2MINDS SERVICIOS INFORMATICOS Control de Dispositivos DeviceLock (SmartLine ®) El robo de datos ¿Los Puertos USB y FireWire, son su mayor Vulnerabilidad? ¡Bloquéelos ahora con DeviceLock®! Ni los software firewall ni antivirus son una defensa contra el robo de datos y la corrupción dentro de su organización. No se necesita ser un administrador de sistemas para conectar una pequeña cámara digital, un reproductor MP3, o un dispositivo de almacenamiento USB y comenzar a cargar o descargar lo que sea. Si es un administrador de sistema, sabe que administrar tales niveles de actividad en estos dispositivos, está fuera de las posibilidades de lo que se puede hacer vía Política de Grupos. Bloqueo de Puertos Por medio de DeviceLock® los administradores de redes pueden bloquear los dispositivos USB y FireWire, y los adaptadores WiFi y Bluetooth y unidades de CD-Rom y disquetes, los puertos seriales y paralelos, así como muchos otros dispositivos plug and play. Una vez instalado, DeviceLock®, los administradores pueden controlar el acceso a cualquier dispositivo y definirlo por hora del día y los días de la semana. La Lista Blanca USB le permitirá indicar los dispositivos específicos que, independientemente de cualquier otro parámetro, no serán bloqueados. La intención es dar permiso a dispositivos especiales (p. ej: lectoras de tarjetas inteligentes) pero bloquear los demás dispositivos. DeviceLock® le permite generar un reporte de los permisos definidos. Se pueden ver las asignaciones de usuarios a los distintos dispositivos y qué dispositivos están en la Lista Blanca USB en todas las computadoras de la red. No olvidar que casi un 80% de todas las rupturas de seguridad son de origen interno. DeviceLock® es la mejor solución para asegurar y proteger su red de computadoras contra los ataques internos. • ¿quiere proteger su red de ataques internos? • ¿quiere proteger información valiosa, bases de datos, reportes de ventas, registros de RRHH, etc.? • ¿quiere asignar permisos a los usuarios permisos para CD-ROMs, disquetes, USBs y FireWires? • ¿quiere controlar qué usuarios pueden acceder a los dispositivos, dependiendo de la hora del día y del día de la semana? Con DeviceLock® se puede: § Controlar que usuarios o grupos, pueden acceder a los puertos USBs y FireWire, a los adaptadores Bluetooth, a las unidades de CDROMs, disquetes, y otros dispositivos removibles. § Controlar el acceso a los dispositivos según la hora del día y el día de la semana. § Crear la Lista Blanca de dispositivos USB, lo que le permite autorizar únicamente los dispositivos que, específicamente, no serán bloqueados, independientemente de cualquier otra. § Definir el dispositivo en modo de sólo lectura. § Proteger discos de formateos accidentales o intencionales. § Eliminar los archivos temporales no guardados de los archivos (muy útil para los dispositivos removibles). § Controlar remotamente todas las funciones. § Instalarlo y desinstalarlos automáticamente. Información general DeviceLock funciona sobre cualquier computadora que utiliza Windows NT 4.0/2000/XP y Windows Server 2003. Para instalar y controlar DeviceLock, DEBE tener privilegios de administración de dominio. DeviceLock consiste de dos partes: el agente (DeviceLock Service) y la consola de administración (DeviceLock Manager, DeviceLock Enterprise Manager y DeviceLock Group Policy Manager). DeviceLock Service es el corazón de DeviceLock. DeviceLock Service es instalado en cada sistema cliente, ejecuta automáticamente, y provee protección de dispositivos sobre la maquina del Copyright 2MINDS Servicios Informáticos S.R.L. 2005 – All rights reserved – Reproduction prohibited Pág. 1 de 3 Lavalle 445 piso 8º of. 13 (cfte) – C1047AAI – Buenos Aires – Argentina TE: 011-5218-5080 [email protected] cliente mientras permanece invisible usuarios locales de la computadora. a esos La consola de administración es la interfaz de control que usan los administradores de sistemas para administrar en forma remota cada sistema que tiene DeviceLock Service. DeviceLock se suministra con tres consolas de administración distintas: DeviceLock Manager, DeviceLock Enterprise Manager y DeviceLock Group Policy Manager (incluye DeviceLock Management Console). Puede elegir la consola que mejor cubre sus necesidades. DeviceLock usa la tecnología Remote Procedure Call (RPC) para la comunicación entre el agente y la consola de administración. Por omisión, DeviceLock Service usa puertos dinámicos para la comunicación RPC. Los puertos cambian cada vez que DeviceLock Service es iniciado. Sin embargo, puede instruir a DeviceLock Service para usar un puerto TCP determinado. Para hacer esto, por favor refiérase a la sección Preguntas Frecuentes de nuestro sitio Web. Por favor advierta que no depende de la comunicación RPC cuando está usando la consola de administración de Group Policy. En este caso, todas las comunicaciones son manejadas vía Active Directory. Cómo elegir la consola de administración correcta Hay dos paquetes de instalación distintos con distintas consolas de administración incorporadas: setup.exe y setup_gp.exe. 1. setup.exe contiene DeviceLock Manager y DeviceLock Enterprise Manager así como DeviceLock Service, documentación del producto y archivos de ayuda. DeviceLock Manager es una herramienta muy simple y realiza sólo las tareas básicas para computadoras individuales. Usando DeviceLock Manager puede ver y cambiar permisos y reglas de auditorias; instalar y actualizar DeviceLock Service; y ver los registros de auditoria. DeviceLock Manager no se recomienda para grandes redes porque no ofrece soporte para administrar colectivamente grupos de computadoras. Las ventajas de usar DeviceLock Manager son: - su interfaz transparente y fácil de usar; - sus planes de licencia de bajo costo (Sitio/Dominio y Mundial/Corporativo) simultáneamente. Con DeviceLock Enterprise Manager puede ver y cambiar permisos y reglas de auditoria; instalar, actualizar y desinstalar DeviceLock Service; y ver registros de auditoria para todas las computadoras en una red grande. Recomendamos usar DeviceLock Enterprise Manager si tiene una red grande sin Active Directory. Las ventajas son: - la capacidad de controlar y distribuir DeviceLock sobre un gran número de computadoras simultáneamente; - su interfaz de Documentos Múltiples (MDI), permitiéndole mantener cada tarea en su propia ventana. 2. setup_gp.exe contiene DeviceLock Management Console y DeviceLock Group Policy Manager, así como DeviceLock Service (incluyendo el paquete MSI), documentación del producto y archivos de ayuda. DeviceLock Management Console es un complemento para Microsoft Management Console (MMC). Duplica todas las funciones principales de DeviceLock Manager y puede ser usado en su lugar. Usando DeviceLock Management Console, puede ver y cambiar permisos y reglas de auditoria, así como instalar y actualizar DeviceLock Service. Las ventajas de usar DeviceLock Management Console son: - la interfaz estándar y transparente provista por Microsoft Management Console; - sus planes de licencia de bajo costo (Sitio/Dominio y Mundial/Corporativo). DeviceLock Group Policy Manager se integra dentro del complemento estándar Group Policy que viene con Windows 2000 y posteriores. Con DeviceLock Group Policy Manager, puede cambiar las definiciones de DeviceLock, permisos y reglas de auditoría a lo largo de todo el dominio Active Directory. Las ventajas son: - la capacidad de controlar y distribuir DeviceLock sobre un gran número de computadoras simultáneamente vía Group Policy - no necesita instalar nuestra consola específica de aplicación para la administración y distribución centralizada - la capacidad de distribuir DeviceLock y sus definiciones a nuevas computadoras que se están conectando dentro del dominio Active Directory - La interfaz estándar y transparente provista por Microsoft Management Console. DeviceLock Enterprise Manager puede ser usado para controlar muchas computadoras Copyright 2MINDS Servicios Informáticos S.R.L. 2005 – All rights reserved – Reproduction prohibited Pág. 2 de 3 Lavalle 445 piso 8º of. 13 (cfte) – C1047AAI – Buenos Aires – Argentina TE: 011-5218-5080 [email protected] Distribución de DeviceLock Service Hay varias formas de distribuir el (DeviceLock Service) a sistemas de cliente: Plan de Implementación agente • La primera y más fácil forma es ejecutar setup.exe y seleccionar DeviceLock Service para instalar. Debe ejecutar setup.exe sobre cada computadora que será controlada con DeviceLock. • La segunda forma simple de distribuir el agente es usar la función de instalación remota de DeviceLock Manager o DeviceLock Management Console. La función de instalación remota le permite instalar y actualizar DeviceLock Service sobre máquinas remotas sin tener que ir nunca físicamente hasta ellas. Cuando está tratando de conectarse a una computadora donde DeviceLock Service no está instalado o está des-actualizado, la consola de administración le sugiere que lo instale o actualice. • Una tercera forma de instalar el agente es usar el plug-in Install service en DeviceLock Enterprise Manager. Cuando selecciona el archivo ejecutable de servicio (dlservice.exe), DeviceLock Enterprise Manager distribuirá DeviceLock Service automáticamente sobre todas las computadoras seleccionadas en su red. El plan de implementación contempla la instalación del servidor de administración, la distribución de los agentes de servicio y la puesta en funcionamiento de la solución. Esta tarea se realizará en la sede del Cliente y será cotizada por separado. El administrador podrá definir los atributos y pautas de seguridad a seguir. Plan de Capacitación Se proveerá de un curso de capacitación para el personal del Cliente que deba realizar la administración, mantenimiento y gestión de la solución. En la misma se incluirá la capacitación a nivel usuario a fin de que el personal del Cliente pueda estar capacitado para formar a personal adicional vigente o futuro del Cliente. Compra Contacte a 2MINDS para realizar su compra. Visítenos en http://www.2mindsarg.com.ar envíenos un mail a [email protected] 2MINDS es Seguridad Informática • La cuarta y más poderosa forma de distribuir el agente sólo es posible en dominios Active Directory. DeviceLock Service puede ser distribuido vía Group Policy usando el paquete Microsoft Software Installer (MSI) (DeviceLock Service.msi). Este método también distribuirá DeviceLock Service a nuevas computadoras que se están conectando dentro del dominio Active Directory. Configuración recomendada: Consola de Administración = 1 PC ó Server, tecnología Intel Pentium IV del orden de 3Ghz, memoria RAM 1GB, disco de 160GB, interfase de red 10/100/1000 BaseT, unidad CD-RW, puertos USB, monitor 17” LCD alta resolución, teclado y Mouse, sistema operativo Microsoft Windows XP Professional ó 2003 Server, y SQL Server. Nota: Si se va a usar la función de SHADOWING (copia de auditoría de todo archivo que sea copiado a un dispositivo USB o CD o DVD), se deberá contemplar el espacio en disco para su almacenamiento de la copia correspondiente. Copyright 2MINDS Servicios Informáticos S.R.L. 2005 – All rights reserved – Reproduction prohibited Pág. 3 de 3 Lavalle 445 piso 8º of. 13 (cfte) – C1047AAI – Buenos Aires – Argentina TE: 011-5218-5080 [email protected] o