» Smartline DeviceLock

Ребята подскажите плиз
установил
DeviceLock Версия: 5.73 (Build 300) в домене
пытаюсь назначить права на доступ к флешкам

Работает если только назначаю в груповых политиках именно домена
а если в гр. политиках подразделения уже неработает...
Может кто сталкивался подскажите

k909
сделал хитрее
загрузился с LiveCD и .exe и .dll подредактировал - удалил кусок кода служба не запускается, но файлы на месте со своими названиями.

Razgildai
а можешь поподробнее?

загрузился с LiveCD, благо, тут их куча на форуме. Нашел в C:\Windows\system32 файлы Device Lock`a какой-то .exe и .dll (точно название не помню, но могу посмотреть), открыл их на редактирование, вырезал кусок кода, где-то посередине и все дела. При запуске служба валиться, т.к. файлы повреждены. Также можно отключить применение групповых политик, удалив или так-же подкорректировав пару системных файлов.

Проблема с ЮСБ портами надоело, то открывай то закрывай.... и управлять 300 компами - ЭТО ГЕМОРОЙ просто.
Сетка у нас доменная, вот думаю насколько DeviceLock поможет без глюков ? Просто в AD тоже можно через ГПО закрывать, но 1 раз пробивал и мне очень дорого обошлось. Пришлось даже некоторые ОСки снести.
Так вот думаю, нету ли глюки у DeviceLock'a, если да то какие, просто сетка нормально работающая и если что-нибудь я натворю будет очень плохо.

rkhodjaev Поможет ... Я уже работаю 6 лет с этой софтиной. Глюки в основном были 3 года назад при внедрении, а в процессе эксплуатации было по минимуму обращений, и то из-за редких всяких устройств. Но в саппорте оперативно решали. Самое главное собрать устройства перед закрытием портов, а дальше закрывать. Я например собрал все принтеры и сканеры, и дал доступ всем, а дальше проще ... Самое прикольное было, что админы не могли сносить службу. А если настроить теневое копирование, то можно жить припеваючи.
Если используешь ЭЦП, тогда лучше переходить на защищенное хранилище ключей типа ruToken, eToken, Dallas и т.д. Чтобы от дискет избавиться, а то приходилось открывать на запись дискеты ...

Есть проблема...с недавнего времени перестали писаться теневые логи и логи аудита. Переустанавливаю сервис, он работает пол дня, дотом в системных логах появляется ошибка
Length specified in network packet payload did not match number of bytes read; the connection has been closed. Please contact the vendor of the client library.
и логи перестают записываться. Кто-нибудь сталкивался с этим?

valleygirl Скорее всего проблема с сетью, пропадают пакеты. Для уточнения свяжитесь с саппортом. Там помогут, оперативно и точно

Ошибка пропала, но проблема осталась. За логирование отвечает служба DLServer, когда логи останавливаются ничего не помогает кроме перезагрузки.

А можно с этой программой сделать так, чтоб подключалась флешкатолько с определенным именем, остальные нет?

gonny Конечно можно, а также зарегистрировать флешку, и тогда юзверь не сможет пихать какую-попало флешку, а только ту, что прописал админ

Ребята, кто как решает проблему с утечкой информации и заражением вирусами через ЮСБ порты
Всем не возможно глухо отрубит средствами операционной системы ограничивать доступ путем их отключения в диспетчере устройств. ..... кому то по служебным обязанностям надо, а кто то крутой и т.д.
Последний раз после заражения вирусами не хочу больше так мучится....вот думаю чтобы теперь придумать. Кто использует DeviceLock? Решает ли например оставить только 1 порт для юсб-принтера,а остальные порты закрывать? Проследить файлами, которые прошли через юсб порт пользователя? Если в сети есть 200-250 компов, но только надо около 50 людям ограничить и контролировать юсб-порты. Значить можно всем ограничивать доступ путем их отключения в диспетчере устройств, а оставшимся 50 человек купит DeviceLock?

rkhodjaev Неа не решает ... Где гарантия, что вместо принтера воткнут винт или флешку? Правильно ... Ни какой ...
Диспетчер устройств не дает гарантии.
Я как взял DL в обе конторы, до сих пор все работают ... Только ИТ не всегда довольны ...

k909

Цитата:

Я как взял DL в обе конторы

Что это такое DL?yandex и google не помогли...

Это и есть DeviceLock

k909

Цитата:

Только ИТ не всегда довольны ...

Чем они не довольны?

1. Они не могут деинсталировать DeviceLock
2. Все USB устройства только через службу ИБ (информационная безопасность)
3. С флешками (и не только) теперь покончено
Даже если через Live CD снесут файл, то скоро это обнаружится, и будет полны ... За подобные действия

Парни, выручайте. Домен, где что и когда ставили - хз, но клиентских частей от подобных DL программ на каждом клиенте - немеряно. Все вычистил вроде, остался только DeviceLog. Есть ли какая либо возможность снести его не прибегая к скальпелю?

Может какой ключ тихой установки\деинсталяции. В доменных ГПО нет ничего ни разу по DL. Реально ли удалить, запустив программу инсталяции на клиенте? Может с каким ключом? Эх... Болять мои крылья. Права у меня доменного админа.

EnMan А как сносил? Через GPO ? Очень странно ... Не важно как сносишь или через GPO или DL Ent.Manager он все сносит ...
Может поставить через DL Ent.Manager а потом через него снести ... Все должно быть чисто ... Попробуй на пару тачках ...
Отпишись потом

Та никак не сносил. Все было уже снесено. В домене был разброд и шатание и четкая уверенность генералитета, что админить домен может любой эникейщик. Творили что хотели.

Ну в общем поставил Консольку от DL - по одному сношу, где нахожу. Вроде пока без граблей, а там увидим.

EnMan
можно было создать новое GPO для DL для установки софта, подождать пока все клиенты проставяться, потом два варианта:
- 1. отменить установку, путем удаления пакета из GPO. на клиентах он снесется автоматически, если будет доступ клиентов к MSI файлу пакета DL
- 2. удалить все установки через консоль DL - выбираешь все станции и делаешь команду "снести", про GPO не забудь, его тоже надо...

Здраствуйте!

Помогите плз..
Что надо проинсталировать на компютерах и домене, чтобы управлять DL через GPO?

Заранее спасибо!

markolab Доку читал? Там все написано, очень грамотно. У тебя должны быть права на политику, которая распространяется на компы, пихаешь на сервак msi пакет и все.

Сможет ли запустится вирус с флешки заблокированной DeviceLock?

33popygai Нет, если нет доступа! Если есть права чтения на флешку, то запустится ...

Подскажите кто-нибудь, как в Active Directory при установке DLService на рабочие станции устанавливать сразу необходимые параметры. Иначе говоря, как сделать свои настройки по умолчанию для установки через GPO?

Цитата:

Подскажите кто-нибудь, как в Active Directory при установке DLService на рабочие станции устанавливать сразу необходимые параметры. Иначе говоря, как сделать свои настройки по умолчанию для установки через GPO?

Скачайте русский мануал с официального сервера программы. Там все написано и даже нарисовано в картинках

andr2009Самое главное поставить крыжик, что доменная GPO будет перекрывать локальную

Цитата:

Скачайте русский мануал с официального сервера программы. Там все написано и даже нарисовано в картинках

Мануал скачал, описана там только установка через GPO, а вот ответа на интерисующий вопрос нет.
Все еще прошу о помощи!!! Версия DL 5.73.1.300.

andr2009 Ты политику сделал? Добавил msi пакет? Остнастку добавил? Псоле того как добавил оснастку, вот и редактируй ее, и Override Local Policy сделай Enable. И тогда GPO будет переписывать локальную политику для DL.