Программный комплекс DeviceLock Endpoint DLP Suite разработки российской компании «Смарт Лайн Инк» предназначен для управления доступом пользователей Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, а также для отслеживания действий пользователей с устройствами и сетевыми протоколами (чтение, запись файлов, форматирование) и контроля содержимого переданных файлов и данных.
Возможности продукта и механизмы управления им подробно описаны на сайте разработчика и в руководстве пользователя. Данная статья в двух частях посвящена описанию неочевидных нюансов, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене. В первой статье цикла описываются особенности архитектуры комплекса и тонкие моменты установки и развертывания DLP-системы DeviceLock Endpoint DLP Suite.
Компоненты
Основными компонентами DeviceLock Endpoint DLP Suite являются DeviceLock Service (далее — агент), включающий в себя модули DeviceLock, NetworkLock и ContentLock, DeviceLock Enterprise Server (далее — сервер), консоли DeviceLock Management Console, DeviceLock Enterprise Manager, DeviceLock Service Settings Editor, DeviceLock GroupPolicy Manager, DeviceLock Signing Tool. DeviceLockContentSecurityServer — дополнительный компонент.
DeviceLock Service — служба на рабочих станциях, которая контролирует доступ к устройствам и каналам сетевых коммуникаций, в том числе с использованием механизмов контентного анализа и фильтрации, ведет журнал активности, отправляет журнал и теневые копии записанных и прочитанных файлов на сервер. Включает модули DeviceLock, Network Lock и ContentLock.
DeviceLock Enterprise Server — служба на сервере, которая собирает данные от агентов, фильтрует собранные данные, выводит их в разных представлениях, а также может осуществлять мониторинг целостности настроек агентов и восстановление нарушенных настроек.
DeviceLock Management Console и DeviceLock Enterprise Manager — консоли управления агентом и сервером, выполненные как оснастки MMC; первая из них предназначена для индивидуальной работы с агентами (например, изменения отдельных настроек агента), вторая — для массовой работы (массовая установка, массовая разливка файла настроек, отчет о настройках, массовое удаление).
DeviceLock Content Security Server — компонент, без которого теневое копирование файлов, прочитанных и записанных пользователями с внешних устройств или на них, было бы нецелесообразным. Компонент позволяет индексировать теневое хранилище, включая в индекс значимые слова. Это позволяет быстро находить файлы в теневом хранилище по ключевым словам, например «конфиденциально».
ContentLock — компонент в составе DeviceLock Service, расширяющий возможности фильтрации файлов по содержимому (контенту). С его помощью можно предписать сохранять журналы операций с файлами и теневые копии файлов, только если эти файлы относятся к тому или иному типу. ContentLock позволяет устанавливать запреты и предписания передачи файлов и данных по ключевым словам и соответствию фрагментов текста в файлах заданным регулярным выражениям. Он включает набор ключевых слов и регулярных выражений, конструктор регулярных выражений, а также встроенный широкий набор готовых контентных групп, которые можно применять для создания политик DLP.
NetworkLock — компонент в составе DeviceLock Service, позволяющий отслеживать содержание сетевой активности или блокировать ее. Он дает возможность запрещать доступ к определенным сайтам, доступ по определенным протоколам, разрешение IP-адресов в адреса URL. Особый интерес для службы информационной безопасности представляет блокировка активности по различным протоколам уровня приложений, например блокировка приложений ICQ, Mail Agent, других служб мгновенной отправки сообщений, социальных сетей, электронной почты и почтовых веб-служб (с раздельным контролем сессий, сообщений и вложений в них) и ряда других сетевых служб.
Установка, совместимость версий, лицензирование
Прежде всего, важно отметить, что все три ключевых компонента DLP-системы DeviceLock — базовый модуль DeviceLock, модули NetworkLock и ContentLock — интегрированы как единое целое в агент DeviceLock и всегда устанавливаются на контролируемые компьютеры, даже если нет соответствующей лицензии на какой-либо из них.
Установка из MSI-файла средствами Windows. Наиболее простым и эффективным способом развертывания DLP-системы DeviceLock является вариант с использованием возможностей групповых политик домена ActiveDirectory, если таковой развернут в инфраструктуре организации. Для установки агента DeviceLock требуется файл DeviceLockService.msi либо DeviceLockServicex64.msi, в зависимости от целевой операционной системы. Устанавливать агенты DeviceLock удобно через применение GPO к доменам, контейнерам, фильтрам. Используемый MSI-файл может быть либо «голым», то есть без установленных настроек (установленный таким способом агент ничего не блокирует, ничего не регистрирует в журнале и не защищен от удаления или изменения из-под любой привилегированной учетной записи), либо со встроенными настройками. MSI-файл со встроенными настройками создается с помощью DeviceLock Service Settings Editor на основе стандартного MSI-файла. Устанавливать «голый» MSI не рекомендуется, поскольку такой агент могут удалить на своих машинах пользователи с привилегированными учетными записями еще до того, как репликацией групповых политик до них «докатятся» настройки.
Установка с помощью консолей управления DeviceLock. Если инфраструктура ActiveDirectory не развернута в организации или ее части, для массовой установки агентов DeviceLock придется использовать DeviceLock Enterprise Manager, а установку на единичных компьютерах проводить через DeviceLock Management Console.
Консоли DeviceLock Enterprise Manager и DeviceLock Management Console для установки агентов на удаленные системы используют упомянутые выше MSI-файлы, а также файлы RemoteInstaller.exe и InstMsiW.exe; при этом файлы DeviceLockRemoteInstaller.exe и InstMsiW.exe используются для запуска удаленной установки с вызовом Windows Installer. В DeviceLock Enterprise Manager можно указать путь к файлам в окне InstallOptions, открывающемся из окна ScanNetwork при выборе модуля InstallService и нажатии кнопки Settings. Там же можно задать фиксированный TCP-порт для работы агента. Последнее очень важно: позднее не удастся изменить этот параметр, задавая новые настройки, и потребуется переустанавливать агент.
Установка из DeviceLock Enterprise Manager происходит по группе компьютеров, которая может задаваться либо списком из файла (при этом внутри домена достаточно неполных имен), либо выбором компьютеров в домене или организационной единице (OU), либо выбором всех компьютеров определенного типа в домене или OU. Последняя функция удобна, если в организации не принята практика именования компьютеров в зависимости от типов. Можно задать установку на все рабочие станции домена, избегая установки на серверы.
При установке с помощью DeviceLock Enterprise Manager и DeviceLock Management Console эти консоли должны быть запущены под учетной записью, входящей в список локальных администраторов на удаленной системе. Можно запустить их от имени привилегированной учетной записи через пункт RunAs контекстного меню исполняемого файла (или ярлыка) в сессии обычной учетной записи, но, если речь идет о доменной учетной записи, ее нужно будет указывать в полной нотации: DomainName\UserName. Это относится ко всем случаям прямого указания учетных записей в DeviceLock.
Совместимость версий
На практике при установке версии DeviceLock 7, о которой идет речь в статье, поверх версии 6.4.1 выяснилось следующее. Во-первых, установка новой версии поверх старой проходит вполне гладко. Во-вторых, обнаружены следующие особенности сочетания компонентов разных версий:
- из старой консоли и DeviceLock Enterprise Manager нельзя соединиться с новым агентами;
- при попытке соединения из новой консоли и DeviceLock Enterprise Manager со старыми агентами запрашивается обновление агента, при отказе соединение не устанавливается;
- старый сервер успешно собирает журналы и теневые файлы от новых агентов;
- новый сервер успешно собирает журналы и теневые файлы со старых агентов;
- при передаче новому серверу базы данных SQL Server, созданной и наполнявшейся старым сервером, в базу успешно добавляются новые таблицы, столбцы, процедуры и доступность всех данных сохраняется;
- старые установщики не могут использовать файл настроек, отредактированный в DeviceLock Service Settings Editor новой версии;
- новые установщики успешно применяют старые файлы настроек к новым агентам;
- при подключении из старой консоли к новому серверу некорректно работает просмотр журналов и теневых файлов на сервере;
- при подключении из новой консоли к старому серверу запрашивается обновление сервера, при отказе соединение не устанавливается.
Следует отметить, что разработчик не гарантирует межверсионное взаимодействие компонентов, за исключением корректного применения старых файлов настроек к новым агентам.
Использование файлов лицензий
Разработчик предлагает раздельное лицензирование для компонентов DeviceLock, NetworkLock, ContentLock и DeviceLock Content Security Server и предоставляет соответственно раздельные файлы лицензий для них. Сами файлы лицензий требуются консолям управления DeviceLock, сервером DeviceLock Enterprise Server и компоненту DeviceLock Content Security Server. Записывать файлы лицензий на компьютер, где установлен только агент, не нужно. Количество лицензий определяет то, для скольких систем одновременно можно будет запустить задание через DeviceLock Enterprise Manager или сколько будет «обработано» при развертывании и управлении через групповые политики, а также сколько агентов будет обслуживаться сервером DeviceLock. Обратите внимание, что лицензии DeviceLock Content Security Server приобретаются отдельно не по числу систем, а по числу проиндексированных записей журналов, поэтому созданный компонентом индекс необходимо время от времени очищать. Иначе DeviceLock Content Security Server может проиндексировать старые данные, «истратив» лицензии, и тогда новые данные индексироваться не будут. Чистить индекс следует, в частности, при удалении файлов из теневого хранилища сервера, иначе может возникнуть ситуация, когда лицензии отнимают записи в индексе, адресующиеся к уже удаленным файлам теневого хранилища.
Установка файлов лицензионных ключей *.lic, как правило, не представляет трудности. Мастер установки запрашивает каталог с файлами лицензий. Возможна загрузка в список сразу нескольких файлов лицензий, в том числе пробных версий вместе с обычными. Если в процессе установки вы не стали указывать лицензии, то интерфейса для загрузки лицензий в DeviceLock Management Console или DeviceLock Enterprise Server вы не найдете. Для загрузки потребуется просто переместить новый файл лицензий в установочный каталог DeviceLock, при этом расширение файла должно быть. lic. После запуска консоли файл *.lic будет переименован в *.li_ — это значит, что программа «подхватила» нужный файл с лицензиями. При необходимости замены одного файла другим по такой схеме понадобится сначала удалить старый файл из установочного каталога и параметр Lic из реестра Hkey_Local_Machine\Software\SmartLineVision\DeviceLock.
Еще одна хорошая новость заключается в том, что сочетание раздельного лицензирования модулей DeviceLock, NetworkLock, ContentLock с их интегрированностью в единое ядро агента (DeviceLock Service) позволяет службе информационной безопасности организовать поэтапное внедрение системы DLP. Это означает, что можно сначала обеспечить базовый контроль доступа пользователей к портам и устройствам с помощью модуля DeviceLock, затем усилить противодействие утечкам данных за счет контроля каналов сетевых коммуникаций в модуле NetworkLock и уже тогда, накопив за время эксплуатации этих компонентов определенный опыт и понимание сценариев утечки данных в условиях конкретной инфраструктуры организации, задействовать возможности технологий контентной фильтрации в модуле ContentLock. Кроме того, это позволяет в условиях сильной загруженности специалистов по информационной безопасности более тщательно спланировать ресурсы, время и бюджет для построения полнофункциональной системы DLP.
В следующей статье цикла мы рассмотрим особенности сетевого взаимодействия компонентов и механизмы обеспечения собственной безопасности компонентов в DeviceLock Endpoint DLP Suite.
Илья Кузьминов — специалист по защите информации