Несколько слов о программе. При помощи DeviceLock администратор компьютера или домена может контролировать доступ пользователей к дисководам, DVD/CD-ROM, другим сменным устройствам, адаптерам WiFi и Bluetooth, а также к USB, FireWire, инфракрасным, COM- и LPT-портам. Кроме функции контроля доступа, DeviceLock позволяет осуществлять протоколирование и аудит использования устройств на локальном компьютере как отдельными пользователями, так и группами. Для хранения записей аудита DeviceLock использует стандартный журнал Windows, что позволяет просматривать их как с помощью стандартной программы просмотра событий, так и встроенного средства.
Вроде бы вполне достаточно, но хотя наличие журнала аудита и позволяет администратору отслеживать все действия пользователя, в том числе и по копированию файлов, только вот сами файлы пользователь, после копирования на носитель, может уничтожить или просто переименовать, и администратор безопасности уже не сможет сказать, была ли информация разрешена для копирования или нет.
Предусмотрена и дополнительная защита от администратора. В системе имеется и журнал для стертых данных теневого копирования. Теперь, когда записи теневого копирования удаляются из журнала, а содержимое файлов стирается из базы данных, информация об этих записях переносится в отдельный журнал Deleted Shadow Data Log. Для его просмотра есть специальный инструмент в DeviceLock Management Console.
Текущая версия программы состоит из трех элементов: агента (DeviceLock Service), сервера (DeviceLock Enterprise Server) и консоли управления. Ядром системы является агент, устанавливаемый на каждый контролируемый компьютер. Консоли управления требуются для удаленного управления агентами, DeviceLock-сервером. Эти элементы обязательны, а вот сервер - элемент дополнительный, используемый для централизованного сбора и хранения данных теневого копирования и журналов. При значительной нагрузке на сервер (когда в сети свыше нескольких сотен контролируемых компьютеров) их может быть установлено несколько.
Для хранения данных теневого копирования используется сервер MS SQL. Желательно, чтобы он был установлен еще до установки DeviceLock. Он может находиться как на одном компьютере с DeviceLock Enterprise Server, так и на разных. Организация работы с SQL-сервером зависит от размера локальной сети. В большой сети, где имеется мощный SQL-сервер, возможна установка нескольких серверов DeviceLock, подключаемых к одному SQL-серверу.
Для того чтобы не зависеть от учетных записей, под которыми будет запускаться сервер, предусмотрена организация его доступа к контролируемым компьютерам с помощью цифровых сертификатов. Закрытый ключ устанавливается на сервере, а на каждый компьютер, к которому должен подключаться сервер, устанавливается соответствующий ему открытый ключ.
Для предотвращения умышленного наполнения раздела и попытки копирования файлов во время, когда он отключен, предусмотрена возможность установки запрета на любое копирование данных в это время на контролируемые устройства.
Задачу администратора можно облегчить, если использовать еще один параметр настройки - разрешить автоматическое удаление старых файлов, помещенных в это хранилище. Если сервер для сбора данных не установлен, остается лишь риск того, что администратор может не проверить вовремя, что же копировалось на носители. Если же используется связка с сервером, то данные сами без администратора закачиваются на сервер и удаляются из локального хранилища.
Для завершения настройки надо указать программе, копирование на какие носители будет подвергаться контролю и фиксироваться. Для этого в настройках аудита можно включить протоколирование всех заданий по копированию для гибких дисков, CD/DVD-ROM, последовательных и параллельных портов, съемных носителей. Для этих устройств в настройках аудита есть специальный параметр - включение режима теневого копирования. Файлы, копируемые на гибкие и съемные носители, сохраняются со своими первоначальными именами. Для сохранения информации, записываемой на CD/DVD или передаваемой через порты, DeviceLock в процессе копирования формирует собственные имена.
Раздел, в который копируются файлы и данные на локальном компьютере, недоступен для пользователя. Но администратор, используя модуль управления агентом, может получить доступ к просмотрщику, в котором в виде записей будет выведена информация о том, кто, когда, на какой носитель скопировал файл или передал информацию, какой программой при этом воспользовался. А если выбрать заинтересовавшую вас запись, то соответствующий ей файл или данные можно сохранить на диске в доступном разделе, после чего эти данные можно просматривать через соответствующие типу файла приложения. Впрочем, у пользователя остается возможность запрета доступа к скопированным файлам (но не тем, что передавались через порты COM или LPT). Для этого достаточно зашифровать файл, а таких возможностей сейчас имеется достаточно.
Использование DeviceLock Enterprise Server является более корректным решением как по хранению данных, так и по возможностям контекстного поиска в них. Для выбора момента закачки данных на сервер используется сложный алгоритм, в котором учитывается и нагрузка на сеть, и вносится дополнительная случайная величина сдвига по времени. Это минимизирует нагрузку как на сервер, так и на сеть.
Сохранение информации в базе данных возможно в двух режимах - либо вся информация будет записываться непосредственно в базу данных, либо сохраненные в режиме теневого копирования данные будут помещаться на диск в виде файлов, а в базе будут храниться ссылки на них. Во втором варианте проще выполнять поиск файлов по контексту.
Теперь о второй новинке программы - авторизации носителей информации. Авторизованные носители формируют так называемый "белый" список медианосителей. Этот список позволяет идентифицировать, к примеру, определенный CD/DVD- диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. (Но использование - не полное, поскольку на основе "белого" списка пользователю можно предоставить доступ только на чтение, но не на запись.) Изменение данных на носителе приводит к изменению его уникального идентификатора, и, следовательно, этот носитель уже не будет распознан как разрешенный (авторизованный). "Белый" список авторизованных носителей можно экспортировать и устанавливать на любой пользовательский компьютер. Разрешив пользователю доступ к такому носителю, вы предоставляете для него возможность чтения данных даже в том случае, если устройства для него недоступны.
Из других изменений можно отметить изменение интерфейса - стал более удобным. Появилась возможность вывода для пользователей сообщений о том, когда истекает период использования для устройств, разрешенных через функцию временного "белого" списка. Упростился процесс установки программы. Впрочем, о возможностях программы собственное мнение лучше всего формировать при тестировании продукта. А для этого можно использовать бесплатную, 30-дневную пробную версию, доступную для скачивания с сайта компании "Смарт Лайн Инк".