Контроль доступу до usb портів.
програма FileControl призначена для управління доступом до різних портів і зовнішніх пристроїв на комп`ютерах локальної мережі (USB, CD / DVD, дисководів, принтерів і іншим), а також до Wi-Fi і Bluetooth інтерфейсів. Використовується для забезпечення інформаційної безпеки в офісних локальних мережах.
Відомо, що найбільшою небезпекою для безпеки локальних мереж є не зовнішні загрози (з Інтернету), а внутрішні. Внутрішні загрози викликані тим, що офісні співробітники мають доступ до важливої інформації зсередини - зі своїх комп`ютерів, об`єднаних в локальну мережу. Якщо цей доступ не контролювати, то наслідком може бути несанкціоноване копіювання і видалення конфіденційної інформації, а також поява на робочих комп`ютерах шкідливих програм (вірусів, троянів) і просто непотрібних файлів (наприклад, відеофільмів і музики). Особливу небезпеку для інформаційної безпеки організацій останнім часом представляють зовнішні USB пристрої, через їх поширеності, великої місткості і легкості підключення до офісних комп`ютерів.
Навіщо потрібен FileControl
програма ефективно справляється c вищепереліченими проблемами в офісних локальних мережах, обмежуючи використання різних механізмів за встановленими адміністратором правилами, і зберігаючи інформацію про операції з файлами на цих пристроях. FileControl забезпечує ефективний захист від внутрішніх загроз - інформаційних витоків, знищення цінної інформації, інсайдерів, usb-віруси та інші. Цільова аудиторія FileControl - адміністратори локальних мереж, керівники і менеджери різних рівнів, співробітники служб безпеки.
Можливості, принципи роботи і пристрій FileControl
Основні функції FileControl - відображення підключених до комп`ютера пристроїв, дозвіл / заборона праці з різними ними і запис операцій з файлами на ці пристрої. За діями користувача стежить спеціальний драйвер стеження, який встановлюється на кожен комп`ютер віддалено, з сервера.
можливості FileControl
Управління доступом:
FileControl контролює такі пристрої і порти:
USB порт і всі пристрої, що підключаються по USB (Флешки, зовнішні жорсткі диски, фотокамери, стільникові телефони, КПК, mp3 плеєри, і ін.), Причому окремо від інших управляються USB принтери і всі види USB дісков-
оптичні CD і DVD приводи, дисководи FDD 3,5 "-
зовнішні порти введення-виведення - COM, LPT, IrDA-
інтерфейси Bluetooth та Wi-Fi.
Контроль доступу здійснюється як для комп`ютерів, так і для окремих користувачів Windows. Для пристроїв, доступ до яких повинен бути дозволений завжди (USB-ключі, сканери, принтери і т.п.), реалізований білий список.
Моніторинг і статистика
FileControl показує USB-пристрої, підключені до комп`ютерів, і веде журнал дій користувачів з зовнішніми накопичувачами інформації. Інформація про час підключення / відключення пристроїв і про те, які файли і коли були прочитані або записані, зберігається в базі даних. За допомогою зручної системи пошуку з фільтрами можна швидко знайти потрібні дані. Також є можливість експортувати ці дані в MS Excel.
Тіньове копіювання файлів
Програма без відома користувачів зберігає в окремий теку на сервері всі файли, які читалися з зовнішніх USB дисків, або записувалися на їх.
Простота установки і використання
Відео: Tips and Tricks - How to enable or disable USB ports [Tutorial] HD2017
Всі модулі програми містяться в одній дистрибутиві, який встановлюється на сервер в автоматичному режимі. Після цього треба вибрати комп`ютери локальної мережі для установки на них драйверів стеження. Це робиться дистанційно - можна вибирати як по одному, вказавши ім`я або IP адреса, так і відразу по кілька, вказавши діапазон IP адрес, або імпортувавши з Active Directory. Також можлива ручна установка драйверів стеження.
Будова і принципи роботи FileControl
FileControl складається з чотирьох модулів - всі вони містяться в одному дистрибутиві:
серверна
Являє собою сервіс, який постійно обмінюється інформацією з драйверами стеження. Встановлюється на сервері офісної локальної мережі дозволяє / забороняє ті чи інші дії, зберігає інформацію в базу даних. Управляється за допомогою консолі адміністрування.
Призначений для користувача
Це драйвер стеження, керуючий доступом безпосередньо на клієнтських комп`ютерах і збирає інформацію про пристрої і файли. Драйвери стеження встановлюються на комп`ютери локальної мережі дистанційно, через консоль адміністрування. Можлива також ручна установка на кожному комп`ютері.
адміністраторський
Панель управління, з якої здійснюється управління сервером FileControl, установка та видалення драйверів стеження, а також робота з базою даних.
База даних
У FileControl інтегрована база даних SQLite. У ній зберігається вся інформація про комп`ютерах, пристроях, файлах, і правила доступу. Запити до бази даних здійснюються через консоль адміністрування.
Єдиний спосіб повністю контролювати операції з файлами на зовнішніх пристроях - установка на всіх комп`ютерах локальної мережі драйвера, непомітного для користувачів компьютеров.Драйвер стеження FileControl - низькорівневий, що працює на рівні ядра ОС. Він відстежує всі операції запису або читання на знімні пристрої. При спробі запису або читання на пристрій, драйвер стеження перевіряє права доступу і діє відповідно до них, тобто дозволяє або забороняє дію. У той же момент на сервер відправляється інформація про зроблений дії. Налаштування рівня доступу драйвер стеження отримує з сервера в момент завантаження комп`ютера клієнта, або при зміні їх адміністратором.
Серверна частина FileControl - сервіс, який встановлюється на сервері. Цей модуль служить для збору даних від драйверів стеження і відправки їм установок прав доступа. Зібрані дані про користувачів, їх пристроях, і роботі з файлами на цих пристроях сервіс зберігає в базу даних SQLite.
Панель управління FIleControl - це призначений для користувача інтерфейс програми. Служить для моніторингу підключених USB пристроїв, зміни прав доступу для користувачів, дистанційної установки драйверів стеження і пошуку по базі даних. Являє собою exe-додаток, яке може бути запущено з будь-якого комп`ютера в локальній мережі, а не тільки на сервері.
Інструкція по налаштуванню і використанню FileControl 2.0
FileControl полягає з трьох модулів - адміністраторського (панель управління програмою), призначеного для користувача, званого також драйвером стеження, і серверного.Тот комп`ютер на який ви зараз встановили програму, служить FileControl сервером. На ньому устанавіла сервіс, функція якого - збір інформації от драйверів стеження за комп`ютерами локальної мережі та чи увімкнено тих чи інших дій на цих комп`ютерах, а також запис інформації про події на цих комп`ютерах в базу даних.
Після установки сервера потрібно встановити на комп`ютери локальної мережі драйвери стеження FileControl, які будуть керувати доступом до зовнішніх пристроїв і портів відповідно до встановлених вами правилами, одержувати і відправляти інформацію на сервер. Якщо зв`язку з сервером не буде, то драйвер буде продовжувати працювати по правилам, встановленим до обриву зв`язку.
Управління програмою здійснюється через Панель Управління FileControl, яка зв`язується з сервером і служить для управління правами доступу на комп`ютерах локальної мережі, а також для перегляду інформації з бази даних. Панель управління встановлюється разом з сервером, але також може бути запущена з будь-якого комп`ютера локальної мережі.
Встановлені firewall (брандмауер)
Увага! Для коректної роботи серверної частини FileControl, на сервері потрібно відкрити наступні порти для протоколу TCP: 4010, 4011, 4003.
Призначення портів:
4010 і 4011 - для підключення адміністраторського модуля (панелі управління) і драйверів стеження до сервера FileControl-
4003 - для здійснення тіньового копіювання файлів.
Перед початком роботи переконайтеся, що ваш мережевий екран на сервері (тобто на тому комп`ютері, де тільки що була встановлена програма) не блокує ці сполуки.
Входимо в програму
Управління здійснюється через адміністраторський модуль - Панель управління FileControl (Файл `fcadmin.exe`, що знаходиться в папці, де встановлена програма), що може запускатися з будь-якої машини локальної мережі. При вході в програму потрібно вказати адресу або ім`я сервера FileControl. Пароль входу в адміністраторський модуль за замовчуванням не встановлено. При необхідності його можна вказати у розділі «Налаштування» після відкриття програми.
Після входу в програму починаємо її налаштовувати.
Додаємо комп`ютер і встановлюємо драйвер стеження
FileControl дозволяє встановити драйвери стеження на комп`ютери вашої локальної мережі двома способами - дистанційно або вручну. Дистанційна установка - штатний режим роботи, що дозволяє швидко встановити драйвери на будь-яку кількість комп`ютерів прямо з Панелі Управління FileControl. Якщо ваша локальна мережа налаштована правильно і у вас є права адміністратора домена (для мережі, побудованої на домені), або локального адміністратора на віддалених комп`ютерах (для мережі без домена), то дистанційна установка буде працювати правильно. В інших випадках драйвери стеження доведеться встановлювати вручну, запустивши на кожному комп`ютері спеціальний інсталятор драйвера FileControl.
Дистанційна установка драйвера стеження
Інформація про дії програми відображається у відповідному вікні. Якщо установка драйвера стеження пройшла правильно, то він починає працювати без перезавантаження комп`ютера.
Натискаємо на кнопку «Додати комп`ютери». У діалоговому вікні знаходиться список комп`ютерів, обраних для установки драйвера, і кнопки для додавання комп`ютерів в цей список різними способами. Комп`ютери можна додавати в список як по одному, вказуючи адресу або ім`я окремого комп`ютера, так і масово, вказавши діапазон IP адрес, або імпортувавши їх з домену Windows AD. При використанні останнього способу потрібно вказати логін і пароль будь-якого користувача, якому дозволено доступ по LDAP. Або, якщо політикою безпеки доступ по LDAP дозволений тільки адміністратору, то вводимо дані адміністратора домену Active Directory.
Додаємо комп`ютери до списку однією з способів, в списку виділяємо галочкою ті, на які нам потрібно встановити драйвер, і тиснемо кнопку «Встановити >>». Якщо потрібно - вводимо логін і пароль адміністратора на віддаленій машині. Для додавання з Active Directory необхідно вказати логін і пароль адміністратора домена
Установка може зайняти деякий час - дочекайтеся її завершення. Інформація про дії програми відображається у відповідному вікні. Якщо установка драйвера стеження пройшла правильно, то він починає працювати без перезавантаження комп`ютера.
Відео: Як швидко відключити usb-порти одним кліком
Можливі проблеми і способи їх вирішення
Якщо при установці виникли проблеми з доступом до віддаленого комп`ютера, то потрібно перевірити можливість доступу, надрукувавши в адресному рядку ` computeradmin $`, де computer - ім`я або IP-адреса віддаленого компьюьеров.
P.P.S. Якщо у Вас є питання, бажання прокоментувати або поділитися досвідом, напишіть, будь ласка, в коментарях нижче.