Zlock: контролируйте доступ к USB-устройствам

Проблема контроля над нелегальной миграцией данных за пределы организации с использованием переносных устройств (flash-накопители, переносные HDD, PCMCIA-карты, КПК и пр.) давно актуальна для многих компаний. Но до сих пор ее решение сводится к созданию нетривиальных политик безопасности. Однако такие решения, во-первых, сложны и нестандартны, во-вторых - в большинстве реализаций не позволяют проводить централизованный аудит событий, связанных с копированием данных на съемные устройства. Помимо этого, при создании жесткой политики безопасности системному администратору бывает трудно решить проблему предоставления выборочного доступа к таким устройствам, а уж про прямые и наглядные разрешения типа ACL - вообще говорить не приходится.

Как итог - большинство системных администраторов либо смирилось с проблемой утечки информации через мобильные устройства, либо скрупулезно пытаются создавать политики безопасности, способные решить задачу предотвращения доступа к таким устройствам. Себя я отношу к первой категории, так как управлять сетью IT-компании и пытаться запретить копировать что-либо на съемные носители почти невозможно, а управление изменениями политик в данном случае затруднительно.

Есть ли варианты?

Несколько месяцев назад компания SecurIT (http://www.securit.ru/), разработчик популярных систем защиты информации при ее хранении на дисках и лентах, анонсировала новый продукт - систему Zlock, основное назначение которой - разграничение прав пользователей на использование внешних устройств, например USB-flash-дисков и пр. В статье речь пойдет о последней версии продукта - Zlock 1.2.

Для каждого типа устройств Zlock предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо чтение, либо вообще доступ запретить. Подключаемые устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т. д. Это дает возможность назначать разные права доступа к устройствам одного класса, например, запретить использование USB-flash-дисков, но при этом разрешить использование USB-ключей для аутентификации пользователей и работы защищенных от копирования коммерческих программ. Возможность ведения журнала операций чтения-записи позволяет создать систему безопасности, основанную не только на превентивном предотвращении доступа, но и на анализе тех операций, которые должны выполняться по долгу службы. Таким образом, в ситуациях, когда из-за специфики работы нельзя полностью запретить запись информации на переносные носители (например, IT-компании), созданная система безопасности будет вести журнал всех операций и шанс найти источник утечки все равно останется.

Тестируем Zlock

Протестировать этот продукт было весьма интересно, поскольку именно такие решения редко используются в большинстве сетей, хотя мысли о возможности подобного контроля наверняка возникали у каждого системного администратора. Однако при выборе любых систем корпоративного уровня для внедрения в своей локальной сети, а также в сетях наших клиентов (я работаю в IT-фирме и любое рассматриваемое решение «примеряется» на потенциальную возможность реализовать это у заказчиков) основным критерием, помимо самого функционала, для нас является эта самая «корпоративная направленность» продукта.

Главными предполагаемыми преимуществами системы, наряду с основными функциональными характеристиками, должны быть простота внедрения и интуитивная понятность действий по ее настройке и конфигурированию.

После изучения руководства администратора я приступил к установке на сервер управляющей консоли и клиентской части программы. Процесс инсталляции прошел успешно. Правда, после установки вручную пришлось обновить драйверы ключа защиты - по указанию «найти автоматически» ключ стал работать штатно. Никаких конфликтов с двумя соседними HASP-ключами от систем 1С:Предприятие не произошло. Первая же проверка на соответствие моим задачам («Помощь > О программе») показала, что я стал обладателем версии системы на 10 пользователей. Продолжать установку я не стал, так как сеть нашей компании включает в себя около 150 рабочих мест. Связавшись с техническим отделом разработчика, я пояснил, что для полноценного тестирования потребуется внедрить систему во всей работоспособной локальной сети, а не на искусственном полигоне из 10 рабочих станций, после чего количество лицензий увеличили до 150.

Апгрейд был произведен удаленно, по системе «запрос-ответ», с инструкцией, как добавить полученные лицензии в ключ защиты, что является несомненным преимуществом при масштабировании сети компании, так как не придется останавливать работу всей системы, отсылать разработчику старый ключ защиты и ждать новый, как бы оперативно не работали службы почтовой доставки.

Инсталлируем везде. Автоматически

Итак, установив консоль управления, я попробовал разобраться в том, какие же возможности она представляет мне как системному администратору и какими функциями я смогу при ее помощи манипулировать. Первый и самый главный вопрос, который наверняка волнует многих из вас, - имеется ли возможность дистанционной установки клиентской части. Сисадмины давно не являются энтузиастами «получения навыков администрирования» путем постоянной беготни между компьютерами пользователей, а посему предпочитают использовать такие технологии, которые позволяют вообще не покидать своего кабинета для решения любых системно-административных задач (понятно, что физические поломки устраняют специалисты технического отдела).

Выяснилось, что возможностей для удаленной установки клиентской части у Zlock как минимум две: при помощи стандартного распространения установочного msi-файла политиками AD и с использованием службы удаленной установки, имеющейся в консоли управления. Эта служба, кстати, позволяет таким образом запустить на клиентском компьютере любой установочный дистрибутив любого другого продукта. То есть вместе с основным продуктом вы заодно получите приятную «добавку», упрощающую удаленную установку программ на рабочие станции в локальной сети.

После тестовой проверки на нескольких рабочих станциях и убеждения в том, что продукт не валит сразу систему в BSOD, следующим тестом «права на жизнь» стала попытка установить клиентскую часть на все компьютеры локальной сети. Процесс удаленной установки, на мой взгляд, слегка усложнен необходимостью сначала создать службу удаленного управления, затем «подключиться» к группе компьютеров и только затем запустить групповую инсталляцию. На самом деле проще было бы эти 3 шага объединить в одном действии: «Установить программу», так как логично предположить, что если вы хотите что-то удаленно установить на клиентский компьютер, то и программу удаленного управления также необходимо подключить. Думаю, что авторы программы прислушаются к таким «косметическим» замечаниям и в следующей версии поправят это. Хотя про следующую версию я напишу отдельно.

Учитывая, что при установке клиентской части автоматически будут приняты определенные настройки «по умолчанию», разумно создать их заранее и сохранить в виде файла default.zcfg в папку, откуда будет производиться установка. Данную папку предоставим в общий доступ для возможности установки программы с наследованием настроек по сети, чем всегда смогут воспользоваться специалисты технического отдела, которые подключают пользователям новые рабочие станции, а также проводят профилактические работы с ними (например, переустановка ОС). Это тоже понравилось, так как направлено на реализацию той самой «корпоративности продукта» и освобождения главного специалиста от необходимости постоянного вмешательства в работу helpdesk-специалистов.

Для своей сети я сразу воспользовался общепринятым принципом построения практически любых систем защиты: «что не разрешено - то запрещено» и в политике по умолчанию запретил запись на все съемные носители для всех пользователей, кроме Администраторов Домена. При создании такой политики безопасности «по умолчанию» очень внимательно отнеситесь к разрешениям на локальные жесткие диски (Zlock позволяет заблокировать доступ и к ним). Если вы случайно создадите неверную политику и запретите любой доступ к дискам с ОС - то компьютеры просто не загрузятся. Также не забывайте про обязательное предоставление доступа для учетной записи SYSTEM, от имени которой запущено большинство системных процессов (см. рис. 1).

Рисунок 1. Политика доступа по умолчанию

После необходимо продумать политики доступа к самой службе Zlock, которая также распространится при установке на клиентские места. Отредактируйте политику доступа к настройкам клиентской части программы, разрешив или запретив пользователям видеть значок и получать предупреждения об изменении политики доступа. С одной стороны - данные предупреждения являются удобными, так как, отправив администратору заявку на получение доступа, пользователь будет оповещен, если измененная политика будет применена к его рабочей станции. С другой стороны - часто системные администраторы предпочитают не предоставлять пользователям лишние визуальные подтверждения работающих на рабочей станции защитных служб (см. рис. 2).

Рисунок 2. Разрешения на управление Zlock

Затем созданная политика (в данном случае она пока остается локальной для консольной рабочей станции) сохраняется в виде файла с именем default.zcfg в папку с дистрибутивом клиентской части.

Все. На этом глобальная подготовка системы к массовой установке закончена. В продукте импонирует простота создания политик, связанная с применением стандартного принципа создания прав пользователей типа ACL.

Для установки на все компьютеры пользователям было отправлено pop-up-сообщение с просьбой включить все рабочие станции сети, находящиеся рядом, но не используемые в данный момент. Выбрав из списка компьютеров для подключения все рабочие станции сети (вернее, выбрав все и затем исключив серверы), я запустил процесс подключения для дальнейшей установки клиентской части. Подключение к такому количеству компьютеров (150), конечно, заняло относительно продолжительное время, так как осуществляется последовательно, а если компьютер выключен - то происходит ожидание тайм-аута по подключению. Однако процедуру придется выполнить только при первоначальной установке, дальше политики будут контролироваться на основе персональных потребностей пользователей. При попытке «разом» установить клиентскую часть на все 150 компьютеров локальной сети я столкнулся с незначительными проблемами на нескольких рабочих станциях, однако на большинство компьютеров система установилась автоматически. Проблема в установке, собственно была одна - несовместимость Zlock с устаревшими версиями драйвера защиты CD-дисков - StarForce. Для корректного взаимодействия необходимо обновить драйвер StarForce, скачав его с сайта производителя. Это было также сделано удаленно, при помощи службы удаленной установки. Объяснение причины этой несовместимости, на мой взгляд, имеет право на жизнь - ведь Zlock взаимодействует с подсистемой ввода-вывода на более низком уровне, нежели прикладные функции ОС, - так же, как защита от копирования CD.

После выбора рабочих станций вам предложат указать, откуда необходимо запускать дистрибутив установщика. Именно эта функция и дает возможность таким образом устанавливать и другие программы, не сходя с рабочего места. Будьте внимательны при выборе варианта установки - «С перезагрузкой» или «Требуется перезагрузка». В случае если вы выберете «С перезагрузкой» - после завершения установки клиентские рабочие станции перезагрузятся автоматически, не спрашивая подтверждения пользователя.

На этом первоначальная установка закончена, и после перезагрузки клиентская часть Zlock начнет исполнять предписанную политику безопасности. При этом в трее появляется значок службы Zlock, предоставляющий пользователям возможность создавать запросы на предоставление доступа, а также самостоятельно редактировать политики, если, конечно, это было им разрешено созданной нами политикой по умолчанию.

Стремясь к полной конфиденциальности...

После этого, собственно говоря, и начинается тонкая настройка системы Zlock. Если в вашей компании сотрудникам часто необходимо что-то сохранять на съемных носителях, а политику безопасности хотелось бы поддерживать на самом строгом уровне, то скоординируйте свой рабочий график так, чтобы иметь возможность в следующую за установкой неделю как можно чаще присутствовать на рабочем месте. Для поддержания максимальной строгости политики доступа рекомендуется создавать правила для конкретных съемных устройств, так как Zlock позволяет предоставлять доступ к устройствам даже на основе его полных характеристик, таких, как марка, модель, серийный номер и т. п. Сложнее обстоит дело в IT-фирмах, так как сотрудникам постоянно приходится записывать всевозможную информацию на диски CD/DVD-R/RW. В данном случае можно порекомендовать использовать выделенные рабочие станции с записывающими приводами, на которых системными политиками безопасности будут созданы правила, не позволяющие получить с этих компьютеров доступ в сеть. Однако такие тонкости выходят за рамки статьи, посвященной Zlock.

Как это работает на практике?

Теперь посмотрим, как это все выглядит в работе. Напоминаю, что созданная мной политика доступа позволяет пользователям производить чтение со всех съемных устройств и запрещает запись на них. Сотрудник отдела обслуживания приходит в офис для того, чтобы сдать отчеты и записать задания на диск. При подключении съемного устройства система ограничивает доступ и выдает соответствующее предупреждение (см. рис. 3).

Рисунок 3. Предупреждение об ограничении доступа

Сотрудник считывает с него принесенную информацию, после чего безуспешно пытается записать полученные от руководителя задания. При необходимости получить доступ он либо связывается с администратором по телефону, либо формирует автоматический запрос при помощи Zlock Tray Applet с указанием устройства, к которому он хотел бы получить доступ, называет свою учетную запись и мотивирует необходимость такого доступа.

Администратор, получив такой запрос, принимает решение о предоставлении/не предоставлении такого доступа и при положительном решении изменяет политику для данной рабочей станции. При этом созданный запрос содержит всю информацию об устройстве, включая производителя, модель, серийный номер и т. д., а система Zlock позволяет создавать любые политики на основании этих данных. Таким образом мы получаем возможность предоставить право записи конкретному пользователю на указанное устройство, при необходимости ведя журнал всех файловых операций (см. рис. 4).

Рисунок 4. Создание политики на основании запроса пользователя

Таким образом процесс создания дополнительных разрешающих политик облегчен для администратора до предела и сводится к принципу Check&Click, что, несомненно, радует.

Что еще?

Очевидно, «закон 80-20» справедлив и для Zlock, поэтому в данной статье удалось подробно рассмотреть только 20% возможностей продукта, которые, тем не менее, должны удовлетворить 80% клиентов. Для того чтобы соблюсти историческую справедливость, приведем краткий обзор неохваченных возможностей.

Мониторинг

Данная функция обеспечивает периодический опрос клиентских рабочих станций на предмет несанкционированного отключения или изменения настроек клиентских модулей Zlock. Для уведомления компетентных лиц о такой «неавторизованной» активности пользователей может применяться как запись информации о событии в журнал, так и любое действие, выполняемое с помощью скриптов VBscript или Jscript, например, отправка сообщения по электронной почте, SMS и т. д. Это может стать существенным подспорьем в деле выявления особо талантливых и любознательных сотрудников и своевременного направления их способностей в более продуктивное русло.

Журналирование

О возможности ведения журнала уже шла речь, однако стоит написать об этом более подробно, поскольку анализ логов - один из основных, а иногда и единственный инструмент для выявления инсайдеров. Журнал может вестись в формате TXT, XML и Windows EventLog, как на локальной рабочей станции, так и на сервере. Последний вариант, очевидно, лучше, поскольку у пользователя отсутствует даже гипотетическая возможность внесения в него изменений. В журнал записываются события подключения и отключения устройств, как разрешенных, так и запрещенных. Кроме этого, для отдельных устройств можно установить запись в журнал всех операций с файлами - создание, чтение, запись, переименование и удаление.

Анализ журнала

В принципе для анализа логов существует множество различных средств, и включать такое средство в продукт особого смысла нет. Тем не менее в состав Zlock входит консоль отчетов, которая реализует все необходимые функции. Встроенный конструктор запросов, просмотр информации из нескольких файлов в одном окне и сохранение результатов запросов в табличном формате HTML - в качестве базового функционала этого вполне хватает.

Чего ожидать в будущем?

Возвращаясь к обещанному анонсу новой версии, могу сказать, что в неофициальной беседе с одним из разработчиков эта тема обсуждалась с неподдельным интересом, так как именно в ней планируется ввести полноценное понятие «сервер Zlock», который полностью возьмет на себя все взаимодействия с клиентами. В настоящий момент централизованное управление осуществляется при помощи консоли Zlock. Введение сервера упразднит необходимость описанного выше последовательного подключения к каждому клиенту и сделает еще более удобным распространение настроек. Сервер будет осуществлять централизованное управление клиентскими частями - мониторинг, применение политик и конфигураций, а также все остальные функции, необходимые для полноценного администрирования системы. Если все это окажется полноценно реализованным, то продукт станет еще более удобным помощником для системного администратора. Хотя уже сейчас Zlock успешно внедрен в нашей компании и стабильно работает на 150 рабочих станциях.

Публикации по теме