Для Windows 8/10/1012. Основное предназначение — обеспечение внутренней безопасности предприятия, защита от утечек информации.
Основные возможности программы:
- Избирательный запрет записи на съемные носители;
- Избирательный запрет доступа к сетевым компьютерам;
- Избирательный запрет запуска приложений.
- Избирательный запрет на работу с файлами в зависимости от их расположения и размера;
- Запрет на создание исполняемых файлов;
- Защита от модификации другим администратором.
Установка, перезапуск и удаление программы
Установка производится из командной строки (cmd.exe), запущенной от имени администратора, из папки дистрибутива.
rohos_dlpmgr install
установка должна завершиться без ошибок.
После установки вы можете изменять конфигурационный файл согласно приведенным в нем настройкам. Применение настроек выполняется командой
rohos_dlpmgr update
удаление драйвера защиты
rohos_dlpmgr delete
Настройка конфигурации:
Файл dlpcfg.ini редактируется в текстовом редакторе. Последовательность параметров имеет значение! После сохранения изменений в файле конфигурации требуется перезапуск приложения. В некоторых случаях требуется перезапуск компьютера.[/vc_column_text][vc_column_text]Правила редактирования файла конфигурации просты:
— комментарии должны начинаться с символа «;»
— параметры не должны быть закомментированы
— после знака «=» можно вписывать только допустимые значения, указанные в комментариях перед параметром.
— переставлять параметры местами нельзя.
Пройдемся по параметрам. Они разделены на несколько разделов:
Раздел [Main]
DisableUsbMtp — Отключить доступ по Mtp-протоколу (камеры, некоторые телефоны и пр.) Возможные значения: 1/0 . Функция не позволяет пользователям переписывать данные на телефоны, камеры, плееры, и другие устройства, подключаемые через USB порт. Устройства недоступны для чтения и записи.
DisableDvdWrite — Отключить запись на DVD. Возможные значения: 1/0. Программа запрещает запись на CD и DVD непосредственно из проводника, а также через различные программы прожига.
DisableNewBluetoothConnection — Запретить подключение (сопряжение) новых Bluetooth-устройств. Если с PC не было сопряжено никаких Bluetooth-устройств, то эта опция запрещает работать с любыми Bluetooth. Возможные значения: 1/0.
EnableUsbRules — Включить контроль UsbMassStorage. Возможные значения: 1/0. Требует уточнения в разделе [UsbRules]. Эта функция в зависимости от настроек в [UsbRules] может полностью запретить доступ к съемным USB-накопителям, открыть их только для чтения, либо запретить или разрешить запись на носители с определенным серийным номером, значениями PID и VID.
EnableNetControl — Включить контроль доступа к сетевым ресурсам. Возможные значения: 1/0. Требует уточнения в разделе [NetRules]. Позволяет запретить доступ ко всем сетевым компьютерам или избирательно разрешить или запретить доступ к определенным машинам, основываясь на их сетевом имени.
DisableWindowsNetShare — Полный заперт стандартного сетевого доступа (работает ГОРАЗДО быстрее чем EnableNetControl). Не зависит от состояния EnableNetControl. Возможные значения: 1/0.
DisableNostdNetShare — Запрет нестандартного сетевого доступа. Сетевой доступ устанавливаемый 3-rd party программами. Например такой использует VirtualBox для доступа к своим общедоступным папкам. Не зависит от состояния EnableNetControl. Возможные значения: 1/0. Возможно, данная опция будет полезна при использовании программы на виртуальной машине.
DisableExecuteFromNonFixed — Запретить запуск с не Fixed-дисков. Возможные значения: 1/0. действует в отношении exe и bat файлов. Не позволит пользователю запустить программу, которую он принес на флешке или оптическом диске.
EnableProcessControl — Включить контроль процессов. Возможные значения: 1/0. Требует уточнения в разделе [ProcessRules] Параметр включает возможность управлять работой других программ. В частности, в разделе [ProcessRules] вы можете написать правила для различных программ, запретив запуск одних и ограничив доступ к файлам других программ. Последнее может пригодиться для запрета транспортировки данных через Web-браузеры или программы рассылки электронной почты.
DisableExeCreation — Запрет на создание EXE-файлов. Возможные значения: 1/0. Включает в себя запрет на компиляцию, переименование, копирование exe-файлов со сменных носителей.
NoCheckSystemUser — Не проверять системные учетные записи (system, local service, network service и т.д.). Возможные значения: 1/0. Данная опция может быть полезна в комплексе с другими опциями, например с запретом на доступ к USB накопителям. В случае использования USB накопителя как аппаратного ключа, Система должна его видеть, однако пользователь не имеет право считывать или записывать на него какую-либо информацию.
OutputUsbInfo — Выводить информацию о подключенных UsbMassStorage в реестр. Информация обновляется при подключении нового UsbMassStorage. Выводит до 10 USB
Диагностика ошибок:
LogFile=\??\c:\Tools\dlpflt_package\drv.log — NT-путь к файлу лога (если не указан — лог не создается). Директория в которой лежит файл должна существовать. При перезапуске программы файл перезаписывается
LogLevel=2 — уровень логирования для драйвера loglevel
Список администраторов
Формат параметра «name» = %имя пользователя%
;[Admins] — по умолчанию, администратором является пользователь, установивший и включивший функции DLP. Другие пользователи, даже администраторы не смогут изменить правила. Это следует учитывать при удалении этой учетной записи пользователя. Для активизации раздела и назначения других администраторов, следует убрать символ «;» перед [Admins]
Раздел [NetRules] — уточняет параметр EnableNetControl.
Пример настройки:
deny = WIN8-64 // запрещено заходить на сетевой компьютер с именем WIN8-64
allow = Server3 // разрешено заходить на сетевой компьютер с именем Server3
;deny = WIN8 // временное отключение запрета на вход с сетевой компьютер с именем WIN8
allow = * // разрешить заход на все остальные серверы. Команда с * должна идти последней. Если же следует запретить доступ ко всем остальным компьютерам сети в конец раздела следует поместить команду deny = *
Раздел [UsbRules] – уточняет параметр EnableUsbRules
Формат записей:
%VID%:%PID%:%SN%=rw
где %VID% и %PID% это 16-битное беззнаковое целое (десятичное или шестнадцатеричное число. Для ввода последних используйте префикс 0x)
%SN% — серийный номер (строка)
Если одно из полей == ‘*’, то оно может быть произвольным
Пример:
[UsbRules]
123:0x123:123456001=rw ; VID=123, PID=291(0x123) SN=»123456001″. Разрешены чтение и запись.
123:0x123:123456002=r ; Разрешено только чтение.
123:0x123:123456003= ; Доступ запрещен.
0x90C:*:*=rw ; Для VID=2316(0x90C) и произвольные PID и SN. Разрешены чтение и запись.
*:*:*= ; Правило по умолчанию (для всех остальных). Запрещены чтение и запись.
Внимание: параметр ‘r’ не запрещает удаление данных с USB носителя.
Раздел [ProcessRules] — уточняет параметр EnableProcessControl в разделе [Main]
Описание правила для каждой программы должно начинаться с поля newrule
Все поля до следующего newrule относятся к этому процессу
newrule=~~~~~~~Program_name ~~~~~~~~ ; Начало нового правила. Значение поля может быть произвольным.
imagePath=%PathToExeFile% ; Путь к Exe-файлу (NT-путь. Можно использовать Wildcard (?*) )
allow|deny=%MinSize%:%Path% ; Правило контроля. %Path% — NT-путь. Можно использовать Wildcard (?*)
allow|deny=* ; Правило по умолчанию
allowExeCreation=1 ; Отключает для этого процесса проверку на создание EXE (при DisableExeCreation=1)
Пример: запрет программе Калькулятор использовать файлы не из директории Windows
[ProcessRules]
newrule=——calc—————-
imagePath=*\Windows\System32\calc.exe — путь к файлу
allow = 0:*\Windows — в данном случае 0 означает минимальный размер файла в байтах, при котором правило начинает действовать(можно пользоваться всеми файлами из папки Windows)
deny = * — запрещено пользоваться всем остальным.
Пример для программы UCBrowser:
newrule=———UCBrowser———
imagePath=*\Program Files (x86)\UCBrowser\Application\UCBrowser.exe ; расположение программы
allow = 0:*\Windows\*
allow = 0:*\AppData\*
allow = 0:*\Roaming\*
allow = 0:*\UCBrowser\*
allow = 0:*\ProgramData\*
deny = 100:*
allowExeCreation = 0
allow=*
В данном примере программе UCBrowser разрешается использование всех файлов и папок из директорий Windows, AppData, Roaming, ProgramData, UCBrowser, запрещено открывать файлы размером свыше 100kb из других мест, запрещено копирование на компьютер файлов с расширением EXE и BAT, а все остальное разрешено. Таким образом программа сможет запуститься, найти все свои необходимые компоненты и настройки, сможет выйти в Интернет и отобразить содержимое Web-страниц. Однако она не сможет взять файлы размером свыше 100kb из несистемных директорий для передачи в сеть, а также не сможет скачать и сохранить на компьютере исполняемые файлы.
Как же можно защитить системные директории, если пользователь попробует скопировать туда секретную информацию? Для этого пользователя следует лишить административных привилегий и выключить отображение скрытых файлов и папок в его пользовательском профиле.