ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Даже защищенные корпоративные ИС оказываются беззащитными перед собственными сотрудниками. PC Week/RE (N 37/2004, с. 26) уже писал об опасности USB-портов и программном пакете DeviceLock, выпущенном компанией SmartLine Inc (www.protect-me.com) и призванном решить проблему контроля доступа к ним. Испытания программы DeviceLock прошли в тестовой лаборатории "СК Пресс".

Интерфейс программы интуитивно понятен, а все действия выполняются несколькими щелчками мыши

DeviceLock состоит из двух частей - резидентной программы-службы dlservice.exe, которая должна быть активизирована на каждом из контролируемых компьютеров, и интерфейсной программы DeviceLock Manager, позволяющей управлять уровнем доступа к различным устройствам на контролируемых ПК. С помощью DeviceLock можно ограничить доступ не только к USB-накопителям; в распоряжение администратора предоставляются средства управления семью типами устройств: параллельными и последовательными портами, портами USB и FireWire, а также жесткими дисками, оптическим накопителями CD/DVD и сменными накопителями (Removable Storage).

Этот программный продукт можно использовать как на локальных ПК, так и в составе ЛВС, работающих под управлением Windows-доменов. Для связи интерфейсной части и резидентной программы на управляемом ПК применяется технология RPC (Remote Procedure Call - вызов удаленных процедур), изменять права доступа к ресурсам может только администратор. Впрочем, для управления удаленными ПК не обязательно входить в учетную запись администратора: после регистрации на локальном компьютере разрешено тем не менее подключиться к удаленному ПК и работать с системой DeviceLock, но резидентная программа перед предоставлением доступа, разумеется, запросит пароль администратора.

С помощью интерфейсной программы администратор может разрешить или запретить доступ к каждому из перечисленных выше ресурсов, имеется возможность создания расписания доступа только в определенные часы, причем для каждого дня недели можно назначить собственное расписание. Для некоторых типов устройств предусмотрены дополнительные параметры - например, администратор открывает доступ к жесткому диску, но запрещает его форматирование; доступ к оптическим накопителям может быть предоставлен в режиме "только чтение", предусмотрена также возможность запрета извлечения оптических дисков и сменных накопителей. Для различных типов портов ввода-вывода составляются списки устройств-исключений, использование которых допускается при запрете доступа к порту; так, сделав недоступным последовательный порт, можно, тем не менее, использовать подключенный к нему модем, а заблокировав USB-порты - разрешить применение мышей или клавиатур с этим интерфейсом. Кроме того, для USB-ресурсов предусмотрено право создания "белого списка" устройств, доступ к которым будет всегда открыт, - данные "белого списка" имеют больший приоритет, чем все остальные настройки.

Интерфейс программы интуитивно понятен, а все действия выполняются несколькими щелчками мыши. Администраторы крупных сетей могут задать шаблоны настроек и использовать их для нескольких ПК сразу. Полезна и функция создания отчетов: она позволяет получить наглядное представление о настройках доступа какого-либо ПК.

Мы испытали программный пакет как на локальном ПК под управлением Windows XP, так и в ЛВС с Windows-доменом. При правильной настройке прав доступа, т. е. при обеспечении условия, при котором рядовые пользователи не имеют возможности воспользоваться администраторской учетной записью, мы не нашли способа обойти защиту DeviceLock.

DeviceLock будет полезен администраторам локальных сетей малых и средних компаний. Он дает возможность решить программно многие из тех задач, которые принято решать на аппаратном уровне.