» Smartline DeviceLock

ОПИСАНИЕ:
DeviceLock - DeviceLock это средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows NT/2000/XP и Windows Server 2003. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей, контролировать доступ к дисководам, CD-ROM'ам, принтерным и модемным портам и любым другим устройствам. При этом, поддерживаются все виды файловых систем - FAT, NTFS (версии 4 и 5), CDFS и т.п. DeviceLock имеет систему удаленного управления, позволяющую обеспечивать доступ ко всем возможным функциям программы.

DeviceLock Me - это средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows 95/98 и Me. DeviceLock Me позволяет назначать права доступа для пользователей, контролировать доступ к дисководам, CD-ROM'ам и другим устройствам.

"Безопасность ваших данных - это, в первую очередь, контроль доступа к ним!"

Как хорошо известно системным администраторам, встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах Windows NT/2000/XP/2003, не позволяют контролировать доступ к USB портам и устройствам. Тем не менее, использование не авторизованных USB устройств представляет угрозу корпоративным сетям и данным. Все это делает механизм аутентификации USB устройств, встроенный в DeviceLock, незаменимым и подчас безальтернативным решением проблем внутренней корпоративной безопасности.
Кроме доступа к USB портам, DeviceLock позволяет контролировать весь спектр потенциально опасных устройств: дисководы, CD-ROM'ы, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры.

С помощью DeviceLock вы можете:
- Контролировать доступ пользователей к устройствам
- Контролировать доступ в зависимости от времени и дня недели
- Защитить диски от случайного или преднамеренного форматирования.


Скачать:
http://www.protect-me.com/download/smartline.ru/devicelock.zip - Smartline DeviceLock (англ.)
http://www.protect-me.com/download/smartline.ru/devicelock_ru.zip - Smartline DeviceLock (рус.)
http://www.protect-me.com/download/smartline.ru/dlme.zip - DeviceLock для Windows 9x/Me 5.72

---

Варезник: Smartline DeviceLock и DeviceLock ME

---

Добавлено:
Вопрос: Что делать когда при подключении к клиентам пишет "RPC недоступен" ?
Ответ: Если используется встроенный брандмауэр Windows - добавить DLService.exe в "Исключения".
В других случаях читаем FAQ
Вопрос: С какой версии поддерживается Windows 7?
Ответ: Начиная с версии 6.4.1 поддерживается Windows 7 http://www.devicelock.ru/news/index.php3?id=66

exMIB
Цитата:

Что делать когда при подключении к клиентам пишет "RPC недоступен" ?

Пользоваться не китайскими крякнутыми программами, а мало того что отечественными, но еще и появившимся на свет эксклюзивно для пользователей ру-борда.
http://forum.ru-board.com/topic.cgi?forum=35&topic=7719&start=60#11

Люди добрые, кто юзает DL, поделитесь инфой: есть необходимость откастомайзить DL так, чтобы запреты/разрешения применялись не только по времени суток, но и по дням месяца. Ну, например, с 1 по 5 число и с 15 по 20-е юзерам давать возможность юзать флэшки, а по остальным дням - как всегда не давать. Я сам не нашел пока способ, как такое реализовать. Юзаю DL в домене на Вин2003. версия 5.7

и еще вопрос: кто-нить юзает DL в домене через групповую политику? не подскажете, есть ли тут какие-нить грабли или все просто шоколадно?

Интересно, это просто фишка предыдущего поста никого не зацепила или сюда никто не заглядывал? Надеюсь, что первое...

Вот еще какой вопрос к многоуважаемому All:
поимел следующий баг: два ПК (ХР СП2) в нативном домене 2003.
1. Через DL Enterprise 5.7 удаленно c ПК1 развернул DLService на ПК2 при выключенном Windows Firewall. Все работает.
2. поднял Windows Firewall. DLEnterprise обругался 1722 - RPC сервер недоступен. логично. ...настроил WF (открыл порты и прописал в реестр нединамический порт). счастье наступило.
3. но не дело на всех ПК ручками править WF и тп.. передал управление настройкой WF групповой политике домена. немного не сразу, но процесс пошел. открыто все то, что было в предыдущем пункте открыто ручками и... облом. При попытке подключиться к службе на ПК2 получаю мессагу "Отказано в доступе. (5)"
4. а теперь ключевой баг: тоже самое по какой-то неведомой мне причине остается даже после того, как ПК2 исключается из области действия групповой политики, а WF отключается (даже службу стопорил как вариант). А мне в ответ все равно "Отказано в доступе. (5)".
В общем по моим наблюдениям, чем подробней запостишь, тем меньше напишут , однако в данной ситуации детали рулят, имхо.
В общем, коллеги, хелп! Если кто откликнется решением или советом - буду благодарен. Мож чего да и нарешаем...

Кстати, касается это аудита и настройки разрешений. Установить и удалить службу я могу без проблем.

Kalex

Цитата:

2 All
Столкнулся с аналогичной проблемой сообщения "Сервер RPC недоступен" при попытке удалённого управления сабжем.
Поломал голову порядочно, ясно было одно - эта проблема имеется только на вновь установленных системах WinXP с SP2, думал проблема в самом SP2, но оказалось всё до безобразия просто ( http://www.protect-me.com/dl/faq.html#20 ) - встроенный Брандмауэр, он не предупреждает о попытке прорваться сквозь него, но если вручную добавить разрешение для DLService.exe, то всё сразу же работает.
Более тонкая настройка брандмауэра по этому поводу (ну и название) описана там же http://www.protect-me.com/dl/faq.html#21
Удачи!

2 exMIB
проблему с удаленным доступом я уже решил (см. мой пред. пост). Действия почти как в FAQе оффсайта (и как я сразу не заметил... )
Но теперь есть другие: одна опять же описана в предыдущем посте, а вторая заключается в том, что использование "Credentials" ведет себя несколько неожиданно: предполагается, что введенная учетная запись будет применяться DeviceLock`ом в том случае, если текущий аккаунт не обладает достаточными полномочиями по установке разрешений на целевом ПК. Но это не срабатывает. Выдает ошибку такую же - "Отказано в доступе. (5)" Странно. Даже и не знаю куда копать... Решение тут есть: работать с DL из аккаунта домен админа. НО! Такое решение не подходит по ряду причин (ничего особенного, просто политика компании), да и не секьюрно как-то...

DeviceLock 5.71.72

Цитата:

What's New in This Release:
· A new checkbox "Enable Individual Settings" is available in the "Set Permissions/Auditing" plug-in of DeviceLock Enterprise Manager for when you want to set different permissions and/or audit rules for different types of devices.
· Improvements in access control features for CD burners and non-storage USB devices.
· There is now the option to "Enable access control for virtual CD-ROMs" for
· situations when you want to lock CD-ROM drives, but allow user access to software-emulated CDs.
· The new audit plug-in, "Report PnP Devices" creates a report showing all USB, FireWire and PCMCIA devices that are or were connected to computers in the network.
· The selection of audit types has been extended to include "Full Audit", "Audit Read" and "Audit Write" to provide greater flexibility and resource conservation.
· Two new installation parameters have been added for unattended ("silent") setup: you can now define audit rules for devices and accounts with read-only access to devices in the devicelock.ini file; and you can disable the adding of administrators and SYSTEM accounts to a device's permissions list.
· Support has been added for the recent Windows 2003 Server Service Pack 1
· Other internal improvements.

http://www.xputilitys.com/download/devicelock.zip

А возможно разрешить доступ только к одному CD-диску, т.е. как-то по имени диска или по какой-нибудь метке ?
А другие CD-диски при этом не должны читаться.

2 exMIB
если речь о конкретно взятой болванке - то имхо нельзя. хотя в 5.8 ожидается новые фичи по аудиту к примеру разных usb flash cards, но то все ж не просто носитель, а таки девайс, со своим ID (или чего там ему присваивается)... а с ЦД что взять кроме метки тома...

кстати, а кто что слышал про v5.8?? на оффсайте тихо, но анонс точно был.

Жду возможности: "Доступ к дискам только для определенных файлов"

Кто знает почему возникают такие сообщения в логах WinXP:

Цитата:

Due to a conflict with the DeviceLock's security subsystem, the "allocatefloppies" entry has been removed from the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Это сообщение, а также сходные мессаги с упоминанием "alloctedasd" и "allocatecdroms", возникают не только в ХР (SP2), но и Win2K SP4 (обе ОСи русские). Имхо это следствие того, что в системе для секьюрности отключены соотвествующий девайсы (через биос или DeviceManager - не суть), а сервис DL конфигуриться с учетом этих самых девайсов, что как следствие приводит к конфликту, когда сервис лезет за предписанными девайсами. Хотя данная теория верна лишь отчасти: один раз при первом старте эти мессаги все равно появляются. Полностью закономерность я пока не вывел. Жить эти предупреждения не особо мешают, но в глазах рябит. Поэтому если кто подскажет - буду рад совету как это пофиксить.

Вот что удалось выяснить к настоящему моменту по вышеописанным мной же траблам.
Глюки были связаны с... (порядок причинности не совпадает с предыдущим постом):
- Отключенной службой удаленного реестра (соответственно включить на автомат)
- Порт, на который был сконфигурирован DL был занят другой службой (проверьте, не занят ли соответствующий порт чем-либо и при необходимости освободите или реконфигурируйте порт в DL)
- (относиться только к ХР SP2, на которой включен WindowsFirewall) Если вы юзаете конфигурирование WF через доменную ГП, то проверьте применилась ли в данный момент на конкретной машине эта политика. Если нет - reboot. У меня периодически такой глюк вылазит. Кстати, если кто сталкивался и фиксил - буду благодарен за совет
- что касается Credentials, то самое оптимальное - это не использовать эту фичу. Если же все же очень хочется, то пишите: чем смогу - помогу.

Посмотрел триал новый - 5.71.88. Есть полезные фичи. Особо понравился отчет о PnP Devices и возможность выбора по OU. Восстребованным наверно будет и возможность выделять сд-эмуляторы в отдельную группу. Жаль лекарства нет... ((

Lantanoid

Цитата:

Порт, на который был сконфигурирован DL был занят другой службой

А какой порт у DL ?

DeviceLock 5.72 Beta 1

Цитата:

Latest Changes:
- Now you can define a discrete list of accounts that are able to administer (install, uninstall, modify permissions and other settings, etc.) DeviceLock
- The USB White List now supports devices with unique serial numbers, so you can now allow access to a unique device and lock out all others, as long as the device vendor assigns serial numbers to its products individually
- You can now define a custom message to be displayed to users when a denied attempt is made to plug in a USB or FireWire device
- Using the context menu, you can add devices to the USB White List from the plug-in

http://www.protect-me.com/download/smartline.ru/dl_beta.zip

2 exMIB
я экспериментировал с портами выше 6000 (службы пересеклись совершенно случайно на 6110) - сначала и предположить не мог, что так "попал".

2 ALL
кстати, наткнулся на дыру в DeviceLock 5.7. - цифровили Canon преспокойно определяются и используются в обход службы. Кто-нить еще встречался с таким? Пара других цифровиков что я тестил успешно были заблокированы. А Canon юзает "Мастер сканеров и цифровых камер" и упс...

Lantanoid

Цитата:

кстати, наткнулся на дыру в DeviceLock 5.7. - цифровили Canon преспокойно определяются и используются в обход службы. Кто-нить еще встречался с таким? Пара других цифровиков что я тестил успешно были заблокированы. А Canon юзает "Мастер сканеров и цифровых камер" и упс...

Я тоже удивился, но не знаю что за фотик был, но мне говорят, а вот мы скинули фотки, где их можно распечатать, я такой - как они могли их скинуть, если USB заблокированы, а оказалось, что и правда скинули, но что интересно я попросил их при мне подключить камеру к компу, но к камере был запрещен доступ.
Вообщем или прога нестабильно работает или не знаю даже

2 exMIB
А нет ли возможности выяснить какой все-таки был фотик?
И мне кажеться, что это самый настоящий баг в DL - т.к. очевидно, что такой вот "фотоноситель" совершенно не проблема использовать как usb-storage
(как это заткнуть "навскидку" я не знаю. надо думать.)

2 ALL
Новый глюк... (надеюсь из Smatrline это тоже кто-нить читает )
Хотя может это просто системная функция? Схема такая. На клиентских Win2k sp4 при выставлении разрешений добавляем только тех, кому можно (Admin, System), а про остальных просто забываем. В итоге имеем отлично работающий сервис с предельно простым конфигурированием: про кого не вспомнили - те просто пролетают мимо доступа. Дешево и сердито. Но на XP SP2 (может и на более ранних тоже, но у меня все XP уже sp2) такой политики недостаточно, т.к. по невыявленной пока мной причине юзер таки может преспокойно юзать неразрешенные ему девайсы (именно "неразрешенные", а не "запрещенные"). Как подмножество этого случая был и другой, менее распространенный глюк: даже выставленный конкретному юзеру запрет на обращение к девайсу, не мешает этому самому юзеру все же получать доступ (и после перезагрузки тоже ). Такое вопиющее нарушение админского запрета я лечу добавлением в список "No Access" группы Everyone (можно попробовать и более узконаправленные ОП будет как-нить, но пока не до того).

DeviceLock 5.72 Beta 3

Цитата:

Latest Changes:
- Temporary White List has been added

http://www.protect-me.com/download/smartline.ru/dl_beta.zip

DeviceLock® 5.72 Beta 5

Цитата:

# Fixed bug in the "Audit Log Viewer" plug-in that caused a crush of DeviceLock® Enterprise Manager.

# Fixed BSOD with some models of USB Bluetooth adapters.

# The disabled time control in "Permissions" and "Audit" dialogs now looks much better.

# Added the "Set Default" button on the "Audit" dialog. It allows you to add predefined accounts (Everyone and Users) to the auditing list.

_http://www.protect-me.com/download/smartline.ru/dl_beta.zip

Вообщем побороть "Сервер RPC недоступен" пока не удалось, так что вопрос для особо одаренных
Если я правильно программа хранит настройки в реестре.
Если я имею доступ к реестру удаленной машины, смогу ли я изменить настройки программы таким образом или так всё хитро зашифровано ?

DeviceLock 5.73

Цитата:

Изменения:
- Устройства в "белом" списке USB теперь могут назначаться определенным пользователям и группам пользователей. Это позволяет устанавливать более точные права доступа для пользователей. Каждый пользователь может иметь свой собственный список разрешенных на локальном компьютере устройств.

http://www.protect-me.com/download/smartline.ru/devicelock.zip

Phelicks не бойся не ломанет, можешь смело приобретать лицензии
Если включишь защиту от админа, то и админ не сможет (главное использовать последнюю версию).

DeviceLock 6.0 Beta 1

Цитата:

Изменения:
- Теперь DeviceLock® поддерживает функцию теневого копирования данных. Все файлы, копируемые пользователем на внешние носители (Removable и Floppy), будут зеркалироваться и сохраняться для последующего просмотра администратором. Сохраняются полные копии файлов. Теневое копирование (Shadowing) это расширение уже существующей функции аудита и оно так же может быть включено для отдельных пользователей или групп пользователей.
- Все основные окна и диалоги в DeviceLock® Manager и DeviceLock® Enterprise Manager могут изменяться в размерах.
- Улучшен контроль доступа для пишущих CD/DVD-приводов.
- Значительные улучшения и изменения в драйвере DeviceLock®.

http://www.protect-me.com/download/smartline.ru/dl_beta.zip

Есть пара вопросов по работе программы:
1) Может кто знает как убрать или запретить выдачу сообщения Службой сообщений, такого содержания:

Код: Сообщение от ИМЯ_КОМПА для ИМЯ_КОМПА на ВРЕМЯ_ВЫДАЧИ_СООБЩЕНИЯ
От: NtmsSvc на ИМЯ_КОМПА
Кому: [пусто]
Тема: **УВЕДОМЛЕНИЕ АДМИНИСТРАТОРА**

Не удалось настроить устройство Компакт-диск.

[Кнопка OK]

После установки DeviceLock 2.73 не могу просмотреть список событий в системе, никакими средствами.
Пишет "Неизвестный интерфейс".
Для тестирования поставил программу на два компьютера с Windows XP SP1 и Windows 2000 Server SP4.
Все работает на ура, но без проссмотра событий никак.

pazdak
1. Мне кажется это вопрос не к DeviceLock, переустанови операционку и все.
2. Это не разновидности, Group Policy Manager это дополнение. Поэтому их нельзя сравнивать. Одна для одних целей, другая для других )

Dign
Тоже странная какая-то проблема, скорее всего не зависящая от DL. Ищите в ваших принципах установки ОС и работе в ОС: учетные записи и пр.

Klesk

Цитата:

Мне кажется это вопрос не к DeviceLock, переустанови операционку и все.

Очень может быть, что DeviceLock и не причем, т.к. на этой машине не так давно был другой CD-ROM поставлен в замен старого, может DeveciLock его как-то определяет (может в реестре запись есть?..) и не найдя устройство выдает сообщение...
Жаль что подавить это сообщение никак нельзя.

DeviceLock в самом деле не виноват, видно какая-то другая программа до него попортила просмотр событий. А когда начал пользоваться DeviceLock то узнал о даной проблеме.

Уважаемые, а есть ли лекарство консоли DevicrLock для работы через групповые политики?
Очень хочется

Заранее благодарен.