Администраторы DeviceLock

В контекстном меню элемента Администраторы DeviceLock выберите команду Свойства, чтобы открыть диалоговое окно с настройками.

Стандартная защита основана на списке управления доступом (ACL) Windows. Пользователь без локальных административных привилегий не может подключиться к сервису DeviceLock, изменить его настройки или удалить его. Все это контролируется подсистемой безопасности Windows.

Для включения стандартной защиты, основанной на ACL, установите флажок Включить безопасность по умолчанию.

Примечание: Как указано в разделе Правила обеспечения безопасности данного руководства, не рекомендуется наделять обычных пользователей административными привилегиями.

Пользователи с правами локального администратора (члены локальной группы Администраторы) могут подключаться к сервису DeviceLock, используя консоль управления и изменять настройки разрешений, аудита и другие параметры. Более того, такие пользователи могут удалить DeviceLock со своих компьютеров, отключить или остановить сервис DeviceLock, изменить значения ключей реестра агента, удалить исполняемый файл агента и так далее. Другими словами, пользователи с правами локального администратора могут обойти стандартную систему защиты, основанную на ACL.

Однако, даже если пользователи вашей сети имеют административные привилегии на локальных компьютерах, DeviceLock способен обеспечить необходимый уровень защиты. Когда защита DeviceLock включена, никто, исключая авторизованных администраторов, не может подключаться к сервису DeviceLock, останавливать или удалять его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту DeviceLock.

Для включения защиты DeviceLock снимите флажок Включить безопасность по умолчанию.

Затем вам необходимо определить авторизованные учетные записи (пользователей и/или группы), которые могут администрировать сервис DeviceLock. Для того чтобы добавить нового пользователя или группу в список авторизованных учетных записей, нажмите кнопку Добавить. Вы можете добавить несколько учетных записей одновременно.

Для удаления учетных записей из списка используйте кнопку Удалить. Используя клавиши Ctrl и/или Shift, вы сможете выделить и удалить несколько записей одновременно.

Чтобы определить, какие действия разрешены пользователю или группе, выберите желаемый уровень доступа:

•Полный доступ - Полный доступ позволяет изменять разрешения, аудит и другие параметры, удалять или обновлять сервис DeviceLock.

•Изменение - Доступ на изменение позволяет изменять настройки, устанавливать и удалять сервис DeviceLock, но не позволяет добавлять новые учетные записи в список администраторов DeviceLock или изменять права учетных записей, уже имеющихся в этом списке.

•Только чтение - Доступ только на чтение позволяет просмотр разрешений, аудита и других параметров. Пользователи и группы с этим уровнем доступа могут просматривать установленные параметры, но не могут ничего изменять или удалять/обновлять сервис DeviceLock.

Для пользователей и групп с уровнем доступа Изменение или Только чтение можно выбрать опцию Доступ к теневым копиям, чтобы обеспечить доступ к теневым копиям и записям активности пользователей. Пользователи и группы, для которых выбрана эта опция, могут просматривать, открывать и сохранять теневые копии и записи активности пользователей из журналов сервиса DeviceLock, используя средства просмотра журнала теневого копирования (см. Просмотрщик журнала теневого копирования (для компьютера)) и журнала активности пользователей (см. Просмотр активности пользователей).

Примечание: Администраторам сервиса DeviceLock, не имеющим доступа к теневым копиям, недоступно содержимое теневых копий и записей активности пользователей. Они не могут открывать, просматривать и сохранять теневые копии и записи активности пользователей.

Настоятельно рекомендуется предоставить администраторам сервиса DeviceLock права локального администратора, поскольку при установке, обновлении или удалении сервиса DeviceLock может потребоваться доступ к диспетчеру управления службами Windows (Service Control Manager) и к общим сетевым ресурсам.

Вот пример правильной настройки списка администраторов сервиса DeviceLock: добавьте в список группу “Администраторы домена” с правом Полный доступ. Группа “Администраторы домена” является членом локальной группы “Администраторы” на каждом компьютере домена, все члены группы “Администраторы домена” будут иметь полный доступ к сервису DeviceLock на каждом компьютере. При этом другие члены локальной группы “Администраторы” не смогут администрировать сервис DeviceLock или отключать его.

Установите флажок Включить защиту от отключения, чтобы защититься от программ обнаружения и удаления руткитов, которые могут быть злонамеренно использованы для отключения сервиса DeviceLock. Когда защита включена, DeviceLock контролирует целостность своего кода, и любая попытка нарушить целостность кода DeviceLock будет приводить к критической ошибке Windows (BSOD).

Внимание: Некоторые антивирусы, брандмауэры и другое низкоуровневое программное обеспечение сторонних производителей может конфликтовать с защитой от антируткитов, что может вызывать критическую ошибку Windows (BSOD). Рекомендуется включать этот вид защиты только после предварительного тестирования системы.

Установите флажок Только протоколировать, чтобы DeviceLock при попытках нарушения целостности его кода только протоколировал такие попытки в журнале аудита, без генерации критической ошибки Windows (BSOD).

Установите флажок Предотвращать изменения в системных файлах настроек, чтобы сервис DeviceLock автоматически защищал файл Hosts в Windows.

Примечание: Поскольку DeviceLock использует для разрешения имен локальный файл Hosts, злоумышленник с правами локального администратора может изменить этот файл, чтобы обойти политику безопасности DeviceLock. В целях безопасности рекомендуется защитить файл Hosts с помощью функции Предотвращать изменения в системных файлах настроек.

Кроме того, установив или сняв флажок Использовать усиленную проверку целостности, вы можете задать тип проверок целостности. Определить повреждения в исполняемых файлах сервиса DeviceLock можно двумя способами:

•Простая проверка целостности: сервис DeviceLock проверяет версии всех исполняемых файлов. Чтобы выбрать этот тип проверки, снимите флажок Использовать усиленную проверку целостности.

•Усиленная проверка целостности: сервис DeviceLock проверяет цифровые подписи всех исполняемых файлов. Чтобы выбрать этот тип проверки, установите флажок Использовать усиленную проверку целостности. Усиленная проверка целостности занимает больше времени, чем простая проверка.

При отключенной безопасности по умолчанию и заданном списке администраторов DeviceLock, доступ к сетевым дискам и физическим портам на клиентском компьютере может быть неожиданно заблокирован независимо от действующих прав доступа. Побочным эффектом является отсутствие сервиса DeviceLock (dlservice) в списке процессов Диспетчера задач.

Такое поведение является частью защиты от администраторов, которые имеют полный доступ к клиентскому компьютеру, но не включены в список администраторов DeviceLock. В случае неожиданной остановки сервиса DeviceLock таким образом блокируется доступ к устройствам и сетевым протоколам во избежание возможной утечки данных.

Для восстановления настроек доступа DeviceLock перезагрузите компьютер. При повторном появлении проблемы попробуйте отключить антивирусное программное обеспечение, которое могло бы вызвать принудительную остановку сервиса DeviceLock.