Oheislaitteiden hallintaohjelmistojen arviointi

USB-laitteiden hallinta on melkein yhtä tärkeää kuin muiden BYOD-luokkaan kuuluvien kannettavien laitteiden, kuten tablet-laitteiden ja älypuhelimien, hallinta; Uskon kuitenkin, että monet yritykset eivät harkitse paljon ajattelua siitä, kuinka työntekijät voivat käyttää (tai käyttää väärin) USB-muistitikkuja, iPodia tai muita tietokoneeseen kytkettyjä laitteita.

Luottokorttitietoja ja PCI: n käyttöönottoa koskevien sääntöjen ja määräysten takia organisaationi pakotettiin tutkimaan paljon tarkemmin näiden tietojen käsittelyä ja sitä, missä ne saattavat olla laskeutumassa. Näyttää siltä, ​​että kaikki tarvitsevat jonkinlaista muistitikkua työtietojensa tallentamiseksi. Mutta mielestäni tämä lisää enemmän ongelmia kuin ratkaisee.

Mahdollisuus viedä tietoja kotiin mukaasi muistitikulla mahdollistaa etätyön. Miksi haluat työskennellä kotona vapaaehtoisesti kotitoimistossa säännöllisesti? Se on minusta vain outoa. Vapaaehtoista ilmaista työtä tapahtuu koko ajan, ja kyllä ​​minäkin teen sitä, mutta on aika hauskaa, kuinka monet luulevat tämän tekevän heistä "tuottavampia".

IT-näkökulmasta turvallisuusriski on sen salliminen, että jokainen, joka haluaa käyttää laitetta tietojen keräämiseen tai kuljetustietoihin. En tiedä missä super-muistitikku olet ollut. En tiedä onko se puhdas ja turvallinen käyttää, enkä luota siihen. Koska laitteet sisältävät tallennustilaa, ne voivat sisältää haittaohjelmia. Koska työntekijä omistaa laitteen, en voi pyyhkiä laitetta, koska se saattaa sisältää henkilökohtaisia ​​tietoja. On parasta estää se kokonaan.

GFI: llä on ratkaisu, joka auttaa oheislaitteiden hallintaa, ja arvioin parhaillaan sitä tapana hallita, mitkä laitteet ovat sallittuja, koska minkään salliminen olisi yhtä paljon työtä. En yleensä ole tämä vainoharhainen laitteiden ja niiden käytön suhteen, mutta viime aikoina vainoharhaisuus vaikuttaa paljon älykkäämmältä vaihtoehdolta kuin vaihtoehdot.

GFI EndPointSecurity suorittaa SQL-tietokantaa tallentamaan agenttiensa keräämiä tietoja, jotka otetaan käyttöön oheislaitteiden ympärillä olevien käytäntöjen hallitsemiseksi. Agentti sallii myös autentikoinnin Active Directoryn avulla, jotta käytännöt olisivat tehokkaita ennalta määritettyille käyttäjäryhmille. Minun tapauksessani oheislaitteita koskevaa käytäntöä sovelletaan hallittujen laitteiden ryhmän käyttäjiin.

GFI EndPointSecurity -konsolin pääikkuna on esitetty kuvassa A

Kuvio A

EndPointSecurity -konsoli

Kun säännöt on määritetty, laitteet voidaan määrittää sallituiksi lisäämällä ne politiikan sallittuihin luetteloihin (tai evätä mustalla listalla). Laitetta määritettäessä se voidaan tehdä laitteiston toimittajan tunnuksella ja tuotetunnuksella, jotta kaikkiin vastaaviin laitteisiin kohdistuu vaikutus, tai laitteen sarjanumero. Rakeisen ohjauksen käyttäminen sarjanumerotasoon asti antaa sarjanumeron osoittaa työntekijälle. Tämä auttaa organisaatiota pitämään välilehtiä laitteissa, jotka se jakaa työntekijöilleen.

Kuvio B

Uuden politiikan luominen

EndPointSecurity managerilla on toimivien / käytettävien laitteiden konfiguroinnin sallimisen lisäksi myös muutamia muita makeita ominaisuuksia, kuten:

  • Laitteen käytön seuranta
  • Väliaikainen pääsy laitteisiin
  • Liitettyjen laitteiden etsiminen
  • Laitteen käytön seuranta

GFI sallii useiden laite- ja porttityyppien valvonnan. Alun perin tämän hyöty ei ollut minulle selvä, mutta sitten tajusin, kuinka monen laitteen on erityisesti sallittava esimerkiksi USB rinnakkaisten tulostinkaapeleiden kanssa. Koska ne eivät ole tulostimia, ne eivät kuulu tähän luokkaan, mutta ilman niitä sallitaan, liitetyt laitteet eivät toimi.

Mukana olevat luokat ovat:

Mukana olevat porttityypit ovat:

Jos luokkaa tai porttityyppiä ei ole määritetty suojausprofiilissa, sitä ei tarkkailla ja se sallitaan kokonaan. Kuten muutkin kokoonpanot, on luultavasti parasta aloittaa pieni, lisäämällä USB-tallennustilaa profiiliin, jotta saat tunne sovelluksestasi aiheuttamatta kaikkien laitteiden katkaisemista.

Koska sovellus lataa agentin, kun profiiliin tehdään muutoksia, profiili voidaan siirtää uudelleen osoitetulle tietokoneelle (tietokoneille) ja muutokset tulevat voimaan. Se toimii löysästi kuten ryhmäkäytäntö, jossa kohteiden päivitykset otetaan käyttöön aikataulussa. GFI EndPointSecurity -määritysmuutosten käyttöönottoon ei tarvita uudelleenkäynnistystä / kirjautumista.

Väliaikainen pääsy laitteisiin

Toteutettaessa ratkaisua, joka muuttaa käyttöoikeutta kohteisiin (oheislaitteisiin tai verkkoon), tarvitaan lämpenemisjakso ja ratkaisun kohteena olevilla työntekijöillä on todennäköisesti muutama kysymys. Yksi asia, joka on käytettävissä tässä ratkaisussa, on väliaikainen käyttö. Tämä eroaa olemassa olevista liitetyistä laitteista siinä, että järjestelmänvalvoja luo koodin, joka vastaa tietokonetta. Koodi kertoo edustajalle, kun se on aktiivinen, ja kuinka kauan väliaikainen käyttö tulisi sallia.

Väliaikainen pääsykoodi

Kun se on luotu, käyttäjä syöttää tämän koodin ohjauspaneelin sovelmaan laitteen pääsyä varten (asentaa GFI-agentti) ja lähettää toisen pääsykoodin takaisin järjestelmänvalvojalle aktivointia varten. Tämä toimii kuin kaksifaktorinen todennus, jolloin molemmat osapuolet todistavat henkilöllisyytensä ennen pääsyn sallimista. Tämä on hieno ominaisuus, jonka avulla työntekijät voivat siirtää asiakirjat henkilökohtaisesta säilytystilasta yrityksen toimittamaan säilytystilaan (riippuen tietysti yrityksen politiikasta). Kun ajoitettu pääsykoodi vanhenee, tietokone ei enää salli pääsyä näihin laitteisiin ilman uutta pääsykoodia.

Skannataan olemassa olevia laitteita

Koska ympäristössä on ollut USB- ja muita oheislaitteita ennen ohjausratkaisua, tietokoneet, joihin on asennettu GFI-agentti, voidaan skannata määrittämään, mitkä laitteet (ja laitetyypit) ovat tai on kytketty järjestelmään.

Kun laitteet havaitaan, ne voidaan lisätä tunnettujen tuotteiden luetteloon. Tätä tietokantaa voidaan sitten käyttää poikkeusasetusten, valkoisen luettelon, mustan listan tai yleisten korvaussääntöjen täyttämiseen.

Koska ympäristössäni on useita käyttäjiä, jotka liikkuvat, ja muutama kannettava tietokone, jota käytetään esityksiin, sallittujen laitteiden sallitun luettelon käyttäminen on helpointa. Tällä tavoin, jos luokka laitteita valvotaan profiilissa, eikä sitä ole sallittujen luetteloissa tai nimenomaisesti sallittu, se ei toimi.

On virrankäyttäjäryhmiä, jotka tilien täyttyessä sallivat kyseisten tilien pääsyn mihin tahansa laitteeseen kokoonpanosta riippumatta. Järjestelmänvalvojat tai asiakaspalvelun henkilökunta voivat olla hyvä joukko käyttäjiä tänne.

Kuvio C

Ympäristössä olevien laitteiden etsiminen

Seurataan toimintaa

Koska GFI EndPointSecurity-sovellus toimii agentin kanssa ympäristössä olevissa tietokoneissa, laitteiden toimintaa seurataan SQL-tietokannassa (MSDE tai SQL Express oletuksena). Aina, kun laite on kytketty agenttia käyttävään tietokoneeseen, sen läsnäolo sieppataan. Tulokset palautetaan ja tallennetaan tietokantaan antamaan sovelluksen johtoryhmälle kuvan laitteiden kytkemisestä ympäristöön. Kun laite näkyy aktiivisuusmittarissa, tietokone, josta se löytyy, on tarkistettava, jotta laite voidaan lisätä laitetaulukkoon. Tämä on alue, jolla ominaisuus lisätä laite suoraan aktiivisuusmittarista olisi erittäin hyödyllinen.

Käyttöönottojen päivittäminen ja muutosten ajaminen eteenpäin

Aina päivitettäessä käytäntöä, mukaan lukien uudet laitelisäykset tai laitteen poistot, käytäntöön määritettyjen edustajien on saatava nämä muutokset. Tämä voidaan tehdä napsauttamalla hiiren kakkospainikkeella yksittäistä tietokonetta ja valitsemalla asennus tai käyttämällä Ctrl + D näyttääksesi ikkunan, joka sisältää kaikki tietokoneet, joiden pitäisi saada muutettu käytäntö. Valitse sitten päivitettävien tietokoneiden valintaruudut ja napsauta OK.

Käytäntöeditoinnit voivat olla lisäyksiä valkoisiin / mustiin luetteloihin, seurataan uusia laitekategorioita tai yleisimmin (ainakin minulle) uusia yksittäisiä laitteita, jotka lisätään pitämään ne normaalina.

raportointi

Hallintakonsolin toiminnan seuranta -välilehden lisäksi GFI EndPointSecurity sisältää myös (erillisenä latauksena) raportointikonsolin. Kun tämä konsoli on asennettu, siihen pääsee hallintakonsolista. Esivalmistettuja raportteja on useita, mutta myös mukautettuja kohteita voidaan lisätä. Tämän lisätoiminnon avulla on entistä helpompaa nähdä, mitkä tietokoneet tai käyttäjät yrittävät olla vuorovaikutuksessa oheislaitteiden kanssa.

Muut tuotteet

Olen etsinyt hyvää tapaa hallita ja seurata USB: tä ja muita oheislaitteita jo jonkin aikaa. Aikaisemmassa GFI-julkaisussa en voinut ymmärtää, kuinka EndPointSecurity toimi, ja minulla oli vaikeuksia saada se käyttäytymään tarpeen mukaan. Tämä sai minut etsimään muita työkaluja, ja näin löysin USB- ja porttiturvallisuuden Questista. Tämä tuote liitetään Quest Desktop Authority -tuotteeseen (jota käytän myös organisaatiossani).

Quest-ratkaisu ei ollut niin kattava kuin tarvitsin sen olevan. Myyjän ja tuotetunnusten käyttäminen laitteistolle mahdollistaisi joukon laitteita hallittavuuden, mutta tietyn laitteen sarjanumeroon pääsy ei ollut jotain, joka olisi koskaan toiminut, edes useiden yritysten ja lukuisten tuen kanssa käytyjen keskustelujen jälkeen. Huomaa: Dell on hankkinut Questin, ja nämä tuotteet ovat parhaillaan uudelleenmerkinnässä.

Kun pystyin saamaan tämän nopeasti toimimaan GFI-tuotteen uudessa arviointiversiossa raportin rakeisuuden lisäksi sekä konsolissa että raporttikeskuksessa, GFI EndPointSecurity siirtyi nopeasti pinon yläosaan.

GFI: n ja Questin lisäksi ManageEngineellä on myös tuote, joka pystyy hallitsemaan USB- ja oheislaitteita, jotka haluat ehkä sisällyttää ratkaisuidesi arviointiin. Oletko löytänyt haluamasi?

© Copyright 2020 | mobilegn.com