На этапе развертывания возможен смешанный режим
На этапе развертывания возможен смешанный режим, когда агент устанавливается на компьютеры в ручном режиме через DeviceLock Enterprise Manager и им же ему прописываются настройки. Удобен и альтернативный вариант — развертывание агентов по корпоративной сети путем распространения
заранее сконфигурированных файлов MSI, содержащих уже заданные политики доступа. При этом в настройках ставится флаг Use Group Policy и снимается флаг Override Local Policy. В результате, когда компьютер окажется включен в список фильтрации GPO с новыми настройками,настройки автоматически сменятся по прошествии времени репликации либо поспе gpudate/force и перезагрузки, либо после двух перезагрузок (это обеспечит флаг Use Group Policy), но после этого у администратора безопасности останется возможность быстро изменить настройки до следующей реппикации (снятый флаг Override Local Policy). Последнее актуально, когда требуется заблокировать доступ сотруднику немедленно, но делать ему насильный лог-офф или перезагрузку нельзя.
На время развертывания в DeviceLock предусмотрено включение в настройки доступа специальной учетной записи Everyone. При нажатии кнопки Default Settings список разрешений наполняется специальной учетной записью Everyone и локальными группами Users и Administrators. Последние две можно смело удалить, a Everyone сохранить с настройками доступа «всё разрешить». Можно сделать два файла настроек, различающихся одной строкой в списке разрешений для каждого устройства: в одном будут перечислены, например, группы Deny_AII, Allow_Read, Allow_AII — он будет применяться для выборочной блокировки доступов; во втором будут перечислены Deny_AII, Allow_Read, Allow_AII, Everyone (последняя — в режиме «всё разрешить»), в результате всем, кроме тех, кому всё явно запрещено, всё будет разрешено.
Заключение
Шродукт DeviceLock Endpoint DLP Suite отличается обширными настройками, позволяющими гибко настроить работу компонентов и обеспечить контроль практически всех потенциальных каналов утечки данных. Для решения стандартного набора задач мониторинга, возложенных на подразделение информационной безопасности, большинство возможностей, которые предоставляют настройки, никогда не будет задействовано.
Продукт показал свою высокую надежность. На протяжении свыше года работы агентов на более чем 1000 компьютеров случаи, когда агент занимал большое количество памяти или прекращал откликаться на внешние воздействия, были единичными и относились в основном к проблемным компьютерам: с нестандартной конфигурацией, поврежденными ветвями реестра, проблемами в работе и при использовании приложений.
Из недостатков хотелось бы отметить не слишком широкий список криптографических средств, зашифрованные при помощи которых носители распознаются программой. Впрочем, насколько известно автору, список поддерживаемых крип-тосредств будет последовательно расширяться.
Также для отдельных специфических задач не хватает предусмотренных программой функций, но все они, по сведениям, имеющимся в распоряжении автора, планируются к внедрению в будущих версиях. К ним относятся расширения списка интерфейсов синхронизации, которые контролируются (требуют добавления, по крайней мере Symbian и Android), и добавление к модулю Monitoring сервера функции установки агентов на машины, где агенты отсутствуют.
Посмотрел ещё на ценовые модели опционов, думаю это порадует многих.