周邊裝置控管軟體｜GFI EndPointSecurity 4.2 控管周邊裝置可設定黑白名單

在個人電腦的周邊存取控管上，GFI EndPointSecurity可以涵蓋的對象為個人電腦或Active Directory的使用者／群組，所針對的主要目標則分成可攜帶裝置與存取埠等兩大類。例如磁碟、印表機、無線網卡、數據機、鍵盤、滑鼠等，而USB、Firewire、PCMCIA、藍牙等周邊存取介面又另成一類。

對於上述目前電腦通用的各種裝置與介面，管理者透過這套系統可以設定許可或禁用，也能直接限制指定的周邊，例如特定廠牌、型號的隨身碟或光碟機，並且設定是否能存取周邊裝置上具有特定副檔名的檔案。

支援Windows 7

GFI EndPointSecurity的最新版本是4.2，功能上可以更完整支援Windows 7的個人電腦環境，包括提升代理程式在該作業系統的相容性與偵測BitLocker to Go的加密磁碟。

相較於我們在2007年所測試的3.0版，這套產品現在已擴大支援Windows Vista和x64版本的Windows，但更顯而易見的差異是管理主控臺的功能操作選項，變得更豐富。

在4.0版正式發表以後，GFI EndPointSecurity增加顯示儀表板的設計，呈現代理程式、資料庫、存取批准／阻擋次數等相關系統狀態，而且包含周邊存取的警示通知。同時，你也可以在這個介面上，瀏覽使用者透過這些周邊裝置存取的活動記錄。

取得、安裝這套系統的過程並不難。我們可以直接連至原廠網站下載軟體，預設可試用10天，在原廠網站的電子郵件通知中，則提供30天的評估序號，轉貼至管理主控臺後即可生效，超過期限後，系統會進入freeware（免費版）模式，功能一樣，但差別在於控管的原則不會生效。

控管周邊裝置可設定黑白名單

不論系統是否禁用周邊裝置，只要接上這些設備，受控管的電腦仍然可以從Windows的裝置管理員、檔案總管，看到這些裝置已經接上本機電腦；不過一旦被設定禁用，使用者就無法任意在其中存取或寫入資料。

套過群組的安全政策來控管使用者電腦的周邊裝置存取時，管理者可以根據GFI EndPointSecurity偵測到的硬體、供應商與產品編號／流水號，來鎖定或允許裝置的使用。如果不確定裝置的編號資訊，我們可以透過管理主控臺的工具選項，對欲控管的電腦加以掃描，並將偵測到的周邊裝置資訊匯入系統的資料庫。

如果一般使用者想要臨時向管理者申請存取周邊裝置的權限，這套產品也提供做法，但操作上要透過其他方式進行，而不是藉由代理程式。

我們必須到代理程式的程式目錄下，執行一支名為temporaryaccess.exe的執行檔，產生一組申請序號，再將這項資訊以電子郵件或簡訊等方式傳給管理者，並寫明需要開放的周邊裝置類型與使用期間。然後，由管理者將這些資訊輸入到GFI EndPointSecurity主控臺上，以便產生一組解除控管的序號，以便回傳給使用者在temporaryaccess.exe上輸入。

當收到使用者提出的申請臨時開放存取權的序號，管理者可以貼至EndPointSecurity的管理主控臺，然後批准使用期限，最後會產生一組授權序號。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】