企業中移動存儲介質的管理是一直是個令人頭痛的問題,它不僅帶來病毒的問題,更重要的是涉及到泄露國家與商業祕密的問題,已經到了必須要進行管理的地步。但USB除了可以接駁移動存儲介質之類的設備外,還可以連接打印機,鼠標,鍵盤等,事實上它已成爲一種標準的通訊端口,有很多外部設備都要用到。簡單的技術限制只會一刀切也不符合實際需要。而GFIEndPointSecurity這款軟件除了在技術功能層面上非常優秀外,在移動存儲介質管理思想上也很完善,我想這兩點對我們大家都會有一定的幫助與啓發。
一、軟件簡介
GFI EndPointSecurity是一款基於網絡的終端安全軟件,用來阻止通過移動存儲設備(如 USB盤、移動硬盤、智能手機等)的數據盜竊和病毒感染。
二、產品工作方式
GFI EndPointSecurity.通過後臺爲客戶計算機安裝一個約1兆左右的代理程序,配置過程非常簡單,只需點擊幾下鼠標,就可以將代理程序配置到上百臺機器上,而用戶根本就發覺不到它的存在。安裝後,若用戶登錄計算機,代理程序就會查詢Active Directory,併爲不同的用戶、設備、接口設置相應的權限。如果用戶不是訪問許可權限中的成員,對設備的訪問操作就會被禁止。
三、產品佈署要求
1、服務器端需要安裝NET Framework Version2.0與數據庫,支持SQL Server2000,2005,2008。
2、客戶端操作系統要求Windows2000Sp4以上。
3、開放TCP端口1116。
四、軟件操作
4.1安裝
服務器端安裝時最好有活動目錄配合,因爲在安裝過程中需要輸入域管理員帳號等信息,如圖1。
4.2界面說明
軟件安裝完畢後第一次進入,系統會首先彈出“快速啓動配置”對話框,該對話框可以集中設置軟件首次運行需要的各種選項配置。如圖2,主要配置有:
Configuring local/domain users groups:創建所要管控的設備類型與計算機接口權限組。圖2.1所示,
在這裏用戶可以自由選擇創建所要管控的設備類型與接口權限組,選擇確認後軟件將自動在“Active Directory用戶和計算機”的“User”下創建相應權限組。只要將需要授權的帳戶加入到不同權限組中,對應的用戶就會獲得該設備或接口的訪問權限。
Configuring the database backend:配置軟件所要連接的數據庫,如圖2.2。
數據庫的配置在此不做講述,需要提醒的是圖中“Database”項目軟件會自行建立,用戶只要起一個名稱即可,如圖例中所示,操作非常簡單。
Configuring Alerting Options:配置警報信息發送方式,可以通過郵件,網絡與手機短信三種方式發送。
4.3軟件具體功能配置
設置完“快速啓動配置”後,我們選擇進入軟件“管理控制檯”的核心功能區“Configuration”區。在該功能區內集中了權限分配、策略分發、黑白名單設置、文件過濾等功能,如圖3。
在正式講解軟件功能之前,我們先來看如圖4 GFI EndPointSecurity的工作原理示意圖:
通過圖示的工作流程我們可以清楚的看到,當某用戶使用移動存儲介質時,客戶機上的代理程序會首先檢查當前用戶是否屬於“Power User”及超級用戶,如果是的話用戶將可以直接使用該移動存儲設備,沒有任何權限障礙。如果不是,軟件會繼續檢測所使用的設備是否已列入黑名單。如果屬於黑白名中禁止使用的設備系統將提示拒絕訪問,如果否的話軟件會接着檢測所使用的設備是否已列入白名單,即是否屬於授權合法的設備,如果OK,用戶將可以使用該移動存儲設備。如果屬於非授權設備,軟件會繼續檢測當前用戶是否具有使用移動存儲設備或計算機接口的權限,如無權使用,軟件將拒絕用戶使用。如擁有權限的話用戶則可以使用移動存儲介質或計算機接口,但如果出現用戶要複製“文件過濾”列表中拒絕的文件時,軟件還是會拒絕操作,但僅限於此類文件被拒絕。
從圖4 中我們可以感覺到與其實這個流程是軟件的工作流程,不如說它其實爲我們提供了一個現成的移動存儲介質與計算機接口的管理流程,對於正處在對移動存儲介質管理感到煩惱的網絡管理者來說提供了一個很好管理思路。
下面我們就按照“原理示意圖”中所示的流程來講解設置各項功能。
第一步,添加受控計算機;進入“Configuration”功能區,點擊右邊的“Add Computer to This Policy”命令,添加需要管理的計算機,有三種填加方法,分別爲列表中選擇,從域中搜索,文本導入。
第二步,黑名單列表設置;在“Configuration”功能區下方右面點擊“Devices Blacklist”命令,出現如圖5所示對話框,勾選要禁止的設備確定即可。
第三步,白名單列表設置;在Configuration”功能區下方右面點擊“Devices Whitelist”命令,出現如圖5所示對話框,勾選授權可以使用的設備即可。這裏需要注意的是,在初始設置時,黑白名單中所列出的設備,可以手動添加進去,也可以通過“Tool”功能區中的“Device Scan”功能對所使用的移動設備進行一次掃描,在獲取ID號之類的參數後,加入數據庫中即可在黑白名單選擇列表中看到該設備。這項功能我們後面會講到。
第三步,設置所控設備與接口的使用權限;進入“Configuration”功能區,點擊右邊的“Set permissions”命令會進入“權限設置區”,如圖6。
然後在左側點擊“edit controlled device categories”命令,選擇所要管控的設備類型,如圖7。
圖例中我只選擇了CD/DVD與存儲設備兩種設備類型,表明我只是想管控網絡內計算機的光驅與移動存儲介質。有一點需要說明的是CD/DVD類型設備除普通光驅外還包含刻錄光驅,存儲設備類型包含U盤、MP3、MP4、各種Flash存儲卡,其它一些輕便的存儲設備等。設備類型選擇完畢後返回“權限設置區”,在左側點擊“Edit controllod ports”命令,選擇所要管控的計算機接口,如圖8所示。
在所要管控的設備類型與接口都選擇完畢後,就可以設置用戶的權限了。點擊左側的“Add permissions”命令,出現添加權限類型對話框,如圖9所示。
在這個對話框裏用戶可以選擇對設備類型設置用戶權限,對接口設置用戶權限,對指定設備設置用戶權限三種。選擇其中一項後,軟件會要求用戶添加帳號或組並設置相對應的訪問權限。如圖10所示。
第四步,設置文件過濾功能;在“Configuration”功能區的右下方,點擊“file-type filter”命令,彈出如圖11所示對話框:
在這裏用戶可以添加想要禁止或允許操作的文件類型,如圖例中我選擇DWG文件爲禁止,當用戶在使用移動存儲介質對DWG文件進行復制時軟件就會拒絕此項操作。圖中上部的兩個單項選擇分別爲“允許所有文件類型但禁止下列文件類型”與“禁止所有文件類型但允許下列文件類型”。
第五步,將設定完成的權限策略分發到計算機上;進入“Configuration”功能區,使用快捷鍵CTRL+D命令將策略分發到相應的計算機即可。分發策略的情況可以在“Status”功能區的“Deployment”選項卡下看到。
至此我們按照 GFI EndPointSecurity的工作原理示意圖的流程對軟件如何管控移動存儲設備與計算機接口進行了講解。但軟件在一些輔助功能與人性化設置方面做的也非常好!如臨時訪問權限,自定義提示信息,設備掃描與日誌報告方面都非常出色,下面我再做一個簡單介紹。
4.4軟件輔助功能設置
第一,臨時訪問權限設置;在我們日常的實際工作中可能會遇到一些不具備移動存儲介質使用權限的用戶因特殊原因需要臨時在一段時間內具備相應的權限的情況,這時我們就可以使用 GFI EndPointSecurity中非常有意思的臨時訪問權限功能。
如果網絡內的客戶計算機上安裝了代理程序,那麼在它的“設置”“控制面板”內會多出一個“GFI EndPointSecurity Temporary Access”功能,當用戶需要臨時權限時可以啓動該功能,如圖12所示對話框
將圖中的request code傳給網絡管理者,管理者使用該ID號會利用軟件生成返回給用戶一個解鎖碼,以授權用戶具有移動存儲介質的使用權限。除此之外,管理者在生成解鎖碼時可以設定不同級別的使用權限,不同時間限定,如圖13所示。
第二,自定義系統提示信息;如圖14就是自定義的系統提示信息。設置方法爲在“Configuration”功能區中選擇“Options”選項卡,在左側點擊“Custom Messages”命令,即可彈出如圖15所示的對話框,我們只要將相對應的信息進行個性化修改即可。
第三,設備掃描功能;在前文黑白名單的設備列表講解中,我們曾提到列表中的設備可以通過掃描加入到數據庫中,該掃描功能就在此處。進入“Tools”功能區,選擇下面的“Device Scan”選項卡,我們就可以看到設備掃描功能各項設置了,如圖16。首先在面板左側選擇“Option”,在彈出的對話框中選擇需要掃描的設備類型與接口,返回後再在右側“Scan target”框內選擇所要掃描的計算機或是子網即可。圖例下方是掃描的結果,在掃描出的設備類型中,右鍵選擇“Add to devices database”命令即可將該設備添加入數據庫中,同時該設備也會出現在黑白名單的設備列表中供用戶選擇。
第四,日誌瀏覽功能;如圖17所示,GFI EndPointSecurity的日誌瀏覽功能非常強大,我們可以很清楚的看到每條事件的詳細情況,如圖例中被選中的事件詳細情況爲用戶1使用移動存儲設備的權限是全讀寫權限,但在複製一份 Word 文檔時被系統拒絕。
好了!GFI EndPointSecurity主要功能就講到此了。雖然軟件對移動存儲介質與計算機接口的管控功能很強大,但它只是一種強制的技術手段,而移動存儲介質的管理量件涉及到人、技術、制度等多方面因素,任何一種手段與措施都不能保證達到管理的最終目的,我們除了利用技術手段外還應該學會用管理的思維來解決面臨的難題!