Управление доступом к информации с DeviceLock 5.7
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
Lantanoid » 27 апр 2005, 10:49
Доброе время суток, многоуважаемый All!
Надеюсь, что здесь организуется плодотворный и взаимовыгодный обмен инфой на заданную тему.
Сорри, если разместил не в тот раздел, но мне показалось, что вполне в тему.
Те, кто интересуется вопросом ограничения пользователей в работе с инфой, думаю уже в курсе, остальным привожу краткую справку:
SmartLine DeviceLock 5.7 (Windows Me/NT/2k/XP)
http://www.protect-me.com/ru/dl/
DeviceLock (DL) - это средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows NT/2000/XP и Windows Server 2003. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей, контролировать доступ к дисководам, CD-ROM'ам, принтерным и модемным портам и любым другим устройствам. При этом, поддерживаются все виды файловых систем - FAT, NTFS (версии 4 и 5), CDFS и т.п. DeviceLock имеет систему удаленного управления, позволяющую обеспечивать доступ ко всем возможным функциям программы.
DeviceLock Me - это средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows 95/98 и Me. DeviceLock Me позволяет назначать права доступа для пользователей, контролировать доступ к дисководам, CD-ROM'ам и другим устройствам.
Как хорошо известно системным администраторам, встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах Windows NT/2000/XP/2003, не позволяют контролировать доступ к USB портам и устройствам. Тем не менее, использование не авторизованных USB устройств представляет угрозу корпоративным сетям и данным. Все это делает механизм аутентификации USB устройств, встроенный в DeviceLock, незаменимым и подчас безальтернативным решением проблем внутренней корпоративной безопасности.
Кроме доступа к USB портам, DeviceLock позволяет контролировать весь спектр потенциально опасных устройств: дисководы, CD-ROM'ы, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры.
С помощью DeviceLock вы можете:
- Контролировать доступ пользователей к устройствам
- Контролировать доступ в зависимости от времени и дня недели
- Защитить диски от случайного или преднамеренного форматирования.
Думаю, что данная тема (ограничение доступа к инфе) злободневна для практически для любой организации, имеющей сеть. А какая организация сейчас не имеет сеть??
Обращаюсь к тем, кто юзает DL: расскажите о граблях, с которыми можно столкнуться и путях забарывания этого зла...
Замечу, что особо интересны версии 5.7 и выше, т.к. именно начиная с 5.7 появилась интеграция с AD и другие интересные фичи.
Если же кто хочет поделиться опытом использования другой софтинки, то буду только признателен (а то вдруг мой подход не оптимален
)
Собственно, о наболевшем.
Вот траблы (пока, увы, не решенные) с которыми столкнулся я сам:
1. Есть необходимость откастомайзить DL так, чтобы запреты/разрешения применялись не только по времени суток, но и по дням месяца. Ну, например, с 1 по 5 число и с 15 по 20-е юзерам давать возможность юзать флэшки, а по остальным дням - как всегда не давать.
2. Два ПК (ХР СП2) в нативном домене 2003.
2.1. Через DL Enterprise 5.7 удаленно c ПК1 развернул DLService на ПК2 при выключенном Windows Firewall. Все работает.
2.2. поднял Windows Firewall. DLEnterprise обругался 1722 - RPC сервер недоступен. логично. ...настроил WF (открыл порты и прописал в реестр нединамический порт). счастье наступило.
2.3. но не дело на всех ПК ручками править WF и тп.. передал управление настройкой WF групповой политике домена. немного не сразу, но процесс пошел. открыто все то, что и было в предыдущем пункте открыто ручками и... облом. При попытке подключиться к службе на ПК2 получаю мессагу "Отказано в доступе. (5)".
2.4. а теперь ключевой баг: тоже самое по какой-то неведомой мне причине остается даже после того, как ПК2 исключается из области действия групповой политики, а WF отключается (даже службу стопорил как вариант). А мне в ответ все равно "Отказано в доступе. (5)". Данный глюк не правило, но неприятное исключение, а потому есть желание его понять и решить.
3. Следующий баг.
Использование "Credentials" ведет себя несколько неожиданно: предполагается, что введенная в этом поле учетная запись будет применяться DeviceLock`ом в том случае, если текущий аккаунт не обладает достаточными полномочиями по установке службы и разрешений на целевом ПК. Но это не срабатывает. Выдает ошибку "Отказано в доступе. (5)". Странно. Даже и не знаю куда копать... Решение тут есть: работать с DL из аккаунта домен админа. Но это не решение, а обход проблемы - интересует именно использование новой фичи в проге.
В общем по моим наблюдениям, чем подробней запостишь, тем меньше напишут
, однако в данной ситуации детали рулят, имхо - эти вопросы в доках я не встречал.
В общем, коллеги, хелп! Если кто откликнется решением или советом - буду благодарен. Может чего да и нарешаем.
Ну и сам чем смогу, естесственно...
Кстати, иногда (закономерность пока не вывел) вышеописанные глюки распространяются на аудит и установку разрешений, а установить и удалить службу можно без проблем.
Надеюсь, что здесь организуется плодотворный и взаимовыгодный обмен инфой на заданную тему.
Сорри, если разместил не в тот раздел, но мне показалось, что вполне в тему.
Те, кто интересуется вопросом ограничения пользователей в работе с инфой, думаю уже в курсе, остальным привожу краткую справку:
SmartLine DeviceLock 5.7 (Windows Me/NT/2k/XP)
http://www.protect-me.com/ru/dl/
DeviceLock (DL) - это средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows NT/2000/XP и Windows Server 2003. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей, контролировать доступ к дисководам, CD-ROM'ам, принтерным и модемным портам и любым другим устройствам. При этом, поддерживаются все виды файловых систем - FAT, NTFS (версии 4 и 5), CDFS и т.п. DeviceLock имеет систему удаленного управления, позволяющую обеспечивать доступ ко всем возможным функциям программы.
DeviceLock Me - это средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows 95/98 и Me. DeviceLock Me позволяет назначать права доступа для пользователей, контролировать доступ к дисководам, CD-ROM'ам и другим устройствам.
Как хорошо известно системным администраторам, встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах Windows NT/2000/XP/2003, не позволяют контролировать доступ к USB портам и устройствам. Тем не менее, использование не авторизованных USB устройств представляет угрозу корпоративным сетям и данным. Все это делает механизм аутентификации USB устройств, встроенный в DeviceLock, незаменимым и подчас безальтернативным решением проблем внутренней корпоративной безопасности.
Кроме доступа к USB портам, DeviceLock позволяет контролировать весь спектр потенциально опасных устройств: дисководы, CD-ROM'ы, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры.
С помощью DeviceLock вы можете:
- Контролировать доступ пользователей к устройствам
- Контролировать доступ в зависимости от времени и дня недели
- Защитить диски от случайного или преднамеренного форматирования.
Думаю, что данная тема (ограничение доступа к инфе) злободневна для практически для любой организации, имеющей сеть. А какая организация сейчас не имеет сеть??
Обращаюсь к тем, кто юзает DL: расскажите о граблях, с которыми можно столкнуться и путях забарывания этого зла...
Замечу, что особо интересны версии 5.7 и выше, т.к. именно начиная с 5.7 появилась интеграция с AD и другие интересные фичи.
Если же кто хочет поделиться опытом использования другой софтинки, то буду только признателен (а то вдруг мой подход не оптимален
)
Собственно, о наболевшем.
Вот траблы (пока, увы, не решенные) с которыми столкнулся я сам:
1. Есть необходимость откастомайзить DL так, чтобы запреты/разрешения применялись не только по времени суток, но и по дням месяца. Ну, например, с 1 по 5 число и с 15 по 20-е юзерам давать возможность юзать флэшки, а по остальным дням - как всегда не давать.
2. Два ПК (ХР СП2) в нативном домене 2003.
2.1. Через DL Enterprise 5.7 удаленно c ПК1 развернул DLService на ПК2 при выключенном Windows Firewall. Все работает.
2.2. поднял Windows Firewall. DLEnterprise обругался 1722 - RPC сервер недоступен. логично. ...настроил WF (открыл порты и прописал в реестр нединамический порт). счастье наступило.
2.3. но не дело на всех ПК ручками править WF и тп.. передал управление настройкой WF групповой политике домена. немного не сразу, но процесс пошел. открыто все то, что и было в предыдущем пункте открыто ручками и... облом. При попытке подключиться к службе на ПК2 получаю мессагу "Отказано в доступе. (5)".
2.4. а теперь ключевой баг: тоже самое по какой-то неведомой мне причине остается даже после того, как ПК2 исключается из области действия групповой политики, а WF отключается (даже службу стопорил как вариант). А мне в ответ все равно "Отказано в доступе. (5)". Данный глюк не правило, но неприятное исключение, а потому есть желание его понять и решить.
3. Следующий баг.
Использование "Credentials" ведет себя несколько неожиданно: предполагается, что введенная в этом поле учетная запись будет применяться DeviceLock`ом в том случае, если текущий аккаунт не обладает достаточными полномочиями по установке службы и разрешений на целевом ПК. Но это не срабатывает. Выдает ошибку "Отказано в доступе. (5)". Странно. Даже и не знаю куда копать... Решение тут есть: работать с DL из аккаунта домен админа. Но это не решение, а обход проблемы - интересует именно использование новой фичи в проге.
В общем по моим наблюдениям, чем подробней запостишь, тем меньше напишут
, однако в данной ситуации детали рулят, имхо - эти вопросы в доках я не встречал.
В общем, коллеги, хелп! Если кто откликнется решением или советом - буду благодарен. Может чего да и нарешаем.
Ну и сам чем смогу, естесственно...
Кстати, иногда (закономерность пока не вывел) вышеописанные глюки распространяются на аудит и установку разрешений, а установить и удалить службу можно без проблем.
Jovanotti » 27 апр 2005, 12:02
| Цитата | ||
| а WF отключается (даже службу стопорил как вариант)
[/quote] Пробуй не только сервис фаера стопить но и SecurityCenter service
|
