Блокируем внешние устройства с помощью GFI LANguard P.S.C.

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Блокируем внешние устройства с помощью GFI LANguard P.S.C.

Сегодня доступно большое количество разнообразных устройств, которые могут быть использованы для хранения и переноса данных. Здесь и флэшки, MP3плееры, КПК, цифровые фотоаппараты и прочее. Если не принять никаких специальных мер, пользователь может беспрепятственно записывать информацию на сменные носители или устанавливать ненужные программы.

Несмотря на то что пользователь может выносить информацию и с благими намерениями, например, чтобы доделать работу на дому, все равно такие случаи должны полностью контролироваться. Иначе важная информация может случайно оказаться у конкурентов. События последних лет, когда проводки банков можно свободно приобрести в Интернете, подтверждают, что это не призрачная, а вполне реальная угроза. Поэтому наряду с организационными мероприятиями (в первую очередь это запрет использования таких устройств на рабочем месте) необходим полный контроль за работой таких устройств. В большинстве случаев их физическое отключение не всегда приемлемо. Например, оборудование может требоваться при переносе подготовленных презентаций или системный блок находится на гарантии. Некоторые специалисты просто отключают сервисы «Plug and Play», «Bluetooth Support Service», «Windows Installer», «Службу COM-записи компакт-диском IMAPI», «Смарт-карт» и «Съемные ЗУ» или устройства через BIOS. Но такой подход все равно не будет оптимальным выходом из положения и требует в том числе физического присутствия администратора. Поэтому более удобным является блокировка устройств при помощи специализированных утилит. Поиск в Интернете даст большое количество ссылок на такие программы, отличающиеся возможностями и лицензией. Сегодня пойдет речь о GFI LANguard Portable Storage Control, продукте компании GFI Software Ltd, известной своими разнообразными решениями, предназначенными для защиты информации.

Использование GFI LANguard P.S.C.

Для управления доступом на компьютере устанавливается автономный агент. Он занимает в ОЗУ 1.2 Мб, и о его наличии пользователь, скорее всего, знать не будет. Для удобства развертывания в больших сетях в дистрибутив включен специальный инструмент, позволяющий удаленно установить агентов несколькими щелчками мыши. Во время установки выбирается вид управления доступом пользователя (user access control) локальный или централизованный, в том числе с использованием Active Directory (рис. 1). Дополнительно можно создать группы контроля, позволяющие более гибко определять доступ к различным классам устройств (GFI_LPSC_REMOVABLE, GFI_LPSC_CDDVD, GFI_LPSC_FLOPPY). Интересно, что в зависимости от настроек программы пользователям, входящим в эти группы, может как предоставляться, так и запрещаться доступ. То есть если необходимо ограничить большинство пользователей, то указываются только те, которым он разрешен. Но если, например, в интернет-кафе необходимо закрыть доступ только для учетной записи «Гость», то удобнее поступить наоборот.

Рисунок 1. Программа может использовать Active Directory

Теперь, когда пользователь регистрируется в системе, агент производит опрос Active Directory или локальных настроек на предмет наличия у него разрешений, позволяющих работать с устройствами. Если пользователь не является членом соответствующей группы, доступ будет блокирован.

На сайте проекта [1] доступна полнофункциональная версия GFI LANguard P.S.C., которая становится freeware по истечении 30-дневного срока или если не введен 60-дневный тестовый ключ. Последний будет автоматически прислан на ваш почтовый ящик. Свободная версия позволяет полноценно контролировать работу устройств только на 5 компьютерах. Учитывая, что большинство имеющихся свободных утилит работают только с одним компьютером, удаленное управление является несомненным плюсом GFI LANguard P.S.C. Для свободной версии не доступна официальная поддержка компании, только user-to-user на форуме http://forums.gfi.com.

Системные требования Windows 2000/2003 или XP. Естественно, пользователь не должен иметь на локальном компьютере привилегий администратора, иначе ему ничего не стоит убить процесс в списке задач.

Программа имеет простой и понятный интерфейс (рис. 2). Слева находится «Tools Explorer», при помощи которого выбираются устройства, справа выводятся доступные опции. Для того чтобы настроить доступ к устройству, находим его в списке и внизу появившегося окна нажимаем кнопку Add. Теперь выбираем тип объекта, его местонахождение и имена объектов. В качестве последнего можно использовать:

• Выводимое имя – Иван Иванович.
• Имя объекта – accounting_computer.
• Имя пользователя – chief.
• Имя объекта и имя домена – chief@su-percompany.com или supercompany.comchief.

Рисунок 2. GFI LANguard P.S.C. имеет простой и понятный интерфейс

Если необходимо указать сразу несколько объектов, прописываем их через точку с запятой. Для удобства во вкладке «Дополнительно» реализована возможность поиска пользователей в указанном месте. Для проверки правильности ввода имен объектов воспользуйтесь кнопкой «Проверить имена». В последнем случае будут выведены неправильно введенные имена, и утилита предложит исправить информацию либо удалить неправильный объект из списка. После выбора всех объектов указываем, какое действие должен предпринять агент при попытке получения доступа к устройству. Установка флажка в пункте «Allow only the users and members of the groups below to access the device» позволит выбранным пользователям и группам получить доступ к устройству. Если же, наоборот, требуется, чтобы перечисленные объекты не могли получить доступ к устройству, выбираем «Allow all users except the users and members of the groups below to access the device». Настройки сохраняются в зашифрованном файле, который теперь необходимо передать на остальные компьютеры.

Для этого переходим к пункту «Tools – Deploy GFI LANguard P.S.C. agents tool», указываем компьютеры, на которых будет устанавливаться агент. Здесь вводим либо IP-адрес отдельного компьютера, либо целой сети, можно использовать и предварительно записанные в файл адреса. Во время первой установки выбираем «Deploy the GFI LANguard P.S.C. control access agent(s)». При работе с агентами по умолчанию используются текущие регистрационные данные пользователя, при необходимости здесь же можно указать индивидуальные логин и пароль. Для того чтобы изменения вступили в силу удаленный компьютер следует перезагрузить. В отдельном окне можно написать сообщение, которое будет выведено на экран перед перезагрузкой. После нажатия кнопки Start запустится процесс установки агентов, по окончании которого будет выведен их список. В дальнейшем при обновлении параметров агентов следует использовать пункт «Update configuration settings of the GFI LANguard P.S.C. control access agent(s)».

Как видите, GFI LANguard P.S.C. является простой в настройке программой с хорошей функциональностью. А возможность бесплатного применения в маленьких (до 5 компьютеров) сетях делает ее ценным инструментом для небольших организаций или удаленных офисов.

Приложение

Политика безопасности компании должна:

• определить, кто из служащих будет допущен к использованию переносных устройств хранения информации;
• какую информацию им разрешено сохранять на этих устройствах;
• провести инвентаризацию всех используемых переносных устройств;
• установить правила для посетителей, в том числе использующих свои устройства при проведении презентаций;
• установить стандарты антивирусной защиты и защиты от шпионских программ для сотрудников, использующих домашние или любые другие внешние компьютеры;
• установить стандарты парольной защиты и шифрования данных;
• установить процедуру уведомления обо всех незаконных использованиях таких устройств, а также в случае потери или кражи устройства, в том числе предусмотрев возможное сокрытие этой информации.

Литература, ссылки:

1. Сайт проекта GFI LANguard Portable Storage Control – http://www.gfi.com/lanpsc.
2. Бешков А. DeviceLock. – Журнал «Системный администратор», №3, 2004 г. – 38-41 с (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=03.2004;a=05).
3. FreeWare утилита Lock and Go – http://www.lockngo.com/products/lockngo.