DeviceLock

АНДРЕЙ БЕШКОВ

Devicelock

В последнее время все больше людей, работающих в сфере ИТ, задумываются о безопасности. Все же недавние вирусные эпидемии и постоянные взломы тех или иных сайтов поневоле привлекают к себе внимание. В связи с этим очень четко прослеживается тенденция роста рынка услуг, тем или иным образом связанных с безопасностью. Больше всего бросается в глаза разнообразие видов брандмауэров и антивирусных систем. Практически каждое печатное и электронное издание, причастное к ИТ-тематике, посчитало необходимым рассказать либо о первом, либо о втором виде продуктов. Благодаря такому мощному потоку информации методы борьбы с внешними злоумышленниками всеми нами заучены практически наизусть. Любой мало-мальски сведущий в этом вопросе человек расскажет, что для защиты внутренней сети лучше всего вынести сервера, предоставляющие публичные сервисы, в демилитаризованные сети. А на всех шлюзах в корпоративную сеть и Интернет в зависимости от денежных средств, выделенных нам для этих целей, нужно обязательно поставить брандмауэр аппаратной или программной реализации. Ну а с вирусами мы будем бороться, проверяя, где возможно, потоки данных с помощью антивирусного программного обеспечения. Кроме описанных выше, существует еще некоторое количество добавочных мероприятий, позволяющих повысить степень безопасности наших систем. У каждого из них свои проценты полезности и соотношение между ценой и качеством.

За всем этим валом правдивой, иногда не очень, а бывает, и откровенно рекламной информации скрывается один интересный факт – большинство описываемых средств предназначены для защиты от внешних злоумышленников. На первый взгляд это естественно, но если подойти к вопросу без излишней спешки и проанализировать доступные факты, то получится, что, в соответствии с последней статистикой, восемьдесят процентов инцидентов происходят по вине людей, находящихся внутри охраняемой сети, и только двадцать процентов приходится на внешние угрозы.

К сожалению, с внутренними угрозами безопасности все не так просто. Достаточно часто складывается такое положение дел, что сотрудники организации по умолчанию получают слишком большие полномочия, которые совершенно излишни для выполнения их ежедневных обязанностей. Таким образом, получается, что внутри объекта, тщательно защищаемого снаружи, образуется никем не контролируемый источник проблем. Можно защитить сервера, находящиеся внутри корпоративной сети, с помощью внутренних брандмауэров, но их использование приводит к дополнительным накладным расходам. Но все равно у обычного пользователя остается довольно большой простор для злонамеренных действий, направленных на локальную систему и системы, находящиеся рядом. Некоторые особо продвинутые реализации брандмауэров могут менять свою схему действий в зависимости от даты и времени. Такой подход, к примеру, помогает реализовать политики, при которых определенным IP-адресам разрешено работать с теми или иными сервисами только по будним дням с 9 часов утра до 17 часов вечера. Основная проблема подобного решения заключается в том, что на одном и том же компьютере могут работать одновременно или поочередно несколько пользователей, и большинство брандмауэров не обучены принимать в расчет этот факт. Так что не стоит считать такой подход панацеей, спасающей от внутренних злоумышленников.

Сегодня я хотел бы рассказать о программе DeviceLock, созданной компанией SmartLine. Эта программа помогает решить часть проблем с безопасностью рабочих мест и, таким образом, повысить общую защищенность сети изнутри. К сожалению, многие пользователи имеют привычку приносить на свое рабочее место программы и данные из посторонних источников. В этом случае никто не может поручиться за отсутствие в них троянских программ и вирусов. Самым простым способом, конечно, было бы изъять все потенциально опасные устройства. Но я думаю, что руководство не одобрит тотального демонтирования CD-ROM, DVD, дисководов и прочих устройств, способных переносить данные между компьютерами в обход локальной сети. Да и большинство пользователей не оценит таких нововведений и запишет вас в черный список заклятых друзей. К тому же есть желание работать спокойно, а не тратить все силы на войну с пользователями, поэтому нужно искать какой-то другой путь. Мне, как и многим другим администраторам, хотелось бы иметь возможность более аккуратно и гибко управлять доступом пользователей к устройствам, установленным в компьютере, чем это позволяет делать административный интерфейс, встроенный в Windows-системы. Также очень хочется, чтобы система безопасности автоматически меняла свои настройки в зависимости от даты и времени. В решении именно таких проблем нам должен помочь DeviceLock. Судя по документации, поставляемой вместе с программой, она может контролировать и разграничивать доступ пользователей к следующим устройствам:

• Дисководы гибких дисков.
• Магнито-оптические дисководы.
• CD-ROM.
• DVD.
• ZIP.
• Все виды устройств, подключаемых через USB.
• Инфракрасный порт.
• Устройства, подключаемые через FireWire.
• Серийные или параллельные порты.
• BlueTooth и WiFi-адаптеры.
• Накопители на магнитных лентах.

Заинтересовавшись этой программой, я отправился на сайт http://www.protect-me.com/ru/dl/download.html и скачал 30 дневную пробную версию. От платной она ничем не отличается, кроме временного ограничения и изредка появляющегося на экране напоминания с предложением зарегистрироваться. Итак, дистрибутив размером в 1.6 Мб был довольно быстро скачан. После чтения документации, которую можно взять на том же сайте, было выяснено, что программа предназначена для работы в системах Windows NT/2000/XP/2003. Для машин, функционирующих под управлением версий Windows 9x и Windows Millenium, требуется DeviceLock Millennium Edition. Для проведения тестов были выбраны две машины: одна с Windows 2000 Professional, а вторая с Windows Server 2003. Пришло время пробовать, какова на вкус эта новинка. Инсталляция прошла легко и без каких-либо проблем. Комплект DeviceLock состоит из двух частей:

• DeviceLock Service – сервис, предоставляющий интерфейс локального или удаленного управления DeviceLock.
• DeviceLock Manager – программа, позволяющая системному администратору управлять всем комплексом.

Поэтому стоит обратить внимание на один интересный момент: если во время установки выбрать вариант «custom», то появится возможность поставить на машину только DeviceLock Service без DeviceLock Manager. Таким образом, на пользовательских машинах можно расставить только сервис, отвечающий за разграничение полномочий, а управлять всем этим хозяйством через сеть с помощью менеджера. Также доступен режим с автоматической локальной инсталляцией. Чтобы воспользоваться этой возможностью, нужно положить в директорию с дистрибутивом файл devicelock.ini и запустить программу установки с ключом -s. Такой подход позволит поручить процедуру обхода пользовательских машин и установку программы младшему администратору без риска, что он может случайно сделать что-то не так. Более подробно почитать о том, каков формат файла devicelock.ini и что нужно в него записать, можно в прилагаемой к программе и доступной на сайте документации. Ну а для тех, кто умеет работать с Microsoft Systems Management Server (SMS), есть вариант автоматической установки программного обеспечения на целевые машины через сеть.

Кстати, стоит отметить очень хорошее качество документации, взятой с сайта, а вот то, что поставляется в пакете с программой в качестве встроенной системы помощи, выглядит весьма скудно. Надеюсь, в ближайшей версии разработчики исправят этот досадный недостаток. По окончании инсталляции программа выводит на экран вот такой диалог.

В котором можно выбрать настройки по умолчанию. На первый взгляд, они выглядят довольно разумно. После завершения инсталляции можно увидеть, что в системе появилась новая служба.

Первый запуск утилиты особых сюрпризов не приносит, так как интерфейс программы понятен и прост: слева – дерево машин, справа – список устройств.

Ну что же, давайте для начала запретим пользователю «Петров» работать с CD-ROM в обеденный перерыв по будним дням и на весь день по субботам и воскресеньям. Делается это просто: выбираем нужное устройство и нажимаем на значок ключа с биркой. В ответ получаем диалог с настройками безопасности для данного устройства. Жмем кнопку «+ Add» и в появившемся списке выбираем нужных пользователей поодиночке или группами.

На следующем экране слева список групп и пользователей, для которых в наборе правил безопасности есть записи, касающиеся устройства CD-ROM. Выбираем нашего многострадального пользователя «Петров» и с помощью мыши расставляем на календаре метки, указывающие, когда во время недельного цикла доступ должен быть отключен. К сожалению, автор программы не предусмотрел кнопок, позволяющих одним нажатием запретить или разрешить целый день. Надеюсь, в следующей версии это будет исправлено, а пока придется занудно щелкать мышью.

Также обратите внимание на опцию «Allow eject» – с ее помощью можно запретить пользователю вынимать диск из CD-привода. Для устройств, на которые можно записывать данные, доступна опция «Allow Format», позволяющая запретить пользователю выполнять действия по форматированию устройства. Таким образом, можно защитить данные от случайного уничтожения не в меру любопытными пользователями. Закончив раздавать права, можно посмотреть, как только что выставленный запрет будет выглядеть с точки зрения подопытного пользователя. Говорим системе, что сегодня «Суббота», или устанавливаем часы на обеденное время и пытаемся получить доступ к CD-ROM от имени пользователя «Петров».

Как видите, в этом временном интервале наш запрет действует надежнее любого замка, а как только часы перейдут в разрешенный диапазон, пользователь снова сможет работать с CD-ROM.

Также, кроме всего прочего, хотелось бы отметить очень полезное свойство программы, позволяющее легко и надежно разграничить полномочия пользователей при работе с FireWire и USB-портами. К сожалению, стандартными средствами администрирования Windows решить эту проблему невозможно, потому что для добавления в систему вышеуказанных устройств не требуется иметь каких либо особых привилегий, а это значит, что любой мало-мальски грамотный пользователь может подключить свои собственные устройства и спокойно уносить домой корпоративные документы. В отсутствии DeviceLock единственным надежным решением было бы полное отключение таких портов, но как я уже говорил выше, нам такой вариант не подходит.

Наигравшись вдоволь с разными комбинациями правил, я решил проверить, насколько удобным будет применение DeviceLock в масштабе предприятия. Часто случается так, что в организации есть некоторое количество машин, которыми пользуется определенный круг работников, и все они должны быть настроены примерно одинаково. Для малой сети из нескольких машин описать все правила для всех пользователей на каждом компьютере – процедура не особенно приятная, хотя ради обеспечения собственного дальнейшего спокойствия можно и потерпеть. В крайнем случае это неблагодарное занятие можно поручить тому же младшему администратору. А вот в средних или больших сетях такое мероприятие может превратиться в продолжительную пытку. И самое главное неудобство кроется в повседневном обслуживании такой системы. С течением времени одни люди увольняются, а других нанимают на освободившиеся должности. Неужели из-за этого придется удалять или модифицировать вручную на всех компьютерах правила, касающиеся конкретного пользователя? Вот тут-то на сцену выходит одна из самых мощных способностей DeviceLock, называемая batch permissions. С ее помощью мы за несколько минут решим эту проблему. Для того чтобы воспользоваться этой возможностью, жмем кнопку с изображением двух ключей или проходим через меню «File –> Batch Permission». В появившемся диалоге добавляем в список компьютеры, на которые нужно скопировать создаваемые правила.

Стоит отметить, что список машин можно создать с помощью графического интерфейса или загрузить из предварительно созданного файла. Следующим шагом создаем список пользователей, на которых будут распространяться наши правила. Затем помечаем галочками нужные устройства, настраиваем временные интервалы, разрешения и прочие опции. Нажав кнопку «Set permissions», наслаждаемся процессом. Обратите внимание на опцию «Install/Update Service», она очень полезна для нас, если во время копирования правил на целевой машине будет найдена устаревшая версия DeviceLock Service, то программа выполнит всю черную работу за нас, и нужный компонент будет обновлен до текущей версии.

В течение нескольких дней, когда я самыми разными способами тестировал работу Batch permisions, была замечена всего одна ошибка. Видимо, во время копирования правил через сеть, что-то пошло не так, и я получил вот такую ошибку.

Судя по надписи, сработала защита от ошибок RPC, и никаких критичных действий выполнено не было. Повторный запуск процедуры завершился удачно. Кроме вышеописанной ошибки никаких других проблем обнаружено не было. Отдельным словом благодарности стоит отметить удобство управления сервисами DeviceLock работающими на удаленных машинах. Два раза щелкнув на имени компьютера, который нужно настроить, и введя пароль, можно управлять им так же просто, как и локальным. Кажется, что иногда можно даже запутаться и забыть, какой именно машиной мы сейчас управляем, но, как ни странно, этого не происходит.

В целом можно считать, что программа показалась мне довольно приятным в обращении и полезным инструментом. Используя ее с умом, системный администратор сможет добавить в структуру безопасности предприятия удобный в обращении, достаточно надежный и простой в обслуживании слой защиты. Надеюсь, короткий экскурс, предпринятый мной с целью изучения и описания возможностей DeviceLock, был вам интересен.

Комментарии могут оставлять только зарегистрированные пользователи