Администраторы DeviceLock


 

Стандартная защита основана на списке управления доступом (ACL) Windows. Пользователь без локальных административных привилегий не может подключиться к Сервису DeviceLock, изменить его настройки или удалить его. Все это контролируется подсистемой безопасности Windows.

 

Для включения стандартной защиты, основанной на ACL, установите флажок Включить безопасность по умолчанию.

 

Пользователи с правами локального администратора (члены локальной группы Администраторы) могут подключаться к Сервису DeviceLock, используя консоль управления и изменять настройки разрешений, аудита и другие параметры. Более того, такие пользователи могут удалить DeviceLock со своих компьютеров, отключить или остановить Сервис DeviceLock, изменить значения ключей реестра агента, удалить исполняемый файл агента и так далее. Другими словами, пользователи с правами локального администратора могут обойти стандартную систему защиты, основанную на ACL.

 

Однако, даже если пользователи вашей сети имеют административные привилегии на локальных компьютерах, DeviceLock способен обеспечить необходимый уровень защиты. Когда защита DeviceLock включена, никто, исключая авторизованных администраторов, не может подключаться к Сервису DeviceLock, останавливать или удалять его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту DeviceLock.

 

Для включения защиты DeviceLock снимите флажок Включить безопасность по умолчанию.

 

Затем вам необходимо определить авторизованные учётные записи (пользователей и/или группы), которые могут администрировать Сервис DeviceLock. Для того чтобы добавить нового пользователя или группу в список авторизованных учётных записей, нажмите кнопку Добавить. Одновременно можно добавить несколько учётных записей.

 

Для удаления записи из списка используйте кнопку Удалить. Используя клавиши Ctrl и/или Shift, вы сможете выделить и удалить несколько записей одновременно.

 

Чтобы определить, какие действия разрешены администратору DeviceLock, установите соответствующие права:

 

 

 

 

Примечание: Мы настоятельно рекомендуем, чтобы учётные записи, включенные в этот список, имели привилегии локального администратора, поскольку в некоторых ситуациях (установка, обновление и деинсталляция Сервиса DeviceLock) может потребоваться доступ к Windows Service Control Manager (SCM) и общим сетевым ресурсам.

 

Вот один пример того, как правильно определить список администраторов DeviceLock: добавьте группу Администраторы домена с правами Полный доступ. Группа Администраторы домена является членом локальной группы Администраторы на каждом компьютере домена, все члены группы Администраторы домена будут иметь полные права доступа к Сервису DeviceLock на каждом компьютере. Однако остальные члены локальной группы Администраторы не будут иметь возможности администрировать Сервис DeviceLock или останавливать его.

 

Также с помощью флажка Включить защиту от отключения можно включить дополнительную защиту против программ для обнаружения и удаления руткитов, которые могут быть преднамеренно использованы для отключения Сервиса DeviceLock. Когда этот вид защиты включён, DeviceLock Driver контролирует целостность кода, и в случае обнаружения нарушения DeviceLock заставляет Windows завершить работу с неустранимой ошибкой (BSOD).

 

Примечание: Некоторые антивирусы, брандмауэры и другое низкоуровневое программное обеспечение сторонних производителей может конфликтовать с защитой от антируткитов, что может вызывать неустранимые ошибки (BSOD). Рекомендуется включать этот вид защиты только после предварительного тестирования системы.

 

Установите флажок Предотвращать изменения в системных файлах настроек, чтобы Сервис DeviceLock автоматически защищал файл Hosts в Windows.

 

Примечание: Поскольку DeviceLock использует для разрешения имен локальный файл Hosts, злоумышленник с правами локального администратора может изменить этот файл, чтобы обойти политику безопасности DeviceLock. В целях безопасности рекомендуется защитить файл Hosts с помощью функции Предотвращать изменения в системных файлах настроек.

 

Кроме того, установив или сняв флажок Использовать усиленную проверку целостности, вы можете задать тип проверок целостности. Определить повреждения в исполняемых файлах Сервиса DeviceLock можно двумя способами: