周邊控管軟體｜Lumension Device Control 4.4 SR1 整合加密裝置的辨識與自動加密

這套系統和另一套Application Control，都是Lumension併購SecureWave公司之後所取得的Sanctuary系列產品，現在這系列的名稱已改為Endpoint Security。

使用者身分認證需搭配AD或eDirectory

Device Control主要針對的是防止資料外洩的保護，企業可透過它來落實相關的控管，以強制實施政策來限制員工使用電腦可以存取的各種周邊裝置，同時兼顧日常使用上的彈性，有條件地對特定裝置、使用者，開放資料的讀、寫或限制他們只能使用經過加密的周邊裝置（預設全部封鎖，僅開放部分存取）。

建置這套系統時，必須同時搭配微軟Active Directory（AD）或Novell 的eDirectory環境，而且員工電腦只能使用受控管或指定的周邊裝置，未經許可的設備無法使用。

我們這次測試的Device Control是4.4 SR1版，它正式支援Windows 7與Windows Server 2008 R2，因此無論是個人端程式或管理主控臺都可以相容。其他新特色多數都是針對加密控管的強化，例如︰使用者可用既有的PGP金鑰來加密周邊裝置；多人、多裝置的控管，這一版已能延伸到加密光碟的搭配上。

採多層式架構

整個系統分成多種層次，包括前端操作與管理的個人端程式、管理主控臺，與後端系統的資料庫、應用程式伺服器。

資料庫集中保管了周邊裝置的授權資訊，應用程式伺服器負責溝通資料庫、個人端程式與管理主控臺之間的動作；個人端程式安裝在每臺我們必須控管的個人電腦或伺服器，管理主控臺則是一個讓管理者操作、設定的使用介面，最多可連接8臺應用程式伺服器。

這些成員彼此溝通的流程，大致如下︰當使用者插入一個周邊裝置時，個人端程式會先向應用程式伺服器要求一份裝置許可清單，應用程式伺服器將這需求轉給資料庫，隨後資料庫回覆給應用程式伺服器，並由應用程式伺服器將這份清單加密、存放，同時回覆給使用者的個人端程式，即可得知允許或限制存取。

除此之外，每當個人端電腦開機、使用者登入網域後，Device Control的個人端程式都會連至應用程式伺服器，登錄電腦ID、帳號、網域、群組，以及驅動程式與作業系統的版本，假如有任何安全政策更新，應用程式伺服器會向資料庫查詢相關的規則，並且快取在本機上，這些暫存的資訊建立後，會再附加數位簽章，並且傳送到個人端電腦去存放，然後從該臺系統核心的層級去強制控管周邊設備。假如個人端電腦離開內部網路，它將自動進入本機白名單或暫時存取權限的狀態。Device Control的個人端程式也支援離線更新，相關的政策可以用檔案方式匯入，因此可以因應個人端電腦隔離的環境。

Device Control在通訊與身分認證的保護上，較特殊的是採用微軟的Certification Authority（CA）服務，並搭配TLS作為網路安全傳輸的通訊協定。

因為這樣的架構，也讓實際安裝步驟變得有些複雜，而且必須按部就班。例如要先建立一個專用的網域帳號，並且設定「驗證後模擬個人端」，以及確認這帳號可以用系統服務的方式登入；接著安裝IIS、安裝微軟CA，再陸續安裝SQL Server、Lumension Endpoint Security的資料庫程式，以及應用程式伺服器，最後才安裝管理主控臺，進而部署個人端程式。

支援18種周邊裝置、7種連接埠與2種加密裝置

登入這套系統的管理主控臺時，是以網域使用者的身分，而且若是從遠端電腦來管理系統，要輸入所要針對的應用程式伺服器的IP位址。

管理主控臺介面的左側是主要的控制項目，列出了Device Control的模組、工具、報表與說明等功能。

與周邊控管設定相關的模組，有Device Explorer、Log Explorer和Media Authorizer。

一般設定將周邊裝置授權給特定使用者的操作，主要是在Device Explorer進行，這裡也可以設定將資料複製到周邊裝置的限制與側錄（Shadowing），以及讓使用者能立即執行周邊裝置加密的功能。

在側錄資料的處理上，Device Control的周邊裝置存取較特別的地方，在於可做到資料讀與寫的雙向側錄（Bi-Directional Shadowing），而且是就近儲存在各臺應用程式伺服器的Data File Directory（DFD），而非全部集中儲存在資料庫，並且可設定針對使用者或周邊裝置來側錄。

任何電腦經由周邊裝置所傳輸的行為記錄與側錄的檔案內容，則會在Log Explorer中呈現，這裡也會顯示使用者試圖插上任何未經許可的周邊裝置。

對於周邊裝置的集中加密處理，Device Control透過Media Authorizer來處理，這裡可以設定使用者只能存取某些光碟或經過加密的儲存裝置。

從Device Explorer的介面來看，Device Control支援的周邊裝置類型區分成18種，涵蓋的類型相當豐富而完整。

Device Explorer不只是可以從周邊裝置的角度來規範，在介面的下方，也讓管理者能透過網域的電腦名稱來設定許可。

在存取權限的配置上，Device Control包含讀、寫控管，較特別的是，也讓使用者能直接對周邊裝置執行加密、解密，而且管理者若允許使用者執行自動封裝加密（Self Contained Encryption），系統也提供將加密金鑰檔匯出成檔案、匯至儲存裝置，以及匯入等權限，讓管理者設定。

除此之外，Device Explorer在不同周邊裝置類別的規格設定，可再針對USB、SCSI、藍牙等等7種連接埠、是否屬於硬碟類型，以及11種系統已知的檔案副檔名，像是Office文件或PDF檔，來加以管控。

在加密裝置與技術的搭配上，Device Control不只支援專屬的自動封裝加密，也支援採用PGP 的Whole Disk Encryption（WDE）加密技術的裝置，其他則被系統歸類為未加密或無法辨識的加密類型。

若要開放使用者申請臨時存取周邊裝置的權限，在Device Control主控臺的預設選項中，要將標準遵循模式取消。若要開放鍵盤側錄器的存取，這裡也有選項。

使用者可以提出臨時存取周邊裝置的需求，這裡也可以看到系統所有的存取權限類型，已包含加解密相關的設定。將系統所產生的金鑰傳給管理者，輸入到管理主控臺，進而產生解鎖的字串。

部署在員工電腦的Device Control個人端程式，目前支援12種語系，也包括正體中文在內。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】