«Компьютерные бизнес системы»
комплексные IT-услуги по развитию
корпоративной инфраструктуры

  +7 (495) 411-82-82      




Сравнение функционала Lumension Device Control со встроенными возможностями OC MS Windows

  Технические требования к гибкому, интеллектуальному и современному ПО для централизованного управления устройствами Lumension Device Control Windows GPO
1. Решение по управлению устройствами должно не только поддерживать управление USB-устройствами, такими как карты памяти и флэшки, но и уметь контролировать доступ к другим plug-and-play USB-устройствам, таким как Blackberries, Windows PDA/Карманные компьютеры, USB-модемы, USB-Bluetooth устройства, USB сканеры, видеокамеры, USB кардридеры и подобные.

Есть. Для простоты управления имеется 18 различных предопределённых классов устройств, которые легко могут быть разделены далее на удобные для пользователя подгруппы. Есть, но сильно ограничено. W2k3: только 4 класса устройств (CD, Floppy, LS-120, съемные USB устройства). W2k8: 6 классов устройств (CD/DVD, Floppy, съемные устройства, ленточные накопители, WPD-устройства, пользовательские). Нет "ручного" разделения на подгруппы в W2k3 and W2k8! W2k8 GPO предполагают наличие на клиентских машинах ОС Vista и выше!
2. Решение по управлению устройствами должно не только поддерживать управление USB-устройствами, но и уметь контролировать доступ к CD/DVD, Floppy, дополнительным внутренним жестким дискам, встроенным кардридерам, ZIP-накопителям и другим не-USB устройствам. Есть. Для простоты управления имеется 18 различных предопределённых классов устройств, которые легко могут быть разделены далее на удобные для пользователя подгруппы. Есть, но сильно ограничено: доступно всего несколько классов устройств (см. выше), необходимо много времени на ручную конфигурацию ID устройств. W2k8 GPO предполагают наличие на клиентских машинах ОС Vista и выше!
3. Решение по управлению устройствами должно также поддерживать управление различными интерфейсами, такими как последовательные, параллельные, инфракрасные, Bluetooth порты, беспроводные сетевые адаптеры. Есть. Полная поддержка. Ограничено. W2k8: управление устройствами только через ID устройств!
4. Решение по управлению устройствами никогда не должно блокировать обычные клавиатуры и мыши (PS/2, USB или последовательный порт). Есть. Есть.
5. Решение по управлению устройствами должно уметь определять и блокировать аппаратные килоггеры (keyloggers). Есть. Нет.
6. Решение по управлению устройствами должно работать по принципу белого списка (по умолчанию доступ запрещен) для обеспечения наивысшего уровня защиты. Есть. Максимальная безопасность посредством полного использования принципа белого списка, с удаленным сканированием устройств для заполнения белого списка. По умолчанию в Windows все разрешено (= небезопасно). W2k3: не используется принцип белого списка. W2k8: ограниченное использование принципа белого списка (для предотвращения установки устройств), которое не касается уже установленных неавторизированных устройств. Или альтернатива: использование принципа черного списка. Не имеется удаленного сканирования для пополнения списка устройств.
7. Решение по управлению устройствами должно уметь предоставлять разграниченный уровень защиты. Так, чтобы имелась возможность защищать специфические классы устройств, защищать специфические типы/брэнды устройств, либо индивидуальные устройства по их уникальному серийному номеру. Есть. Полная поддержка разграничения структуры управления. W2k3: нет. W2k8: ограничено (ID устройств из консоли Windows device manager необходимы для использования белого или черного списка; невозможно распределение уникальных устройств по конкретным пользователям). W2k8 GPO предполагают наличие на клиентских машинах ОС Vista и выше!
8. Решение по управлению устройствами должно уметь группировать индивидуальные съемные устройства. Есть. Съемные устройства можно гибко группировать и называть эти группы как удобно. W2k3: нет. W2k8: очень ограничено (несколько ID устройств из консоли Windows device manager могут группироваться в одну отдельную политику без опции переименования). W2k8 GPO предполагают наличие на клиентских машинах ОС Vista и выше!
9. Решение по управлению устройствами должно уметь различать разницу между полным доступом к устройству и доступом на чтение/запись. Есть. W2k3: нет. W2k8: есть, но только для шести доступных классов устройств.
10. Решение по управлению устройствами должно уметь давать разрешения только для избранных авторизированных CD/DVD дисков. Есть. Любое количество индивидуальных CD/DVD дисков, которые распознаются благодаря их хешам. Нет такой функции.
11. Решение по управлению устройствами должно уметь давать временные разрешения на доступ к устройству по требованию.
Есть. Нет такой опции.
12. Решение по управлению устройствами должно уметь давать систематический доступ к устройствам, доступ по расписанию.
Есть.
Нет такой опции.
13. Решение по управлению устройствами должно уметь различать online и offline разрешения.
Есть. Различные разрешения могут предоставляться в зависимости от статуса машины в сети. Нет такой опции.
14. Решение по управлению устройствами должно разрешать определенным пользователям отменять любые ограничения (корневые настройки) по доступу к устройствам.
Есть. W2k3: нет. W2k8: только администраторы могут иметь право отменять ограничения политик.
15. Применение разрешений на доступ к устройствам должно осуществляться в режиме реального времени, применяться на всю сеть, без необходимости перезагрузки клиентской машины и осуществления выхода из системы для пользователя.
Есть. Немедленное применение политик в режиме реального времени. Нет (применение GPO зависит от интервала обновления групповых политик; по умолчанию это время равно 90 мин).
16.  Должно быть возможным применение политик как по инициативе сервера (push), так и по инициативе клиента (pull), автоматически (через заданные интервалы времени) и путем импорта (offline изменения).
 Есть. Возможны все 4 режима форсирования настроек. W2k3 и W2k8: только 2 режима. Невозможно применение политик по инициативе сервера и отсутствует опция импорта. Только автоматический режим (по умолчанию) и применение политик по инициативе клиента.
17. Решение по управлению устройствами должно давать разрешения для существующих пользователей и групп пользователей и поддерживать Microsoft Active Directory (без необходимости в управлении каждым отдельным пользователем).
Есть. Есть.
18. Решение по управлению устройствами должно уметь давать различные разрешения для разных машин.
Есть. Полная поддержка политик для отдельных машин при необходимости. Ограничено (GPO применяются к сайтам, доменам либо организационным единицам, не к отдельным машинам).
19. Решение по управлению устройствами должно уметь объединять машины в группы машин (управление устройствами на основе машинных групп).

Есть. Нет (только косвенно посредством организационных единиц)
20. Решение по управлению устройствами должно уметь ограничивать входящие и исходящие файлы в зависимости от их типа (например, разрешать только копирование PDF файлов, или документов Microsoft Office, но не фалов из базы данных).
Есть. Разграничение контроля передачи файлов в зависимости от их типа. Нет контроля типа файлов для разрешенных устройств.
21.
Решение по управлению устройствами должно уметь перехватывать копируемые файлы, как по именам файлов, так и полностью по содержанию.
Есть. Нет опции теневого копирования.
22.
Решение по управлению устройствами должно уметь зашифровывать данные на съемных накопительных устройствах, таких как карты памяти или флэшки.
Есть. Возможность шифрования данных на съемных носителях. Нет опции шифрования съемных носителей.
23.
Шифрование данных на съемных носителях должно осуществляться, как централизовано (централизованное форсирование обязательного шифрования носителей), так и децентрализовано (локальное шифрование носителя пользователем по желанию).
Есть. Опция централизованного и децентрализованного шифрования. Нет.
24.
Решение по управлению устройствами должно уметь создавать зашифрованные CD/DVD диски.
Есть. Нет такой опции.
25.
Доступ к данным, зашифрованным решением по управлению устройствами, должен иметься и на незащищенных машинах вне организации посредством ввода пароля.
Есть. Нет такой опции.
26.
Решение по управлению устройствами должно уметь устанавливаться на клиентские машины в тихом режиме, автоматически, стандартными средствами, например посредством GPO, либо с помощью средств ПО сторонних разработчиков.
Есть. Клиентский установочный модуль представляет собой стандартный MSI пакет, имеется собственная утилита для развертывания. Есть (программное обеспечение для развертывания с помощью GPO не требуется)
27.
Решение по управлению устройствами должно обеспечивать иерархический режим администрирования с уровнями, охватывающими различные области конфигурации и различную детализацию логов.
Есть. Гибкие права администратора могут назначаться любому пользователю при необходимости. Ограничено. Политики могут задавать только администраторы и пользователи с делегированными правами (нет гранулированного распределения прав администраторов)
28.
Решение по управлению устройствами должно обеспечивать делегирование прав администратора из AD.
Есть. Есть.
29.
Решение по управлению устройствами должно поддерживать централизованное логирование позитивных и негативных действий пользователей на клиентских машинах.
Есть. (Централизованное логирование и отчеты). Есть. (Журнал событий Windows).
30.
Решение по управлению устройствами должно иметь простую систему отчетности для облегчения администраторам обратной связи.
Есть (планируемые отчеты и создание пользовательских шаблонов для отчетов). Нет (только с помощью средств сторонних разработчиков).
31.
Решение по управлению устройствами должно уметь логировать действия администраторов.
Есть. Не имеется отдельного журнала аудита.
32. Конечный пользователь не должен иметь возможности обойти либо удалить с клиента решение по управлению устройствами (функционирование программы на уровне ядра, опциональная возможность сделать программу невидимой как установленное ПО), даже с правами локального администратора.
Есть (различные опции деинсталляции и защиты от локальных администраторов). Ограничено и зависимо от остальных настроек (например, пользователь входит в систему локально, обходя, таким образом, запрет на USB устройства).
 

Выводы

Lumension Device Control. Проверенное ведущее решение для централизованного управления устройствами, с изобилием мощных и современных возможностей. Оно предлагает устойчивую архитектуру, легкую инсталляцию и наглядную конфигурацию. Это специализированное решение по безопасности используется тысячами компаний и государственных учреждений по всему миру. Сравнение этого решения с возможностями GPO, даже в Windows Vista и W2k8, это как сравнение велосипеда с Mercedes. Ты можешь ездить на обоих, но каково различие!

Windows GPO. Использование групповых политик для управления устройствами в среде AD не требует дополнительных затрат на лицензирование, централизованное управление в GPMC уже привычно для администраторов Windows. Но, с другой стороны, это дорого обходится с точки зрения безопасности, если учитывать множество ограничений при использовании GPO:

  1. Ограниченные классы устройств, очень мало опций конфигурирования, неудобный сбор серийных номеров устройств (ID устройств) в W2k8
  2. Нет применения политик в режиме реального времени, невозможны изменения политик для offline-клиентов, ОС Vista и выше необходимы для более новых возможностей
  3. Не имеется опций теневого копирования и шифрования, нет контроля по типам файлов, нет функции выявления килоггеров, нет выборочной авторизации CD/DVD дисков, и т.д.

Версия для печати