DeviceLock®
NIE POZWÓL, ABY TWOJE DANE UCIEKAŁY CI
PRZEZ PALCE
 

    Produkty     Kup Teraz     Do pobrania     Pomoc     O firmie     Kontakt
Nasze sukcesy
Triodos Bank kontroluje ryzyko związane z USB za pomocą programu DeviceLock®

Triodos Bank został założony w 1980 roku w Holandii przez kilku wizjonerów, którzy wierzyli, że bank zorientowany na odpowiedzialne społecznie inwestycje przyczyniłby się do zdrowszej i bardziej zrównoważonej gospodarki. Reputacja banku jako wizjonera znajduje odzwierciedlenie nawet w jego polityce zarządzania bezpieczeństwem informatycznym. Poszukując sposobów zamknięcia luki w bezpieczeństwie spowodowanej USB, Triodos Bank zwrócił uwagę na oprogramowanie DeviceLock®.

Więcej>>

 
www.devicelock.pl
/
DeviceLock
/
Najczęściej zadawane pytania

Devicelock® - Najczęściej zadawane pytania

Pytania techniczne (format PDF)

Webinar (flash)

Ogólne

Instalacja

Rozwiązywanie problemów

Różne

Pytanie: Czym jest DeviceLock®?

Odpowiedź: DeviceLock® dla Windows NT/2000/XP/Vista i Windows Server 2003 umożliwia administratorom sieci kontrolowanie dostępu użytkowników do urządzeń (napędów dyskietek, dysków magnetooptycznych, napędów CD-ROM i DVD, napędów ZIP, USB, FireWire, portów podczerwieni, portów szeregowych i równoległych, urządzeń WiFi oraz Bluetooth itd.) na lokalnym komputerze. Po zainstalowaniu DeviceLock® administrator może kontrolować dostęp do napędów dyskietek, napędów CD-ROM i innych urządzeń, łącznie z kontrolą czasu ich używania (czas w ciągu dnia, dzień tygodnia). DeviceLock® rozszerza możliwości kontroli dostępu dla administratorów systemów Windows oraz umożliwia kontrolowanie użytkowania napędów dysków wymiennych. DeviceLock® umożliwia ochronę sieci i lokalnych komputerów przed wirusami, końmi trojańskimi i innymi szkodliwymi programami, które mogą zaatakować system komputerowy z nośnika wymiennego. Administratorzy sieci mogą również używać programu DeviceLock® do opróżniania buforów urządzeń służących do przechowywania danych.

Pytanie: Czy potrzebuję DeviceLock®, jeśli korzystam z Zasad Grupy?

Odpowiedź: Niestety standardowe rozwiązania ograniczania dostępu dostarczane z systemami Windows nie pozwalają na ustalanie uprawnień dla portów USB i FireWire, podobnie jak do urządzeń WiFi lub Bluetooth. Ktokolwiek może podłączyć małe urządzenie i skopiować setki megabajtów zastrzeżonych danych. Co więcej, aby korzystać z takich urządzeń w obrębie firmowej sieci, nie trzeba być administratorem.

Pytanie: Jak zainstalować odpowiednią konsolę administracyjną?
Pytanie: Jak zainstalować DeviceLock® Group Policy Manager?
Pytanie: Jak zainstalować DeviceLock® Enterprise Manager?

Odpowiedź: Pakiet instalacyjny programu DeviceLock® (setup.exe) zawiera różne konsole administracyjne.

setup.exe zawiera: DeviceLock® Management Console, DeviceLock® Group Policy Manager oraz DeviceLock® Enterprise Manager, usługę DeviceLock® Service (łącznie z pakietem MSI), DeviceLock® Enterprise Server, dokumentację i pliki pomocy.

DeviceLock® Enterprise Manager może być wykorzystywany do jednoczesnego kontrolowania wielu komputerów. Przy użyciu DeviceLock® możesz przeglądać i zmieniać uprawnienia a także przeprowadzać audyt reguł; instalować, uaktualniać i usuwać usługę DeviceLock® Service oraz przeglądać rezultaty audytu dla wszystkich komputerów w sieci. Korzystanie z DeviceLock® Enterprise Manager jest zalecane w przypadku dużych sieci, w których nie wykorzystuje się Active Directory.

DeviceLock® Management Console jest wtyczką dla Microsoft Management Console (MMC). Przy użyciu DeviceLock® Management Console, można przeglądać i zmieniać uprawnienia oraz przeprowadzać audyt reguł, instalować i uaktualniać usługę DeviceLock® Service, a także przeglądać rezultaty audytu dla poszczególnych komputerów. Ponadto, DeviceLock® Management Console może zostać wykorzystany do przeglądania raportów przechowywanych na serwerze DeviceLock® Enterprise Server oraz do zarządzania tym serwerem.

DeviceLock® Group Policy Manager integruje się ze standardowym Edytorem Zasad Grupy, który jest wbudowany w system Windows począwszy od wersji Windows 2000. Przy użyciu DeviceLock® Group Policy Manager można zmieniać ustawienia programu DeviceLock® oraz uprawnienia, a także przeprowadzać audyt reguł w obrębie całej struktury Active Directory.

Pytanie: Czy mogę zainstalować DeviceLock® w systemie Windows NT/2000/XP, jeśli nie posiadam uprawnień administratora?

Odpowiedź: Nie. Instalacja programu DeviceLock® w systemach Windows NT/2000/XP/Vista bez uprawnień administratora jest niemożliwa. Do zainstalowania i użytkowania DeviceLock® użytkownik MUSI posiadać uprawnienia administracyjne. Jeżeli użytkownik ma zamiar korzystać z DeviceLock® tylko na komputerze lokalnym, musi on posiadać uprawnienia lokalnego administratora. Aby korzystać z DeviceLock® w sieci firmowej, użytkownik musi posiadać uprawnienia administratora domeny.

Pytanie: Czy możliwe jest zainstalowanie DeviceLock® automatycznie (bez interwencji użytkownika)?

Odpowiedź: Tak. Wystarczy uruchomić pakiet instalacyjny programu DeviceLock® (setup.exe) z parametrem /s ("c:\setup.exe /s"). Instalator jest wyposażony w specjalny plik konfiguracyjny przeznaczony dla trybu "cichej" instalacji - devicelock.ini. Przy użyciu tego pliku można dostosować parametry procesu instalacji. Więcej informacji na ten temat zawiera dokumentacja.

Pytanie:Czy możliwe jest zainstalowanie DeviceLock® przy użyciu Microsoft Systems Management Server (SMS)?

Odpowiedź: Tak. Można użyć plików definicji pakietu (DevLock.pdf dla SMS w wersji 1.x oraz DevLock.sms dla SMS w wersji 2.0 lub nowszej) dostarczonego z pakietem DeviceLock®. Pliki te znajdują się w archiwum sms.zip.

Pytanie: Czy mogę zainstalować usługę DeviceLock® na zdalnym komputerze nie mając do niego fizycznego dostępu?

Odpowiedź: Tak. DeviceLock® obsługuje zdalną instalację. Jeżeli usługa DeviceLock® Service nie została zainstalowana na zdalnym komputerze lub wersja DeviceLock® jest za stara, program DeviceLock® Manager zasugeruje zainstalowanie usługi. W tym celu należy wskazać plik wykonywalny usługi DeviceLock® Service, a DeviceLock® Manager skopiuje go na zdalny komputer. Plik wykonywalny usługi DeviceLock® Service zostanie skopiowany do folderu systemowego Windows (na przykład: c:\winnt\system32). Jeżeli w systemie istnieje starsza wersja usługi, DeviceLock® Manager uaktualni ją.

Pytanie: Jak skonfigurować DeviceLock®, aby używał stałego portu TCP?

Odpowiedź: Domyślnie, usługa DeviceLock® Service wykorzystuje dynamiczne porty na użytek komunikacji RPC z konsolami administracyjnymi DeviceLock®. Porty te zmieniają się wraz z każdym uruchomieniem usługi DeviceLock® Service, w wyniku czego konfiguracja zapory sieciowej jest znacznie utrudniona. W celu wyeliminowania tej niedogodności można poinstruować usługę DeviceLock® Service, aby wykorzystywała stały port. W tym celu należy uruchomić Edytor Rejestru (regedit.exe) i skonfigurować poniższy wpis:

  • Klucz: HKEY_LOCAL_MACHINE\SOFTWARE\SmartLine Vision\DeviceLock

  • Nazwa: ncacn_ip_tcp[numer portu]

  • Rodzaj: REG_SZ

  • Wartość: niewykorzystywana (może pozostać pusta)

numer portu - stały numer portu TCP, który ma być wykorzystywany do komunikacji między usługą DeviceLock® Service a konsolami administracyjnymi DeviceLock®.

Aby wprowadzone zmiany zostały zastosowane, należy ponownie uruchomić usługę DeviceLock® Service.

Następnie, należy połączyć konsole administracyjne DeviceLock® z komputerem, na którym usługa DeviceLock® została skonfigurowana do wykorzystywania stałego portu TCP - należy podać ten numer portu w nawiasach kwadratowych obok nazwy komputera, na przykład: nazwa_komputera[numer portu].

Należy zwrócić uwagę na to, że podczas łączenia się z usługą DeviceLock® Service za pośrednictwem stałego portu funkcja zdalnej instalacji/aktualizacji jest wyłączona - nie można instalować ani uaktualniać usługi DeviceLock® na zdalnych komputerach bez użycia dynamicznych portów. Ponadto, program Audit Log Viewer nie będzie działał, jeżeli port TCP 139 zostanie zamknięty w ustawieniach zapory sieciowej.

Pytanie: Które porty muszę odblokować w zaporze sieciowej, aby umożliwić pracę DeviceLock®?

Odpowiedź: Możliwe jest takie skonfigurowanie programu DeviceLock®, aby wykorzystywał stały port, co znacznie ułatwia konfigurację zapory sieciowej. Jeżeli użytkownik chce skonfigurować zaporę do pracy z połączeniami wykorzystującymi dynamiczne porty, należy skorzystać z poniższych instrukcji.

Należy otworzyć porty 135-139 i wszystkie porty powyżej 1024 dla wchodzących i wychodzących pakietów:

  • Port 135 (TCP) - dla usługi Remote Procedure Call (RPC)

  • Port 137 (UDP) - dla usługi NetBIOS Name Service

  • Port 138 (UDP) - dla NetBIOS Netlogon and Browsing

  • Port 139 (TCP) - dla sesji NetBIOS (NET USE)

  • Porty powyżej 1024 (TCP) - dla komunikacji RPC

DeviceLock® pracuje podobnie jak inne standardowe narzędzia administracyjne w systemach Windows NT/2000/XP/Vista, zatem jeśli te narzędzia działają z daną konfiguracją zapory sieciowej, DeviceLock® także będzie funkcjonował poprawnie.

Więcej informacji zawiera baza wiedzy firmy Microsoft.

Pytanie: Otrzymuję komunikat błędu 1722 ("Serwer RPC jest niedostępny") za każdym razem, gdy próbuje połączyć się z komputerem. Co to oznacza?

Odpowiedź: Błąd 1722 oznacza to, że DeviceLock® Manager nie mógł uzyskać dostępu do usługi DeviceLock® Service na zdalnym komputerze. Oto kilka prawdopodobnych powodów:

  • zdalny komputer nie istnieje w sieci (nazwa lub adres IP komputera jest nieprawidłowy lub komputer został wyłączony, a nazwa nadal istnieje w otoczeniu sieciowym);

  • zdalny komputer nie posiada systemu Windows NT 4.0/2000/XP/Vista i usługa DeviceLock® Service nie mogła zostać zainstalowana;

  • zdalny komputer znajduje się za zaporą sieciową, która nie została odpowiednio skonfigurowana (informacje dotyczące konfiguracji zapory sieciowej można znaleźć w tej odpowiedzi);

  • zdalny komputer znajduje się w innym segmencie sieci i nie jest dostępny z danej lokalizacji (na przykład, routing nie został odpowiednio skonfigurowany i ten segment sieci jest całkowicie niedostępny).

Pytanie: Czy można zdalnie zarządzać programem DeviceLock®?

Odpowiedź: Tak. W tym celu należy skorzystać z jednej z konsol administracyjnych DeviceLock®.