SmartLine DeviceLock 5.7

以軟體方式限制使用者不得非法使用周邊設備

顧名思義，DeviceLock是一套用來鎖定個人電腦周邊存取與可用性的工具軟體，系統會限制一般使用者對於電腦周邊設備的存取能力，杜絕員工私自攜帶USB隨身碟、數位相機等卸除式媒體，以及藍芽、無線網路設備等存取裝置所帶來的風險。藉由主從式架構，DeviceLock協助企業落實資訊安全政策，根據本身控管需求，可選擇局部或完全阻擋各種周邊設備的存取，並且以一周時間為單位，定期限制使用者與群組存取權。周邊支援佳，種類齊全

支援的周邊設備包括許多單位都想要極力防堵的USB埠與FireWire（IEEE 1394）埠，連帶涵蓋記憶卡、隨身碟、外接硬碟、ZIP磁碟等卸除式磁碟，以及當紅的藍芽與無線網路卡連線裝置；至於傳統電腦必備的軟碟機、硬碟、CD與DVD光碟機/燒錄機、平行埠（COM）與序列埠（LPT）等，也都在控管的範圍內，種類相當齊全。DeviceLock不僅限制一般個人電腦，更適用於移動性高、使用更多周邊存取介面的筆記型電腦。

DeviceLock控制USB埠的彈性很大。在安全設定中，管理者可以選擇預設個別啟用USB介面的滑鼠、鍵盤、掃描器、印表機、藍芽介面卡、網路卡、數據機和儲存設備等。系統也支援USB白名單的機制，防止常用且無安全顧慮的USB設備，受到DeviceLock安全設定項目鎖定。

存取權控管包括完全控制、唯讀、無控制權、允許格式化及碟片彈出鎖定等5種類型，搭配一周24小時內的定時控制。管理者可以利用滑鼠左鍵選取允許存取時間，右鍵選取限制存取的時間，或是用鍵盤的方向鍵與空白鍵點選多個時間項目。使用者權限指定則遵循 Windows 的判別存取控制清單（Discretionary Access Control List，DACL）標準。偏重網域控管，並以RPC串連

DeviceLock須部署在欲控管的所有個人電腦上，代理程式DLService.exe在個人端會以服務形態，在背景的處理程序中執行。

如果DLService能夠不出現工作管理員中的處理程序列表中會更理想，個人電腦假如沒有登入且受網域限制，由於本機Administrator帳號擁有最高的權限，使用者甚至能手動停用DLService，導致服務關閉。

達友科技資訊安全顧問林皇興表示，系統管理人員可以設法針對該項服務，移除以本機系統帳戶登入的方式，改用更高權限的身分，限制使用者對DLService的控制權。

很多人會質疑，在Windows環境應該能透過群組原則限制個人端電腦。以限制未經授權存取USB埠為例，由於微軟本身沒有提供這方面的系統管理範本，因此就需要更動到系統登錄機碼，管理者得花一些工夫撰寫成群組原則可接受的ADM管理範本檔。控管USB埠就如此麻煩，如果再加上同時限制其他周邊介面，複雜度並不低。而DeviceLock透過個人端自動執行的背景服務，以及遠端控管的管理者介面，採購新電腦時，即不需煩惱如何處理實體設備的封鎖。

管理主控臺與個人端服務，透過遠端程序呼叫（Remote Procedure Call，RPC）的方式彼此聯繫，即使本機電腦控制也同樣經由RPC，兩端的互動以管理端呼叫（Calls）為主，而非由個人端定期發出（Pull）資訊。假如個人端或管理主控臺電腦加裝防火牆，而安全等級使得Ping、NetBIOS等動作都無法獲得回應，而且沒有加入同網域時，DeviceLock在主從聯繫上可能會發生問題，甚至無法在主控臺檢視到本機電腦。整合群組原則支援稽核與固定TCP埠

因應Active Directory網域，新版特別增加了獨立安裝的群組原則管理員，與DeviceLock管理主控臺同時並行，允許管理員利用群組原則來管理設備控管設定。

由於DeviceLock採用隨機的連線埠與個人端服務溝通，遇上個人防火牆或跨網路的防火牆會產生問題。防火牆需指定開放特定的連線埠，以XP SP2的Windows防火牆來說，雖然本身會開放NetBIOS通訊協定用到的4個埠，然而要為RPC再打開TCP 135埠及1024埠以上的所有連線埠。新版為RPC增加設置固定埠的能力，雖然簡化跨網路的防火牆設定，不過需手動新增一筆系統登錄機碼。文⊙李宗翰