Контроль доступа к USB портам.
Программа FileControl предназначена для управления доступом к различным портам и внешним устройствам на компьютерах локальной сети (USB, CD/DVD, дисководам, принтерам и прочим), а также к Wi-Fi и Bluetooth интерфейсам. Используется для обеспечения информационной безопасности в офисных локальных сетях.
Известно, что наибольшей опасностью для безопасности локальных сетей являются не внешние угрозы (из интернета), а внутренние. Внутренние угрозы вызваны тем, что офисные сотрудники имеют доступ к важной информации изнутри — со своих компьютеров, объединенных в локальную сеть. Если этот доступ не контролировать, то последствием может быть несанкционированное копирование и удаление конфиденциальной информации, а также появление на рабочих компьютерах вредоносных программ (вирусов, троянов) и просто бесполезных файлов (например, видеофильмов и музыки). Особенную опасность для информационной безопасности организаций в последнее время представляют внешние USB устройства, по причине их распространенности, большой емкости и легкости подключения к офисным компьютерам.
Зачем нужен FileControl
Программа эффективно справляется c вышеперечисленными проблемами в офисных локальных сетях, ограничивая использование различных устройств по установленным администратором правилам, и сохраняя информацию об операциях с файлами на этих устройствах. FileControl обеспечивает эффективную защиту от внутренних угроз — информационных утечек, уничтожения ценной информации, инсайдеров, usb-вирусов и других. Целевая аудитория FileControl — администраторы локальных сетей, руководители и менеджеры различных уровней, сотрудники служб безопасности.
Возможности, принципы работы и устройство FileControl
Основные функции FileControl — отображение подключенных к компьютеру устройств, разрешение/запрещение работы с различными ними и запись операций с файлами на этих устройствах. За действиями пользователя следит специальный драйвер слежения, который устанавливается на каждый компьютер удаленно, с сервера.
Возможности FileControl
Управление доступом:
FileControl контролирует следующие устройства и порты:
USB порт и все устройства, подключаемые по USB (флэшки, внешние жесткие диски, фотокамеры, сотовые телефоны, КПК, mp3 плееры, и др.), причем отдельно от остальных управляются USB принтеры и все виды USB дисков;
оптические CD и DVD приводы, дисководы FDD 3,5″;
внешние порты ввода-вывода — COM, LPT, IrDA;
интерфейсы Bluetooth и Wi-Fi.
Контроль доступа осуществляется как для компьютеров, так и для отдельных пользователей Windows. Для устройств, доступ к которым должен быть разрешен всегда (USB-ключи, сканеры, принтеры и т.п.), реализован белый список.
Мониторинг и статистика
FileControl показывает USB-устройства, подключенные к компьютерам, и ведет журнал действий пользователей с внешними накопителями информации. Информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в базу данных. С помощью удобной системы поиска с фильтрами можно быстро найти нужные данные. Также есть возможность экспортировать эти данные в MS Excel.
Теневое копирование файлов
Программа без ведома пользователей сохраняет в отдельную папку на сервере все файлы, которые читались с внешних USB дисков, или записывались на них.
Простота установки и использования
Все модули программы содержатся в одном дистрибутиве, который устанавливается на сервер в автоматическом режиме. После этого надо выбрать компьютеры локальной сети для установки на них драйверов слежения. Это делается дистанционно — можно выбирать как по одному, указав имя или IP адрес, так и сразу по несколько, указав диапазон IP адресов, или импортировав из Active Directory. Также возможна ручная установка драйверов слежения.
Устройство и принципы работы FileControl
FileControl состоит из четырех модулей — все они содержатся в одном дистрибутиве:
Серверный
Представляет из себя сервис, который постоянно обменивается информацией с драйверами слежения. Устанавливается на сервере офисной локальной сети разрешает/запрещает те или иные действия, сохраняет информацию в базу данных. Управляется с помощью консоли администрирования.
Пользовательский
Это драйвер слежения, управляющий доступом непосредственно на клиентских компьютерах и собирающий информацию об устройствах и файлах. Драйверы слежения устанавливаются на компьютеры локальной сети дистанционно, через консоль администрирования. Возможна также ручная установка на каждом компьютере.
Администраторский
Панель управления, из которой осуществляется управление сервером FileControl, установка и удаление драйверов слежения, а также работа с базой данных.
База данных
В FileControl интегрирована база данных SQLite. В ней хранится вся информация о компьютерах, устройствах, файлах, и правилах доступа. Запросы к базе данных осуществляются через консоль администрирования.
Единственный способ полностью контролировать операции с файлами на внешних устройствах — установка на всех компьютерах локальной сети драйвера, незаметного для пользователей компьютеров.Драйвер слежения FileControl — низкоуровневый, работающий на уровне ядра ОС. Он отслеживает все операции записи или чтения на съемные устройства. При попытке записи или чтения на устройство, драйвер слежения проверяет права доступа и действует в соответствии с ними, т.е. разрешает или запрещает действие. В тот же момент на сервер отправляется информация о произведенном действии. Настройки уровня доступа драйвер слежения получает с сервера в момент загрузки клиентского компьютера, или при изменении их администратором.
Серверная часть FileControl — сервис, который устанавливается на сервере. Этот модуль служит для сбора данных от драйверов слежения и отправки им установок прав доступа. Собранные данные о пользователях, их устройствах, и работе с файлами на этих устройствах сервис сохраняет в базу данных SQLite.
Панель управления FIleControl — это пользовательский интерфейс программы. Служит для мониторинга подключенных USB устройств, изменения прав доступа для пользователей, дистанционной установки драйверов слежения и поиска по базе данных. Представляет из себя exe-приложение, которое может быть запущено с любого компьютера в локальной сети, а не только на сервере.
Инструкция по настройке и использованию FileControl 2.0
FileControl состоит из трех модулей – администраторского (панель управления программой), пользовательского, называемого также драйвером слежения, и серверного.Тот компьютер, на который вы сейчас установили программу, служит для FileControl сервером. На нем устанавился сервис, функция которого — сбор информации от драйверов слежения на компьютерах локальной сети и разрешение или запрет тех или иных действий на этих компьютерах, а также запись информации о событиях на этих компьютерах в базу данных.
После установки сервера нужно установить на компьютеры локальной сети драйверы слежения FileControl, которые будут управлять доступом к внешним устройствам и портам в соответствии с установленными вами правилами, получать и отправлять информацию на сервер. Если связи с сервером не будет, то драйвер будет продолжать работать по правилам, установленным до обрыва связи.
Управление программой осуществляется через Панель Управления FileControl, которая связывается с сервером и служит для управления правами доступа на компьютерах локальной сети, а также для просмотра информации из базы данных. Панель управления устанавливается вместе с сервером, но также может быть запущена с любого компьютера локальной сети.
Предварительные настройки firewall (брандмауэра)
Внимание! Для корректной работы серверной части FileControl, на сервере нужно открыть следующие порты для протокола TCP: 4010, 4011, 4003.
Назначение портов:
4010 и 4011 — для подключения администраторского модуля (панели управления) и драйверов слежения к серверу FileControl;
4003 — для осуществления теневого копирования файлов.
Перед началом работы убедитесь, что ваш сетевой экран на сервере (т.е. на том компьютере, где только что была установлена программа) не блокирует эти соединения.
Входим в программу
Управление осуществляется через администраторский модуль — Панель Управления FileControl (файл `fcadmin.exe`, находящийся в папке, где установлена программа), который может запускаться с любой машины локальной сети. При входе в программу нужно указать адрес или имя сервера FileControl. Пароль входа в администраторский модуль по умолчанию не установлен. При необходимости его можно указать в разделе «Настройки» после открытия программы.
После входа в программу начинаем ее настраивать.
Добавляем компьютер и устанавливаем драйвер слежения
FileControl позволяет установить драйверы слежения на компьютеры вашей локальной сети двумя способами — дистанционно или вручную. Дистанционная установка — штатный режим работы, позволяющий быстро установить драйверы на любое количество компьютеров прямо из Панели Управления FileControl. Если ваша локальная сеть настроена правильно и у вас есть права администратора домена (для сети, построенной на домене), или локального администратора на удаленных компьютерах (для сети без домена), то дистанционная установка будет работать правильно. В других случаях драйверы слежения придется устанавливать вручную, запустив на каждом компьютере специальный инсталлятор драйвера FileControl.
Дистанционная установка драйвера слежения
Информация о действиях программы отображается в соответствующем окне. Если установка драйвера слежения прошла правильно, то он начинает работать без перезагрузки компьютера.
Нажимаем на кнопку «Добавить компьютеры». В открывшемся диалоговом окне находится список компьютеров, выбранных для установки драйвера, и кнопки для добавления компьютеров в этот список различными способами. Компьютеры можно добавлять в список как по одному, указывая адрес или имя отдельного компьютера, так и массово, указав диапазон IP адресов, или импортировав их из домена Windows AD. При использовании последнего способа нужно указать логин и пароль любого пользователя, которому разрешен доступ по LDAP. Или, если политикой безопасности доступ по LDAP разрешен только администратору, то вводим данные администратора домена Active Directory.
Добавляем компьютеры в список одним из способов,в списке выделяем галочкой те, на которые нам нужно установить драйвер, и жмем кнопку «Установить >>». Если требуется — вводим логин и пароль администратора на удаленной машине. Для добавления из Active Directory необходимо указать логин и пароль администратора домена
Установка может занять некоторое время – дождитесь ее завершения. Информация о действиях программы отображается в соответствующем окне. Если установка драйвера слежения прошла правильно, то он начинает работать без перезагрузки компьютера.
Возможные проблемы и способы их решения
Если при установке возникли проблемы с доступом к удаленному компьютеру, то нужно проверить возможность доступа, напечатав в адресной строке `\computeradmin$`, где computer — имя или IP-адрес удаленного компьюьера.