[vc_row][vc_column][vc_column_text]Для Windows 8/10/1012. Основное предназначение — обеспечение внутренней безопасности предприятия, защита от утечек информации.

Основные возможности программы:

  1. Избирательный запрет записи на съемные носители;
  2. Избирательный запрет доступа к сетевым компьютерам;
  3. Избирательный запрет запуска приложений.
  4. Избирательный запрет на работу с файлами в зависимости от их расположения и размера;
  5. Запрет на создание исполняемых файлов;
  6. Защита от модификации другим администратором.

Установка, перезапуск и удаление программы

Установка производится из командной строки (cmd.exe), запущенной от имени администратора, из папки дистрибутива.

rohos_dlpmgr install

установка должна завершиться без ошибок.

После установки вы можете изменять конфигурационный файл согласно приведенным в нем настройкам. Применение настроек выполняется командой

rohos_dlpmgr update

удаление драйвера защиты

rohos_dlpmgr delete

Настройка конфигурации:

Файл dlpcfg.ini редактируется в текстовом редакторе. Последовательность параметров имеет значение! После сохранения изменений в файле конфигурации требуется перезапуск приложения. В некоторых случаях требуется перезапуск компьютера.[/vc_column_text][vc_column_text]Правила редактирования файла конфигурации просты:

— комментарии должны начинаться с символа «;»

— параметры не должны быть закомментированы

— после знака «=» можно вписывать только допустимые значения, указанные в комментариях перед параметром.

— переставлять параметры местами нельзя.

Пройдемся по параметрам. Они разделены на несколько разделов:

Раздел [Main]

DisableUsbMtp — Отключить доступ по Mtp-протоколу (камеры, некоторые телефоны и пр.) Возможные значения: 1/0 . Функция не позволяет пользователям переписывать данные на телефоны, камеры, плееры, и другие устройства, подключаемые через USB порт. Устройства недоступны для чтения и записи.

DisableDvdWrite — Отключить запись на DVD.  Возможные значения: 1/0. Программа запрещает запись на CD и DVD непосредственно из проводника, а также через различные программы прожига.

DisableNewBluetoothConnection — Запретить подключение (сопряжение) новых Bluetooth-устройств. Если с PC не было сопряжено никаких Bluetooth-устройств, то эта опция запрещает работать с любыми Bluetooth. Возможные значения: 1/0.

EnableUsbRules — Включить контроль UsbMassStorage. Возможные значения: 1/0. Требует уточнения в разделе [UsbRules]. Эта функция в зависимости от настроек в [UsbRules] может полностью запретить доступ к съемным USB-накопителям, открыть их только для чтения, либо запретить или разрешить запись на носители с определенным серийным номером, значениями PID и VID.

EnableNetControl — Включить контроль доступа к сетевым ресурсам. Возможные значения: 1/0. Требует уточнения в разделе [NetRules]. Позволяет запретить доступ ко всем сетевым компьютерам или избирательно разрешить или запретить доступ к определенным машинам, основываясь на их сетевом имени.

DisableWindowsNetShare — Полный заперт стандартного сетевого доступа (работает ГОРАЗДО быстрее чем EnableNetControl). Не зависит от состояния EnableNetControl. Возможные значения: 1/0.

DisableNostdNetShare — Запрет нестандартного сетевого доступа. Сетевой доступ устанавливаемый 3-rd party программами. Например такой использует VirtualBox для доступа к своим общедоступным папкам. Не зависит от состояния EnableNetControl. Возможные значения: 1/0. Возможно, данная опция будет полезна при использовании программы на виртуальной машине.

DisableExecuteFromNonFixed —  Запретить запуск с не Fixed-дисков. Возможные значения: 1/0. действует в отношении exe и bat файлов. Не позволит пользователю запустить программу, которую он принес на флешке или оптическом диске.

EnableProcessControl — Включить контроль процессов. Возможные значения: 1/0. Требует уточнения в разделе [ProcessRules] Параметр включает возможность управлять работой других программ. В частности, в разделе [ProcessRules] вы можете написать правила для различных программ, запретив запуск одних и ограничив доступ к файлам других программ. Последнее может пригодиться для запрета транспортировки данных через Web-браузеры или программы рассылки электронной почты.

DisableExeCreation — Запрет на создание EXE-файлов. Возможные значения: 1/0. Включает в себя запрет на компиляцию, переименование, копирование exe-файлов со сменных носителей.

NoCheckSystemUser — Не проверять системные учетные записи (system, local service, network service и т.д.). Возможные значения: 1/0.  Данная опция может быть полезна в комплексе с другими опциями, например с запретом на доступ к USB накопителям. В случае использования USB накопителя как аппаратного ключа, Система должна его видеть, однако пользователь не имеет право считывать или записывать на него какую-либо информацию.

OutputUsbInfo — Выводить информацию о подключенных UsbMassStorage в реестр. Информация обновляется при подключении нового UsbMassStorage. Выводит до 10 USB

Диагностика ошибок:

LogFile=\??\c:\Tools\dlpflt_package\drv.log — NT-путь к файлу лога (если не указан — лог не создается). Директория в которой лежит файл должна существовать. При перезапуске программы файл перезаписывается

LogLevel=2 — уровень логирования для драйвера loglevel

Список администраторов

Формат параметра «name» = %имя пользователя%

;[Admins] — по умолчанию, администратором является пользователь, установивший и включивший функции DLP. Другие пользователи, даже администраторы не смогут изменить правила. Это следует учитывать при удалении этой учетной записи пользователя. Для активизации раздела и назначения других администраторов, следует убрать символ «;» перед [Admins]

Раздел [NetRules] — уточняет параметр EnableNetControl.

Пример настройки:

deny = WIN8-64 // запрещено заходить на сетевой компьютер с именем WIN8-64

allow = Server3 // разрешено заходить на сетевой компьютер с именем Server3

;deny  = WIN8 // временное отключение запрета на вход с сетевой компьютер с именем WIN8

allow  = * // разрешить заход на все остальные серверы. Команда с * должна идти последней. Если же следует запретить доступ ко всем остальным компьютерам сети в конец раздела следует поместить команду deny = *

Раздел [UsbRules] – уточняет параметр EnableUsbRules

Формат записей:

%VID%:%PID%:%SN%=rw

где %VID% и %PID% это 16-битное беззнаковое целое (десятичное или шестнадцатеричное число. Для ввода последних используйте префикс 0x)

%SN% — серийный номер (строка)

Если одно из полей == ‘*’, то оно может быть произвольным

Пример:

[UsbRules]

123:0x123:123456001=rw  ; VID=123, PID=291(0x123) SN=»123456001″.  Разрешены чтение и запись.

123:0x123:123456002=r   ;   Разрешено только чтение.

123:0x123:123456003=    ;   Доступ запрещен.

0x90C:*:*=rw            ; Для VID=2316(0x90C) и произвольные PID и SN. Разрешены чтение и запись.

*:*:*=                ; Правило по умолчанию (для всех остальных). Запрещены чтение и запись.

Внимание: параметр ‘r’ не запрещает удаление данных с USB носителя.

Раздел [ProcessRules] — уточняет параметр EnableProcessControl в разделе [Main]

Описание правила для каждой программы должно начинаться с поля newrule

Все поля до следующего newrule относятся к этому процессу

newrule=~~~~~~~Program_name ~~~~~~~~  ; Начало нового правила. Значение поля может быть произвольным.

imagePath=%PathToExeFile%    ; Путь к Exe-файлу (NT-путь. Можно использовать Wildcard (?*) )

allow|deny=%MinSize%:%Path%  ; Правило контроля. %Path% — NT-путь. Можно использовать Wildcard (?*)

allow|deny=*                 ; Правило по умолчанию

allowExeCreation=1           ; Отключает для этого процесса проверку на создание EXE (при DisableExeCreation=1)

Пример: запрет программе Калькулятор использовать файлы не из директории Windows

[ProcessRules]

newrule=——calc—————-

imagePath=*\Windows\System32\calc.exe — путь к файлу

allow = 0:*\Windows  — в данном случае 0 означает минимальный размер файла в байтах, при котором правило начинает действовать(можно пользоваться всеми файлами из папки Windows)

deny  = * — запрещено пользоваться всем остальным.

Пример для программы UCBrowser:

newrule=———UCBrowser———

imagePath=*\Program Files (x86)\UCBrowser\Application\UCBrowser.exe ; расположение программы

allow  = 0:*\Windows\*  

allow  = 0:*\AppData\*  

allow  = 0:*\Roaming\*  

allow  = 0:*\UCBrowser\*  

allow  = 0:*\ProgramData\*

deny  = 100:*

allowExeCreation = 0

allow=*

В данном примере программе  UCBrowser разрешается  использование всех файлов и папок из директорий Windows, AppData,  Roaming, ProgramData, UCBrowser, запрещено открывать файлы размером свыше 100kb из других мест, запрещено копирование на компьютер файлов с расширением EXE и BAT, а все остальное разрешено. Таким образом программа сможет запуститься, найти все свои необходимые компоненты и настройки, сможет выйти в Интернет и отобразить содержимое Web-страниц. Однако она не сможет взять файлы размером свыше 100kb из несистемных директорий для передачи в сеть, а также не сможет скачать и сохранить на компьютере исполняемые файлы.
Как же можно защитить системные директории, если пользователь попробует скопировать туда секретную информацию? Для этого пользователя следует лишить административных привилегий и выключить отображение скрытых файлов и папок в его пользовательском профиле.[/vc_column_text][/vc_column][/vc_row]