DLP-системы DeviceLock в банках. Интеграция с Active Directory::Журнал СА 9.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6856
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6282
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13968
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9099
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 DLP-системы DeviceLock в банках. Интеграция с Active Directory

Архив номеров / 2012 / Выпуск №9 (118) / DLP-системы DeviceLock в банках. Интеграция с Active Directory

Рубрика: Администрирование /  ИТ в финансах

No_foto_man ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

DLP-системы DeviceLock в банках
Интеграция с Active Directory

Программный комплекс DeviceLock Endpoint DLP Suite, разработанный российской компанией Смарт Лайн Инк, предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, включая контроль содержимого передаваемых файлов и данных

Данный цикл статей [1] посвящен описанию неочевидных нюансов, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене. Пятая, заключительная, статья цикла описывает некоторые нюансы развертывания и управления DeviceLock Endpoint DLP Suite с использованием возможностей групповых политик домена Active Directory.

Интеграция с Active Directory

Первое, что следует иметь в виду, приступая к интеграции продукта с Active Directory, это то, что политики DeviceLock Endpoint DLP Suite являются политиками компьютеров, а не политиками пользователей. Например, если вы захотите привязать применение файла настроек агента DeviceLock не к компьютеру, а к пользователю – то есть чтобы настройки подгружались на рабочую станцию, на которой он сделал log-on, когда он делает log-on, – вы потерпите неудачу.

Иными словами, для распространения настроек применяются GPO, и в списки безопасности GPO включаются только имена компьютеров/групп компьютеров (к слову, файл настроек не захочет прикрепляться к GPO, если на машине администратора домена, который производит операцию, стоит не та версия программы, в которой создан файл настроек).

Если в домене вы будете использовать несколько GPO с разными настройками DeviceLock и фильтры безопасности этих GPO будут накладываться, помните о двух вещах:

  • порядок применения GPO;
  • тот факт, что значение строки настроек DeviceLock «Not Configured» при применении таких настроек поверх других настроек ведет к сохранению ранее имевшегося значения этой строки настроек, то есть, если к машине с агентом DeviceLock будет применен GPO с файлом настроек «все доступы запретить», а затем GPO с файлом настроек «все доступы – Not Configured», запреты сохранятся.

Профили доступа доменных групп пользователей к устройствам задаются в настройках агентов DeviceLock, например, указывается, что группе Floppy_Allow (условное название) не блокируется доступ к дискетам. Доступы конкретных пользователей задаются их членством в доменных группах пользователей.

Таким образом, на первом этапе можно ко всем компьютерам домена применить GPO, определяющий настройки агента DeviceLock. Затем можно установить сам агент. Способов установки множество, в том числе также через групповые политики домена AD.

К установленным агентам по прошествии периода репликации применятся заданные ранее для всего домена настройки DeviceLock. В результате пользователи, входящие в группу, например, Floppy_Allow, на каком бы компьютере домена они ни залогинились, получат доступ к дискетам, в то время как те, кто входят в группу, например, Floppy_Deny, ни на одном компьютере домена не смогут открыть дискету.

К слову, если пользователь окажется членом обоих групп, будет действовать стандартный для AD приоритет запрета. Но вот если пользователь находится в группах, одна из которых разрешает полный доступ к устройству (чтение и запись), а другая разрешает неполный (только чтение), включается уже внутренняя логика DeviceLock – давать приоритет тому набору разрешений, где разрешений больше. Не забудьте эту особенность программы!

Такой подход очень удобен, он позволяет использовать архитектуру, ориентированную на пользователя, а не на рабочую станцию, и соответственно за счет создания единообразной среды для пользователей обеспечивает большую мобильность пользователей внутри компании.

Необходимость создания нескольких сегментов рабочих станций с разной строгостью доступа к внешним устройствам или каналам сетевых коммуникаций решается, например, выделением нескольких Organization Unit (OU), к каждому из которых будет применен свой GPO со своими настройками DeviceLock.

Тогда, не трогая структуру доменных групп пользователей, заданием разных настроек доступа для групп в разных файлах настроек можно добиться того, что у пользователя, имеющего полный доступ к дискетам на компьютерах в одном OU, будет ограниченный (только чтение) доступ или не будет его вообще на компьютерах в другом OU.

Таким образом, комплексное использование AD для управления доступами пользователей к любым каналам утечки информации, контролируемым средствами DeviceLock, будет предусматривать:

  • Объект групповой политики, примененный ко всему домену, предписывающий установку агентов DeviceLock.
  • Объект групповой политики, примененный ко всему домену, либо несколько объектов групповой политики, примененных к нескольким организационным единицам домена, предписывающий(ие) применение агентами DeviceLock тех или ин=ых настроек доступа доменных групп пользователей к устройствам и сетевым протоколам.
  • Доменные группы пользователей, прописанные в применяемых с помощью объектов групповой политики настройках агентов DeviceLock.

При реализации такой схемы для включения или отключения доступов пользователей по поступающим от пользователей авторизованным заявкам достаточно включать/исключать их учетные записи в доменные группы/из доменных групп. После изменения членства пользователя в группах всегда будет требоваться, чтобы сессия его учетной записи была завершена (log-off) и начата заново (log-on). В противном случае изменения прав доступа не вступят в силу даже по прошествии периода репликации доменной политики, поскольку только при завершении сессии учетной записи пользователя обновляется ее Security Descriptor.

В связи с тем, что могут возникать ситуации, когда требуется немедленная блокировка доступа учетной записи к устройству или сетевому протоколу, у администратора безопасности должна быть возможность локально изменить настройки агента (удалить, соединившись с агентом DeviceLock на конкретной машине, из списка доступа к устройству доменную группу/группы, в которую/которые входит пользователь). Для того чтобы такая возможность сохранялась, необходимо снять в настройках DeviceLock галочку с параметра Override Local Policy.

Обратите внимание, что эта настройка видна только в интерфейсе DeviceLock Service Settings Editor. При подключении консолью DeviceLock Management Console к агенту DeviceLock эта настройка не видна, но в зависимости от ее статуса администратор либо сможет, либо не сможет локально изменить настройки, залитые на машину объектом групповой политики.

Чтобы только закрытый список администраторов мог производить такие изменения, необходимо, чтобы Default Security агента была отключена, и административный доступ к нему был дан только списку учетных записей пользователей/групп в настройке DeviceLock Administrators.

На этапе развертывания возможен смешанный режим, когда агент устанавливается на компьютеры в ручном режиме (через DeviceLock Enterprise Manager) и им же ему прописываются настройки.

Удобен и альтернативный вариант – развертывание агентов по корпоративной сети путем распространения заранее сконфигурированных файлов MSI, содержащих уже заданные политики доступа. При этом в настройках ставится флаг Use Group Policy и снимается флаг Override Local Policy.

В результате, когда компьютер окажется включен в список фильтрации GPO с новыми настройками, настройки автоматически сменятся по прошествии времени репликации либо после gpudate /force и перезагрузки, либо после двух перезагрузок (это обеспечит флаг Use Group Policy), но после этого у администратора безопасности останется возможность быстро изменить настройки до следующей репликации (снятый флаг Override Local Policy). Последнее может оказаться актуальным, когда доступ сотруднику требуется заблокировать немедленно, но делать ему насильный log-off или перезагрузку нельзя.

На время развертывания в DeviceLock предусмотрено включение в настройки доступа специальной учетной записи Everyone. При нажатии кнопки Default Settings список разрешений наполняется специальной учетной записью Everyone и локальными группами Users и Administrators. Последние две можно смело удалить, а Everyone сохранить с настройками доступа – все разрешить.

Можно сделать два файла настроек, отличающихся одной строкой в списке разрешений для каждого устройства – в одном будут перечислены, например, группы Deny_All, Allow_Read, Allow_All – он станет применяться для выборочной блокировки доступов. Во втором будут перечислены Deny_All, Allow_Read, Allow_All, Everyone (последняя – в режиме – все разрешить), в результате всем, кроме тех, кому явно запрещено все, все будет разрешено.

***

Продукт DeviceLock Endpoint DLP Suite отличается обширными настройками, позволяющими гибко настроить работу всех компонентов и обеспечить контроль практически всех потенциальных каналов утечки данных. Нужно сказать, что для решения стандартного набора задач мониторинга, возложенных на подразделение информационной безопасности, большинство возможностей, которые предоставляют настройки, никогда не будет задействовано.

Также продукт показал высокую надежность. За более чем год работы агентов на более чем 1000 компьютеров случаи, когда агент занимал большое количество памяти или прекращал откликаться на внешние воздействия, были единичными. Случаи относились в основном к проблемным компьютерам: с нестандартными конфигурациями, с поврежденными ветвями реестра, с проблемами в работе и других приложений.

Из недостатков хотел бы отметить не слишком широкий список криптографических средств, зашифрованные с помощью которых носители распознаются программой. Впрочем, насколько известно автору, список поддерживаемых криптосредств будет последовательно расширяться.

Также для отдельных специфических задач не хватает предусмотренных программой функций, но все они, насколько известно автору, планируются к внедрению в будущих версиях. К ним относятся: расширения списка интерфейсов синхронизации, которые контролируются (требуют добавления, по крайней мере Symbian и Android); добавление к модулю Monitoring сервера функции установки агентов на машины, где агенты отсутствуют.

  1. Кузьминов И. DLP-системы DeviceLock в банках. //«Системный администратор», №№3-6, 2012 г.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru