這套系統和另一套Application Control,都是Lumension併購SecureWave公司之後所取得的Sanctuary系列產品,現在這系列的名稱已改為Endpoint Security。

使用者身分認證需搭配AD或eDirectory

Device Control主要針對的是防止資料外洩的保護,企業可透過它來落實相關的控管,以強制實施政策來限制員工使用電腦可以存取的各種周邊裝置,同時兼顧日常使用上的彈性,有條件地對特定裝置、使用者,開放資料的讀、寫或限制他們只能使用經過加密的周邊裝置(預設全部封鎖,僅開放部分存取)。

建置這套系統時,必須同時搭配微軟Active Directory(AD)或Novell 的eDirectory環境,而且員工電腦只能使用受控管或指定的周邊裝置,未經許可的設備無法使用。

我們這次測試的Device Control是4.4 SR1版,它正式支援Windows 7與Windows Server 2008 R2,因此無論是個人端程式或管理主控臺都可以相容。其他新特色多數都是針對加密控管的強化,例如︰使用者可用既有的PGP金鑰來加密周邊裝置;多人、多裝置的控管,這一版已能延伸到加密光碟的搭配上。

採多層式架構

整個系統分成多種層次,包括前端操作與管理的個人端程式、管理主控臺,與後端系統的資料庫、應用程式伺服器。

資料庫集中保管了周邊裝置的授權資訊,應用程式伺服器負責溝通資料庫、個人端程式與管理主控臺之間的動作;個人端程式安裝在每臺我們必須控管的個人電腦或伺服器,管理主控臺則是一個讓管理者操作、設定的使用介面,最多可連接8臺應用程式伺服器。

這些成員彼此溝通的流程,大致如下︰當使用者插入一個周邊裝置時,個人端程式會先向應用程式伺服器要求一份裝置許可清單,應用程式伺服器將這需求轉給資料庫,隨後資料庫回覆給應用程式伺服器,並由應用程式伺服器將這份清單加密、存放,同時回覆給使用者的個人端程式,即可得知允許或限制存取。

除此之外,每當個人端電腦開機、使用者登入網域後,Device Control的個人端程式都會連至應用程式伺服器,登錄電腦ID、帳號、網域、群組,以及驅動程式與作業系統的版本,假如有任何安全政策更新,應用程式伺服器會向資料庫查詢相關的規則,並且快取在本機上,這些暫存的資訊建立後,會再附加數位簽章,並且傳送到個人端電腦去存放,然後從該臺系統核心的層級去強制控管周邊設備。假如個人端電腦離開內部網路,它將自動進入本機白名單或暫時存取權限的狀態。Device Control的個人端程式也支援離線更新,相關的政策可以用檔案方式匯入,因此可以因應個人端電腦隔離的環境。

Device Control在通訊與身分認證的保護上,較特殊的是採用微軟的Certification Authority(CA)服務,並搭配TLS作為網路安全傳輸的通訊協定。

因為這樣的架構,也讓實際安裝步驟變得有些複雜,而且必須按部就班。例如要先建立一個專用的網域帳號,並且設定「驗證後模擬個人端」,以及確認這帳號可以用系統服務的方式登入;接著安裝IIS、安裝微軟CA,再陸續安裝SQL Server、Lumension Endpoint Security的資料庫程式,以及應用程式伺服器,最後才安裝管理主控臺,進而部署個人端程式。

支援18種周邊裝置、7種連接埠與2種加密裝置

登入這套系統的管理主控臺時,是以網域使用者的身分,而且若是從遠端電腦來管理系統,要輸入所要針對的應用程式伺服器的IP位址。

管理主控臺介面的左側是主要的控制項目,列出了Device Control的模組、工具、報表與說明等功能。

與周邊控管設定相關的模組,有Device Explorer、Log Explorer和Media Authorizer。

一般設定將周邊裝置授權給特定使用者的操作,主要是在Device Explorer進行,這裡也可以設定將資料複製到周邊裝置的限制與側錄(Shadowing),以及讓使用者能立即執行周邊裝置加密的功能。

在側錄資料的處理上,Device Control的周邊裝置存取較特別的地方,在於可做到資料讀與寫的雙向側錄(Bi-Directional Shadowing),而且是就近儲存在各臺應用程式伺服器的Data File Directory(DFD),而非全部集中儲存在資料庫,並且可設定針對使用者或周邊裝置來側錄。

任何電腦經由周邊裝置所傳輸的行為記錄與側錄的檔案內容,則會在Log Explorer中呈現,這裡也會顯示使用者試圖插上任何未經許可的周邊裝置。

對於周邊裝置的集中加密處理,Device Control透過Media Authorizer來處理,這裡可以設定使用者只能存取某些光碟或經過加密的儲存裝置。

從Device Explorer的介面來看,Device Control支援的周邊裝置類型區分成18種,涵蓋的類型相當豐富而完整。

Device Explorer不只是可以從周邊裝置的角度來規範,在介面的下方,也讓管理者能透過網域的電腦名稱來設定許可。

在存取權限的配置上,Device Control包含讀、寫控管,較特別的是,也讓使用者能直接對周邊裝置執行加密、解密,而且管理者若允許使用者執行自動封裝加密(Self Contained Encryption),系統也提供將加密金鑰檔匯出成檔案、匯至儲存裝置,以及匯入等權限,讓管理者設定。

除此之外,Device Explorer在不同周邊裝置類別的規格設定,可再針對USB、SCSI、藍牙等等7種連接埠、是否屬於硬碟類型,以及11種系統已知的檔案副檔名,像是Office文件或PDF檔,來加以管控。

在加密裝置與技術的搭配上,Device Control不只支援專屬的自動封裝加密,也支援採用PGP 的Whole Disk Encryption(WDE)加密技術的裝置,其他則被系統歸類為未加密或無法辨識的加密類型。

 

若要開放使用者申請臨時存取周邊裝置的權限,在Device Control主控臺的預設選項中,要將標準遵循模式取消。若要開放鍵盤側錄器的存取,這裡也有選項。

 

使用者可以提出臨時存取周邊裝置的需求,這裡也可以看到系統所有的存取權限類型,已包含加解密相關的設定。將系統所產生的金鑰傳給管理者,輸入到管理主控臺,進而產生解鎖的字串。

 

部署在員工電腦的Device Control個人端程式,目前支援12種語系,也包括正體中文在內。

 


產品資訊
建議售價●每人2,400元(249人內)ˉ原廠●Lumensionˉ網址●www.lumension.com     經銷●中華數位ˉ電話●(02)2542-2526ˉ應用程式伺服器硬體需求●512 MB、Pentium Dual-Core等級處理器、3 GB以上硬碟空間ˉ作業系統需求●Windows Server 2003 SP2(32位元)/Server 2008/2008 R2ˉ資料庫需求●SQL Server 2005 SP2//2008ˉ
 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容