管理“移动炸弹”的好助手GFIEndPointSecurity详解

                                                                    

         企业中移动存储介质的管理是一直是个令人头痛的问题，它不仅带来病毒的问题，更重要的是涉及到泄露国家与商业秘密的问题，已经到了必须要进行管理的地步。但USB除了可以接驳移动存储介质之类的设备外，还可以连接打印机，鼠标，键盘等，事实上它已成为一种标准的通讯端口，有很多外部设备都要用到。简单的技术限制只会一刀切也不符合实际需要。而GFIEndPointSecurity这款软件除了在技术功能层面上非常优秀外，在移动存储介质管理思想上也很完善，我想这两点对我们大家都会有一定的帮助与启发。

一、软件简介

GFI EndPointSecurity是一款基于网络的终端安全软件，用来阻止通过移动存储设备（如 USB盘、移动硬盘、智能手机等）的数据盗窃和病毒感染。

二、产品工作方式

GFI EndPointSecurity.通过后台为客户计算机安装一个约1兆左右的代理程序，配置过程非常简单，只需点击几下鼠标，就可以将代理程序配置到上百台机器上，而用户根本就发觉不到它的存在。安装后，若用户登录计算机，代理程序就会查询Active Directory，并为不同的用户、设备、接口设置相应的权限。如果用户不是访问许可权限中的成员，对设备的访问操作就会被禁止。

三、产品布署要求

1、服务器端需要安装NET Framework Version2.0与数据库，支持SQL Server2000，2005，2008。

2、客户端操作系统要求Windows2000Sp4以上。

3、开放TCP端口1116。

四、软件操作

4.1 安装

服务器端安装时最好有活动目录配合，因为在安装过程中需要输入域管理员帐号等信息，如图1。

 

4.2 界面说明

软件安装完毕后第一次进入，系统会首先弹出“快速启动配置”对话框，该对话框可以集中设置软件首次运行需要的各种选项配置。如图2，主要配置有：

 

Configuring local/domain users groups ：创建所要管控的设备类型与计算机接口权限组。图 2.1所示，

 

 

在这里用户可以自由选择创建所要管控的设备类型与接口权限组，选择确认后软件将自动在“Active Directory用户和计算机”的“User”下创建相应权限组。只要将需要授权的帐户加入到不同权限组中，对应的用户就会获得该设备或接口的访问权限。

Configuring the database backend ：配置软件所要连接的数据库，如图 2.2。

 

数据库的配置在此不做讲述，需要提醒的是图中“Database”项目软件会自行建立，用户只要起一个名称即可，如图例中所示，操作非常简单。

Configuring Alerting Options ：配置警报信息发送方式，可以通过邮件，网络与手机短信三种方式发送。

4.3 软件具体功能配置

设置完“快速启动配置”后，我们选择进入软件“管理控制台”的核心功能区“ Configuration”区。在该功能区内集中了权限分配、策略分发、黑白名单设置、文件过滤等功能，如图3。

 

在正式讲解软件功能之前，我们先来看如图 4 GFI EndPointSecurity的工作原理示意图：

 

通过图示的工作流程我们可以清楚的看到，当某用户使用移动存储介质时，客户机上的代理程序会首先检查当前用户是否属于“ Power User”及超级用户，如果是的话用户将可以直接使用该移动存储设备，没有任何权限障碍。如果不是，软件会继续检测所使用的设备是否已列入黑名单。如果属于黑白名中禁止使用的设备系统将提示拒绝访问，如果否的话软件会接着检测所使用的设备是否已列入白名单，即是否属于授权合法的设备，如果OK，用户将可以使用该移动存储设备。如果属于非授权设备，软件会继续检测当前用户是否具有使用移动存储设备或计算机接口的权限，如无权使用，软件将拒绝用户使用。如拥有权限的话用户则可以使用移动存储介质或计算机接口，但如果出现用户要复制“文件过滤”列表中拒绝的文件时，软件还是会拒绝操作，但仅限于此类文件被拒绝。

从图 4 中我们可以感觉到与其实这个流程是软件的工作流程，不如说它其实为我们提供了一个现成的移动存储介质与计算机接口的管理流程，对于正处在对移动存储介质管理感到烦恼的网络管理者来说提供了一个很好管理思路。

下面我们就按照“原理示意图”中所示的流程来讲解设置各项功能。

第一步，添加受控计算机；进入“ Configuration”功能区，点击右边的“Add Computer to This Policy”命令，添加需要管理的计算机，有三种填加方法，分别为列表中选择，从域中搜索，文本导入。

第二步，黑名单列表设置；在“ Configuration”功能区下方右面点击“Devices Blacklist”命令，出现如图5所示对话框，勾选要禁止的设备确定即可。

 

 

第三步，白名单列表设置；在 Configuration”功能区下方右面点击“Devices Whitelist”命令，出现如图5所示对话框，勾选授权可以使用的设备即可。这里需要注意的是，在初始设置时，黑白名单中所列出的设备，可以手动添加进去，也可以通过“Tool”功能区中的“Device Scan”功能对所使用的移动设备进行一次扫描，在获取ID号之类的参数后，加入数据库中即可在黑白名单选择列表中看到该设备。这项功能我们后面会讲到。

第三步，设置所控设备与接口的使用权限；进入“ Configuration”功能区，点击右边的“Set permissions”命令会进入“权限设置区”，如图6。

 

然后在左侧点击“edit controlled device categories”命令，选择所要管控的设备类型，如图7。

 

图例中我只选择了CD/DVD与存储设备两种设备类型，表明我只是想管控网络内计算机的光驱与移动存储介质。有一点需要说明的是CD/DVD类型设备除普通光驱外还包含刻录光驱，存储设备类型包含U盘、MP3、MP4、各种Flash存储卡,其它一些轻便的存储设备等。设备类型选择完毕后返回“权限设置区”，在左侧点击“Edit controllod ports”命令，选择所要管控的计算机接口，如图8所示。

 

在所要管控的设备类型与接口都选择完毕后，就可以设置用户的权限了。点击左侧的“ Add permissions”命令，出现添加权限类型对话框，如图9所示。

 

在这个对话框里用户可以选择对设备类型设置用户权限，对接口设置用户权限，对指定设备设置用户权限三种。选择其中一项后，软件会要求用户添加帐号或组并设置相对应的访问权限。如图10所示。

 

第四步，设置文件过滤功能；在“ Configuration”功能区的右下方，点击“file-type filter”命令，弹出如图11所示对话框：

 

在这里用户可以添加想要禁止或允许操作的文件类型，如图例中我选择DWG文件为禁止，当用户在使用移动存储介质对DWG文件进行复制时软件就会拒绝此项操作。图中上部的两个单项选择分别为“允许所有文件类型但禁止下列文件类型”与“禁止所有文件类型但允许下列文件类型”。

第五步，将设定完成的权限策略分发到计算机上；进入“ Configuration”功能区，使用快捷键CTRL+D命令将策略分发到相应的计算机即可。分发策略的情况可以在“Status”功能区的“Deployment”选项卡下看到。

至此我们按照 GFI EndPointSecurity的工作原理示意图的流程对软件如何管控移动存储设备与计算机接口进行了讲解。但软件在一些辅助功能与人性化设置方面做的也非常好！如临时访问权限，自定义提示信息，设备扫描与日志报告方面都非常出色，下面我再做一个简单介绍。

4.4 软件辅助功能设置

第一，临时访问权限设置；在我们日常的实际工作中可能会遇到一些不具备移动存储介质使用权限的用户因特殊原因需要临时在一段时间内具备相应的权限的情况，这时我们就可以使用 GFI EndPointSecurity中非常有意思的临时访问权限功能。

如果网络内的客户计算机上安装了代理程序，那么在它的“设置”“控制面板”内会多出一个“GFI EndPointSecurity Temporary Access”功能，当用户需要临时权限时可以启动该功能，如图12所示对话框

 

将图中的request code传给网络管理者，管理者使用该ID号会利用软件生成返回给用户一个解锁码，以授权用户具有移动存储介质的使用权限。除此之外，管理者在生成解锁码时可以设定不同级别的使用权限，不同时间限定，如图13所示。

 

第二，自定义系统提示信息；如图14就是自定义的系统提示信息。设置方法为在“ Configuration”功能区中选择“Options”选项卡，在左侧点击“Custom Messages”命令，即可弹出如图15所示的对话框，我们只要将相对应的信息进行个性化修改即可。 

 

 

第三，设备扫描功能；在前文黑白名单的设备列表讲解中，我们曾提到列表中的设备可以通过扫描加入到数据库中，该扫描功能就在此处。进入“ Tools”功能区，选择下面的“Device Scan”选项卡，我们就可以看到设备扫描功能各项设置了，如图16。首先在面板左侧选择“Option”，在弹出的对话框中选择需要扫描的设备类型与接口，返回后再在右侧“Scan target”框内选择所要扫描的计算机或是子网即可。图例下方是扫描的结果，在扫描出的设备类型中，右键选择“Add to devices database”命令即可将该设备添加入数据库中，同时该设备也会出现在黑白名单的设备列表中供用户选择。

 

第四，日志浏览功能；如图 17所示，GFI EndPointSecurity的日志浏览功能非常强大，我们可以很清楚的看到每条事件的详细情况，如图例中被选中的事件详细情况为用户 1使用移动存储设备的权限是全读写权限，但在复制一份 Word 文档时被系统拒绝。

 

好了！GFI EndPointSecurity主要功能就讲到此了。虽然软件对移动存储介质与计算机接口的管控功能很强大，但它只是一种强制的技术手段，而移动存储介质的管理量件涉及到人、技术、制度等多方面因素，任何一种手段与措施都不能保证达到管理的最终目的，我们除了利用技术手段外还应该学会用管理的思维来解决面临的难题！