McAfee Device Control Manager İzlenimleri
· Bilgisayar üzerinde tanımlı tüm donanım, aygıt ve çevre birimlerine müdahale edilebiliyor. (Monitör, Ses Kartı vb...)
· Yazılımın AD ile senkronizasyonu olduğundan, AD de yer alan grup ve kişilere özel yetki ve izinler yada yasaklamalar atanabiliyor.
· USB disklere özel sadece “Okuma” yetkisi verilebiliyor.
· CD veya DVD Rw ler CD Rom gibi gösterilebiliyor. Yada diğer aygıt ve donanımlar gibi tamamen yasaklanabiliyor.
· İzni olmayan aygıtın kullanımı, kullanıcıya verilen bir kod ile 1 dakika ile 30 gün arasında aktif hale getirilebiliyor.
o Bu işlem terminalde oluşturulan bir kodun ePO tarafına girilerek karşı kod üretmesi ve üretilen yeni kodun Terminale girilmesiyle mümkün oluyor. (Resim 1) de DLP Agent üzerine Klik’ lenir (Sağ&Sol) Yeşil çizgizle belirtilen menüye tıklanır. Relase code ekranı açılır Pembe ile taranmış alan hazırda gelir. Her açma kapama işleminde Pembe taralı alan yeni bir anahtar üretir. Bu anahtar DLP yöneticisine bildirilir.
Resim 1
o DLP Yöneticisi aşağıdaki gibi (Resim 2) ilgili menüyü açar.
Resim 2
o DLP Yöneticisi ekranında aşağıda görüldüğü (Resim 3)gibi işlem yapar.
§ İlgili alanlar Log detayları için doldurulur.
§ (Resim 1) deki pembe taralı alandaki anahtar (Resim 3) deki yeşil alana yazılır.
§ Kullanıcıya izin verilecek zaman belirlenir.
§ (Resim 3) deki pembe alana tıklanarak yine (Resim 3) deki yeşil alan elde edilir.
§ (Resim 3) deki yeşil alan kullanıcıya söylenir. Kullanıcı bu anahtarı (Resim 1) deki Sarı alana girer.
Resim 3
· Kullanıcı isterse yazılımın engellediği Aygıtları “Windows Windows Aygıt Yöneticisi”’ nden görebilir.
· Ürün sayesinde yapılan politikalar Kurum içi yada Kurum dışında veya her iki durum için, beraberce uygulanabiliyor. (örneğin Wi/Fi nin çalışması yada İzin verilen bir USB nin Kurum içinde çalışabilir olması ancak Kurum dışında engelli olması)
· Ürün diğer McAfee paketleri gibi yüklenebilmektedir. ePO üzerinde alışılmış düzen aynen devam ediyor.
o Terminallere yüklenenmesi gereken (Epodan gönderilen) yazılımın büyüklüğü 32bit için 47Mb. 64bit için 62Mb. dır.
o Yükleme sonrası paketin devreye girebilmesi için pc nin reboot edilmesi gerekmektedir.
· Ürün ile kısıtlanmak istenen Aygıt yada donanımlar yetersiz ise, ( hazır gelen listeyi aşağıda görebiliriz) manuel eklenebilen Aygıtlar sayesinde istenen kısıtlamalar yapılabilir.
o Kısıtlama yapılmak istenen aygıt aşağıdaki örnek benzeri şeklinde yasaklanabiliyor. (Biz örneğimizi, kullanıcı bilgisayarında Iphone’ un engellenmesi olarak yapacağız J) Bu engeli uygularsanız Kullanıcı Iphone’ u PC den şarj edemez.
§ Windows Aygıt yöneticisi açılır,
§ Yasaklanmak istenen aygıt üzerine tıklanarak özellikler seçilir.
§ İlgili donanım seçilir ve özelliklerine girilir.
§ “Details” tabından “Display Name” seçilir ve “Value” not edilir.
§ DLP ‘de “Device Management” tabından “Device Definitions” seçilir. Sağ tık yapılarak “Add New” seçilir (Resim 5) ve Mavi okla gösterilen pembe taralı alana tıklanır. Kırımızı okla gösterilen “Iphone” oluşturulur.
Resim 5
§ Oluşturulan “Iphone” ye çift tıklanarak içine girilir (Resim 6)
· “Device Name” seçilir.
· “Details” tabından “Display Name” seçilip “Value”’si not edilen bilgi “Add New” diyerek (Resim 6) daki sarı taralı alana girilir.
· “OK” ile pencereden çıkılır.
Resim 6
· Ardından DLP “Device Rules” Tabına gidilerek ilgili başlığa “Dahil yada Hariç” tutulacağı kullanıcı yada gruplar atanır.
· Kullanıcıya, yasaklanan donanım ve aygıtlar. Geçici izin verildiğinde toplu olarak açılıyor.
· Kullanıcıya verilen geçici donanım kullanım izini süresi dolmadan geri alınamıyor. Ancak Kullanıcıya, tekrar kısa süreli Anahtar verilerek bu sorun aşılabiliyor. Burda iyi niyet devreye giriyor. J Örneğin kullanıcıya 20 dk. izin verildi ama kullanıcının işi 5 dk içinde bitti.
· ePO üzerindeki ürün sadece “İnternet Explorer 32bit” browser ile çalışabiliyor. IE 64bit yada farklı browser ler ile çalışmıyor.
· Loglar (Resim 7) deki gibi görüntülenebilirken aynı zamanda RSS ile Outlook a log ları toplamakta mümkün. (Resim 8)
Resim7
Resim 8
· Ürün aslında DLP nin bir modülü. Yapılan geliştirmeler ve ayarlar DLP geçişindede ilave bir işçilik gerekmeden çalıştırılabilir.
· İleriye doğru McAfee DLP tercih edilirse, DLP için terminaller üzerinde agent veya benzer yükleme işlemleri yapmaya gerek kalmayacak.
· İleriye doğru McAfee DLP tercih edilirse yüklenen yazılıma sadece DLP Key in girilmesi DLP nin kullanıma açılması anlamına geliyor.
UYGULAMA KULLANIMINI ENGELLEME ve LOGLAMA
· Device Control ürünü sayesinde bilgisayara bağlanan cihazları ya da iletişim kanallarını engellemek dışında usb depolama aygıtları üzerindeki exe, com, bat, msi, cgi, zip, rar gibi yaklaşık 20 adet kendiliğinden çalışabilir tipdeki doyaların çalıştırılması engellenebilir.
o Yukarda belirtilen uygulama dosyaları haricindeki dosyaları yada uzantıları MDCM ile değil AV ile engelleyebiliyoruz.
· İçeriğinde belirli bilgi (anahtar kelime ya da kelime grupları, regex’ler) olan dosyaların USB depolama cihazlarına kopyalanması izlenebilir, engellenebilir.
· USB depolama cihazlarında dosyaların belirli klasörlere kopyalanması izlenebilir. Bu yeteğene sahip olan ürün şu temel fonksiyonlara sahiptir; belirlenen adresteki dosyalara ya da belirli bir dosyaya erişimi izlemek. Kim, ne zaman, hangi uygulama ile hangi bilgisayarda bu işlemleri yaptı görmek mümkündür. Ayrıca belirlenen dosyaların içeriklerinin değişimini izlemek. Kullanıcı dosyaya ne ekledi ne sildi, neyi değiştirdi görmek mümkündür. Bütün bunlara ek olarak registry ve dosyarlar için read ve write protect kuralları yazmak mümkündür.
Örneklerle yukarda sıraladığımız maddelerin üzerinden geçelim.
· “Device Management” Menüsü altından “Whitelisted Applications” seçilir.
· Resimdeki gibi (Resim 9) “1 – 2 – 3” nolu adımlar sağ klik sonrası takip edilir.
Resim 9
· Oluşan Whitelisted in üzerine çift tıklanarak (Resim 10) daki pencere açılır. Resimde Numarandırılmış Ok işaretleri ile belirtildiği gibi tanımlamalar yapılır. Ok lenerek pencere kapatılır.
o Uygulama tanımlamaları sadece uzantı vererek olabildiği gibi (Taralı Mor alan), Direk uygulama ismi yazılarakta (Taralı pembe alan) verilebilir.
Resim 10
· “Device Managemet” altındaki “Device Rules” seçilir. Sağ kilik ile “Removable Storage File Access Rule” seçilir. (Resim 11)
Resim 11
· Oluşturulan “Removable Storage File Access Rule” a bir isim verilir. Ben örnekte “Dosyalar” dedim. Sonrasında Ekranda (Resim 12) bu engeli atamak istediğimiz Aygıtı seçiyoruz. Yada hariç tutmak istediğimiz Aygıtı belirtiyoruz. Ardından Next ‘e tıklanır.
Resim 12
· Gelen ekranda öncesinde “Whitelisted Applications” de oluşturduğumuz başlığı seçiyoruz. Veya eklemek istediğimiz yeni politika varsa ekrandan çıkıp “WhiteListed” e gitmeden “Add” diyerek yeni application politikası tanımlayabiliriz. Ardından “Next” e tıklanır. Gelen Güvenlik Ekranında ilgili Grup yada kişi seçilir.
Resim 13
· Uygulama sadece uygulanabilir dosyalar engelleyebildiği için, şayet “Mp3, Mpeg, Avi” benzeri dosyalar yasaklanmak istenirse. Bu noktada AV yazıımına baş vurmamız gerekecek. Örneğimizi McAfee AV kullandığımızı farzederek yapacağız.
o Policy lerden “Access Protection Policy” seçilir. “Access Protection” tabından “User-defined Rules” kısmına gelinir.
o “User-defined Rules” kısmından 3 farklı şekilde engelleme yapılabilir. Port, Dizin & Dosya & Uzantı ve Regedit engellemesi.
o Bu kısımdan Okuma yada yazma engellemsi ilgili rule’a verilebilir. (Resim 14)
Resim 14
· İçeriğinde belirli bilgi (anahtar kelime ya da kelime grupları, regex’ler) olan dosyaların USB depolama cihazlarına kopyalanması izlenebilir, engellenebilir. Biz örneğimizde içinde “secret” geçen dökümanları “logla ve engelle” diyeceğiz.
o Bu ayar için “DLP Policy” tabından “Content Protection” ‘a gelinir. Sağ klik ile yeni bir rule eklenir.
o Oluşturulan Rule açılır. Çıkan ekran Next ile geçilir. 2/4 adımında hazır veri işimizi görmediği için “Add item” denir ve yeni kural oluşturulur. İstersek ilgili tanımlama alanına, birden fazla içerik girebiliriz. (Resim 15)
Resim15
o Adım 4/4 te Oluşturduğumuz kriteri seçiyoruz ve “finsh” diyerek bitiriyoruz. (Resim 16)
Resim 16
o Bu işlemin ardından “Access Protection” tabından “Protection Rules” seçilerek. Yapılan kısıtlamanın hangi uygulama yada programla ilişiklendirileceği belirtilir. En son adımda ise tüm kriterlere uyan işerin ne yapılacağı belirtilir. (Blokla, Engelle, İzle, Kopyasını al)
o Yapılan bu rule’ nin detayları “DLP Monitor” tabından izlenebilir. (Resim 17)
Resim 17
Ümit GÖRÜR
Dağıtık Sistemler Departmanı | Sistem Mühendisi 1
Ugorur@anadolubank.com.tr | www.anadolubank.com.tr
(212) 368 70 00
Bu e-posta ve muhtemel eklerinde verilen bilgiler kişiye özel ve gizli olup, yalnızca mesajda belirlenen alıcı ile ilgilidir.Bu mesajda bulunan tüm fikir ve görüşler ve ekindeki dosyalar sadece adres sahip(ler)ine ait olup, Anadolubank A.Ş. hiç bir şekilde sorumlu tutulamaz.Şirketimiz mesajın ve bilgilerinin size değişikliğe uğrayarak veya geç ulaşmasından, bütünlüğünün ve gizliliğinin korunamamasından, virüs içermesinden ve bilgisayar sisteminize verebileceği herhangi bir zarardan sorumlu tutulamaz.
This message and attachments are confidential and intended solely for the individual(s) stated in this message.This email is not intended to impose nor shall it be construed as imposing any legally binding obligation upon Anadolubank A.Ş. and/or any of its subsidiaries or associated companies. Neither Anadolubank A.Ş / nor any of its subsidiaries or associated companies gives any representation or warranty as to the accuracy or completeness of the contents of this email. Anadolubank A.Ş shall not be held liable to any person resulting from the use of any information contained in this email and shall not be liable to any person who acts or omits to do anything in reliance upon it.
