На конференции «Обеспечение безопасного доступа к корпоративным ресурсам», состоявшейся в конце сентября в рамках выставки SofTool 2004, одним из докладчиков были приведены сведения, характеризующие степень уязвимости информации от внешних и внутренних факторов. При этом самые популярные причины утраты или рассекречивания конфиденциальной информации - вирусные атаки - оценивались как весьма незначительные. Оценка ущерба от проникновения вирусов, по представленным данным, составляет не более 5%. А ущерб от взлома корпоративной сети хакерами и того меньше.
Все остальные потери, т. е. большая часть, зависят от внутренних причин - сбоев в электропитании и ошибок персонала. На их долю приходится три четверти всех потерь. Как бы ни были строги правила работы с информацией, но если человек с ней работает, он должен получить к ней доступ. Для ограничения доступа к конфиденциальной информации создаются внутрикорпоративные политики безопасности, разграничиваются права. Но что можно сделать, если в современных компьютерах столько возможностей и столько дополнительных устройств к ним можно подключить без разрешения системного администратора? А бывает и еще проще: принесет человек из дома дискету, флэш или компакт-диск, скопирует информацию на свой компьютер - и пойдет «гулять» по локальной сети новый вирус.
Единственный выход - взять под контроль все периферийные устройства, подключаемые к компьютеру, все порты, через которые что-либо может быть подключено, и все дополнительные платы, обеспечивающие беспроводное соединение с внешними устройствами. Существует радикальный способ - изъять по возможности из всех компьютеров периферийные устройства и платы расширения, отключить в BIOS доступ к таким устройствам и запретить пользователю самостоятельно что-либо менять. Возможно, для небольших организаций, где компьютеров мало, такой вариант и подойдет, но представьте себе, какие усилия потребуются от системного администратора, чтобы выполнить эту работу в организации, имеющей 200 и более компьютеров. И всегда найдутся рабочие места, где невозможно полностью отключить внешние устройства просто в силу специфики выполняемых работ.
Все под контроль
Наиболее удобным и правильным будет вариант централизованного управления периферийными устройствами компьютеров, входящих в состав локальной сети организации, и осуществить это можно на программном уровне. Такое решение предлагает компания SmartLine (www.smartline.ru). Ее программный продукт DeviceLock, который мы уже рассматривали, предназначен для контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows NT/2000/XP и Windows Server 2003. Существует также версия для устаревших систем - Windows 95/98/Me, но эта версия имеет ряд ограничений (например, не поддерживается работа с портами USB и FireWire). DeviceLock позволяет назначать права доступа для пользователей и групп пользователей, контролировать доступ к дисководам, CD-ROM, принтерным и модемным портам и любым другим устройствам. В последней версии программы усовершенствованы возможности по работе с ключами USB, в том числе компании «Актив» (Token.ru). Для каждого пользователя могут быть установлены различные права доступа к устройствам. Однако следует признать, что по не совсем понятным причинам программа, к сожалению, пока не снабжена русифицированным интерфейсом.
Новая версия — новые возможности
А начнем мы рассматривать этот продукт с его установки. Дистрибутив занимает немногим менее 2 Мбайт, поэтому вполне доступен для загрузки при любом варианте подключения к Internet. Если вы устанавливаете программу на личный компьютер, выбирайте режим Typical, при котором будут установлены как ядро программы (DeviceLock Service, выполняющий задачи управления доступом), так и административная часть (DeviceLock Manager - программа, позволяющая выполнять настройки комплекса).
Точно так же производится первоначальная установка программы и в локальной сети. Желательно, чтобы системный администратор выполнял ее на том компьютере, с которого он в дальнейшем будет управлять программой. Дело в том, что на все остальные сетевые компьютеры следует устанавливать только ядро, не давая пользователю возможности самостоятельно менять его настройки. А если учесть, что программа может устанавливаться централизованно администратором сети, в том числе с помощью системы управления программным обеспечением Microsoft Systems Management Server (SMS), то пользователь о ее наличии на компьютере и знать не должен.
Существует еще один вариант установки, который разработчики пока еще не реализовали, но уже включили в новую версию, находящуюся сейчас в стадии тестирования. Можно задействовать систему безопасности домена и устанавливать программы на компьютеры пользователей через нее. Для этого лишь требуется, чтобы дистрибутив был оформлен в виде пакета для установки msi.
DeviceLock использует технологию Remote Procedure Call (RPC) для обеспечения связи между службой и административной частью. Для аутентификации используется стандартная подсистема защиты операционной системы. Служба защиты DeviceLock при установке интегрируется в подсистему контроля доступа операционной системы, поэтому доступ к удаленному компьютеру с установленной программой может быть осуществлен только пользователями, имеющими права администратора.
Но вот программа установлена, можно приступить к настройке прав доступа. Но прежде чем это делать, рекомендуется создать отчет о существующих правах доступа к имеющимся устройствам (см. экран 1.). Это позволит администратору не обходить все компьютеры организации, чтобы описать их комплектность, а получить информацию на рабочем месте. В список не войдут USB-устройства, подключавшиеся к тому или иному компьютеру ранее.
![]() |
Экран 1. Список устройств, подключенных к компьютеру |
Каждому свое
Давайте условно разделим контролируемые устройства на несколько типов. К первому отнесем такие устройства, как дисководы, жесткие диски, магнитооптические и CD-приводы, стримеры, ZIP, подключаемые не через USB-порты. Ко второй группе можно отнести дополнительные адаптеры (WiFi, Bluetooth, FireWire, инфракрасные порты) и внешние порты (параллельные и последовательные). Третья группа - USB-порты и устройства, подключаемые через них. Почему предлагается произвести такое деление? Для каждой из перечисленных групп существуют особые нюансы в настройках прав доступа и действий, которые пользователи могут выполнять.
Запустим программу-менеджер и выберем в открывшемся в левой панели списке компьютеров локальной сети тот, для устройств которого собираемся назначить права (лучше всего первоначально делать это для локального компьютера, на котором выполняется работа). В правой части окна программы появится список доступных устройств. Существует два режима его просмотра - только имеющиеся устройства либо все возможные. Настройки можно выполнять и для не установленных пока на компьютере устройств, так сказать, «на будущее». Разберем особенности настройки прав доступа к устройствам первого типа.
Выберем, к примеру, дисковод. Откроем окно настройки ограничений. В левой части окна представлен список пользователей, зарегистрированных на данном компьютере. Но этот список можно расширить за счет добавления пользователей домена, в котором зарегистрирован данный компьютер. Для каждого пользователя (или группы пользователей) можно установить свои р. Прежде всего устанавливаются интервалы времени, когда возможен доступ к устройству (см. экран 2). Затем выбирается тип доступа - «Полный контроль», «Только чтение» или «Нет доступа». Для первых двух типов доступа можно дополнительно установить ограничение на форматирование дискеты и на программное извлечение дискеты из дисковода - его можно запретить. Запрет на извлечение носителя данных из устройства, естественно, распространяется только на программное управление, а не на реальные кнопки на самом устройстве. Выполненные настройки будут распространяться на все дисководы, установленные на компьютере, независимо от того, для какого из них они выполнялись.
![]() |
Экран 2. Наложение ограничений доступа по времени |
Для жестких дисков в качестве дополнительного параметра можно установить запрет на форматирование, для приводов CD-ROM - программное извлечение диска из привода, для съемных дисков - запрет форматирования и извлечения из привода. Для восстановления первоначальных настроек можно воспользоваться соответствующей кнопкой управления. Кроме того, DeviceLockR позволяет блокировать программы записи CD/DVD (такие, как Roxio Easy Media Creator), которые используют нестандартные драйверы.
Для второй группы устройств настройка заключается в определении прав доступа; дополнительных функций нет, за исключением возможности дополнительного контроля работы подключенного модема и устройства FireWire. При выполнении настроек следует помнить, что если они выполняются при наличии соединения, например по Wi-Fi, то новые ограничения начнут действовать только с новой сессии.
Несколько сложнее обстоит дело с настройкой ограничений доступа к устройствам, подключаемым через порты USB. Можно отключить доступ к этим портам полностью. Но это неверное решение - через порт может быть подключено, например, устройство для чтения смарт-карт. Поэтому процесс настройки осуществить сложнее. Здесь может быть несколько вариантов. Первый - использовать кнопку Security Settings. В открывающемся при нажатии этой кнопки окне можно настроить права на использование таких устройств, как клавиатура, мышь, принтер, сканер и некоторые другие устройства, подключаемые через USB-порты. Если указать требуемые устройства, то программа будет осуществлять управление доступом к ним. Если никакие устройства не выбраны, то даже при запрете использования портов USB устройства, перечисленные в окне Security Settings, будут работать в обычном режиме.
Второй вариант - создание «белого списка» устройств, подключаемых через USB-порт, которые будут работать при наличии любых иных запретов (см. экран 3.). Этот вариант похож на предыдущий. Отличие заключается в том, что в первом случае разрешается работать со всеми устройствами определенного типа (например, принтерами), во втором случае определяется конкретный тип устройств (например, модель принтера или ридера для смарт-карт). Список разрешенных устройств можно сформировать как из перечня ранее подключавшегося к компьютеру оборудования, так и указав устройства в текстовом файле. Сформированный перечень можно сохранить и тиражировать его на другие компьютеры.
![]() |
Экран 3. Список устройств, доступ к которым разрешен |
Для всех и сразу
Сделав настройки и сохранив их, мы получили возможность управлять доступом на одном из компьютеров. А что дальше? Хорошо, если в сети 10-20 машин. Можно выполнить настройку каждого из компьютеров, хотя это и неудобно. Но если сеть значительно больше, производить настройку индивидуально придется очень долго. Впрочем, разработчики программы предложили вариант установки ограничений сразу на несколько компьютеров (см. экран 4).
![]() |
Экран 4. Установка ограничений с помощью пакетного файла |
Установка параметров доступа для такого пакетного варианта повторяет действия, описанные ранее для других вариантов. Отличие заключается в том, что формируется список компьютеров, для которых будет выполняться настройка, и формируется список пользователей. Для каждого типа оборудования назначаются необходимые ограничения. Нажимается кнопка Set Permission, и ваши настройки прописываются на все указанные компьютеры. Следует иметь в виду, что при этом все установки, имевшиеся до этого на компьютерах, заменяются на новые. Вариантов настроек для группы может быть подготовлено несколько, в зависимости от структуры компании, существующей политики безопасности и других условий. После установки общих ограничений в пакетном режиме из интерфейса программы можно подключиться к ядру, установленному на удаленном компьютере, и выполнить, если потребуется, окончательную настройку параметров безопасности.
В целом следует признать, что функции дополнительного управления периферийными устройствами и различными портами, предлагаемые продуктом компании SmartLine, могут быть востребованы администраторами локальных сетей, которые хотели бы держать под контролем все пути возможной утечки конфиденциальной информации.
Михаил Брод (mbrod@exler.ru) - технический обозреватель