанные в применяемых с помощью объектов групповой политики настройках агентов DeviceLock.

При реализации такой схемы для включения или отключения доступов пользователей по поступающим от пользователей авторизованным заявкам достаточно включать/исключать их учетные записи в доменные группы/из доменных групп. После изменения членства пользователя в группах всегда будет требоваться, чтобы сессия его учетной записи была завершена (log-off) и начата заново (log-on). В противном случае изменения прав доступа не вступят в силу даже по прошествии периода репликации доменной политики, поскольку только при завершении сессии учетной записи пользователя обновляется ее Security Descriptor.

В связи с тем, что могут возникать ситуации, когда требуется немедленная блокировка доступа учетной записи к устройству или сетевому протоколу, у администратора безопасности должна быть возможность локально изменить настройки агента (удалить, соединившись с агентом DeviceLock на конкретной машине, из списка доступа к устройству доменную группу/группы, в которую/которые входит пользователь). Для того чтобы такая возможность сохранялась, необходимо снять в настройках DeviceLock галочку с параметра Override Local Policy.

Обратите внимание, что эта настройка видна только в интерфейсе DeviceLock Service Settings Editor. При подключении консолью DeviceLock Management Console к агенту DeviceLock эта настройка не видна, но в зависимости от ее статуса администратор либо сможет, либо не сможет локально изменить настройки, залитые на машину объектом групповой политики.

Чтобы только закрытый список администраторов мог производить такие изменения, необходимо, чтобы Default Security агента была отключена, и административный доступ к нему был дан только списку учетных записей пользователей/групп в настройке DeviceLock Administrators.

На этапе развертывания возможен смешанный режим, когда агент устанавливается на компьютеры в ручном режиме (через DeviceLock Enterprise Manager) и им же ему прописываются настройки.

Удобен и альтернативный вариант – развертывание агентов по корпоративной сети путем распространения заранее сконфигурированных файлов MSI, содержащих уже заданные политики доступа. При этом в настройках ставится флаг Use Group Policy и снимается флаг Override Local Policy.

В результате, когда компьютер окажется включен в список фильтрации GPO с новыми настройками, настройки автоматически сменятся по прошествии времени репликации либо после gpudate /force и перезагрузки, либо после двух перезагрузок (это обеспечит флаг Use Group Policy), но после этого у администратора безопасности останется возможность быстро изменить настройки до следующей репликации (снятый флаг Override Local Policy). Последнее может оказаться актуальным, когда доступ сотруднику требуется заблокировать немедленно, но делать ему насильный log-off или перезагрузку нельзя.

На время развертывания в DeviceLock предусмотрено включение в настройки доступа специальной учетной записи Everyone. При нажатии кнопки Default Settings список разрешений наполняется специальной учетной записью Everyone и локальными группами Users и Administrators. Последние две можно смело удалить, а Everyone сохранить с настройками доступа – все разрешить.

Можно сделать два файла настроек, отличающихся одной строкой в списке разрешений для каждого устройства – в одном будут перечислены, например, группы Deny_All, Allow_Read, Allow_All – он станет применяться для выборочной блокировки доступов. Во втором будут перечислены Deny_All, Allow_Read, Allow_All, Everyone (последняя – в режиме – все разрешить), в результате всем, кроме тех, кому явно запрещено все, все будет разрешено.

***

Продукт DeviceLock Endpoint DLP Suite отличается обширными настройками, позволяющими гибко настроить работу всех компонентов и обеспечить контроль практически всех потенциальных каналов утечки данных. Нужно сказать, что для решения стандартного набора задач мониторинга, возложенных на подразделение информационной безопасности, большинство возможностей, которые предоставляют настройки, никогда не будет задействовано.

Также продукт показал высокую надежность. За более чем год работы агентов на более чем 1000 компьютеров случаи, когда агент занимал большое количество памяти или прекращал откликаться на внешние воздействия, были единичными. Случаи относились в основном к проблемным компьютерам: с нестандартными конфигурациями, с поврежденными ветвями реестра, с проблемами в работе и других приложений.

Из недостатков хотел бы отметить не слишком широкий список криптографических средств, зашифрованные с помощью которых носители распознаются программой. Впрочем, насколько известно автору, список поддерживаемых криптосредств будет последовательно расширяться.

Также для отдельных специфических задач не хватает предусмотренных программой функций, но все они, насколько известно автору, планируются к внедрению в будущих версиях. К ним относятся: расширения списка интерфейсов синхронизации, которые контролируются (требуют добавления, по крайней мере Symbian и Android); добавление к модулю Monitoring сервера функции установки агентов на машины, где агенты отсутствуют.

1. Кузьминов И. DLP-системы DeviceLock в банках. //«Системный администратор», №№3-6, 2012 г.

Комментарии могут оставлять только зарегистрированные пользователи