在周邊控管的功能上,DeviceLock目前發展到6.4版,能控管USB埠、Firewire、藍牙、紅外線等個人端電腦的周邊連接埠,以及可攜式磁碟(記憶卡、隨身碟)、光碟機,以及多種智慧型手機,同時能限制列印和擅自連至無線網路。

和其他同類軟體相較,DeviceLock的特色不只限制員工電腦對周邊裝置的存取,以及持續記錄使用者的接取行為,更可以鎖定特定的使用者,透過部署在每臺電腦的代理程式,將他們所外存至周邊裝置的檔案資料複製下來,再上傳至伺服器上,這項功能在系統裡稱為Shadow。在系統安裝時,可以將這些檔案存放的位置設定成伺服器端的磁碟或資料庫。

因為DeviceLock可以同時做到存取記錄與檔案內容的保存,因此如何更方便地檢索,也成為導入這套產品的延伸需求。過去,建置DevieLock時,可以搭配代理商達友科技所開發的中文報表與查詢系統,在DeviceLock的最新版裡,現在也能選購Content Security Server軟體(DLCSS),以供查詢與稽核(目前只有英文介面)。

主要管理作業使用MMC的整合介面

建置上,這套系統的架構分成幾個部分:上述的DeviceLock Service、IT人員操作的遠端管理主控臺,以及確認電腦之間身分安全性的專屬公私用憑證。如果需要啟動使用記錄的稽核與側錄檔案,可以搭配DeviceLock Enterprise Server與上述的Content Security Server。上述這幾個程式的操作,都整合在微軟的嵌入式管理介面。

在DeviceLock代理程式的部署與移除時,可以利用AD、Logon Script或搭配軟體部署系統。或者,透過另一支在系統建置時一併安裝的獨立程式DeviceLock Enterprise Manager來設定,若想檢視指定電腦目前的周邊存取權限、使用記錄或是外存檔案的狀態,管理者主要是用它來執行即時掃描,以便檢視(如須查看完整內容或查詢,仍須透過DLCSS或達友的系統),而像是憑證的遠端安裝,也一樣透過它執行。

以這支程式掃描內部網路的所有電腦時,可以設定登入的帳號、密碼與允許的網路埠,如欲指定多臺非網域的電腦時,則須先將這些電腦的主機名稱或IP 位址存成文字檔,再交由DeviceLock Enterprise Manager開啟清單。

從管理介面來看,假如DeviceLock Enterprise Manager當中針對欲控管電腦的狀態掃描、代理程式部署、移除等操作,都能納入MMC介面,並且加入常用設定的精靈式導引介面,整體使用上將更為直覺。

強化黑莓機與iPhone、iPodTouch控管

最新版的DeviceLock也擴充對於各種周邊裝置的支援,例如黑莓機(BlackBerry)的資料讀寫作業,而且對於蘋果的iPhone手機與iPod Touch播放器的控管項目更細緻,涵蓋到連絡人、多媒體檔案與一般檔案──只要是連到個人電腦,並藉由iTunes或相關的API所執行的存取動作,都可以在DeviceLock的iPhone許可類型下加以設定。

事實上,在特定的周邊裝置,除了讀、寫、執行,DeviceLock也同樣控管裝置本身特有的細部項目,像系統對蘋果的可攜式裝置支援很豐富,但Windows Mobile的特殊許可類型中是最多的,你可以設定11種項目的限制(包含讀與寫,因此總共有22種動作)。

若要暫時存取禁用的周邊,透過Windows控制臺即可申請

限制存取的周邊裝置類型是這類產品的基本功能,為了在管理上有更多彈性,多數產品現在也支援「白名單」的例外容許機制,而這需要更細緻的裝置辨識能力。

這使得目前周邊控管軟體的控管層級越來越廣,不只包含連接埠和裝置類型,而且需透過裝置序號來加以管理。

像DeviceLock對裝置序號的辨識,就分成USB裝置和儲存媒體(指定的光碟片)等兩大部分。以前者來說,可分成供應商(VID)、產品(PID)與流水號(SN)的編號,舉例來說,要控管到的同批採購的多個周邊裝置,而且是廠牌、型號相同的,僅需設定VID和PID;若要以最嚴格的方式限制,可以設定到單個指定的周邊裝置。

至於儲存媒體的辨識,DeviceLock則是由系統對欲控管的光碟片內容產生一組雜湊值,作為控管的編號,IT人員可將電腦設成只能存取允許使用的光碟片,例如系統安裝光碟。由於這裡比對的是光碟的資料內容,因此如果將允許使用的光碟片完整複製成多張,系統會視為同一個儲存媒體,而不需麻煩地認證多個媒體編號。

上述的機制主要是用在「白名單」機制,以便系統允許某些連接裝置不受控管。然而,有些外接裝置的作用因為先天上不會牽涉到檔案存取,所以系統直接設為不控管。以DeviceLock來說,將這些裝置統一置於Security Setting中,例如,對於鍵盤、滑鼠等使用者操作電腦必備的操作裝置,屬於Access control for USB HID這一項,預設為取消勾選的狀態,當然,我們也可以隨時設定為禁用。

不過Security Setting只能針對整體的管理設定,如要針對特定裝置和使用者、群組,還是要靠USB裝置和光碟機的白名單來作。

除了管理者制定的限制與例外,使用者也可以提出申請存取周邊裝置的臨時許可,而且搭配周邊控管軟體的介面來進行。DeviceLock的管控,主要是透過原廠的加密憑證產生器所製成的公鑰與私鑰。

公鑰須部署到個人端電腦,這項動作需透過DeviceLock Enterprise Manager來作業,而想提出申請的使用者須執行Windows控制臺內的DeviceLock圖示,即可開啟Temporary White List Tool的精靈選單(該程式隨DeviceLock Service部署時,已一併裝入);在當中選定欲開放的裝置後,會產生一組裝置編號,使用者再透過電話或電子郵件將這一串文數字,提交給負責控管周邊的IT人員。

IT人員收到裝置編號後,在管理主控端的電腦上執行獨立的DeviceLock Signing Tool的憑證簽署軟體,將編號貼入、設定批准存取的一段時間後,軟體將產生一組解除控管的編號,然後IT人員將這組編號回覆給申請者,再讓他將這些編號貼至Temporary White List Tool上即可。

可控管至周邊裝置所存取的檔案

雖然周邊控管軟體的主要目標是個人電腦所能連接的各式裝置,但這只是遏止了管道,有心人士或惡意軟體所要擷取或竄改的目標,更可能是本機的檔案內容,而DeviceLock目前已從檔案類型來實作這方面的控管,而且將它獨立成Content-Aware Rules。系統內建34種用途的檔案類型群組。以壓縮檔為例,DeviceLock可辨識到近200種。

如果這些不夠用,也可以自行新增檔案類型群組,並在過程中設定套用至許可或Shadow的動作、針對的周邊裝置類型,以及讀寫的權限。

 

6.4版可選購DeviceLock原廠的內容安全伺服器,以便查詢周邊裝置的存取記錄。

 

DeviceLock目前也可以選購由代理商開發的中文報表與管理網頁介面。

 


產品資訊 建議售價●廠商未提供ˉ原廠●DeviceLockˉ網址●www.devicelock.comˉ代理商●達友科技ˉ電話●(02)2717-5608ˉ支援作業系統●Windows NT 4.0~Server 2008ˉ支援資料庫●SQL Serverˉ控管介面●USB、Firewire、紅外線、COM埠、LPT埠ˉ磁碟加密整合控管●PGP Whole Disk Encryption, TrueCrypt, DriveCrypt
 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容