Сайт · Форум · Инструменты · WindowsFAQ.ru - Сайт о Windows, компьютерах, системном администрировании, локальных сетях

Поиск

Друзья

Клуб любителей ASPLinux
Kerio Winroute Firewall инструкции настройки
1С:Предприятие 8
  • 1С:Предприятие 8. Лицензирование клиентских рабочих мест

    Лицензионная политика «1С» обеспечивает пользователям независимую масштабируемость – по функционалу прикладных решений и по клиентским рабочим местам. Чтобы расширить функциональные возможности используемой системы, требуется приобрести новые приложения. Если увеличивается число рабочих мест – необходимо приобрести дополнительные клиентские лицензии. Также возможен апгрейд лицензий. Обычно поставка ПО осуществляется с программной защитой. По более высокой цене можно приобрести ПО с аппаратным ключом защиты (USB).

  • 1С:Предприятие 8. Лицензирование сервера

    Лицензионная политика «1С» обеспечивает пользователям независимую масштабируемость – по функционалу прикладных решений и по клиентским рабочим местам. Серверные лицензии — необходимы для запуска кластера сервера «1С:Предприятие». Могут быть 32-разрядными или 64-разрядными. Причем лицензия на 64-разрядный сервер позволяет использовать и 32-разрядные рабочие процессы.

  • MS SQL Server. Лицензирование сервера и клиентского доступа для 1С

    Серверные и клиентские лицензии "Microsoft SQL Server 2012 для 1С:Предприятие 8" поставляются отдельно от серверных и клиентских лицензий "1С:Предприятие 8". Для пользователей, у которых есть лицензии "1С:Предприятие 8", покупка совместных продуктов этой линейки является оптимальным вариантом, чтобы: - перейти с файл-серверной версии на клиент-серверную версию "1С:Предприятие 8" на базе Microsoft SQL; - обновить более раннюю версию (2000/2005/2008/2008R2) Microsoft SQL Server до версии Microsoft SQL 2012/2014

Перейти к разделу 1С
 
Защита от инсайдеров с помощью системы Zlock Версия для печати
Автор Давлетханов Марат   

С повсеместным распространением всевозможных съемных накопителей проблема инсайдерства, и до того бывшая достаточно актуальной, приобрела поистине глобальный масштаб. И в этом нет абсолютно ничего удивительного. Сегодня любой сотрудник, имеющий доступ к конфиденциальной информации, может без проблем и, самое главное, незаметно скопировать ее к себе и использовать в будущем в различных целях. И хорошо еще, если за этим стоит желание просто поработать с договорами дома. Хотя, такое действие, вне зависимости от намерений нарушителя, все равно резко увеличивает риск компрометации данных (домашние компьютеры обычно слабее защищены, за них могут садиться разные люди, да и накопитель может быть утерян). Но ведь сотрудник может копировать информацию с целью ее передачи конкурентам или же использования в своих личных целях. Самым простым и явным примером этого является копирование базы клиентов (или договоров с ними) перед увольнением с целью их переманивания в другую компанию.

Главная проблема заключается в том, что стандартными, то есть встроенными в операционные системы средствами, защититься от такого способа воровства информации невозможно. Взять, хотя бы, USB-флешки. Они миниатюрны, дешевы и весьма емки. С их помощью сотрудники могут незаметно "выносить" из корпоративной информационной системы гигабайты информации. Однако просто отключить USB-порты на рабочих станциях нельзя – сегодня они необходимы для подключения многих устройств: принтеров, клавиатур, мышек, ключей для работы ПО и пр. Кроме того, нельзя забывать и про другие варианты воровства информации, например, про использование CD/DVD-дисков, мобильных телефонов и пр. Даже обычный принтер может стать угрозой. Ведь у сотрудника есть возможность распечатать конфиденциальную информацию и унести распечатки домой. Однако и их отключить не получится, потому что обычно все эти устройства необходимы для выполнения работниками своих служебных обязанностей.

Единственным способом обезопасить компанию от воровства конфиденциальной информации через различные съемные накопители является внедрение системы ограничения и контроля над их использованием. Реализуется она с помощью специального программного обеспечения. Почему-то во многих компаниях уверены, что такие продукты весьма сложны, а для их внедрения и обслуживания нужна какая-то специальная квалификация. Однако это совершенно не так. Система разграничения прав доступа к внешним и внутренним устройствам компьютера настолько проста, что справиться с ней может не только квалифицированный администратор, но даже и просто опытный пользователь ПК. И в подтверждение этих слов сегодня мы рассмотрим пример внедрения в корпоративную ИС продукта Zlock от компании SecurIT. Стоит отметить, что он не может защитить от утечки конфиденциальной информации через Интернет (например, по электронной почте через "аську" и пр.), для этого нужны другие продукты с совершенно иным принципом действия (например, Zgate от того же разработчика). А вот с задачей контроля всевозможных съемных накопителей и принтеров Zlock справляется успешно.

Установка Zlock

Перед тем, как начинать разговор о процедуре установки рассматриваемой системы, необходимо разобраться с ее структурой. Zlock состоит из пяти частей.

  • Консоль управления. Программа, которая позволяет администратору осуществлять полное управление системой, включая ее установку на рабочие станции, изменение политик доступа, работу с серверами журналов и конфигураций и пр.
  • Клиентский модуль. Утилита, инсталлирующаяся на рабочие станции. Именно она и осуществляет контроль и блокировку доступа в соответствии с заданными политиками. Кроме того, клиентский модуль взаимодействует с сервером журналов, проверяет целостность Zlock и пр.
  • Сервер журналов. Система получения, хранения и обработки информации о событиях, которые передают клиентские модули. Обеспечивает удобный доступ администратора ко всем данным.
  • Сервер конфигураций. Система централизованного управления конфигурациями Zlock.
  • Модуль настройки Zlock через групповые политики. Модуль для установки и обновления системы через групповые политики.

В первую очередь необходимо разобраться, куда какие модули инсталлируются. Понятно, что консоль управления должна быть установлена на компьютер администратора или сотрудника, ответственного за информационную безопасность компании. Этот процесс ничем не отличается от инсталлирования любого другого ПО, а поэтому подробно останавливаться на нем мы не будем.

Сервер журналов и сервер конфигураций, в принципе, не обязательны для работы системы. Zlock может успешно справляться с возложенными на нее задачами и без них. Однако сервер журналов очень удобен для просмотра событий сразу же по всем рабочим станциям. Ну а сервер конфигураций незаменим в крупных корпоративных сетях. С его помощью можно легко управлять настройками клиентских модулей на большом количестве рабочих станций. Они опять же устанавливаются, как обычное программное обеспечение. Эта процедура выполняется локально с дистрибутива, входящего в комплект поставки Zlock.

Заключительный этап установки рассматриваемой системы – инсталляция клиентских модулей на все компьютеры, которые нуждаются в мониторинге. Сделать это можно двумя способами (вариант с ручной установкой мы по понятным причинам не рассматриваем). Первый из них предполагает использование консоли управления. После ее запуска в левой панели главного окна расположено несколько групп. Нужно найти среди них и открыть дерево "Компьютеры и приложения", после чего раскрыть ветку "Без приложений". В ней будет приведен полный список компьютеров, входящих в локальную сеть, на которые не установлена система Zlock.

Zlock

Для запуска процедуры инсталляции клиентских частей администратору необходимо выбрать компьютер или компьютеры (в том числе можно указать целый домен) назначения и нажать на кнопку "Установить или обновить Zlock…", размещенную на панели инструментов. В открывшемся окне следует указать папку с дистрибутивом программы (оптимальным вариантом будет сетевая папка, к которой есть доступ у всех пользователей), а также выбрать вариант установки. Всего их три: с ручной или принудительной перезагрузкой компьютеров, а также без перезагрузки. Стоит отметить, что последний, наиболее удобный вариант нельзя применять для обновления установленных ранее клиентских частей. В заключение останется только выбрать ПК, на которые будет осуществляться установка (возможно, вы не хотите устанавливать Zlock на все компьютеры сети), а также указать пользователя, обладающего правами локального администратора. Причем программа в случае нехватки полномочий может запросить ввод данных другого пользователя.

Zlock

Другой вариант развертывания системы защиты на корпоративные рабочие станции – использование групповых политик. Для этого в комплект поставки Zlock входит специальный инсталляционный пакет. Сама процедура установки знакома практически всем системным администраторам. В первую очередь нужно создать сетевую папку, скопировать в нее файлы Zlock30.msi и Zlockmsi.ini и предоставить к ней доступ всем пользователям домена. Если у вас уже есть конфигурационный файл, то его можно поместить в эту же директорию. В этом случае он будет автоматически применен ко всем установленным клиентским модулям. Если такого файла нет, система применит политику по умолчанию, которую необходимо будет настроить в будущем.

После этого в свойствах корпоративного домена (доступ к ним осуществляется через консоль Active Directory) нужно перейти на вкладку "Групповая политика" и создать новую политику. В окне этой политики необходимо раскрыть дерево "Конфигурация компьютера", выбрать пункт "Установка программ" и создать новый пакет, в свойствах которого указать сетевой путь к файлу Zlock30.msi. В результате инсталляция системы Zlock осуществляется стандартными средствами ОС.

Настройка политик доступа

Самой, пожалуй, важной операцией в процессе внедрения системы защиты Zlock является настройка политик доступа. Именно они определяют возможность всех пользователей работать с теми или иными устройствами. Каждая политика состоит из трех частей. Первая представляет собой список устройств или их групп, для каждого из которых прописаны права доступа к ним разных пользователей. Вторая часть политики – настройки теневого копирования файлов, копируемых на различные накопители. Ну а третья часть определяет настройки теневого копирования распечатываемых на принтерах документах. Кроме того, у каждой политики есть целый ряд дополнительных свойств, которые мы рассмотрим ниже.

Принцип работы политик следующий. На каждой рабочей станции находится одна или несколько политик, назначенных администратором. При наступлении любого события, контролируемого системой защиты (подключение устройства, попытка копирования файла на съемный накопитель, распечатка документа и пр.), клиентский модуль проверяет его на соответствие всем политикам по очереди (очередность устанавливается системой приоритетов) и применяет первую из тех, которой оно соответствует. То есть в Zlock нет привычной всем системы исключений. Если вам, к примеру, нужно запретить все USB-флешки, кроме одной определенной, нужно использовать две политики. Первая с низким приоритетом запрещает использование съемных накопителей. А вторая, с более высоким, разрешает применение конкретного экземпляра. Кроме созданных администратором, существует еще политика по умолчанию. Она определяет права доступа к тем устройствам, которые не описаны в других политиках.

Ну а теперь давайте разберем процедуру создания политики. Для ее запуска нужно выбрать в дереве консоли управления нужную рабочую станцию и установить к ней подключение. После этого необходимо выбрать в меню "Политика" пункт "Добавить". Открывшееся при этом окно состоит из пяти вкладок. Первая из них называется "Доступ". На ней задается наименование создаваемой политики, ее приоритет и права доступа к устройствам. Здесь доступны четыре варианта: полный доступ для всех пользователей, доступ к устройствам только на чтение для всех пользователей, запрет доступа к устройствам для всех пользователей и индивидуальная настройка прав доступа к устройствам для пользователей и групп. Назначения первых трех понятны из их названий. А вот последний вариант стоит отметить отдельно. С его помощью можно задать разные права для отдельных пользователей, что весьма удобно, поскольку часто за одним компьютером могут работать различные сотрудники. Для ввода прав доступа необходимо нажать на кнопку "Редактировать" и добавить в открывшемся окне необходимые учетные записи (локального компьютера или домена), определив для каждой из них полномочия.

Zlock

После ввода основных параметров необходимо задать перечень устройств и групп, на которые будет распространяться действие политики. Для этого используется вкладка "Устройства". Для ввода оборудования в Zlock предусмотрено четыре способа.

  • Типовые устройства. Данный вариант предполагает выбор всех устройств определенного типа, например, все съемные накопители, CD/DVD-приводы, жесткие диски и пр.
  • USB-устройство с заданными характеристиками. Позволяет задавать USB-устройства по типу, производителю, названию продукта, серийному номеру устройства и пр.
  • Физические устройства или символьные ссылки. Используется для указания устройств по физическому названию, букве диска или классу (например, устройства обработки изображений и пр.).
  • Принтеры. Используется для ввода определенных локальных или сетевых принтеров.

С помощью этих способов можно создать весьма точный и гибкий список устройств. Примечательно, что выбирать можно не только ту аппаратуру, которая подключена к ПК в данный момент, но и ту, которая когда-то на нем использовалась (весьма актуально для съемных накопителей). Кроме того, администратор может создать так называемый каталог устройств. Это файл, в котором перечислены все устройства, подключенные к компьютерам корпоративной сети. Он может создаваться как вручную, так и автоматически путем сканирования всех рабочих станций.

Zlock

В принципе, после этого мы уже имеем вполне работоспособную политику. Однако в Zlock предусмотрен ряд дополнительных настроек, расширяющих функциональные возможности системы защиты. Так, например, если создается политика, которая должна действовать не постоянно, то необходимо задать расписание ее работы. Делается это на одноименной вкладке. На ней можно определить интервалы, во время которых действует политика. Администратор может ввести срок действия политики, время, дни недели или числа месяца, в которые она будет активна.

Zlock

Если компьютер, для которого создается политика, может отключаться от корпоративной сети и/или подключаться к ней через Интернет, то можно определить для него особые параметры. Для этого необходимо перейти на вкладку "Правила применения". На ней перечислены три пункта возможного состояния ПК относительно корпоративного домена: домен доступен локально, домен доступен через VPN, домен недоступен. Для того, чтобы отключить действие политики для любого из них достаточно просто деактивировать соответствующий чекбокс. Например, если вы хотите, чтобы с компьютера, отключенного от корпоративной сети, невозможно было что-то распечатать, достаточно создать политику, запрещающую использование принтеров и в правилах применения активировать пункты "Домен недоступен" и "Домен доступен через VPN".

После создания одной или нескольких политик на одном из компьютеров, можно быстро распространить их и на другие ПК. Для этого в консоли управления требуется установить соединение со всеми нужными станциями и выбрать в меню "Сервис" пункт "Распространить конфигурацию". В открывшемся окне отметьте "галочками" нужные политики и компьютеры, активируйте чекбокс "Фоновое распространение политики" и выберите действие, которое должна выполнить программа при обнаружении политик с совпадающими именами (спрашивать, перезаписывать или не перезаписывать). После этого нажмите на кнопку "ОК" и дождитесь завершения процесса.

В будущем любую политику можно изменить. Для этого достаточно подключиться к компьютеру, на котором она была изначально создана, найти ее в "дереве" и дважды кликнуть по ней мышкой. При этом будет открыто уже знакомое по процедуре создания политики окно, в котором можно изменить те или иные параметры. Обратите внимание, что если политика, которую вы отредактировали, была в свое время распространена на другие компьютеры, то перед ее изменением предварительно нужно установить соединение со всеми этими ПК. В этом случае при сохранении изменений программа Zlock сама предложить синхронизировать устаревшие политики с новой. Точно так же выполняется и удаление политик.

Настройка журналирования и теневого копирования

В системе Zlock предусмотрена система журналирования. Благодаря ней администратор или другое ответственное за информационную безопасность лицо может просматривать и анализировать все отслеживаемые события. Для ее включения необходимо выбрать в меню "Сервис" пункт "Настройки" и перейти в открывшемся окне на вкладку "Журналирование". На ней перечислены все возможные события (запрет записи на устройство, изменение доступа к сети, изменение конфигурации, применение политик доступа и пр.), а также их состояние в плане ведения логов.

Zlock

Для включения журналирования по одному или нескольким событиям необходимо нажать на "плюсик" и выбрать вариант ведения лога: запись в файл (системный Event Log или произвольный файл формата TXT или XML), в базу данных на SQL-сервере или сервере журналов, отправка письма по электронной почте. После этого в открывшемся окне нужно настроить параметры лога (они зависят от выбранного варианта: имя файла, параметры доступа к базе данных и пр.), отметить нужные события и нажать на кнопку "ОК".

Zlock

Отдельно настраивается журналирование файловых операций. Под ними подразумеваются такие действия, как создание, изменение и редактирование файлов, создание и удаление каталогов и пр. Понятно, что подобные логи имеет смысл вести только при использовании съемных накопителей. А поэтому данный вид журналирования привязывается к политикам доступа. Для его настройки необходимо в консоли управления выбрать в меню "Сервис" пункт "Файловые операции". В открывшемся окне в первую очередь нужно отметить политики, для которых будет осуществляться журналирование. Имеет смысл выбрать те из них, которые контролируют использование съемных накопителей: USB-устройств, CD/DVD-приводов и пр. После этого нужно ввести действия, которые будет выполнять система при обнаружении файловых операций. Для добавления каждого из них необходимо нажать на "плюсик" и выбрать нужный вариант. Три действия относятся к ведению логов – это запись информации о событии в файл, в базу данных или отправка сообщения по электронной почте. Последний же вариант заключается в запуске указанной программы или скрипта.

Zlock

Далее можно переходить к настройке теневого копирования. Это весьма важная функция системы Zlock, которой не стоит пренебрегать. Она обеспечивает незаметное для пользователя дублирование копируемых или распечатываемых файлов в специальное хранилище. Теневое копирование необходимо тогда, когда использование принтеров или съемных накопителей сотрудникам нужно для выполнения своих профессиональных обязанностей. В таких случаях предотвратить утечку информации техническими средствами практически невозможно. Но теневое копирование позволит быстро среагировать на нее и пресечь будущие инциденты.

Для установки параметров теневого копирования необходимо в меню "Сервис" выбрать одноименный пункт. В первую очередь можно настроить локальное хранилище. Для этого необходимо указать папку, в которой будут сохраняться файлы, ввести доступный объем (в мегабайтах или процентах от свободного места на жестком диске), а также выбрать действие при переполнении (перезаписывать файлы в хранилище, запретить или разрешить копирование и печать).

Zlock

При необходимости можно настроить теневое копирование в сетевое хранилище. Для этого нужно перейти на вкладку "Копирование на сервер" и активировать чекбокс "Передавать информацию о теневом копировании и файлы на сервер". Если передача должна осуществляться немедленно, то стоит выбрать пункт "Передавать файлы как можно раньше". Возможен и другой вариант – система будет копировать файлы с заданной периодичностью. После этого нужно выбрать сетевую папку, в которую и будут записываться файлы. Обратите внимание, что имеет смысл выбрать такой каталог, доступ к которому есть только у администратора. В противном случае сотрудник сможет зайти в него и удалить или хотя бы просмотреть сохраненные файлы. При выборе такой папки необходимо ввести логин и пароль пользователя, у которого есть полномочия на запись в нее информации.

Zlock

Ну и в завершение настройки остается перейти на вкладку "Политики" и указать те политики, при действии которых теневое копирование будет работать.

Система временных разрешений

В принципе, процесс внедрения Zlock мы с вами, уважаемые читатели, уже разобрали. После его завершения система защиты от инсайдеров будет работать, помогая компании избежать утечки коммерческой и персональной информации. Однако в Zlock есть еще одна весьма интересная возможность, которая позволяет заметно облегчить жизнь администратору. Речь идет о системе выдачи временных разрешений на использование тех или иных устройств.

Почему хочется заострить внимание именно на этом моменте? Все очень просто. Практика показывает, что достаточно часто возникают ситуации, когда кому-то из сотрудников нужно использование обычно запрещенного для них устройства. Причем такая необходимость может возникнуть срочно. В результате возникает паника, срочно ищется администратор, который должен изменить политику доступа и, самое главное, не забыть потом вернуть ее обратно. Конечно же, это весьма неудобно. Гораздо лучше использовать систему выдачи временных разрешений.

Для ее применения сначала необходимо сгенерировать сертификат администратора. Для этого нужно в меню "Сервис" выбрать пункт "Сертификат…", а в открывшемся окне нажать на кнопку "Изменить сертификат". После этого в мастере необходимо выбрать переключатель "Создать новый сертификат" и ввести его имя. Далее остается только подключиться к удаленным компьютерам, выбрать в меню "Сервис" пункт "Настройки", перейти в открывшемся окне на вкладку "Общие" и нажать на кнопку "Установить".

Zlock

В Zlock временные разрешения можно использовать двумя способами – с помощью электронной почты и по телефону. В первом случае создание запроса выполняется следующим образом. Пользователь должен кликнуть правой кнопкой мыши на значке Zlock в системном трее и выбрать в выпадающем меню пункт "Создать запрос". В открывшемся окне ему необходимо выбрать нужное устройство и права доступа (только для чтения или полный доступ), ввести адрес администратора и, при необходимости, краткий комментарий. При этом в почтовом клиенте, установленном в системе по умолчанию, будет сгенерировано письмо с прикрепленным к нему файлом-запросом. Получив его, администратор должен дважды кликнуть по нему мышкой. При этом будет открыто окно с информацией о запросе. Если администратор согласен его обработать, то ему необходимо нажать на кнопку "Далее". При этом будет открыто окно создания новой политики, в котором уже введено требуемое устройство. Администратору остается только установить расписание работы этой политики. Она может быть как постоянной, так и одноразовой. Во втором случае политика будет действовать только до завершения пользователем сессии Windows или до извлечения устройства (зависит от выбора администратора). Эта политика может быть передана на компьютер сотрудника обычным способом или же с помощью специального файла по электронной почте (он будет защищен с помощью сертификата администратора). При его получении пользователю необходимо просто запустить его, после чего он получит доступ к нужному устройству.

Zlock

Система выдачи разрешений по телефону работает схожим образом. Сначала пользователь должен создать запрос. Эта процедура практически идентична рассмотренной нами выше. Только на последнем этапе формируется не электронное письмо, а специальный код, состоящий из пяти блоков цифр и букв. Сотрудник должен позвонить администратору и продиктовать ему этот набор символов. От администратора требуется ввести этот код в специальное окно (оно вызывается с помощью пункта "Обработать запрос" меню "Политика"). При этом на экране появится подробная информация о запросе. Далее администратор может создать политику уже знакомым нам образом. Единственное отличие – на последнем этапе система сформирует еще один код. Его администратор дожжен продиктовать сотруднику, который, введя его в специальное поле, может активировать доступ к устройству.

Zlock

Подводим итоги

Итак, как мы видим, процедура внедрения в эксплуатацию системы защиты от инсайдеров, в принципе, не сложна. Для ее выполнения не нужно обладать какими-то особыми умениями. Справиться с ней может любой системный администратор, обладающий базовыми знаниями сетевых технологий. Впрочем, стоит отметить, что эффективность работы защиты целиком и полностью зависит от того, насколько грамотно и полно составлены политики доступа. Именно к этому моменту стоит подходить с максимальной серьезностью и выполнять эту работу должен ответственный сотрудник.

 
< Миграция с Office Communications Server 2007 R2 на Lync Server (часть 1)   Архивирование в Exchange 2010 SP1 >


На форуме

Лента RSS

Mobatime - Автору - Рекламодателю - Веб-мастеру - Контакт - История - Наверх
© Владислав Семёнов aka SavageNoName 2003-2019
При любом использовании материалов ссылка на WindowsFAQ.ru обязательна
Сайту 15 лет, 7 месяцев и 29 дней. Форуму 19 лет, 0 месяцев и 11 дней.