DeviceLock 7.1

 



Czy otwarte porty USB i FireWire są najsłabszym punktem twojej sieci? Popraw to przy wykorzystaniu DeviceLock®!

Zapory ogniowe i oprogramowanie antywirusowe nie zabezpieczają przed kradzieżą danych. Nie trzeba być administratorem żeby podłączyć kamerę cyfrową, odtwarzacz MP3 czy urządzenie przenośne USB i skopiować interesujące cię dane. Jeśli jesteś administratorem zapewne wiesz, że nie można zarządzać aktywnością sprzętową przy wykorzystaniu Group Policy.

Wykorzystując DeviceLock®, administrator sieci może zablokować dostęp do urządzeń nieautoryzowanym użytkownikom. Po instalacji DeveceLock® administrator może blokować dostęp do któregokolwiek urządzenia w zależności od aktualnej godziny czy dnia.

W przypadku przedsiębiorstw wykorzystujących sprzętowe rozwiązania szyfrujące, takie jak PGP® Whole Disk Encryption, TrueCrypt oraz napędy USB Lexar® SAFE PSD S1100, DeviceLock® umożliwia administratorom centralne definiowanie i zdalne kontrolowanie polityk szyfrowania, których pracownicy muszą przestrzegać podczas użytkowania napędów nośników wymiennych do zapisywania lub odczytywania firmowych danych. Na przykład, pewna grupa użytkowników może posiadać uprawnienia do zapisywania i odczytywania danych wyłącznie z odpowiednio zaszyfrowanych dysków USB, podczas gdy inni użytkownicy sieci korporacyjnej mogą posiadać uprawnienia "tylko do odczytu" dla niezaszyfrowanych napędów nośników wymiennych - bez możliwości zapisywania danych na tych nośnikach.

Biała lista urządzeń USB pozwala na autoryzację tylko określonych urządzeń, które nie będą blokowane, niezależnie od jakichkolwiek innych ustawień. Założeniem tej funkcji jest zezwolenie na korzystanie ze specjalnych urządzeń (na przykład, z czytników kart inteligentnych) przy jednoczesnym zablokowaniu wszelkiego innego sprzętu. Biała lista nośników pozwala na autoryzację dostępu do określonych płyt DVD/CD-ROM identyfikowanych na podstawie specjalnej sygnatury. Dostęp będzie możliwy nawet wtedy, gdy DeviceLock® w inny sposób blokuje napęd DVD/CD-ROM. Biała lista nośników pozwala także na zdefiniowanie użytkowników i grup użytkowników, którzy będą posiadali autoryzację na uzyskiwanie dostępu do płyt DVD lub CD-ROM.

Opcjonalna funkcja tworzenia cienia danych wbudowana w program DeviceLock® pozwala na jeszcze lepsze zapewnienie, że poufne dane korporacyjne nie opuszczają firmowej sieci za pośrednictwem nośników wymiennych. Funkcja ta przechwytuje kompletne kopie plików, które są kopiowane na autoryzowane urządzenia oraz PDA/smartfony (działające pod kontrolą systemu Windows Mobile), nagrywane na płyty CD/DVD a nawet drukowane przez autoryzowanych użytkowników. Cienie danych są przechowywane centralnie na istniejącym serwerze lub przy użyciu infrastruktury SQL zgodnej z ODBC.

DeviceLock® Enterprise Server może w czasie rzeczywistym monitorować zdalne komputery w celu kontrolowania stanu usługi DeviceLock® Service (czy jest ona uruchomiona czy też nie) oraz integralności polityki. Szczegółowe informacje są zapisywane w specjalnym dzienniku. Możliwe jest także definiowanie polityki nadrzędnej, która będzie automatycznie stosowana na wszystkich wybranych komputerach, w przypadku gdy ich bieżące polityki są przeterminowane lub nieprawidłowe.

DeviceLock® pozwala na generowanie raportów dotyczących nadanych praw. Można kontrolować, którzy użytkownicy są przypisani do danego urządzenia oraz jakie urządzenia znajdują się na "białej liście" na wszystkich komputerach w sieci.

DeviceLock® oferuje poziom kontroli urządzeń niedostępny poprzez mechanizm Zasady Grupy systemu - wszystko za pośrednictwem interfejsu, który idealnie integruje się z Edytorem Zasad Grupy systemu Windows. Dzięki temu implementowanie ograniczeń i zarządzanie dużą liczbą stacji roboczych nie stanowi żadnego problemu.

 

Dzięki DeviceLock® możesz:

  • Kontrolować listę użytkowników lub grup użytkowników, którzy mają dostęp od portów USB, FireWire, IrDA, COM oraz LPT, urządzeń WiFi i Bluetooth, komputerów PDA, smartfonów, napędów DVD/CD-ROM, stacji dyskietek i innych urządzeń wymiennych

  • Kontrolować dostęp to urządzeń w zależności od godziny lub dnia tygodnia

  • Definiować rodzaje danych (pliki, e-maile, zadania, notatki i inne obiekty protokołu ActiveSync/WMDC), które mogą być synchronizowane między firmowymi komputerami PC, a osobistymi urządzeniami mobilnymi pracowników działającymi pod kontrolą systemu Windows Mobile

  • Wykrywać zaszyfrowane dyski PGP® i TrueCrypt (napędy USB i inne nośniki wymienne) jak również zaszyfrowane dyski USBLexar® SAFE PSD i stosować dla nich specjalne "zaszyfrowane" uprawnienia

  • Autoryzować wyłącznie określone urządzenia USB, które nie będą blokowane niezależnie od jakichkolwiek innych ustawień

  • Nadawać użytkownikom tymczasowe uprawnienia dostępu do urządzeń USB, gdy nawiązanie połączenia sieciowego nie jest możliwe (użytkownicy otrzymują specjalne kody dostępu poprzez telefon)

  • Autoryzować dostęp do określonych płyt DVD/CD-ROM identyfikowanych na podstawie specjalnej sygnatury. Dostęp będzie możliwy nawet wtedy, gdy DeviceLock® w inny sposób blokuje napęd DVD/CD-ROM

  • Uniemożliwiać użytkownikom posiadającym uprawnienia administracyjne wyłączanie usługi DeviceLock® Service lub usuwanie jej z ich komputerów. Taką możliwość posiadają jedynie administratorzy DeviceLock®

  • Ustawiać urządzenia w tryb tylko-do-odczytu
  • Zabezpieczać dyski przed przypadkowym lub zamierzonym formatowaniem

  • Wykrywać i blokować sprzętowe keyloggery (podłączane do portów USB oraz PS/2)

  • Wdrażać uprawnienia i ustawienia za pośrednictwem Zasad Grup w domenie Active Directory

  • Wykorzystywać standardową wtyczkę Windows RSoP do przeglądania stosowanej polityki DeviceLock®, jak również do przewidywania, jaka polityka powinna zostać zastosowana w danej sytuacji

  • Kontrolować wszystko zdalnie przy użyciu scentralizowanej konsoli administracyjnej

  • Otrzymywać kompletny raport o aktywności portów i urządzeń, takiej jak wysyłanie i pobieranie danych przez użytkowników, za pośrednictwem Dziennika systemu Windows

  • Tworzyć cienie danych kopiowanych na zewnętrzne urządzenia służące do przechowywania informacji (nośniki wymienne, dyskietki, płyty DVD/CD-ROM), urządzenia PDA i smartfony działające pod kontrolą systemu Windows Mobile oraz przesyłanych za pośrednictwem portów COM i LPT

  • Przechowywać cienie danych centralnie na istniejącym serwerze lub w infrastrukturze SQL zgodnej z ODBC

  • Monitorować w czasie rzeczywistym zdalne komputery w celu kontrolowania stanu usługi DeviceLock® Service (czy jest ona uruchomiona czy też nie) oraz integralności polityki

  • Generować raport zawierający informacje o uprawnieniach i zdefiniowanych ustawieniach

  • Generować raport zawierający informacje o urządzeniach USB, FireWire i PCMCIA podłączonych do komputerów w danym momencie, a także o wszystkich urządzeniach, które były do niego podłączane wcześniej

  • Tworzyć dla usługi DeviceLock® Service własne pakiety MSI zawierające predefiniowane polityki.

 

Główne funkcje programu DeviceLock®

  • Kontrola dostępu - Możesz kontrolować, którzy z użytkowników mają dostęp do portów USB, FireWire, IrDA, COM oraz LPT, urządzeń WiFi oraz Bluetooth adapters, komputerów PDA i smartfonów wykorzystujących system Windows Mobile, napędów DVD/CD-ROM, stacji dyskietek i innych urządzeń wymiennych oraz Plug and Play. Możesz także ustawiać urządzenia w trybie tylko-do-odczytu i kontrolować dostęp do nich w zależności od czasu lub dnia tygodnia.

  • Biała lista USB - Pozwala na autoryzowanie określonego modelu urządzenia USB, przy jednoczesnym blokowaniu wszelkiego innego sprzętu. Możesz nawet dodać do białej listy jedno unikatowe urządzenie blokując wszystkie pozostałe urządzenia tej samej marki. Wszystko to wymaga jedynie znajomości numeru identyfikującego urządzenie (na przykład, numeru seryjnego).

  • Biała lista nośników - Pozwala na autoryzację dostępu do określonych płyt DVD/CD-ROM identyfikowanych na podstawie specjalnej sygnatury. Dostęp będzie możliwy nawet wtedy, gdy DeviceLock® w inny sposób blokuje napęd DVD/CD-ROM. Biała lista nośników pozwala także na zdefiniowanie użytkowników i grup użytkowników, którzy będą posiadali autoryzację na uzyskiwanie dostępu do płyt DVD lub CD-ROM.

  • Tymczasowa biała lista - Pozwala na nadanie tymczasowych uprawnień dostępu do urządzenia USB poprzez przekazanie specjalnego kodu dostępu - bez potrzeby modyfikowania ustawień programu DeviceLock®. Funkcja ta jest bardzo przydatna, gdy konieczne jest nadanie uprawnień a administrator nie dysponuje połączeniem sieciowym. Przykładem może być sytuacja, w której menedżer pracujący poza firmą potrzebuje uzyskać dostęp do pendrive'a na swoim firmowym laptopie.

  • Audyt urządzeń/portów - Funkcja dostarcza personelowi IT kompletny zapis aktywności portów i urządzeń, łącznie z danymi (nazwami plików) wysłanymi i pobranymi przez użytkowników - wszystko za pośrednictwem Dziennika zdarzeń systemu Windows. Ponadto, wyniki audytu mogą być automatycznie pobierane ze zdalnych komputerów i przechowywane centralnie na serwerze SQL. Nawet użytkownicy posiadający uprawnienia lokalnych administratorów nie mogą redagować, usuwać ani w żaden inny sposób zmieniać raportów z audytu przesyłanych do serwera DeviceLock Enterprise Server.

  • Tworzenie cienia danych - Opcjonalna funkcja tworzenia cienia danych pozwala na jeszcze lepsze zapewnienie, że poufne dane korporacyjne nie opuszczają firmowej sieci za pośrednictwem nośników wymiennych. Funkcja ta przechwytuje kompletne kopie plików, które są kopiowane na autoryzowane urządzenia oraz PDA/smartfony (działające pod kontrolą systemu Windows Mobile), nagrywane na płyty CD/DVD a nawet drukowane przez autoryzowanych użytkowników. Cienie danych są przechowywane centralnie na istniejącym serwerze lub przy użyciu infrastruktury SQL zgodnej z ODBC.

  • Kontrola dostępu, audyt oraz tworzenie cienia danych dla urządzeń Windows Mobile - Możesz definiować reguły szczegółowej kontroli dostępu, audytowania oraz tworzenia cienia danych dla urządzeń PDA i smartfonów działających pod kontrolą systemu Windows Mobile, które wykorzystują protokół Microsoft ActiveSync za pośrednictwem dowolnego portu lokalnego i interfejsu, łącznie z USB, COM, IrDA, Bluetooth oraz Wi-Fi. Dzięki kontroli protokołu ActiveSync administratorzy mogą centralnie i wygodnie definiować typy danych, które określeni użytkownicy lub grupy użytkowników mogą synchronizować między firmowymi komputerami PC a ich prywatnymi urządzeniami mobilnymi. Rozpoznawane typy danych obejmują pliki, obrazki, kalendarze, e-maile, zadania, notatki i inne obiekty protokołu ActiveSync. Ponadto, administratorzy mogą przeprowadzać audyt i tworzyć cień danych da plików i innych informacji kopiowanych pomiędzy komputerami PC a urządzeniami Windows Mobile.

  • Przypisywanie uprawnień administracyjnych - Lokalni administratorzy nie otrzymują automatycznie uprawnień do zarządzania programem DeviceLock®. Przywileje te są kontrolowane przez nadrzędnych administratorów bezpieczeństwa.

  • Integracja z Zasadami Grupy - Otrzymujesz szeroki wybór konsol administracyjnych dla DeviceLock®, łącznie z możliwością korzystania ze standardowego interfejsu Zasad Grupy systemu Windows. Dzięki temu zarządzanie programem jest bardzo łatwe i szybkie.

  • Integracja z mechanizmami TrueCrypt oraz PGP® - DeviceLock® może wykrywać zaszyfrowane dyski PGP® oraz TrueCrypt (w postaci pendrive'ów i innych nośników wymiennych) i stosować dla nich specjalne "zaszyfrowane" uprawnienia. W przypadku przedsiębiorstw wykorzystujących rozwiązania szyfrowania DeviceLock® umożliwia administratorom centralne definiowanie i zdalne kontrolowanie polityk szyfrowania, których pracownicy muszą przestrzegać podczas użytkowania napędów nośników wymiennych do zapisywania lub odczytywania firmowych danych. Na przykład, pewna grupa użytkowników może posiadać uprawnienia do zapisywania i odczytywania danych wyłącznie z odpowiednio zaszyfrowanych dysków USB, podczas gdy inni użytkownicy sieci korporacyjnej mogą posiadać uprawnienia "tylko do odczytu" dla niezaszyfrowanych napędów nośników wymiennych - bez możliwości zapisywania danych na tych nośnikach.

  • Integracja z napędami Lexar® SAFE PSD - DeviceLock® wykrywa zaszyfrowane sprzętowo napędy Lexar® SAFE PSD S1100 USB i stosuje dla nich specjalne "zaszyfrowane" uprawnienia.

 

Dodatkowe funkcje programu DeviceLock®

  • Ochrona przed keyloggerami - DeviceLock® wykrywa keyloggery podłączane do portów USB i blokuje podłączane do nich klawiatury. Ponadto, DeviceLock® zamazuje dane wprowadzane z klawiatur PS/2 i zmusza keyloggery podłączane do tych portów do rejestrowania śmieci zamiast faktycznych danych wprowadzanych z klawiatury.

  • Monitorowanie - DeviceLock® Enterprise Server może w czasie rzeczywistym monitorować zdalne komputery w celu kontrolowania stanu usługi DeviceLock. (czy jest ona uruchomiona czy też nie) oraz integralności polityki. Szczegółowe informacje są zapisywane w specjalnym dzienniku. Możliwe jest także definiowanie polityki nadrzędnej, która będzie automatycznie stosowana na wszystkich wybranych komputerach, w przypadku gdy ich bieżące polityki są przeterminowane lub nieprawidłowe.

  • Obsługa RSoP - Możesz korzystać ze standardowej wtyczki Resultant Set of Policy systemu Windows w celu przeglądania stosowanej w danym momencie polityki DeviceLock®, jak również do przewidywania, jaka polityka byłaby najodpowiedniejsza w danej sytuacji.

  • Przetwarzanie wsadowe - Pozwala na definiowanie ustawień dla całej grupy podobnych komputerów wyposażonych w podobne urządzenia (na przykład, komputery wyposażone w porty USB i napędy CD-ROM) w obrębie rozległych sieci korporacyjnych. Przy użyciu narzędzia DeviceLock® Enterprise Manager usługa DeviceLock® Service może być automatycznie instalowana lub uaktualniana na wszystkich komputerach w sieci.

  • Raporty o uprawnieniach - Możesz generować raporty zawierające informacje o uprawnieniach oraz regułach audytu, które zostały zdefiniowane na wszystkich komputerach w sieci.

  • Raporty o urządzeniach Plug-n-Play - Możesz generować raporty dotyczące urządzeń USB, FireWire oraz PCMCIA podłączonych w danym momencie do komputerów w sieci oraz urządzeń, które były do nich podłączone w przeszłości.

  • Kształtowanie ruchu - DeviceLock® pozwala na definiowanie limitów związanych z wysyłaniem raportów z audytów oraz cieni danych przez usługi DeviceLock® Service do serwera DeviceLock® Enterprise Server. Pomaga to w zmniejszeniu obciążenia sieci.

  • Kompresowanie strumieni - Możesz skonfigurować program DeviceLock® tak, aby kompresował raporty z audytów oraz cienie danych przesyłane przez usługi DeviceLock® Services do serwera DeviceLock® Enterprise Server. Dzięki temu można zmniejszyć objętość przesyłanych danych, a tym samym zredukować obciążenie sieci.

  • Optymalny wybór serwera - W celu zapewnienia optymalnego transferu raportów z audytów oraz cieni danych usługi DeviceLock® Service mogą automatycznie wybierać najszybszy dostępny serwer DeviceLock® Enterprise Server.