Новое средство управления устройствами (Device Control)
представляется собой важный компонент решения Endpoint Security,
который позволяет отслеживать и ограничивать доступ для устройств
ввода-вывода. С помощью этого средства можно ограничить
использование устройств, которые предоставляют доступ к данным,
например, портов, модемов, приводов и беспроводных подключений.
Чтобы внедрить управление устройствами на клиентах в сети,
создайте и разверните настройки средства управления устройствами,
которые управляют USB, модемом, портом ввода-вывода, приводом
CD/DVD, PCMCIA и другими подключениями
Ограничения для USB можно настроить с помощью общей блокировки
всего класса устройств USB, таких как запоминающие устройства, или
с помощью использования исключения для ограничения отдельных
устройств USB на основании заданных вами параметров и значений.
Компонент решения Endpoint Security
Средство управления устройствами наряду со средствами
"Предотвращение нарушения доступа к узлу" (Host Intrusion
Prevention) (HIPS) и брандмауэр LANDesk является одним из
компонентов комплексного решения Endpoint Security.
Поддерживаемые платформы
Средство управления устройствами поддерживает управляемые
устройства со следующими операционными системами:
Windows 2000
Windows Server 2003
Windows XP
Windows Vista (32- и 64-разрядная версия)
Windows 7
Использование настроек
средства управления устройствами для ограничения доступа к
устройствам
Чтобы средство управления устройствами работало на устройстве,
на этом устройстве должен быть развернут агент локального
планировщика и стандартный агент. Каждый раз, когда устройство
устанавливает соединение с устройством или вносит изменения в такое
соединение, агент применяет правила настройки. Эти правила могут
завершать неразрешенные подключения и отправлять предупреждения на
главный сервер.
По умолчанию настройки управления устройствами могут
ограничивать различные типы устройств. С помощью расширенных
настроек USB можно ограничить любое указанное устройство USB или
указанный класс устройств. К устройствам, для которых можно ввести
ограничения, относятся:
устройства USB, такие как диски, клавиатуры и мыши,
принтеры и сканеры;
портативные устройства RIM Blackberry, Pocket PC и
Palm;
сетевые тома;
личные сети Bluetooth;
беспроводные сети 802.11x;
модемы;
устройства PCMCIA;
последовательные, параллельные и инфракрасные порты,
а также порты FireWire 1394;
дисководы для гибких дисков и приводы CD/DVD.
Настройки управления устройствами USB используют службу usbmon,
которая может:
предотвращать использование неавторизованных
устройств USB и PCMCIA;
предотвращать использование неавторизованных съемных
запоминающих устройств;
вызывать внешнюю программу или сценарий при
обнаружении неавторизованного устройства.
Для сохранения настроек щелкните Сохранить
(Save).
Развертывание настроек
средства управления устройствами
После создания настройки средства управления устройствами
необходимо выполнить ее развертывание на управляемых устройствах
для ее активации.
Развертывание средства управления устройствами выполняется с
использованием настроек Endpoint Security.
Для развертывания настроек управления устройствами
Щелкните правой кнопкой мыши настройку и выберите
Назначить (Schedule).
Настройка добавляется в окно Запланированные
задачи (Scheduled tasks). В этом окне перетащите устройства на
значок настройки.
После добавления всех устройств щелкните
Свойства (Properties) в контекстном меню задачи. В дереве
щелкните Назначить задачу (Schedule task) и настройте
параметры планирования.
Дополнительные сведения о планировании задач см. в разделе
Сценарии и задачи.
При планировании развертывания настроек управления устройствами
средство управления устройствами выполняет следующее:
Оно создает исполняемый пакет распространения,
который назван по имени исходных настроек управления устройствами.
Основным в пакете является файл usbmon.exe. Дополнительными
являются файлы usbmon.reg, devactalert.exe, netres.mrl и файл
<имя настроек управления
устройствами>.ini.
Если целевыми объектами для задачи настроек
управления устройствами выбираются пользователи, средство
управления устройствами использует общий метод доставки на основе
политик, называемый "Доставка с получением Usbmon" (Usbmon Pull
Delivery). Если данный метод доставки не существует, средство
управления устройствами создает его. Когда целевыми объектами для
задачи являются пользователи, средству управления устройствами
необходимо использовать метод доставки на основе политик, чтобы
обеспечить получение настроек соответствующим пользователем. Когда
целевые пользователи входят в систему, метод доставки на основе
политик активируется и устанавливает настройки.
Если целевыми объектами для задачи настроек
управления устройствами выбираются компьютеры, средство управления
устройствами использует общий метод доставки принудительной
отправки с поддержкой политик, называемый "Доставка с отправкой
Usbmon" (Usbmon Push Delivery). Если данный метод доставки не
существует, средство управления устройствами создает его. Поскольку
настройки ориентированы на устройство, любой пользователь, который
выполняет вход на это устройство, получает соответствующие
настройки управления устройствами; личность пользователя,
выполнившего вход при установке настроек, значения не имеет. Для
компьютеров можно методы доставки принудительной отправки или
методы доставки на основе политик.
Когда средство управления устройствами Создает политику usbmon
или методы доставки принудительной отправки с поддержкой политик,
их можно настроить. Пока имя метода не будет изменено, средство
управления устройствами использует этот измененный метод
доставки.
Для получения дополнительных сведений о локальном создании
настроек управления устройствами на управляемых компьютерах и
ручном развертывании этих настроек см. файл справки usbmon —
usbmon.chm — в общей папке LDMain главного сервера.
Справка по настройкам средства
управления устройствами
Используйте это диалоговое окно для создания и изменения
настроек средства управления устройствами.
В этом диалоге находятся следующие страницы.
Страница общих
настроек
Используйте эту страницу для назначения имени настройкам и
включения функции управления устройствами на клиенте, настроенном с
использованием данных настроек.
Имя (Name): Идентификатор настроек. Это имя
отображается в главном окне средства управления устройствами.
Включение управления устройствами (Enable device
control): Включение средства управления устройствами на
клиенте, настроенном с использованием данных настроек.
Информация о
странице "Тома хранилищ" (Storage volumes)
Используйте эту страницу, чтобы указать параметры для томов
хранилищ, которые подключаются к клиенту, настроенному с
использованием данной настройки.
Тома хранилищ (Storage volumes): Задание
уровня доступа для любого тома хранилища, который отсутствовал на
клиенте во время установки настройки. (Обратите внимание на то,
что, когда содержащее том устройство было подключено во время
установки настройки, служба usbmon разрешит использование этого
устройства в будущем, даже если оно является съемным.)
Полный доступ (Full access): Разрешение
доступа для чтения и записи к подключаемому тому хранилища.
Доступ только для чтения (Read only access):
Разрешение пользователям считывать данные из подключаемого тома
хранилища и запрет на запись на том.
Принудительное шифрование (Force encryption):
Принудительное шифрование файлов на подключаемом томе хранилища.
Развернутая утилита шифрования обеспечивает шифрование файлов на
запоминающем устройстве, подключаемом к клиенту с данной
настройкой. Файлы шифруются при записи на запоминающее устройство и
расшифровываются при считывании с него. Доступ предоставляется
только при указании правильного пароля, заданного при создании
зашифрованной папки на запоминающем устройстве USB.
ВАЖНО! Сначала создайте на устройстве USB зашифрованную
папку. Когда для запоминающего устройства настроено шифрование
файлов, перед копированием файлов на устройство с помощью утилиты
шифрования пользователям сначала необходимо создать зашифрованную
папку (выберите Пуск > Управление LANDesk > Шифрование
LANDesk >
Дополнительно > Создать зашифрованную папку (Start >
LANDesk Management >
LANDesk Encryption >
Advanced > Create encrypted folder)). При создании зашифрованной
папки укажите пароль. Если параметр "Разрешить подсказки пароля"
(Allow password hints) включен (см. ниже), пользователь может
ввести подсказку, помогающую вспомнить пароль, хотя ее
использование не является обязательным.
Нет доступа (No access): Предотвращение
использования томов хранилищ, которые подключаются к клиенту,
настроенному с использованием данной настройки управления
устройствами. Можно настроить разрешенные типы устройств, выбрав
отдельные типы на странице "Устройство" (Device).
Исключения (Exceptions): Создание исключений
уровня доступа для томов хранилищ. Можно добавить исключения,
основанные на идентификаторе оборудования, серийном номере носителя
или типе шины.
Параметры шифрования (Encryption options):
Пространство, выделенное для шифрования (Storage
space allocated for encryption): Указание того, сколько места
на запоминающем устройстве может использоваться для хранения
зашифрованных файлов. (Обратите внимание на то, что для хранения
зашифрованных файлов может использоваться не более 128 МБ.)
Разрешить подсказки пароля (Allow password
hints): Разрешение ввода подсказок, которые могут помочь
вспомнить пароль к зашифрованной папке, конечным пользователем.
Подсказка пароля не может полностью соответствовать паролю. Длина
подсказки пароля не должна превышать 99 символов. (Обратите
внимание на то, что ввод подсказки не является обязательным, даже
если поле подсказки пароля доступно для ввода текста.)
Информация о
диалоговом окне "Настройка исключения (для томов хранилищ)"
(Configure exception (for storage volumes))
Используйте это диалоговое окно, чтобы создавать исключения
уровня доступа для томов хранилищ.
Описание (Description): Ввод описания для
идентификации данного исключения.
Параметр (Parameter): Выбор типа параметра
(идентификатор оборудования, серийный номер носителя или тип
шины).
Значение (Value): При выборе параметра
идентификатора оборудования введите строку значения.
Доступ (Access): Указание уровня доступа для
данного исключения (полный доступ, доступ только для чтения, только
зашифрованные данные, без доступа).
Информация о
странице "Устройства" (Devices)
Используйте эту страницу, чтобы указать параметры для различных
типов устройств, которые подключаются к клиенту, настроенному с
использованием данной настройки.
Устройства/интерфейсы (Devices / Interfaces):
Флажок, позволяющий заблокировать для устройств и интерфейсов
доступ к клиенту.
Блокировка беспроводной ЛС 802.11X (Block wireless
LAN 802.11X): Блокировка подключения к беспроводной ЛС
802.11X.
Исключения (Exceptions): Создание исключений
для заблокированных устройств и интерфейсов. Исключения можно
задавать на базе параметра hardware_id, class, service, enumerator,
vendor_id, device_id или vendor_device_id.
Устройства CD/DVD (CD / DVD drives): Указание
уровня доступа для приводов CD/DVD.
Исключения (Exceptions): Создание исключений
уровня доступа для приводов CD/DVD. Можно добавить исключения,
основанные на идентификаторе оборудования, серийном номере носителя
или типе шины.
Информация о
диалоговом окне "Настройка исключений (для устройств и
интерфейсов)" (Configure exceptions (for devices and
interfaces))
Используйте это диалоговое окно, чтобы создать исключение для
заблокированных устройств и интерфейсов.
Описание (Description): Ввод описания для
идентификации данного исключения.
Параметр (Parameter): Выбор типа параметра
(идентификатор оборудования, серийный номер носителя или тип
шины).
Значение (Value): При выборе параметра
идентификатора оборудования введите строку значения.
Доступ (Access): Указание уровня доступа для
данного исключения (полный доступ, доступ только для чтения, только
зашифрованные данные, без доступа).
Информация о
странице "Теневая копия" (Shadow copy)
Используйте эту страницу для включения и настройки теневого
копирования на управляемых устройствах, настроенных с
использованием данной настройки.
Теневая копия позволяет отслеживать, какие файлы были
скопированы на устройство и с него, путем создания дублирующейся
копии (или теневой копии) этих файлов в локальном каталоге.
Включение теневого копирования (Enable shadow
copy): Включение теневого копирования на управляемых
устройствах с данной настройкой.
Регистрация только событий (Log events only):
Регистрация в журнале только операций по копированию файлов, а не
самих копируемых файлов.
Исключения (Exceptions): Создание исключений.
Можно добавить исключения, основанные на идентификаторе
оборудования, серийном номере носителя или типе шины.
Локальный кэш (Local cache): Указание
расположения локального диска, на котором хранятся файлы теневых
копий и файл журнала.
Задачи управления средства управления
устройствами
В этом разделе приведена информация о следующих функциях и
задачах средства управления устройствами.
Создание настраиваемых сообщений
при обнаружении неавторизованных устройств/томов
В диалоговом окне Настройки управления устройствами
(Device control settings) можно настроить текст сообщения,
отображаемого при обнаружении неавторизованных устройств или томов.
Для отображения сведений о неавторизованном устройстве или томе в
тексте сообщения можно использовать следующие заполнители:
%vol%: серийный номер тома
%desc%: описание
%service%: служба
%hwid%: идентификатор оборудования
%mfg%: изготовитель
%loc%: расположение
%class%: класс
Обработка
неавторизованных устройств
Настройки управления устройствами используют службу usbmon на
управляемых устройствах. Когда служба usbmon получает от
операционной системы уведомление подключении нового устройства USB
или PCMCIA, служба применяет набор настроенных правил, чтобы
определить, является ли это устройство разрешенным или нет. Можно
настроить простые правила, чтобы разрешить только определенные типы
устройств, например клавиатуры и мыши, принтеры и сканеры. Более
сложные правила могут разрешать только запоминающие устройства
заданного производителя или запрещать устройства заданного
производителя.
При обнаружении неавторизованного устройства служба usbmon
выполняет следующие действия:
Удаляет устройство в диспетчере устройств Windows,
чтобы система Windows больше не определяло это устройство. Все
установленные для устройства драйверы при этом сохраняются.
Отправляет на главный сервер предупреждение AMS
"Активировано выключенное устройство" (Disabled device activated).
В этом предупреждении указывается имя устройства.
Извлечение
съемных запоминающих устройств
Usbmon — это имя службы, расположенной на управляемых
устройствах и ограничивающей подключения USB. При монтировании
нового тома служба usbmon получает уведомление от операционной
системы. После этого служба usbmon использует API-вызов
GetDriveType() для проверки типа смонтированного диска. Если
операционная система описывает диск как "съемный" или "несъемный",
служба usbmon активируется. Кроме того, служба usbmon проверяет
наличие съемных томов во время загрузки. При обнаружении съемного
тома во время загрузки выполняются те же операции, что и при
монтировании тома после окончания загрузки.
К дискам, которые считаются съемными, относятся и запоминающие
устройства USB. Устройства CD (поддерживающие только чтение или
чтение/запись) не считаются съемными запоминающими
устройствами.
Операционная система не считает жесткие диски съемными. Вызов
GetDriveType() описывает их как "несъемные", даже если они
подключены через интерфейс USB или какой-либо внешний порт. Чтобы
разрешить обработку жестких дисков аналогично другим съемным
запоминающим устройствам, служба usbmon регистрирует список жестких
дисков во время ее установки. Например, если во время установки
службы usbmon устройство имеет два жестких диска (C: и D:) то
служба считает эти диски несъемными и не проверяет их. Однако если
позднее будет найден жесткий диск E:, служба usbmon считает его
съемным.
Служба usbmon хранит список "несъемных дисков" в реестре по
адресу HKLM\Software\LANDesk\usbmon\FixedDrives. Этот список
создается при установке службы. Параметр Нет доступа (No
access) блокирует доступ к любому тому, который отсутствовал во
время установки настроек управления устройствами. Обратите внимание
на то, что, когда содержащее том устройство было подключено во
время установки настроек, служба usbmon разрешит использование
этого устройства в будущем, даже если оно является съемным.
При обнаружении съемного запоминающего устройства служба usbmon
выполняет следующие действия:
Блокирует соответствующий том. Пользователь,
пытающийся получить доступ к тому, получает ошибку "доступ
запрещен".
Может отобразить настраиваемое сообщение для
пользователя.
Может загрузить внешнюю программу. Например, внешняя
программа может быть сценарием, отправляющим предупреждение на
центральную консоль.
Отправляет на главный сервер предупреждение AMS
"Активировано выключенное устройство" (Disabled device activated).
Предупреждение сообщает об активации тома и отсутствии
дополнительной информации.
ВАЖНО:Блокировка
всех неизвестных томов работает только в операционной системе
Windows XP или Windows 2003
В операционной системе Windows 2000 сообщается о блокировке тома,
хотя на самом деле он не заблокирован. Для Windows 2000
рекомендуется блокировать отдельные устройства, чтобы предотвратить
добавление новых томов.
Что если обслуживающему персоналу необходимо использовать карту
памяти USB?
Если вы занимаетесь ИТ-поддержкой и хотите использовать
запоминающее устройство USB на компьютере пользователя, это можно
обеспечить несколькими способами:
Наиболее удобный способ разрешения временного доступа
к устройству USB заключается во включении параметра переопределения
пароля при задании и развертывании настроек управления устройствами
для управляемых устройств.
Если функция переопределения пароля не настроена, можно
попробовать воспользоваться следующими методами:
Выполните вход в систему в правами администратора и
временно отключите службу usbmon.
Выполните вход в систему в правами администратора,
запустите графический пользовательский интерфейс usbmon и добавьте
соответствующее устройство в список авторизованных томов.
Задание расширенных
настроек USB
После установки на устройстве средства управления устройствами
агент сохраняет сведения о последних десяти устройствах USB, доступ
к которым он заблокировал. Сканер инвентаризации отправляет эти
сведения в базу данных главного сервера. Затем сведения
заблокированных устройствах отображаются в диалоговом окне
Расширенные настройки USB (Advanced USB settings). Эти
сведения можно использовать для создания расширенных правил,
разрешающих или блокирующих отдельные устройства USB. Эти
расширенные правила позволяют управлять не просто базовыми
категориями устройств, отображаемыми в диалоговом окне Настройки
управления устройствами (Device control settings).
В диалоговом окне Расширенные настройки USB (Advanced USB
settings) можно создать правило на базе любого из шести столбцов.
Щелкните значение в столбце правой кнопкой мыши и выберите
Разрешить (Allow), чтобы создать правило, позволяющее
разрешать устройства на основании соответствующего атрибута. Для
каждого из столбцов создаются следующие ключевые слов:
DeviceDesc
HardwareID
Service
Mfg
LocationInformation
Class
Эти же имена используются в ключе реестра
HKLM\System\CurrentControlSet\Enum\USB.
Наиболее удобным полем для использования в качестве основы для
правил обычно является Служба (Service). Оно соответствует
драйверу Windows. Например, драйвер для подключений USB ActiveSync
к КПК Windows CE называется wceusbsh (см.
HKLM\CurrentControlSet\Services\wceusbsh). В качестве основы для
правила можно использовать любой из шести столбцов; однако вы сами
должны решить, какие правила лучше всего подходят в каждой
конкретной ситуации.
Символы шаблона
В правилах можно использовать символы шаблона. Например,
следующее выражение разрешает любое устройство, в описании которого
есть слово "floppy":
DeviceDesc=*floppy*
Сравнение правил белого списка и черного списка
Все приведенные до настоящего времени правила были правилами
белого списка, то есть устройства были запрещены, если только они
не удовлетворяли хотя бы одному из правил. Служба usbmon также
поддерживает правила черного списка. Перед такими правилами стоит
префикс в виде знака минуса. Например:
Service=usbstor
-DeviceDesc=*floppy*
Первое правило разрешает запоминающие устройства USB. Второе
правило вносит в черный список устройства, в описании которых есть
слово "floppy".
Если заданы правила как белого, так и черного списка, служба
usbmon сначала проверяет устройства на соответствие правилам белого
списка. Если правила белого списка, разрешающие данное устройство,
отсутствуют, то оно запрещается. Если имеется хотя бы одно правило
белого списка, разрешающее данное устройство, то служба usbmon
проверяет устройство на соответствие правилам черного списка. Если
устройство не удовлетворяет ни одному правилу черного списка, оно
разрешается. В противном случае оно запрещается.
При наличии только правил белого списка устройство запрещается,
если только оно не удовлетворяет одному из этих правил. При наличии
только правил черного списка устройство разрешается, если только
оно не удовлетворяет одному из этих правил.
Объединенные правила
Все приведенные до настоящего времени правила были простыми
правилами, в которых проверялось соответствие отдельному полю.
Служба usbmon также поддерживает объединенные правила, одно из
которых приведено в следующем примере:
Service=wceusbsh,DeviceDesc=*iPAQ*
Это правило разрешает только те устройства Windows CE, в
описании которых присутствует слово IPAQ.
Объединенные правила черного списка также возможны. Пример:
Service=wceusbsh
-Service=wceusbsh,Mfg=*iPAQ*
Две строки, приведенные выше, разрешают устройства Windows CE,
кроме тех, у которых в поле производителя присутствует слово IPAQ.
Приведенные строки эквивалентны следующей одной строке:
Service=wceusbsh,-Mfg=*iPAQ*
Настройка команд,
выполняемых при обнаружении неавторизованного устройства
Когда служба usbmon обнаруживает неавторизованный том или
неавторизованное устройство, она может выполнять внешние программы.
В такие команды можно включить один или два заполнителя:
%1: заменяется на слово "том" или "устройство" в
зависимости от того, что обнаружено — неавторизованный том или
неавторизованное устройство USB.
%2: заменяется на серийный номер неавторизованного
тома или на идентификационную строку неавторизованного устройства
USB.
Например, при выполнении следующей команды:
wscript myscript.vbs %1 %2
Запускается следующая команда:
wscript myscript.vbs volume "1234ABCD"
wscript myscript.vbs device "Y-E Data USB Floppy:
Vid_057b&Pid_0000"
Служба usbmon обеспечивает одновременное выполнение только
одного экземпляра сценария.
Для настройки команд
В настройке управления устройствами щелкните
Команды (Commands).
Введите нужные команды.
Щелкните OK.
Настройка предупреждений
Настройки управления устройствами используют для предупреждения
службу управления предупреждениями. Средство управления
устройствами может активировать предупреждения по следующим
событиям:
Ошибка конфигурации
Активировано выключенное устройство
Попытка подключения к запрещенной сети
Попытка подключения к неуказанной сети
Обнаружен сеанс подключения к неуказанной сети
Просмотр списка
неавторизованных устройств
На каждом компьютере средство управления устройствами хранит
список десяти последних подключенных неавторизованных
устройств.
Эти сведения можно просмотреть в представлении сети, щелкнув
элемент Инвентаризация (Inventory) в контекстном меню
устройства. После этого щелкните Управление LANDesk > Управление
устройствами > Предупреждение Usbmon (Management > Device
Control > Usbmon alert).
Устранение проблем со
средством управления устройствами
В этом разделе приведена информация о некоторых возможным
ситуациях, с которыми вы можете столкнуться при работе со средством
управления устройствами, и о действиях, которые необходимо
предпринять.
Каждая новая настройка средства управления
устройствами сохраняется в виде отдельного файла конфигурации и
отдельного файла сценария в следующих папках:
ldmain\ccmgr\name.cfg
ldmain\scripts\name.ini
Если сценарий или настройка с заданным для настройки
именем уже существуют, отображается запрос на перезапись
существующего сценария или существующей настройки. Это может
привести к перезаписи постороннего сценария распространения с таким
же именем.
При вводе диапазонов IP-адресов для использования
сетевых ограничений не следует ограничивать доступ к диапазону,
используемому главным сервером. Если клиенты обращаются к
запрещенной сети и средство управления устройствами отключает
сетевой доступ, то доступ к сети можно восстановить только
посредством связи с главным сервером. Если устройства не могут
связаться с главным сервером из-за ограничения, восстановить доступ
к сети невозможно.
При ограничении доступа к устройствам ввода-вывода не
ограничивайте устройства ввода-вывода, на которых размещаются
сетевые адаптеры. Если ограничить доступ к таким устройствам,
клиент больше не сможет получить доступ в сеть. Например,
ограничение доступа USB отключает все сетевые адаптеры USB. Без
доступа к сети вы не сможете обновить настройки ограничений для
данного клиента.
Если в средстве управления устройствами выбраны
следующие параметры, а главный сервер недоступен в указанной сети,
клиенты, расположенные в этой сети, имеют неограниченный доступ к
устройствам ввода-вывода:
"Ограничить подключения указанными сетями" (Limit
connections to listed networks)
"Разрешить неуказанные сети при отсутствии
подключения" (Allow unlisted networks if not connected)
"Проверить наличие главного сервера в сети" (Verify
core server existence on the network)
Если установлен флажок "Разрешить неуказанные сети
при отсутствии подключения" (Allow unlisted networks if not
connected), а агенту не удается найти главный сервер в указанной
сети, предполагается, что сеть не указана. В этом случае может
предоставляться непредусмотренный доступ к локальным устройствам
ввода-вывода. Это может создать угрозу безопасности. Чтобы
предотвратить возникновение такой ситуации, убедитесь в доступности
главного сервера.
