DeviceLock 外設管理

DeviceLock 為 DeviceLock Endpoint DLP Suite 的基本模塊,該模塊主要是針對電腦的外設裝置進行控管與審計,在任何時間、任何地點、任何人均無法將公司的機密資料透過外設裝置複製出去,也可以設定不能使用 U 盤,以避免病毒透過 U 盤入侵到企業的內部網路。以下就 DeviceLock 模塊做主要功能說明:

  • 外設裝置訪問控制DL_Permission

    DeviceLock 針對電腦常見的外設裝置均能進行控管與審計(支持哪些外設裝置請參考產品規格說明)。你可以針對不同的用戶或群組指定不同的讀寫許可權(例如:不能使用、只能讀取、或可讀可寫),而且可以根據不同的工作日及時段來設定許可權。

  • 移動設備更細膩地控管

    針對常見的移動設備(如iPhone、Windows Mobile、BlackBerry、Palm、MTP…等),提供更細膩的控管策略,例如:你可以對日曆、聯繫人、郵件、任務、便簽、備分…等細項進行更細部的設定。無論該設備是通過何種介面(USB、COM、IrDA、藍牙)與電腦連接都適用一致的策略,該功能可以讓員工生產力、方便性與安全性之間達到平衡。

  • 剪切板控制(Clipboard Control)

    DeviceLock 可以讓數據泄漏在萌芽階段即被有效地阻止。DeviceLock 可以選擇性地控制用戶在剪貼板的各種類型複製或操作,包括文件、文本數據、圖像數據、音頻片段(如Windows聲音記錄器捕獲的記錄)、和不明身份的數據類型。截屏操作可以阻止計算機的 Windows 截圖功能和第三方應用程序的截圖功能。

  • 完整的設備使用記錄(Audit Log)DL_Auditing

    提供設備使用情形的完整審計記錄。包含事件時間、設備類別、執行動作、執行身份、當時的程序(Process)。記錄以操作系統的記錄(Event Log)格式暫存於使用者電腦上,也可設定自動集中回傳存儲伺服器端,以達到集中且方便的報表與審計目的。

  • 提供外存檔案的留檔(Data Shadow)

    為審計外存文件的實際內容,可針對許可寫出文件的人員設定外存文件留檔的功能。當員工通過複製文件至外部儲存裝置或刻錄至光碟,都可以備份一份並回傳至伺服器端;當設備不在內部網路時,留檔的資料會暫存於個人電腦端,待回到內網後再將留檔文件回傳到伺服器。

  • 即插即用設備盤點報告

    協助您針對特定用戶或電腦的即插即用設備進行盤點報表,從報表中可以看出哪些設備在何時曾被何人接入到哪些電腦,該報表可盤點USB、FireWrie、及PCMCIA的各種設備。

  • USB設備白名單

    USB設備的生產廠商會依據其取得的廠商編號,產品編號加上設備序號合併作為DeviceID,因此,我們可以針對特定設備型號或序號(DeviceID)進行允許或鎖定。常見的應用情境:單位內僅可使用經過申請的特定設備,其他設備一律禁止。設定許可權時可針對產品整批開放,或者是針對唯一設備序號進行開放。

  • 暫時白名單(Temporary White List)

    針對出差在外有臨時需要使用移動存儲設備的人,可以通過電話/Email等方式向相關人員申請臨時性的許可許可權。使用者彙報電腦上顯示的設備序號,管理者可據此產生一個臨時性開放碼,該開放碼可以制定放行的時間段或直到設備拔除。中間的溝通可通過語音電話完成,而開放期間的使用行為也可留下記錄。

  • 真實文件格式管控

    支持依據檔案的真正格式制定允許或禁止傳輸的策略,使用戶不能通過篡改文件後綴名來規避策略。例如:您可以禁止如CAD、PSD等設計圖文件,輸出到計算機外部;DeviceLock目前的文件格式特徵資料庫超過 3,000 種文件。

  • 媒體白名單(Media White List)

    可針對特定的DVD/CD-ROM光碟建立特定的媒體指紋,並且設定僅有特定的指紋才能使用。常見的應用是在一些開放的資料查詢電腦上,如圖書館、公共展示Kisok機等,要鎖住僅能使用特定的光碟資料,甚至鎖住光碟彈出按鈕,避免被未經授權的人員抽取調換。

  • 加密軟體整合應用

    DeviceLock可以識別經過加密的PGP、TrueCrypt與DriveCrypt磁碟(含U盤等各種攜帶型存儲設備)。可以在策略指定唯有外接設備是加密的情況下,才准許寫出文件,如果接入的是未加密的U盤,則僅能只讀,以符合企業的安全策略。

 

上述是針對 DeviceLock 基本模塊的主要功能說明,以下是其它通用性功能,可讓 DeviceLock 在企業的環境中運行地更好。其它功能說明如下:

  • 與 AD 組策略無縫整合

    當 DeviceLock 應用於使用微軟 AD 域環境中,可以通過組策略(Group Policy)集中配置、存儲與同步策略內容。與企業中暨有的網域採用相同的管理方法,可以大幅減少管理時間與降低學習成本。

  • DeviceLock 用戶端服務監控

    當你的環境有安裝 DeviceLock Enterprise Server 時,可以即時監控分散在個人電腦的客戶端程序的運作狀況,並進行集中記錄與統計。

  • Tamper Protection篡改保護

    客戶端程序設計了一系列防破壞措施,以保護本身不被用戶破壞。保護措施包含:服務無法被用戶任意停用、後台程序無法被暴力停止、即使擁有本機管理員許可權也無法破壞。系統可以指定特定DeviceLock管理員賬號,只有管理員才能進行相關的維護與管理操作。

  • 防鍵盤記錄 Anti-keylogger 功能

    可以偵測使用者的電腦鍵盤是否有被偷偷串接硬體式鍵盤記錄設備。當 DeviceLock 偵測到這些設備存在時,除了會發出警告外,還可以欺騙 PS/2 界面的鍵盤輸入,使得其記錄到的只是一串無意義的亂碼。

  • 內、外網的策略差異化

    DeviceLock提供內、外網感知能力,你可以針對用戶在內部網路或外部網路時,套用不同的策略。例如:當用戶端的有線網路接到內網時,就禁止使用 WiFi 無線網路,以避免有線與無線橋接帶來的風險。

  • 報警(Alerting)

    DeviceLock 通過終端的數據防護提供了SNMP 和基於SMTP的報警能力,對於用戶在設備上的行為對主管或管理員,進行實時的通知。

  • 伺服器優化選擇(Optimal Server Selection)

    當你的用戶數較多時,你可以安裝多台 DeviceLock 伺服器,用戶端會自動從企業伺服器列表上選擇最快且可用的伺服器,對審計和留檔的日誌進行傳輸。

  • 流量控制

    DeviceLock 可以為發送審計和留檔文件到企業伺服器時,進行帶寬的限制,這樣有助於降低網路的負載。

  • 回傳資料流量最佳化與壓縮

    針對記錄與留檔文件的資料回收操作,可以制定帶寬使用限制,並可對回傳的資料流自動壓縮以降低網路負載,減少資料大量回傳時所造成的網路衝擊。當部署多個資料回收伺服器的情況下,可自動選擇識別最佳化的回傳路徑。

  • Search Server

    Search Server 模塊提供針對 DeviceLock Enterprise Server 所收回的留檔文件,進行「全文檢索」方式的審計。它可以對常用的文件格式中文字內容進行檢索查詢,這些格式包含: Adobe Acrobat (PDF)、Ami Pro、壓縮文件案(GZIP、RAR、 ZIP)、Lotus 1-2-3、Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Word、Microsoft Works、OpenOffice(documents、spreadsheetsand presentations)、以及其他常用格式。