Только представьте себе, насколько просто кому-нибудь из сотрудников скопировать большой объем конфиденциальных данных на устройство iPod или накопитель USB.
Решения для борьбы с утечками данных помешают недобросовестным пользователям унести из компании важнейшие данные, а также предотвратят заражение сети опасными программами изнутри.
Чем поможет Microsoft?
Полагаясь только на Windows, трудно организовать детальное управление блокировкой устройств и портов. В Windows Server 2003 и Windows XP нельзя назначать разрешения для портов USB и FireWire или адаптеров Wi-Fi и Bluetooth и невозможно управлять устройствами Wi-Fi, Bluetooth, USB и FireWire через групповую политику.
Конечно, можно отключить порты или задать доступ только для чтения, но это максимальный уровень детализации. В Windows Vista и Windows 7 существует возможность блокировать USB-порты и применять политики, но эти обновленные операционные системы есть не у всех.
Решения сторонних поставщиков
Превосходные решения для управления устройствами входят в состав известных комплексов обеспечения безопасности или управления рабочими системами, в том числе от компаний ControlGuard, ManageEngine, NextLabs, Novell, ScriptLogic, SkyRecon, Sophos и Symantec. Но существуют ли решения с меньшими требованиями к ресурсам?
В нашем совершенно ненаучном исследовании рассмотрены более десятка решений управления устройствами (информация о продуктах приведена в таблице). Мы надеемся, что эти решения удастся внедрить без серьезного дополнительного обучения или консультаций.
Принципы работы
Многие решения для управления устройствами устанавливают агентскую программу на компьютере пользователя. Обычно администратор может блокировать или разрешать использование устройств и портов с помощью политик, активизируемых на компьютерах сотрудников. Как правило, создаются белые списки разрешенных устройств и/или разрешенных пользователей, хотя в некоторых решениях предусмотрены и черные списки.
Если решение интегрируется с Active Directory (AD), агент запрашивает AD при регистрации пользователя и, соответственно, устанавливает разрешения на различных системах. Если пользователь не является членом группы, которой разрешен доступ к определенному устройству или набору устройств, то доступ блокируется.
В зависимости от уровня потребностей пользователей, иногда приходится применять решения с очень глубокой детализацией, например разрешить один флэш-накопитель, но запретить другие или указать типы файлов, к которым пользователи могут обращаться и копировать на них данные. Некоторые решения обеспечивают контроль над файлами, передаваемыми между компьютером и разрешенными сменными устройствами.
Важные характеристики
Выбирая решение для управления устройствами, обратите внимание на простоту управления и детальность блокировки. Так как у настольного компьютера может быть восемь USB-портов, наряду с портами других типов, даже малой компании иногда приходится управлять и следить за тысячами портов, поэтому полезен визуально простой центральный интерфейс управления. А учитывая сложность структуры большинства компаний и необходимость соответствовать отраслевым, федеральным и штатным нормативным актам, важен уровень детализации управления. В настоящее время недостаточно просто запретить все устройства или все порты.
Для многих компаний важна интеграция с AD и объектами групповой политики. Наконец, рассматривая различные решения, полезно выяснить, автоматически или вручную устанавливается агент (если он применяется), как группируются компьютеры (в группах безопасности, организационных единицах или с использованием других способов классификации), насколько качественны и разнообразны отчеты.
Обратите внимание, что для многих, если не для большинства продуктов требуется хранилище данных на сервере, такое как Microsoft SQL Server. Кроме того, многие продукты обеспечивают установку без участия оператора или функционируют в скрытом режиме, так что сотрудники не знают о применяемых к ним активных ограничениях. Необходимость такого режима зависит от нужд компании.
Мы живем в мире USB
В идеальном мире можно было бы выполнить инвентаризацию всех конфиденциальных данных, сохранить все важнейшие файлы в сетевом хранилище, убрав их с отдельных компьютеров, и усилить контроль доступа к локальным хранилищам, а пользователи никогда не приносили бы на работу флэш-накопителей, устройств iPod и PDA. Но в реальности игнорировать такие устройства — значит рисковать данными, потеря которых может привести не только к ущербу репутации, судебным разбирательствам и финансовым затратам, но и просто испортить людям жизнь.
Каролин Марвиц (cmarwitz@windowsitpro.com) — помощник редактора в Windows IT Pro и SQL Server Magazine
Таблица. Безопасность конечных точек USB