用移动设备偷资料,没门
安全阵地
最近有“内线”向经理报告有些员工常把公司的内部机密资料拷贝到移动存储设备中带回家。俗话说“日防夜防,家贼难防”,经理感觉到事态的严重性,下达命令,要求网管小胖解决这个问题。
小胖分析这些“家贼”一般都是通过USB存储设备、软盘或刻录盘,将公司内部机密资料带走的。通常所使用的网络管理工具对他们是无效的,很难阻止这些“盗窃”活动。要想进行彻底根治,必须严格控制整个企业网中的USB存储设备、软驱或刻录设备的使用权限,而“GFI LANguard Portable Storage Control”(简称GLPSC)这个工具的出现正好解决了这个难题。
谨慎,部署防线
单位网络是采用域环境进行管理的,要想让GLPSC发挥出管理效果,最好的办法就是让GLPSC和AD完美结合在一起。小胖用域管理员账号登录域控制器后,从http://www.pc173.com/soft/3375.htm下载GLPSC,进行安装和初始化配置。
提示:虽然GLPSC也可应用在单机环境中,但这对企业用户使用移动存储设备的管理并不方便,最完美的办法就是与AD相结合,可以通过对域用户的管理,来实现对移动存储设备的管理,而且这种方法是最高效、最简单的。
运行GLPSC安装程序,弹出安装配置对话框,一路点击“Next”按钮后,进入“Protected devices setup”对话框。小胖要指定企业网内受到保护或限制使用的存储设备(如USB设备、软驱或光驱设备),为了防止“家贼”窃取机密资料,所有移动存储设备都被限制使用。小胖在“Devices Type”框中选中了“Removable Storage Media e.g.USB……”、“Floppy Disk”和“CD-ROM/DVD-ROM”三项。
点击“Next”按钮,进入“Access control agents”对话框,选择“Active Directory global security groups”选项。这样一来GLPSC才能和AD完美结合,通过域账号来限制和管理用户对移动存储设备的使用。
接着进入“Access control groups setup”对话框,为GLPSC创建一个初始化控制组。选中“Create the control groups”选项后点击“Next”按钮,完成文件的复制和GLPSC工具初始化操作,就结束了整个安装过程。
严管,设置访问权限
GLPSC对移动存储设备的使用管理得很严格,默认情况下,只有安装过程中创建的控制组的成员可以使用移动存储设备。这些控制组依次为USB移动设备、软驱设备和光驱设备的控制组。将域用户加入到这些控制组后,就可以使用移动存储设备了,当然也可以按需逐个添加域用户。
小胖采用了按需逐个添加的方法。例如,他允许“XP”域用户使用USB存储设备。在GLPSC管理控制台窗口中依次点击“Access Permissions→Removable Media”选项,在“Authorized users”框中选中“Allow only the users and members of the groups below to Access the devices”选项,然后点击“Add→Active Directory user”,将“XP”域用户添加到列表框中(见图)。
如果还想让“XP”域用户拥有访问软驱设备和光驱设备的权限,可切换到“Floppy Disk”或“CD-ROM | DVD-ROM”选项,按照上述方法,将“XP”域用户添加到列表框中即可。
实施,配置客户端
完成域用户访问权限的设置后,还要为域中的每一台客户机配置客户代理程序。
在GLPSC管理控制台窗口中依次点击“Tools→Deploy”,在右侧的框体中切换到“Deployment targets”标签页。点击“Add→list of computers from domain”选项后,弹出“选择计算机”对话框。小胖在选中了域中所有的计算机后点击“OK”按钮,最后点击对话框底部的“Start”按钮,就开始为域中所有的客户机安装、配置客户代理程序了。
通过以上几步操作后,小胖就可严格控制网内用户对USB存储设备、软驱设备和光驱设备的访问,只有经过经理授权的用户才能正常使用这些存储设备,而未径授权的用户则不能使用移动存储设备。