Защита сети предприятия. Как контролировать работу сотрудников за компьютером?
В задачи системного администратора входит защита сети предприятия как от внешних, так и от внутренних угроз. Для борьбы с последними мы создали наш продукт – систему StaffCounter DLP. Что она может делать?
- Запрет на подключение Bluetooth устройств;
- Конфигурируемый запрет на использование съемных USB-накопителей;
- Запрет подключения накопителей по MTP-протоколу: телефонов, камер, съемных дисков;
- Запрет записи на CD/DVD накопители;
- Запрет изменения конфигурации или удаления данной программы другими пользователями;
- Контролируемый запрет отправки файлов на внешние ресурсы;
- Запрет доступа ко внешним папкам и ресурсам в локальном сети;
- Запрет загрузки и запуска приложений из Интернета и внешних устройств.
Функция защита сети предприятия. Как включить?
После регистрации в сервисе и установки агента StaffСounter для Windows зайдите в Основные настройки и прокрутите страницу вниз до раздела DLP. Включите необходимый функционал.
В каких случаях необходима такая защита сети предприятия?
Следует понимать, что пользователь может нанести вред устройству как из-за своей халатности (установка пиратского ПО, непредумышленный запуск неизвестных приложений из писем электронной почты, неограниченное скачивание файлов для личного использования за рабочим компьютером), так и предумышленно: работа на конкурентов, воровство коммерческой информации, шпионство или вредительство. Мы подобрали решения для наиболее распространённых причин установки защиты от действий пользователя.
Защита сети предприятия. Запрет отправки вложений в почтовых системах и службах обмена файлами.
Для защиты от инсайдеров, пытающихся вынести информацию через e-mail, Dropbox, Google Drive, Wetransfer и прочие службы обмена файлами достаточно настроить одну опцию DLP: Контроль отправки файлов на внешние ресурсы по правилу. Введите в поле Правила используемые в вашей компании браузеры и будьте уверены, что сотрудник не сможет отправить файлы за пределы корпоративной сети. Мы поддерживаем Internet Explorer/Edge, Mozilla Firefox и Google Chrome.
Конфигурация запрета отправки вложений:
В поле Правила вы можете ввести один из трёх либо сразу несколько (через точку с запятой без пробелов) поддерживаемых нашей системой браузеров: Google Chrome (chrome), Internet Explorer/Edge (iexplore), Mozilla Firefox (firefox).
Защита сети предприятия. Запрет запуска скачанных программ.
Пользователи, имеющие возможность к скачиванию приложений и права для их установки, сделают любую систему уязвимой к вирусным атакам. Не говоря уже о том, что установка пиратского ПО противозаконна и грозит большими неприятностями компании в случае обнаружения. Эту проблему решить легко: Запретить загрузку приложений из Интернета. Также эта опция сделает невозможным удаление нашей системы StaffCounter DLP с компьютера пользователя.
Защита сети предприятия. Запрет записи на USB-flash с возможностью чтения данных.
Встроенными средствами ОС Windows, к сожалению, невозможно организовать доступ к записи и чтению информации со съёмных устройств. Для предотвращения утечки данных через всевозможные съёмные устройства мы реализовали целый комплекс опций:
- Запретить отправку файлов по Bluetooth
- Контроль доступа к съёмным устройствам по правилу
- Запретить доступ к смартфонам и камерам по USB
- Запретить запись на CD / DVD
Причём для съёмных USB-устройств мы предоставляем возможность редактирования доступа к устройству: можно назначить запрет на запись, но разрешить чтение, организовать полный запрет, а также разрешить доступ для конкретных устройств по их серийному номеру. Все конфигурации вписываются в поле Правило.
Конфигурация уровня доступа к USB-flash:
Мы создаем правила доступа к USB накопителям, исходя из их серийного номера, VID и PID. Для того чтобы узнать серийный номер, VID и PID накопителя, установите программу ChipGenius.
Получив информацию о серийном номере, VID и PID, мы можем запретить запись информации на нашу флешку или съемный диск.
Для этого необходимо написать следующее правило:
0xVID:0xPID:SN=
или
*:*:SN=
знак «*» в данном случае означает любой VID и PID; это можно сделать для экономии времени, так как серийный номер достаточно уникален, а VID и PID часто одинаковы. Пустота после = означает, что для данного накопителя на этом компьютере неприменимы никакие действия со стороны пользователя — ни чтение, ни запись, ни форматирование.
Если нужно наоборот, разрешить чтение и запись только на один накопитель, то следует установить такое правило:
*:*:SN=rw
Если следует запретить только запись на накопитель, то пишем
*:*:SN=r
Внимание: с параметром «r» невозможна только запись новых данных, а удаление старых и форматирование возможны, так что будьте осторожны!
Команда, касающаяся всех остальных накопителей, должна идти последней в списке.
*:*:*= // означает для всех остальных все запрещено.
*:*:*=r // означает для всех остальных разрешено только чтение.
*:*:*=rw // означает для всех остальных — без ограничений.
Защита сети предприятия. Ограничение доступа к папкам в локальной сети.
Ещё один способ украсть важную информацию – отправить её на другие компьютеры в сети. Рекомендуем включить эту опцию: Запретить доступ к общим папкам. Это запретит пользователям записывать данные на локальные папки, при этом все файлы в сети будут доступны в режиме чтения.
Защита сети предприятия. Запрещение запуска программ с USB-flash.
Для предотвращения заражения компьютеров вирусами со съёмных устройств необходимо запретить запуск приложений с них. Для этого нужно включить опцию: Запретить запуск приложений со съёмных устройств. При этом можно будет продолжать работать с USB-flash в режиме чтения\\записи, но запуск приложений с них будет невозможен.
Стоит отметить, что отключить функции защиты и внести изменения по умолчанию может только тот пользователь, который имеет доступ к Панели Управления на StaffCounter. Другие юзеры (даже с правами администратора) не имеют полномочий менять конфигурацию модуля.
