Staffcounter

Защита сети предприятия. Как контролировать работу сотрудников за компьютером?

В задачи системного администратора входит защита сети предприятия как от внешних, так и от внутренних угроз. Для борьбы с последними мы создали наш продукт – систему StaffCounter DLP. Что она может делать?

  • Запрет на подключение Bluetooth устройств;
  • Конфигурируемый запрет на использование съемных USB-накопителей;
  • Запрет подключения накопителей по MTP-протоколу: телефонов, камер, съемных дисков;
  • Запрет записи на CD/DVD накопители;
  • Запрет изменения конфигурации или удаления данной программы другими пользователями;
  • Контролируемый запрет отправки файлов на внешние ресурсы;
  • Запрет доступа ко внешним папкам и ресурсам в локальном сети;
  • Запрет загрузки и запуска приложений из Интернета и внешних устройств.

Функция защита сети предприятия. Как включить?

После регистрации в сервисе и установки агента StaffСounter для Windows зайдите в Основные настройки и прокрутите страницу вниз до раздела DLP. Включите необходимый функционал.

В каких случаях необходима такая защита сети предприятия?

 Следует понимать, что пользователь может нанести вред устройству как из-за своей халатности (установка пиратского ПО, непредумышленный запуск неизвестных приложений из писем электронной почты, неограниченное скачивание файлов для личного использования за рабочим компьютером), так и предумышленно: работа на конкурентов, воровство коммерческой информации, шпионство или вредительство. Мы подобрали решения для наиболее распространённых причин установки защиты от действий пользователя.

Защита сети предприятия. Запрет отправки вложений в почтовых системах и службах обмена файлами.

Для защиты от инсайдеров, пытающихся вынести информацию через e-mail, Dropbox, Google Drive, Wetransfer и прочие службы обмена файлами достаточно настроить одну опцию DLP: Контроль отправки файлов на внешние ресурсы по правилу. Введите в поле Правила используемые в вашей компании браузеры и будьте уверены, что сотрудник не сможет отправить файлы за пределы корпоративной сети. Мы поддерживаем Internet Explorer/Edge, Mozilla Firefox и Google Chrome.

Конфигурация запрета отправки вложений:

 

В поле Правила вы можете ввести один из трёх либо сразу несколько (через точку с запятой без пробелов) поддерживаемых нашей системой браузеров: Google Chrome (chrome), Internet Explorer/Edge (iexplore), Mozilla Firefox (firefox).

 

Защита сети предприятия. Запрет запуска скачанных программ.

Пользователи, имеющие возможность к скачиванию приложений и права для их установки, сделают любую систему уязвимой к вирусным атакам. Не говоря уже о том, что установка пиратского ПО противозаконна и грозит большими неприятностями компании в случае обнаружения. Эту проблему решить легко: Запретить загрузку приложений из Интернета. Также эта опция сделает невозможным удаление нашей системы StaffCounter DLP с компьютера пользователя.

Защита сети предприятия. Запрет записи на USB-flash с возможностью чтения данных.

Встроенными средствами ОС Windows, к сожалению, невозможно организовать доступ к записи и чтению информации со съёмных устройств. Для предотвращения утечки данных через всевозможные съёмные устройства мы реализовали целый комплекс опций:

  • Запретить отправку файлов по Bluetooth
  • Контроль доступа к съёмным устройствам по правилу
  • Запретить доступ к смартфонам и камерам по USB
  • Запретить запись на CD / DVD

Причём для съёмных USB-устройств мы предоставляем возможность редактирования доступа к устройству: можно назначить запрет на запись, но разрешить чтение, организовать полный запрет, а также разрешить доступ для конкретных устройств по их серийному номеру. Все конфигурации вписываются в поле Правило.

Конфигурация уровня доступа к USB-flash:

 

Мы создаем правила доступа к USB накопителям, исходя из их серийного номера, VID и PID. Для того чтобы узнать серийный номер, VID и PID накопителя, установите программу ChipGenius.

Получив информацию о серийном номере, VID и PID, мы можем запретить запись информации на нашу флешку или съемный диск.

Для этого необходимо написать следующее правило:

0xVID:0xPID:SN=

или

*:*:SN=

знак «*» в данном случае означает любой VID и PID; это можно сделать для экономии времени, так как серийный номер достаточно уникален, а VID и PID часто одинаковы. Пустота после = означает, что для данного накопителя на этом компьютере неприменимы никакие действия со стороны пользователя — ни чтение, ни запись, ни форматирование.

Если нужно наоборот, разрешить чтение и запись только на один накопитель, то следует установить такое правило:

*:*:SN=rw

Если следует запретить только запись на накопитель, то пишем

*:*:SN=r

Внимание: с параметром «r» невозможна только запись новых данных, а удаление старых и форматирование возможны, так что будьте осторожны!

Команда, касающаяся всех остальных накопителей, должна идти последней в списке.

*:*:*=   // означает для всех остальных все запрещено.

*:*:*=r  // означает для всех остальных разрешено только чтение.

*:*:*=rw  //  означает для всех остальных — без ограничений.

 

Защита сети предприятия. Ограничение доступа к папкам в локальной сети.

Ещё один способ украсть важную информацию – отправить её на другие компьютеры в сети. Рекомендуем включить эту опцию: Запретить доступ к общим папкам. Это запретит пользователям записывать данные на локальные папки, при этом все файлы в сети будут доступны в режиме чтения.

Защита сети предприятия. Запрещение запуска программ с USB-flash.

Для предотвращения заражения компьютеров вирусами со съёмных устройств необходимо запретить запуск приложений с них. Для этого нужно включить опцию: Запретить запуск приложений со съёмных устройств. При этом можно будет продолжать работать с USB-flash в режиме чтения\\записи, но запуск приложений с них будет невозможен.

Стоит отметить, что отключить функции защиты и внести изменения по умолчанию может только тот пользователь, который имеет доступ к Панели Управления на StaffCounter. Другие юзеры (даже с правами администратора) не имеют полномочий менять конфигурацию модуля.