Развертывание системы контроля съемных накопителей в корпоративной сети

На сегодняшний день одной из наиболее распространенных причин утечки данных из корпоративных информационных систем являются сотрудники самих компаний. А поэтому контроль над использованием ими съемных накопителей является весьма эффективным средством защиты от воровства конфиденциальной и персональной информации. К сожалению, подобной функциональности нет ни в одной операционной системе, и поэтому приходится использовать дополнительное программное обеспечение. Сегодня мы рассмотрим процедуру развертывания и базовой настройки одного такого продукта – системы Zlock от компании SecurIT.

Принцип работы системы контроля

Для начала необходимо ознакомиться с принципами работы системы контроля Zlock. Данный продукт представляет собой целый программный комплекс, состоящий из нескольких частей. Основным его элементом является клиентский модуль, который устанавливается на рабочих станциях корпоративной сети. Именно он и осуществляет контроль над использованием съемных накопителей, принтеров и т.п. Клиентский модуль запускается автоматически при старте операционной системы. Естественно, пользователь не может отключить его, более того, в Zlock предусмотрен контроль целостности. При его включении повреждение или выключение модуля приведет к невозможности работы пользователя за ПК.

В процессе работы клиентские модули используют так называемые политики, каждая из которых представляет собой набор прав доступа к отдельному устройству, одной или нескольким их группам. На каждой рабочей станции есть свой набор политик. Он может быть как уникальным, так и общим для всех. Устройства могут входить в несколько разных политик. При этом система будет применять ту из них, которая имеет наибольший приоритет. То есть если нужно запретить применение всех USB-дисков, кроме одного определенного, нужно создать две политики. В первой будет заблокировано использование всех "флешек", а во второй, имеющей больший приоритет, разрешено подключение определенного экземпляра. Кроме того, в системе есть специальная политика по умолчанию. Она имеет наименьший приоритет и определяет поведение Zlock по отношению ко всем устройствам, не описанным в других политиках.

Увеличить рисунок

Рисунок 1  - Примеры политик Zlock

Настройка всей системой контроля осуществляется с помощью консоли управления. В ней реализованы все необходимые инструменты для разворачивания и управления Zlock. Примечательно, что она может использоваться удаленно. То есть у администратора есть возможность полного управления системой непосредственно со своего рабочего места. В принципе, управлять Zlock можно и с помощью групповых политик. Однако в небольших сетях консоль управления более удобна и наглядна.

Увеличить рисунок

Рисунок 2   - Консоль управления

Помимо этого в Zlock реализован ряд дополнительных модулей: модуль настройки через групповые политики, сервер конфигураций и сервер журналов. Первые два больше подходят для использования в крупных информационных системах. С их помощью можно облегчить настройку и распространение политик на большое число компьютеров. Ну а сервер журналов полезно будет использовать и в небольших сетях, поскольку он существенно облегчает просмотр логов.

Развертывание системы контроля

Процедура развертывания системы Zlock начинается с установки консоли управления. Понятно, что она должна быть инсталлирована на рабочей машине администратора или любого другого сотрудника, который будет ей управлять. Сама процедура установки абсолютно ничем не примечательна. Для ее выполнения запустите дистрибутив программы, ознакомьтесь и согласитесь с лицензией, а также выполните ряд других обычных в таком случае шагов. Точно так же выполняется инсталляция сервера журналов и других дополнительных компонентов. Только их лучше всего разместить на компьютере, который включен постоянно, например, на контроллере домена. Обратите внимание, что все компоненты защиты устанавливаются из одного дистрибутива, входящего в комплект поставки продукта. Просто на одном из шагов необходимо выбрать требуемые модули.

Следующий этап – инсталляция клиентских модулей. Для его реализации выполните последовательно следующие шаги.

1. Разместите дистрибутив Zlock в сетевой папке.
2. Запустите консоль управления, раскройте в левой ее части дерево "Компьютеры и приложения" и выберите в нем ветку "Без приложений".
3. Нажмите на панели инструментов кнопку "Установить или обновить Zlock…".
4. В открывшемся окне укажите папку, в которой размещен дистрибутив программы, и выберите в раскрывающемся списке пункт "Установка клиентской части Zlock без перезагрузки". Обратите внимание, что если обновляете систему (а не устанавливаете впервые), необходимо выбрать пункт "Установка или обновление клиентской части Zlock с ручной перезагрузкой".

   
   Увеличить рисунок

   Рисунок 3  - Начало процесса развертывания Zlock на рабочих станциях сети

5. В следующем окне отметьте те компьютеры локальной сети, на которые нужно инсталлировать клиентские модули, и нажмите на кнопку "Далее".

   
   Увеличить рисунок

   Рисунок 4  - Выбор рабочих станций для установки клиентского модуля

6. Введите логин и пароль учетной записи, от имени которой будет осуществляться установка (она должна обладать правами локального администратора на рабочих станциях) и нажмите на кнопку "Готово".

Настройка политик доступа

Настройка политик доступа – очень важный этап внедрения системы контроля съемных накопителей. Поскольку именно на нем задаются права доступа, от которых и зависит эффективность работы всей защиты. В первую очередь необходимо настроить политику по умолчанию. В ней указываются "основные" права на использование различных устройств. После этого можно создать пользовательские политики, являющиеся исключением из общей. Допустим, в политике по умолчанию разрешено использование всех устройств. В следующем наборе прав указано, что все съемные USB-накопители могут подключаться только для чтения. А в заключение можно создать еще одну политику, разрешающую запись определенным пользователям на строго определенные "флешки". Она должна иметь максимальный приоритет.

Все политики создаются и распространяются одинаково. Поэтому мы рассмотрим процесс создания только одной из них. Остальные же можно реализовать, как говорится, "по образу и подобию". Итак, давайте поэтапно разберем процесс создания и распространения политики доступа.

Создание политики

1. Установите соединение с одним из компьютеров, на которых установлен клиентский модуль. Для этого запустите консоль управления, найдите в дереве нужный ПК и дважды щелкните по нему.
2. Выберите в меню "Политика" пункт "Добавить". При этом будет открыто окно свойств создаваемой политики.
3. На вкладке "Доступ" задайте имя политики и установите ее приоритет. После этого выберите и установите права доступа.

   

   Рисунок 5  - Установка основных параметров политики

4. Перейдите на вкладку "Устройства" и заполните список устройствами или их группами, на которые будет распространяться действие политики. Обратите внимание, что в Zlock реализовано четыре способа ввода устройств (типовое устройство, USB-устройство с заданными характеристиками, физическое устройство или символьная ссылка, принтер), что позволяет создавать весьма полный и гибкий список.
5. При необходимости перейдите на вкладку "Расписание" и задайте время действия политики доступа. Эта возможность может пригодиться для установки различных прав доступа в разное время дня или в различные дни недели.
6. При необходимости перейдите на вкладку "Правила применения" и отметьте те ситуации (домен доступен локально, домен доступен через VPN, домен не доступен), когда политика будет активна. Данная функция полезна для ноутбуков, которые могут отключаться от корпоративной сети и выноситься за пределы офиса.
7. Если это необходимо, перейдите на вкладку "Контроль файлов и печати" и включите теневое копирование (подробнее о нем чуть ниже). Обратите внимание, что теневое копирование в Zlock возможно в трех случаях: при печати на принтере, копировании файлов и записи CD/DVD-дисков. Соответственно, имеет смысл активировать теневое копирование только для тех политик, которые описывают эти действия.
8. Нажмите на кнопку "ОК" для сохранения политики на удаленном компьютере.

Распространение политики

1. Установите соединение со всеми компьютерами, на которые должна быть распространена созданная политика доступа. Для этого установите курсор в консоли управления на домен или группу и выберите в меню "Соединение" пункт "Установить соединение". В открывшемся окне отметьте нужные компьютеры и нажмите на кнопку "ОК".
2. Выберите в меню "Сервис" пункт "Распространить конфигурацию". В открывшемся окне выберите те настройки, которые нужно распространить (политики, настройки теневого копирования, учетные записи SecurIT и пр.), отметьте те компьютеры, на которые необходимо скопировать политику доступа и нажмите на кнопку "ОК".

У описанного способа распространения есть один большой плюс. Дело в том, что система "запомнит" первичную политику. И в будущем, при ее изменении, будет автоматически предлагать синхронизацию всех "потомков", что, конечно же, очень удобно. Правда, для этого необходимо перед редактированием политики установить соединение со всеми рабочими станциями, на которые она была ранее распространена

Настройка теневого копирования

Практически в каждой корпоративной сети есть устройства, которые могут стать причиной утечки конфиденциальной информации, но которые, тем не менее, нельзя отключать из-за того, что они нужны сотрудникам для выполнения рабочих обязанностей. Классическим примером являются принтеры. С одной стороны, без них не обойтись. Но с другой, кто-то из сотрудников может распечатать важные данные и просто-напросто вынести их из офиса на бумажных листах. Для пресечения подобных действий в Zlock используется система теневого копирования. При ее активации все файлы, отправленные на устройства, находящиеся под мониторингом, копируются в специальное хранилище. И администратор может в любой момент просмотреть их, выявив, таким образом, попытки кражи информации.

Настройка теневого копирования осуществляется следующим образом.

1. Запустите консоль управления, раскройте меню "Сервис" и выберите в нем пункт "Теневое копирование".
2. В открывшемся окне установите параметры локального хранилища. Для этого задайте папку, в которую будут помещаться файлы, а также укажите максимальный ее объем (в мегабайтах или процентах от доступного пространства). Дополнительно можно указать действие системы при заполнении локального хранилища (удаление устаревших файлов, запрет записи и/или печати и пр.).

   

   Рисунок 6  - Настройка теневого копирования на локальный компьютер

3. Перейдите на вкладку "Передача на сервер" и установите флажок "Передавать информацию о теневом копировании и файлы на сервер". Если в сети установлен сервер журналов, то просто укажите его в соответствующем поле. В противном случае создайте на сервере сетевою папку, доступ к которой имеет только администратор и/или другие ответственные сотрудники. Затем укажите эту директорию в поле "Сетевая папка для файлов" и введите логин и пароль пользователя, обладающего полномочиями на запись данных в нее.

   

   Рисунок 7  - Настройка теневого копирования на сервер

4. Нажмите на кнопку "ОК" для сохранения настроек.

Заключение

Сегодня мы разобрали процедуру внедрения в корпоративную сеть продукта Zlock – системы контроля использования съемных накопителей и других устройств, которые могут применяться для воровства конфиденциальных данных. Мы рассмотрели только наиболее простой вариант первоначального развертывания, но на практике процедура может оказаться сложнее из-за необходимости внедрения дополнительных модулей, например, сервера конфигураций. Кроме того, в крупных корпоративных сетях для развертывания и управления системы удобнее использовать не консоль, а групповые политики Windows.

Стоит отметить, что существует еще один весьма распространенный вариант утечки данных – различные интернет-каналы (электронная почта, форумы, социальные сети, ICQ и пр.). Бороться с этой угрозой Zlock уже не может. Тут необходима принципиально иная система, основанная на контентном анализе сетевого трафика (например, Zgate от того же разработчика). Поэтому для обеспечения действительно эффективной защиты от инсайдеров имеет смысл внедрять сразу же два продукта.