Обзор Zlock - программы для ограничения доступа к внешним устройствам


Буква Z, используемая в названии серии программ, разработанных компанией SecurIT, отнюдь не относит их в конец списка программного обеспечения. Скорее наоборот - эта буква в начале названий программных продуктов стала уже широко известной. Предлагаемые компанией программы предназначены для защиты от несанкционированного доступа к дискам, серверам, компьютеру. А программа Zlock, о которой пойдет речь, регламентирует доступ к внешним устройствам.

Что понимается под разграничением доступа и доступ к чему ограничивает программа? Это последовательные и параллельные порты, дисководы гибких дисков и CD/DVD-ROM, USB-устройства и PCMCIA-адаптеры. Разграничение доступа осуществляется по различным сценариям: разрешение или запрет доступа, доступ только на чтение для всех пользователей, а также управление доступом на основе списка контроля доступа (access control list - ACL). Программа работает под управлением операционных систем Windows 2000 и выше.

Zlock состоит из двух частей - клиентского модуля и модуля администрирования. Клиентский модуль должен быть установлен на каждом компьютере, доступ к устройствам которого необходимо контролировать. Модуль администратора устанавливается на одном из них, и с его помощью выполняются управление и настройка клиентских модулей (в том случае, конечно, когда к рабочим местам есть сетевой доступ). Помимо управления, с помощью этого модуля можно производить установку и удаление клиентских модулей, выполнять их мониторинг, просматривать журналы работы, создавать и распространять по сети политики доступа к аппаратным ресурсам.

Главное окно
Главное окно

Если кто-то уже сталкивался с программами компании SecurIT, то ему известна единая консоль управления ими - Zconsole. Модуль администрирования Zlock выполнен в качестве плагина к этой консоли и взаимодействует с клиентской частью через механизм удаленного доступа Zremote. Для подключения к клиентским модулям в консоли управления выполняется настройка доступа - порт, по которому модуль администратора будет получать доступ к клиенту, и имя пользователя, необходимое для выполнения подключения.

Модуль клиента предназначен для разграничения доступа к устройствам и обеспечивает реализацию правил на разрешение или блокирование доступа (в соответствии с политиками доступа), ведет запись событий, связанных с подключением или отключением устройств и выполняемыми операциями в файловой системе, а также взаимодействует с модулем администратора. В состав клиентской части входит также резидентный модуль, отображаемый при загрузке в панели задач. Он предназначен для информирования пользователя о работе программы, а его выгрузка никоим образом не сказывается на ее функционировании. При открытии модуля отображается список подключенных устройств, а при подключении нового им выводится сообщение для пользователя о политиках доступа, применяемых к этому устройству.

Политика доступа определяет правила, по которым группа или отдельные пользователи могут получить доступ к тому или иному устройству. Политики ранжируются по значимости, и если одно и то же устройство попадает в разные политики с различными приоритетами, применяется та, чей приоритет выше. Существует постоянная политика - "Политика по умолчанию", имеющая низший приоритет. Описания правил доступа, записанные в нее, применяются для всех устройств, не попавших в любую иную политику доступа. В ней по умолчанию разрешается полный доступ всем пользователям к любым устройствам.

Выбор пользователей
Выбор пользователей

Количество политик, применяемых в системе, не ограничено. Вы можете в любой момент создать новую политику. При ее описании потребуется выбрать тип доступа (разрешен, запрещен, доступ на чтение либо индивидуальный), установить приоритет и назначить журналирование событий, назначить расписание либо срок действия этой политики и, безусловно, устройство, для которого предназначена данная политика. Фактически вы можете любое имеющееся у вас устройство связать с только для него созданной политикой. По времени доступа предусмотрены ежедневные, еженедельные и ежемесячные политики, действующие только в определенные дни и часы. Также можно создать политики временные, разовые, которые будут действовать до отключения устройства или до выхода пользователя из сети. Для удобства политики могут быть сохранены в виде файла и при необходимости восстановлены из него.

Устройства в системе Zlock могут быть определены различными способами. Например, их можно определить по типу устройств. Таким типом может быть USB-устройство "накопитель", к которому будут относиться все накопители с таким интерфейсом - флешки, фотокамеры и другие. Это могут быть устройства, определяемые по своим отдельным характеристикам - протоколам, названиям, производителями, серийным номерам. Можно определить устройства как физические - к таковым могут быть отнесены устройства, подключенные к компьютеру через внешние порты, SCSI-контроллеры, по шинам PCI, и другие. Используя различные способы определения устройств, можно запретить доступ к флеш-дискам, подключаемым через USB-порт, и разрешить при этом использование USB-ключей.

Выбор типа устройства, связываемого с той или иной политикой, осуществляется через окно "Выбор типа описания устройства". При этом имеется возможность выбора как устройства, подключаемого к локальному компьютеру, так и устройства, работающего на удаленном компьютере, либо выбора устройства из каталога устройств. Последнее полезно в том случае, когда устройство еще не подключалось к компьютеру либо в текущий момент не подключено физически ни к одному из компьютеров сети. Каталог может быть сформирован в автоматическом режиме за счет сканирования контролируемых компьютеров и получения информации обо всех устройствах, когда-либо подключавшихся к ним. В этот каталог могут быть занесены и такие устройства, которые еще не подключались к компьютерам, но характеристики которых известны заранее. Каталог устройств - это файл, в котором хранятся описания любых устройств, и администратор может создавать политики доступа на основе информации из каталога, когда сами устройства отсутствуют или отключены.

Устройства
Устройства

Сформированные на локальном компьютере политики доступа к устройствам могут быть переданы на удаленные рабочие станции с использованием единой системы администрирования Zconsole. После того как политика была распространена на другие рабочие станции, появляется возможность синхронного обновления ее при изменении основной политики. Следует иметь в виду, что изменения будут распространены только на те рабочие станции, с которыми на текущий момент установлено соединение. Поэтому перед выполнением синхронизации политик нужно установить через Zconsole соединение с необходимыми рабочими станциями. Аналогично выполняется и удаление политики: установите соединение с рабочими станциями, удалите базовую политику и распространите это удаление по сети.

В ряде случаев пользователю бывает необходимо получить доступ к устройству, к которому у него доступа нет. Поскольку разрешение может дать только администратор, у пользователя есть возможность с помощью резидентного модуля Zlock создать запрос и отправить его по электронной почте администратору. Администратор, получив запрос, должен будет открыть его и обработать. Он может отклонить его либо установить параметры доступа. Среди них - расписание доступа, при формировании которого можно сформировать специальный вид расписания, действующего только один раз либо до завершения работы в системе, либо до отключения устройства. После наступления выбранного события политика будет автоматически удалена. Второй параметр, используемый при формировании политики по запросу, - набор рабочих станций, для которых будет действовать эта политика.

Кроме возможностей централизованного администрирования, о которых было сказано выше, возможна централизованная установка резидентных модулей Zlock на локальные компьютеры. Выполнение этой задачи несложное - достаточно установить соединение с рабочей станцией и выбрать действие "Установить программу". (Удаление программы с рабочей станции выполняется таким же образом.) После установки клиентской части Zlock требуется перезагрузка удаленного компьютера. Перезагрузку можно выполнить через команду "Завершение работы" в меню "Действия" либо воспользоваться типом установки с перезагрузкой.

Описание устройства
Описание устройства

С помощью специального модуля службы Zservice, который устанавливается совместно с консолью администратора, можно автоматизировать мониторинг рабочих станций. Через определенные промежутки времени этот модуль собирает информацию с локальных резидентных модулей и выявляет появление таких ситуаций, как изменение конфигурации Zlock, изменение конфигурации обработки уведомлений, настроек безопасности. Изменения считаются несанкционированными, если они выполнены с рабочих станций либо через удаленное управление, но не с консоли администратора, где работает система мониторинга. При наступлении любой из вышеописанных ситуаций модуль мониторинга производит действия, заранее заданные в окне "Обработка событий при мониторинге". Кроме того, в любой момент можно просмотреть текущий статус мониторинга в консоли управления.

Каждое из событий, связанное как с работой самой программы, так и с доступом к файлам на контролируемых устройствах и подключением устройств, может быть сохранено в журнале событий (либо в текстовом файле, либо в системном журнале EventLog). Что и как должно фиксироваться, настраивается в обработчиках событий. Формат записей в файл может быть либо текстовой, либо XML. Последний рекомендуется в том случае, если вы хотите проводить в дальнейшем анализ событий с помощью встроенного генератора отчетов либо с помощью любого внешнего аналогичного приложения. Реакция на события в Zlock может быть реализована с помощью скриптов, что позволяет осуществлять уведомление ответственных лиц любым способом - от сообщения по электронной почте до SMS, а также настроить на опеределенные события запуск приложений или выполнение любых других действий.

И еще несколько слов об управлении рабочими станциями. Если в локальной сети присутствует большое количество компьютеров, их можно разбить на группы и выполнять групповое управление политиками. А если компьютеры в сети работают под управлением домена на основе Windows 2000/2003, то существует возможность автоматически разбить компьютеры по группам, аналогичным существующим организационным единицам (OU) в Active Directory.

Вот вкратце основные возможности нового продукта компании SecurIT, который начинает конкурентную борьбу с уже известным продуктом DeviceLock компании "Смарт Лайн".





Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.