Защита от утечки данных на ноутбуке

spion_pcУтечка персональных, корпоративных, государственных секретов является чумой нашего времени. Часто утерянные данные могут служить средством шантажа, а иногда могут стоить работнику карьеры, а фирме — процветания. Защите информации и посвящается наш обзор.

Представим, что информация хранится в сейфе. К сейфу можно подобрать ключ, шифр и украсть оттуда документы, пока никого нет на работе.

А если информация хранится на компьютере? Каким образом злоумышленники могут ее выкрасть? Современным взломщикам даже необязательно находиться рядом с компьютером. У них в руках электронные средства — вирусы, программы-шпионы и интернет. Причем чаще всего через интернет мы эти средства сами скачиваем под видом разных программ и игрушек.

Использование пароля на компьютере останавливает только совсем малообразованных взломщиков. Компьютер можно запустить с загрузочного диска, и тогда пароль Windows окажется бесполезен, ведь вся файловая система будет как на ладони.

Тогда можно использовать шифрование данных. Если зашифровать какую-то область на жестком диске, и хранить только на ней всю ценную информацию, то доступ к компьютеру и файлам уже ничего не даст взломщику, поскольку данные нечитабельны. Но практика показывает, что в процессе работы не всегда получается хранить информацию в каком-то определенном месте, что-нибудь обязательно не поместится или будет забыто на рабочем столе. А шифрование всего диска приводит к колоссальному замедлению системы. К тому же злоумышленник наверняка попробует забрать весь зашифрованный файл домой, чтобы потом, не торопясь, используя различные программы, расшифровать его. Зачем тратить время на вскрытие сейфа, если можно унести весь сейф и потом вскрыть его дома автогеном?

К тому же, в процессе работы каждая программа расшифровывает данные прежде чем начать их обработку. Значит, в какое-то время можно перехватить расшифрованную информацию, при помощи какой-нибудь хакерской программы. Существует множество компьютерных шпионов, которые замаскированы под безобидные программы, а на самом деле они постоянно присутствуют в памяти компьютера и запоминают и передают своему «хозяину» все, что его интересует.

Как же бороться с такими шпионами? Антивирусные системы не всегда их выявляют. Обычно, прежде чем антивирусные программы начинают обезвреживать новый вирус, он успевает заразить многие миллионы компьютеров по всему миру.

Решение проблемы. Разделим задачу вируса на несколько этапов:

  1. Оказаться на компьютере жертвы и быть запущенным;
  2. Найти важные данные;
  3. Найти выход в сеть и передать данные хозяину.

По этим этапам мы и будем решать задачу.

Блокировка доступа к компьютеру.block-site

Блокируем возможность запустить какую-либо программу, принесенную на сменном накопителе — флешке или компакт-диске.

Все остальное -пожалуйста: документы, картинки, другие файлы.

Решение задачи: Устанавливаем программу StaffCounter DLP. Запускаем, открываем опции, DLP, Редактирование файла конфигурации.

DisableExecuteFromNonFixed=1 // Этот параметр запрещает запуск программ со съемных носителей

Многие ноутбуки оборудованы Bluetooth. Мы можем выключить возможность принимать файлы по этому каналу.

DisableNewBluetoothConnection = 1

Мы также можем запретить копирование файлов с расширением .exe и .bat на жесткий диск. Это означает что переименование, загрузка из Internet, распаковка из архива любого такого файла на диск будет невозможна.

DisableExeCreation = 1 // Этот параметр запрещает копирование программ на жесткий диск.

Simple-Run-BlockerБлокировка на уровне поиска важных данных.

Программы создают процессы, назначение которых нам не стоит проверять, так как их слишком много. Но мы в состоянии запретить программе работать с файлами, расположенными в определенном месте компьютера. Если есть опасение, что программа ведет двойную игру, можно запретить ее запуск, или запретить ей работать с файлами большого размера.

В файле конфигурации StaffCounter DLP запускаем контроль процессов:

EnableProcessControl = 1

В разделе [ProcessRules] создаем для каждой программы свое правило:

  1. Полный запрет на запуск программы:
    newrule=——some program——
    imagePath=*\Windows\System32\program_name.exe
    deny = *
  2. Запрет на работу с файлами определенного размера и места:
    newrule=——-some_program——
    imagePath=*\Program Files (x86)\some_program\Application\some_program.exe
    allow = 0:*\Windows\*
    allow = 0:*\AppData\*
    allow = 0:*\Roaming\*
    allowExeCreation = 0
    deny = 100:*
    В данном примере программе запрещено пользоваться файлами более 10 kb из несистемных директорий

Блокировка на уровне выхода в сеть и передачи данных.security

Если за вашим компьютером работает хакер, то он попытается как можно быстрее переписать информацию на съемный носитель и скрыться. НО наша программа как раз и запрещает записывать данные на съемные носители: USB и CD / DVD
В файле конфигурации установим:

DisableUsbMtp = 1

DisableDvdWrite = 1

EnableUsbRules = 1

Первый параметр запретит запись на телефоны, фотоаппараты и съемные HDD

Последний требует уточнения в разделе [UsbRules]:

  • строка  *:*:*= запретит использование всех USB Flash накопителей
  • Строка *:*:*=r разрешит их использование только для чтения и уничтожения информации. Запись будет невозможна.
  • Строка *:*:A794987B=rw создаст исключение для флешки с серийным номером A794987B. Эта строка не должна быть последней в списке. После нее должна следовать строка для всех остальных устройств.

Тогда он попытается переписать файлы на сетевой компьютер. Значит нужно запретить соединение по сети. Для этого в нашей программе есть две настройки.

В файле конфигурации DLP установим:

DisableWindowsNetShare = 1  // это полностью закроет доступ для данного компьютера на сетевые.

или

EnableNetControl = 1 // Тогда понадобится уточнение в разделе [NetRules]:

  • allow = magiclenovo // разрешение доступа на компьютер magiclenovo
  • deny  = *  // запрет доступа на все остальные компьютеры сети

Защита от перенастройки нашей программы.

Хакеры тоже умеют читать, и наверняка эта статья и наш сайт им тоже попадутся на глаза. А значит они попытаются отключить нашу программу или снять защиту. Так вот, нашу защиту может снять только пользователь, который ее установил. А это значит, лучше установить защиту из одного административного профиля, а для работы пользоваться другим. Если к вам подсядет к примеру новый приятель, и попросит попользоваться компьютером пару минут, вы же не будете выходить из своего профиля, это как-то некрасиво.  А так ваш рабочий профиль тоже не способен отключить защиту.

Однако если вы захотите удалить профиль текущего пользователя с компьютера, следует добавить нового пользователя в разделе [Admins]:

name=Alex

Тогда пользователю Alex также будет разрешено менять конфигурацию программы, а также деинсталлировать модуль.

Каждый раз для применения изменений, следует сохранить файл конфигурации, затем выключить а потом снова включить защиту.