devicelog logo

Controllo degli accessi alle periferiche. Gli amministratori possono controllare utenti o gruppi autorizzati ad accedere a porte USB, FireWire, a infrarossi, COM e LPT, adattatori Wi-Fi e Bluetooth, qualsiasi tipo di stampante (incluse le stampanti locali, di rete e virtuali), PDA e smartphone con sistema operativo Windows Mobile, BlackBerry, iPhone e Palm OS, nonché DVD/BD/CD-ROM, unità floppy e altre periferiche rimovibili e Plug-and-Play. È possibile impostare i dispositivi in modalità di sola lettura e controllarne l'accesso in base all'ora del giorno e al giorno della settimana.

Controllo delle comunicazioni di rete. La tecnologia di rilevamento di NetworkLock è indipendente dalle porte e riconosce i tipi e i protocolli delle applicazioni di rete nei quali possono verificarsi perdite di dati. NetworkLock può essere configurato per controllare la posta Web, le comunicazioni sulle reti sociali, la messaggistica immediata, i trasferimenti di file e le sessioni Telnet. NetworkLock può intercettare, ispezionare e controllare le comunicazioni e-mail standard e SMTP con tunnel SSL, verificando i messaggi e gli allegati separatamente, nonché l'accesso al Web e altre applicazioni HTTP e sessioni HTTPS crittografate. Le sessioni e i messaggi vengono ricostruiti e le informazioni relative ai file, ai dati e ai parametri vengono estratte e trasferite al modulo ContentLock per il filtraggio del contenuto. Le verifiche delle registrazioni di eventi e di data shadowing vengono gestite come specificate in via condizionale.

Filtraggio del contenuto. ContentLock supporta il filtraggio del contenuto per gli oggetti di dati copiati sulle unità rimovibili e su altre periferiche di memorizzazione Plug-and-Play e per le comunicazioni di rete protette dal modulo NetworkLock sull'endpoint. ContentLock riconosce oltre 80 formati di file e tipi di dati ed è in grado di estrarre e filtrare il contenuto dei file e di altri tipi di oggetti di dati tra cui e-mail, messaggi istantanei, moduli Web, scambi sulle reti sociali, ecc. ContentLock filtra i flussi di dati in base ai modelli di espressioni regolari (RegExp) specificati, alle condizioni numeriche e alle combinazioni booleane di corrispondenza con i criteri "AND/OR". È possibile utilizzare oltre 50 parametri contestuali, tra cui utenti, computer, gruppi, porte, interfacce, periferiche, canali di dati, tipi, direzioni dei flussi di dati, limiti giorno/ora, ecc.

Protezione anti-manomissione. La funzione di amministrazione configurabile di DeviceLock impedisce la manomissione delle impostazioni di DeviceLock a livello locale, anche da parte di utenti con privilegi di amministrazione di sistema sui computer locali. Attivando questa funzione, solo gli amministratori della protezione di DeviceLock che lavorano su una console o GPO di DeviceLock possono installare/disinstallare il programma o modificare i criteri di DeviceLock.

Integrazione con AD. La console più utilizzata di DeviceLock si integra perfettamente con la piattaforma di Criteri di gruppo di Active Directory (AD) di Microsoft Management Console (MMC). Poiché le interfacce di Criteri di gruppo e MMC sono note agli amministratori di Microsoft, non ci sono interfacce proprietarie da imparare o applicazioni da acquistare per gestire centralmente e in maniera efficace gli endpoint. La presenza della console DeviceLock MMC nel computer di un amministratore di Criteri di gruppo assicura un'integrazione diretta nella console GPMC (Group Policy Management Console) o nella console ADUC (Active Directory Users & Computers), senza dover ricorrere a script, modelli ADO o modifiche di schema. Gli amministratori della protezione possono gestire in maniera dinamica le perdite di dati negli endpoint e verificare le impostazioni e, allo stesso tempo, eseguire altre operazioni relative a Criteri di gruppo. Oltre alla console dello snap-in MMC per Criteri di gruppo, DeviceLock offre console amministrative tradizionali che consentono di gestire centralmente qualsiasi AD, LDAP o rete di gruppi di lavoro sui computer Windows. È inoltre possibile condividere i modelli di criteri basati su XML tra tutte le console di DeviceLock.

Controllo dei tipi di file reali. Gli amministratori possono autorizzare o negare in maniera selettiva l'accesso a oltre 4.000 tipi di file specifici per le periferiche rimovibili. Una volta configurato un criterio relativo a un tipo di file, DeviceLock consulta il contenuto binario del file per determinare la tipologia reale (indipendentemente dal nome e dall'estensione del file) ed esegue le attività di controllo e shadowing relative al criterio applicato. Le regole basate sul contenuto per i tipi di file sono flessibili e possono essere definite per utente o per gruppo a livello di tipo di periferica/protocollo. Le regole sui tipi di file reali possono essere applicate anche al pre-filtraggio delle copie shadow, al fine di ridurre il volume dei dati acquisiti.

Controllo degli Appunti. DeviceLock consente agli amministratori della protezione di bloccare in maniera efficace le perdite di dati sin dalle fasi iniziali, vale a dire quando gli utenti trasferiscono intenzionalmente o inavvertitamente dati non autorizzati tra diverse applicazioni e documenti sul proprio computer ricorrendo a meccanismi di copia/incolla degli Appunti disponibili nei sistemi operativi Windows. Le operazioni di copia/incolla possono essere filtrate in maniera selettiva per lo scambio di dati tra diverse applicazioni (ad esempio da Word a Excel od OpenOffice). A livello contestuale, DeviceLock consente di controllare in maniera selettiva l'accesso degli utenti a oggetti di dati di vario tipo copiati negli Appunti, tra cui file, dati di testo, immagini, frammenti audio (ad esempio registrazioni acquisite dal registratore di suoni di Windows) e dati di tipo non identificato. Le operazioni di acquisizione delle schermate possono essere bloccate per utenti specifici su determinati computer, ad esempio la funzione PrintScreen di Windows e le operazioni di acquisizione delle schermate di applicazioni di terze parti.

Lista bianca USB. Consente di autorizzare un modello specifico di dispositivo per l'accesso alla porta USB, bloccando l'accesso da parte degli altri. È inoltre possibile autorizzare un singolo dispositivo, bloccando l'accesso da parte degli altri dispositivi della stessa marca e dello stesso modello, se si dispone di un codice identificativo come il numero seriale.

Lista bianca unità. Consente di autorizzare l'accesso a dischi DVD/BD/CD-ROM specifici, identificati da una firma di dati, anche in caso di blocco dell'unità DVD/BD/CD-ROM da parte di DeviceLock. Se i dischi DVD/BD/CD-ROM vengono usati per la distribuzione di nuovi software e manuali di istruzioni, la lista bianca delle unità può specificare gli utenti e i gruppi autorizzati ad accedere al contenuto del disco DVD, BlueRay o CD-ROM.

Lista bianca temporanea. Consente di autorizzare l'accesso temporaneo a un dispositivo collegato alla porta USB, utilizzando un codice di accesso al posto delle normali procedure di autorizzazione di DeviceLock. Si tratta di una funzionalità particolarmente utile se è necessario concedere delle autorizzazioni e l'amministratore del sistema non dispone di un accesso alla rete (ad esempio per garantire l'accesso USB a un manager delle vendite che sta lavorando al di fuori della rete aziendale).

Lista bianca dei protocolli. Consente di specificare criteri di autorizzazione in base all'indirizzo IP, all'intervallo di indirizzi, alle subnet mask, alle porte di rete e ai relativi intervalli, inclusi criteri basati su limiti come "more than/less than".

Controllo. DeviceLock è in grado di monitorare le attività degli utenti e dei file per determinati tipi di periferiche, porte e risorse di rete su un computer locale. Le attività di controllo possono essere pre-filtrate per utente/gruppo, giorno/ora, tipo di porta/periferica/protocollo, lettura/scrittura ed eventi riusciti/non riusciti. DeviceLock utilizza il sottosistema di registrazione degli eventi standard e scrive i risultati delle verifiche in un registro del Visualizzatore eventi di Windows con indicatori di data e ora GMT. I registri possono essere esportati in numerosi formati standard e, in seguito, importati in altri meccanismi o prodotti di creazione di report. Inoltre, i registri di controllo possono essere recuperati automaticamente dai computer remoti e memorizzati centralmente nel server SQL. Anche gli utenti dotati di privilegi di amministrazione locale non possono modificare, eliminare né manomettere in altri modi i registri di controllo impostati per essere inoltrati a DeviceLock Enterprise Server.

Shadowing. La funzionalità di data shadowing di DeviceLock può essere configurata per eseguire il mirroring di tutti i dati copiati su periferiche di memorizzazione esterna, stampati o trasferiti tramite la rete o le porte seriali e parallele. DeviceLock può inoltre dividere le immagini ISO prodotte dai masterizzatori CD/DVD/BD nei file separati originali, grazie alla raccolta automatica eseguita da DeviceLock Enterprise Server (DLES). Una copia completa dei file può essere salvata nel database SQL o su un database condiviso protetto gestito da DLES. Le attività di shadowing possono essere pre-filtrate come con i controlli standard, al fine di limitare la quantità di dati raccolti. Le funzionalità di controllo e shadowing di DeviceLock sono state progettate per garantire un utilizzo efficiente delle risorse di trasmissione e memorizzazione con la compressione dei flussi, l'impostazione del traffico per la qualità del servizio (QoS), le impostazioni di prestazioni/quote e la selezione automatica del server DLES ottimale. La tecnologia di filtraggio del contenuto di ContentLock rende la funzionalità di data shadowing di DeviceLock ancora più efficiente, scalabile e intelligente. Lo shadowing dei dati basato sul contenuto è supportato per tutti i canali dei dati di endpoint, incluse le periferiche di memorizzazione rimovibili e Plug-and-Play, le comunicazioni di rete, le sincronizzazioni locali con gli smartphone supportati e la stampa di documenti. È possibile eseguire lo shadowing delle trasmissioni in entrata e in uscita in via condizionale. Grazie al pre-filtraggio del contenuto per gli oggetti di dati di dimensioni potenzialmente elevate prima dello shadowing nel registro, DeviceLock riduce le dimensioni dei flussi selezionando solo gli oggetti che contengono informazioni importanti per le attività di post-analisi come le verifiche della conformità della protezione, le indagini sugli incidenti e le analisi di tipo "cyber-forensic".

Prevenzione della perdita di dati su dispositivi mobili. DeviceLock consente di impostare attività granulari di controllo degli accessi, verifica e impostazione delle regole di shadowing per i dispositivi mobili con sistemi operativi Windows Mobile, iPhone OS e Palm OS. È possibile impostare centralmente le autorizzazioni con un elevato livello di granularità, definendo i tipi di dati che determinati utenti e/o gruppi sono autorizzati a sincronizzare tra i PC aziendali e i dispositivi personali mobili, ad esempio file, immagini, calendari, e-mail, attività e note. DeviceLock rileva la presenza dei dispositivi mobili che tentano di accedere alle porte tramite le interfacce USB, COM, IrDA o Bluetooth.

Network-Awareness. Gli amministratori possono definire diversi criteri di protezione online od offline per lo stesso account utente. Ad esempio, un'impostazione consigliata e spesso necessaria sul laptop di un utente consiste nel disattivare la funzionalità Wi-Fi quando mentre il dispositivo è collegato alla rete aziendale e di attivarla mentre è scollegato.

Integrazione con la crittografia sulle periferiche rimovibili. DeviceLock adotta un approccio di integrazione aperto rispetto alla crittografia dei dati caricati sulle periferiche rimovibili. Gli utenti hanno la possibilità di utilizzare la soluzione di crittografia che si adatta meglio ai propri scenari di protezione, scegliendo tra le migliori tecnologie del settore, vale a dire: Windows BitLocker To Go™, PGP® Whole Disk Encryption per la crittografia standard certificata FIPS; TrueCrypt® per la crittografia Open Source, software SafeDisk®, SecurStar® DriveCrypt Plus Pack Enterprise (DCPPE) e le unità USB flash delle serie S1100/S3000 per le periferiche rimovibili pre-crittografate. Inoltre, tutti i dispositivi USB pre-crittografati possono essere autorizzati in maniera selettiva con un utilizzo strettamente controllato. DeviceLock consente di specificare regole di accesso discrete per le partizioni crittografate e non crittografate di tali dispositivi.

Search Server. DeviceLock Search Server consente di eseguire ricerche full-text tra i dati memorizzati in DeviceLock Enterprise Server. È possibile eseguire ricerche full-text per trovare i dati che normalmente non vengono individuati ricorrendo ai filtri nei visualizzatori di registro. La funzionalità di ricerca full-text è particolarmente utile quando si desidera cercare le copie shadow dei documenti sulla base del loro contenuto. DeviceLock Search Server può riconoscere, indicizzare, cercare e mostrare automaticamente i documenti in numerosi formati, tra cui: Adobe Acrobat (PDF), Ami Pro, archivi (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (documenti, fogli elettronici e presentazioni), Quattro Pro, WordPerfect, WordStar e tanti altri ancora.

 

device lock1

Funzioni estese di DeviceLock®

Anti-keylogger. DeviceLock rileva i keylogger USB e blocca le tastiere collegate agli stessi. Inoltre, DeviceLock offusca i caratteri digitati dalle tastiere PS/2 e costringe i keylogger a registrare dati falsi al posto delle reali battute.

Monitoraggio. DeviceLock Enterprise Server è in grado di monitorare i computer remoti in tempo reale, verificando lo stato di DeviceLock Service (attivo o meno) e l'uniformità e l'integrità dei criteri. Le informazioni dettagliate vengono inserite in un registro di monitoraggio. È inoltre possibile definire una serie di criteri principali da applicare automaticamente in tutti i computer remoti, se si sospetta che in questi ultimi i criteri siano obsoleti o danneggiati.

Supporto RSoP. È possibile usare lo snap-in Gruppo di criteri risultante standard di Windows per visualizzare i criteri di DeviceLock attualmente applicati e per conoscere la politica giusta da applicare in una determinata situazione.

Elaborazione di batch. Consente di definire rapidamente e in maniera uniforme le impostazioni per una classe di computer simili, dotati di dispositivi simili (ad esempio tutti i computer dispongono di porte USB e unità CD-ROM), in una rete di grandi dimensioni. DeviceLock Service può essere installato o aggiornato automaticamente su tutti i computer di una rete usando DeviceLock Enterprise Manager.

Rapporto autorizzazioni. Consente di generare un rapporto contenente le autorizzazioni e le regole di controllo applicate su tutti i computer di una rete.

Rapporto sui dispositivi Plug and Play. Consente di generare un rapporto sui dispositivi USB, FireWire e PCMCIA collegati e non collegati ai computer della rete.

Impostazione del traffico. DeviceLock consente di definire i limiti della larghezza di banda per l'invio di registri di controllo e di copie shadow da DeviceLock Service a DeviceLock Enterprise Server, contribuendo alla riduzione del carico di rete.

Compressione dei flussi. È possibile impostare DeviceLock affinché comprima i registri di controllo e lo shadowing dei dati da DeviceLock Service a DeviceLock Enterprise Server. In tal modo è possibile ridurre le dimensioni dei dati trasferiti e, di conseguenza, il carico di rete.

Selezione del server ottimale. Per un trasferimento ottimale dei registri di controllo e del data shadowing, DeviceLock Service può selezionare automaticamente il DeviceLock Enterprire Server più veloce da un elenco di server disponibili.