DeviceLock Whitepaper: Poradnik dla recenzentów Spis treści: Dlaczego DeviceLock?... 1 Dlaczego DeviceLock jest wyjątkowym rozwiązaniem?... 2 Kto potrzebuje programu DeviceLock?... 3 Jak działa DeviceLock?... 4 Kto jest producentem oprogramowania DeviceLock?... 5 Skąd można pobrać oprogramowanie DeviceLock?... 5 Pomoc techniczna związana z programem DeviceLock... 5 Ceny oprogramowania DeviceLock... 5 Informacje kontaktowe... 6 Dlaczego DeviceLock? Kontrolowanie tego, co jest umieszczane i pobierane z firmowych komputerów należy do jednej z podstawowych zasad bezpieczeństwa IT. Jednak, zadanie to z każdym dniem staje się coraz trudniejsze. Jednym z oczywistych powodów tego stanu jest błyskawicznie rosnąca popularność przenośnych urządzeń USB służących do przechowywania danych. Rynek tych urządzeń rośnie wykładniczo a sprzęt staje się coraz szybszy i pojemniejszy przy jednocześnie postępującej miniaturyzacji. Następnym problemem jest sprzęt Bluetooth, który w celu ułatwienia pracy domyślnie komunikuje się z wszystkimi innymi urządzeniami Bluetooth znajdującymi się w zasięgu. Jednocześnie, rynek domaga się lepszego oraz łatwiejszego dostępu do sieci z poziomu urządzeń przenośnych i żądania te mogą przeważyć nad wszelkimi środkami bezpieczeństwa stosowanymi w przedsiębiorstwach. Nie chodzi tutaj o to, że firmy nie mają świadomości zagrożenia jakie niesie wykorzystywanie urządzeń przenośnych przez pracowników. Media coraz częściej nagłaśniają przypadki kradzieży poufnych firmowych danych przez osoby z zewnątrz i samych pracowników w celu wykorzystania ich do szantażowania korporacji lub jako elementu szpiegostwa przemysłowego. Firmy coraz częściej dbają o bezpieczeństwo czynione są inwestycje związane z wdrażaniem zapór sieciowych, szyfrowania i innych technologii służących do zapewniania ochrony danych przed kradzieżą z zewnątrz (z Internetu). Jednak środki te oferują niewielkie możliwości kontrolowania urządzeń i portów wykorzystywanych lokalnie w firmowej sieci. Wspomniane metody nie powstrzymają nielojalnego pracownika, który przyniesie do pracy pendrive o pojemności 2 GB, podłączy go do portu USB swojego firmowego komputera i rozpocznie zgrywanie korporacyjnych informacji. 1
Podobnie, środki te nie zatrzymają złośliwego użytkownika, który użyje podobnego urządzenia do umieszczenia w firmowej sieci konia trojańskiego lub innego szkodliwego programu. W celu rozwiązania takich problemów administratorzy muszą mieć możliwość kontrolowania tego, kto i kiedy może korzystać z zewnętrznych nośników danych. DeviceLock oferuje taki poziom kontroli w sieciach działających w oparciu o systemy operacyjne Microsoft Windows. Jest to rozwiązanie typowo programowe i pozwala administratorom na przydzielanie uprawnień dostępu do portów USB oraz FireWire, urządzeń WiFi oraz Bluetooth, stacji dyskietek, napędów CD-ROM, urządzeń taśmowych i innych zewnętrznych nośników danych. DeviceLock rozwiązuje wszelkie problemy związane z bezpieczeństwem bez potrzeby sprzętowego blokowania dostępu do urządzeń. Dlaczego DeviceLock jest wyjątkowym rozwiązaniem? Poprzez dostarczenie możliwości kontrolowania użytkowników, którzy mogą uzyskiwać dostęp do portów i urządzeń podłączonych do firmowych komputerów, DeviceLock w prosty i ekonomiczny sposób zamyka potencjalnie ogromną lukę w korporacyjnych zabezpieczeniach. W porównaniu z rozwiązaniami fizycznymi wymagającymi sprzętowych blokad i kluczy, jest to podejście znacznie łatwiejsze i tańsze w implementacji w przedsiębiorstwie. W porównaniu z innymi programowymi metodami wymuszanymi przez administratora (na przykład, modyfikacja ustawień BIOS-u), DeviceLock jest rozwiązaniem znacznie bardziej eleganckim i nie utrudnia rozbudowy firmowej sieci o nowe komputery. DeviceLock wyposażony jest w przejrzysty i łatwy w użytkowaniu interfejs obsługujący kreatory i prezentujący wszystkie informacje w postaci graficznej. Administrator może konfigurować wszystkie ustawienia na firmowych komputerach zdalnie z poziomu swojej stacji roboczej. Program został zaprojektowany dla systemów Windows NT/2000/XP/Vista oraz Windows Server 2003/2008 i obsługuje automatyczną instalację, aktualizację oraz dezinstalację. Instalacja i zarządzanie programem DeviceLock może się także odbywać za pośrednictwem Zasad Grupy w domenie Active Directory. Zasady Grupy wykorzystują usługi katalogowania i kontrolują przynależność do grup, co pozwala na elastyczne i rozbudowane konfigurowanie wszelkich parametrów związanych z bezpieczeństwem. Wszelkie ustawienia są definiowane przy użyciu wtyczki Microsoft Management Console (MMC) dla Zasad Grupy. Dzięki ścisłej integracji ze strukturą Active Directory zarządzanie uprawnieniami programu DeviceLock oraz jego instalowanie jest bardzo łatwe, nawet w rozległych sieciach komputerowych. Integracja ta eliminuje także konieczność instalowania dodatkowych aplikacji zapewniających możliwość scentralizowanego zarządzania i wdrażania ochrony. DeviceLock nie musi wykorzystywać własnego serwera do kontrowania komputerów w firmowej sieci zamiast tego możliwe jest wykorzystanie funkcji oferowanych przez Active Directory. W przypadku firm wykorzystujących programowe i sprzętowe rozwiązania szyfrujące, takie jak PGP Whole Disk Encryption, TrueCrypt oraz napędy USB Lexar SAFE PSD S1100, DeviceLock pozwala 2
administratorom na centralne definiowanie i zdalne kontrolowanie zasad, których pracownicy muszą przestrzegać podczas korzystania z wymiennych nośników danych podczas zapisywania i przeglądania firmowych danych. Na przykład, pewni pracownicy lub grupy pracowników mogą posiadać dostęp do zapisywania i odczytywania danych wyłącznie z szyfrowanych napędów USB, podczas gdy inni użytkownicy sieci korporacyjnej będą posiadali dostęp w trybie tylko do odczytu do nieszyfrowanych wymiennych nośników danych, bez możliwości zapisywania na nich żadnych informacji. Poza ochroną sieciowych i lokalnych komputerów przed kradzieżą danych i innymi zagrożeniami związanymi z wymiennymi nośnikami danych, DeviceLock pozwala także na generowanie szczegółowych raportów zawierających informacje o aktywności portów i urządzeń. Opcjonalna funkcja tworzenia cienia danych wbudowana w program DeviceLock pozwala na jeszcze lepsze zapewnienie, że poufne dane korporacyjne nie opuszczają firmowej sieci za pośrednictwem nośników wymiennych. Funkcja ta przechwytuje kompletne kopie plików, które są kopiowane na autoryzowane urządzenia oraz PDA/smartfony (działające pod kontrolą systemu Windows Mobile), nagrywane na płyty CD/DVD a nawet drukowane przez autoryzowanych użytkowników. Cienie danych są przechowywane centralnie na istniejącym serwerze lub przy użyciu infrastruktury SQL zgodnej z ODBC. Kto potrzebuje programu DeviceLock? Szybko rosnąca baza użytkowników programu DeviceLock obejmuje przedsiębiorstwa, które są kontrolowane pod kątem bezpieczeństwa przechowywania danych osobowych, organizacje rządowe mające na co dzień do czynienia ze ściśle poufnymi danymi a także wszelkie inne firmy, dla których ważne jest kontrolowanie dostępu do urządzeń. Oto kilka przykładów typowego wykorzystania programu DeviceLock: Kontrolowanie tego, którzy użytkownicy lub grupy użytkowników mają dostęp do portów USB, FireWire, IrDA, COM oraz LPT, urządzeń WiFi oraz Bluetooth, komputerów PDA, smartfonów, napędów DVD/CD-ROM, stacji dyskietek i innych urządzeń. Kontrolowanie dostępu do urządzeń z uwzględnieniem czasu dnia i dnia tygodnia. Definiowanie typów danych (pliki, kalendarze, e-maile, notatki i inne obiekty protokołu ActiveSync), które mogą być synchronizowane między korporacyjnymi komputerami PC a urządzeniami mobilnymi działającymi pod kontrolą systemu Windows Mobile. Autoryzowanie wyłącznie określonych urządzeń USB, które nie będą blokowane niezależnie od jakichkolwiek innych ustawień. Autoryzowanie dostępu do określonych płyt DVD/CD-ROM identyfikowanych na podstawie specjalnej sygnatury. Dostęp będzie możliwy nawet wtedy, gdy DeviceLock w inny sposób blokuje napęd DVD/CD-ROM. 3
Nadawanie użytkownikom tymczasowych uprawnień dostępu do urządzeń USB, gdy nawiązanie połączenia sieciowego nie jest możliwe (użytkownicy otrzymują specjalne kody dostępu poprzez telefon). Uniemożliwianie użytkownikom posiadającym uprawnienia administracyjne wyłączania usługi DeviceLock Service lub usuwania jej z ich komputerów. Taką możliwość posiadają jedynie administratorzy DeviceLock. Ustawianie trybu tylko do odczytu dla urządzeń. Zabezpieczanie dysków przed przypadkowym lub zamierzonym formatowaniem. Wykrywanie i blokowanie sprzętowych keyloggerów (podłączanych do portów USB oraz PS/2). Wdrażanie uprawnień i ustawień za pośrednictwem Zasad Grup w domenie Active Directory. Wykorzystywanie standardowej wtyczki Windows RSoP do przeglądania stosowanej polityki DeviceLock, jak również do przewidywania, jaka polityka powinna zostać zastosowana w danej sytuacji. Kontrolowanie wszystkiego zdalnie przy użyciu scentralizowanej konsoli administracyjnej. Otrzymywanie kompletnych raportów o aktywności portów i urządzeń, takiej jak wysyłanie i pobieranie danych przez użytkowników, za pośrednictwem Dziennika systemu Windows. Tworzenie cieni danych kopiowanych na zewnętrzne urządzenia służące do przechowywania informacji (nośniki wymienne, dyskietki, płyty DVD/CD-ROM), urządzenia PDA i smartfony działające pod kontrolą systemu Windows Mobile oraz przesyłanych za pośrednictwem portów COM i LPT. Przechowywanie cieni danych centralnie na istniejącym serwerze lub w infrastrukturze SQL zgodnej z ODBC. Generowanie raportów zawierających informacje o urządzeniach USB, FireWire i PCMCIA podłączonych do komputerów w danym momencie, a także o wszystkich urządzeniach, które były do nich podłączane wcześniej. Jak działa DeviceLock? DeviceLock działa na komputerach PC z zainstalowanym systemem operacyjnym Windows NT 4.0/2000/XP/Vista lub Windows Server 2003/2008. Program obsługuje platformy 32- i 64-bitowe. Do instalacji i zarządzania programem konieczne jest posiadanie uprawnień administracyjnych. DeviceLock składa się z trzech komponentów: agenta (DeviceLock Service), serwera (DeviceLock Enterprise Server) oraz konsoli administracyjnej (DeviceLock Management Console, DeviceLock Group Policy Manager lub DeviceLock Enterprise Manager). 1. DeviceLock Service jest najważniejszym składnikiem programu DeviceLock. Agent jest instalowany na każdym systemie klienckim, działa automatycznie i zapewnia ochronę urządzeń pozostając całkowicie niewidocznym dla użytkowników końcowych. 2. DeviceLock Enterprise Server to moduł serwerowy służący do centralnego gromadzenia i przechowywania cieni danych oraz dzienników audytów. DeviceLock Enterprise Server 4
wykorzystuje serwer MS SQL Server do przechowywania danych. Możliwa jest instalacja kilku serwerów DeviceLock Enterprise Server w celu zrównoważenia obciążenia sieci. 3. Konsola administracyjna udostępnia interfejs, który pozwala administratorom na zdalne zarządzanie każdym komputerem, na którym zainstalowany jest agent DeviceLock Service. DeviceLock dostarczany jest z trzema różnymi konsolami administracyjnymi: DeviceLock Management Console (wtyczka dla MMC), DeviceLock Enterprise Manager oraz DeviceLock Group Policy Manager (integruje się z Edytorem Zasad Grupy systemu Windows). DeviceLock Management Console służy także do zarządzania serwerem DeviceLock Enterprise Server. Użytkownik może wybrać taką konsolę administracyjną, jaka najbardziej odpowiada jego wymaganiom. Kto jest producentem oprogramowania DeviceLock? Firma DeviceLock, Inc. (dawniej SmartLine Inc) została założona w 1996 r. z myślą o dostarczaniu efektywnych i opłacalnych rozwiązań służących do zarządzania sieciami dla małych, średnich i dużych firm wykorzystujących systemy operacyjne firmy Microsoft. Technologie kontroli dostępu opracowane przez firmę DeviceLock, Inc. pomagają klientom w ciągłym zwiększaniu bezpieczeństwa, produktywności oraz dostępności systemów. Profesjonaliści z branży IT na całym świecie wybierają rozwiązania firmy DeviceLock, Inc. do zapewniania ochrony swoich krytycznych systemów. Do klientów firmy DeviceLock, Inc. należą: BAE SYSTEMS, AEROTEC Engineering GmbH, HSBC Bank, Barclays Bank, Chase Manhattan Bank a także wiele organizacji rządowych. DeviceLock, Inc. jest organizacją międzynarodową z przedstawicielstwami w San Ramon (Kalifornia), Londynie (Wielka Brytania), Ratingen (Niemcy), Moskwie (Rosja) oraz Mediolanie (Włochy). Skąd moŝna pobrać oprogramowanie DeviceLock? W pełni funkcjonalną wersję demonstracyjną programu DeviceLock można pobrać ze strony: http://www.devicelock.pl/download.html. Pomoc techniczna związana z programem DeviceLock Pomoc techniczna jest dostępna bezpłatnie dla wszystkich użytkowników programu DeviceLock za pośrednictwem poczty elektronicznej oraz telefonu. Więcej informacji dotyczących pomocy technicznej można znaleźć na stronie: http://www.devicelock.pl/support.html. Ceny oprogramowania DeviceLock Informacje dotyczące zakupu oprogramowania DeviceLock można znaleźć na stronie: http://www.itxon.pl/sklep/oferta/store/act,2/id,30/devicelock_6.2.html. 5
Informacje kontaktowe Systemy Informatyczne ITXON Sp. z o.o. ul. Krótka 29/31, 42-200 Częstochowa tel.: (34) 3606040, 3606050 faks: (34) 3605848 www.itxon.pl Informacje ogólne: devicelock@itxon.pl Dział handlowy: sprzedaz@itxon.pl Pomoc techniczna: support@itxon.pl 6