Аудит, теневое копирование и алерты (для устройств)

Между назначением прав доступа и заданием правил аудита, теневого копирования и оповещений нет значительной разницы, поэтому мы рекомендуем вам прочитать раздел Разрешения.

Сервис DeviceLock может использовать стандартную подсистему ведения протоколов событий (Windows Event Log) для регистрации информации об устройствах. Это особенно важно для системных администраторов, поскольку они могут использовать любое программное обеспечение для просмотра журнала аудита DeviceLock. Вы можете, к примеру, использовать стандартную программу Просмотрщик событий. Также Сервис DeviceLock может использовать собственный защищённый журнал. Данные из этого журнала передаются на DeviceLock Enterprise Server для централизованного хранения в базе данных. Чтобы указать, в какой из двух журналов следует сохранять данные аудита, используйте параметр Тип журнала аудита группы Настройки сервиса.

Чтобы задать правила для типа устройства, выделите его (для одновременного выделения нескольких типов устройств используйте клавиши Ctrl и/или Shift) и выберите команду Установить аудит, теневое копирование и алерты из контекстного меню, либо используйте соответствующую кнопку на панели инструментов.

Для каждого устройства можно протоколировать два типа попыток доступа:

• Разрешенные - все попытки доступа, которые были разрешены Сервисом DeviceLock, т.е. пользователю был предоставлен доступ к устройству.

• Запрещенные - все попытки доступа, которые были заблокированы Сервисом DeviceLock, т.е. пользователю был запрещён доступ к устройству.

Для того чтобы включить протоколирование одного или обоих типов доступа, установите флажки Аудит разрешений и/или Аудит запретов. Для того чтобы включить оповещения об успешных и/или неудачных попытках доступа к устройству, установите флажки Алерт разрешений и/или Алерт запретов. Все эти флажки не имеют логической привязки к отдельным учётным записям пользователей или групп, они влияют на весь тип устройства.

DeviceLock рассылает оповещения с учетом настроек оповещений. В этих настройках задается адресат и причина отправки оповещений. Перед тем, как включить оповещения для определенных событий, задайте настройки оповещений в группе Настройки сервиса.

Имена пользователей и групп пользователей, назначенных данному типу устройства, отображаются в списке учётных записей в левой верхней части диалогового окна Аудит, теневое копирование и алерты.

Чтобы добавить нового пользователя или группу пользователей в список учётных записей, нажмите на кнопку Добавить. Вы можете добавить несколько учётных записей одновременно.

Для удаления учётных записей из списка используйте кнопку Удалить. Используя клавиши Ctrl и/или Shift, вы можете выбирать и удалять несколько записей одновременно.

Чтобы установить для устройства правила аудита и теневого копирования по умолчанию, необходимо использовать кнопку По умолчанию. Правила по умолчанию заданы следующим образом: права аудита Чтение и Запись включены для локальной группы Пользователи и учётной записи Все, а теневое копирование для них отключено.

Используя специальный элемент управления для выбора времени, вы можете задать период, когда правило для выбранного пользователя или группы будет (или не будет) активно. Элемент управления для выбора времени расположен в правом верхнем углу диалогового окна Аудит, теневое копирование и алерты. Используйте левую кнопку мыши для выбора времени, когда правило активно. Для выбора времени, когда правило неактивно, используйте правую кнопку мыши. Вы также можете использовать клавиатуру: стрелки для навигации и пробел для переключения между активным/неактивным состоянием.

Чтобы определить, какие действия пользователя должны быть запротоколированы или на какие действия будут рассылаться оповещения, установите соответствующие права. В левой верхней части диалогового окна в области Пользователи выберите добавленного пользователя или группу. На левой нижней панели диалогового окна в области Права пользователя выберите Разрешено или Запрещено, чтобы включить или отключить право. 

Все права разделены на три группы: Аудит,Теневое копирование и Алерт. Каждая группа имеет свой собственный набор прав:

- Аудит - права, принадлежащие этой группе, отвечают за запись действий пользователей в журнал аудита.

Примечание: Пока не установлен флажок Аудит разрешений или Аудит запретов, протоколирование для данного типа устройств в журнал аудита выполняться не будет, несмотря на наличие правил аудита.

Протоколирование в журнал аудита также отключается для устройств, которые находятся в белом списке, а также для целого класса устройств, если контроль доступа к устройствам этого класса выключен в дополнительных настройках безопасности.

• Чтение - протоколируются все попытки пользователя читать данные. Для типов устройств BlackBerry, Bluetooth, FireWire-порт, ИК-порт, Параллельный порт, Последовательный порт, USB-порт и WiFi Вы можете установить это право только в том случае, если установлено право Запись из группы Аудит.

• Запись - протоколируются все попытки пользователя записывать данные. Для типов устройств BlackBerry, Bluetooth, FireWire-порт, ИК-порт, Параллельный порт, Последовательный порт, USB-порт и WiFi Вы можете установить это право только в том случае, если установлено право Чтение из группы Аудит.

• Форматирование - протоколируются все попытки форматирования и любой другой прямой записи на устройство. Данное право применимо только к типам Гибкий диск, Жесткий диск и Съемные устройства.

• Печать - протоколируются все попытки пользователя посылать документы на принтеры. Данное право применимо только к типу Принтер.

• Выполнение - протоколируются все попытки пользователя удалённо выполнить код на стороне устройства. Данное право применимо только к типу Windows Mobile.

• Чтение не файлов - протоколируются все попытки пользователя читать не файловые объекты (календарь, контакты, задачи и т.п.). Данное право применимо только к типам iPhone-устройства, Windows Mobile и Palm.

• Запись не файлов - протоколируются все попытки пользователя записывать не файловые объекты (календарь, контакты, задачи и т.п.). Данное право применимо только к типам iPhone-устройства, Windows Mobile и Palm.

• Копирование - протоколируются все попытки пользователя вставить данные из буфера обмена и сделать снимки экрана. Данное право применимо только к типу Буфер обмена.

• Чтение с подключенного диска - протоколирование всех попыток чтения данных с подключенных дисков в терминальной сессии. Применимо только к типу ТС-устройства.

• Запись на подключенный диск - протоколирование всех попыток записи данных на подключенные диски в терминальной сессии. Применимо только к типу ТС-устройства.

• Доступ к последовательному порту - протоколирование всех попыток доступа к последовательным портам во время терминальной сессии. Применимо только к типу ТС-устройства.

• Доступ к USB-устройствам - протоколирование всех попыток доступа к USB-устройствам во время терминальной сессии. Применимо только к типу ТС-устройства.

• Буфер обмена входящие данные - протоколирование всех попыток вставки различных типов данных (текстовых, графических, аудио, файлов и других) из буфера обмена в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.

• Буфер обмена исходящие данные - протоколирование всех попыток вставки различных типов данных (текстовых, графических, аудио, файлов и других) из буфера обмена из окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.

- Теневое копирование - права, принадлежащие этой группе, отвечают за запись действий пользователей в журнал теневого копирования.

• Чтение - включается теневое копирование для всех данных, считываемых пользователем. Применимо только к типу MTP.

• Запись - включается теневое копирование для всех данных, записываемых пользователем. Данное право применимо только к типам устройств Оптический привод, Гибкий диск, iPhone-устройства, MTP, Параллельный порт, Съемные устройства, Последовательный порт, Windows Mobile и Palm.

• Форматирование - включается теневое копирование для всех "сырых" данных, записываемых пользователем через прямой доступ к устройству (например, форматирование). Данное право применимо только к типам Гибкий диск и Съемные устройства.

• Печать - включается теневое копирование для всех документов, посылаемых на принтеры. Позже теневые копии этих документов могут быть просмотрены с помощью просмотрщика принтеров DeviceLock. Данное право применимо только к типу Принтер.

• Запись не файлов - включается теневое копирование для всех не файловых объектов (календарь, контакты, задачи и т.п.), записываемых пользователем. Данное право применимо только к типам iPhone-устройства, Windows Mobile и Palm.

• Копирование - включает теневое копирование данных, вставленных из буфера обмена, а также скриншотов. Применимо только к типу Буфер обмена. 

• Буфер обмена входящие данные - разрешает теневое копирование данных из буфера обмена, вставленных в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства. 

• Буфер обмена исходящие данные - разрешает теневое копирование данных из буфера обмена, вставленных из окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.

- Алерт - права, принадлежащие этой группе, отвечают за оповещения.

Примечание: Пока не установлен флажок Алерт разрешений или Алерт запретов, оповещения для данного типа устройств рассылаться не будут, несмотря на наличие установленных правил.

• Чтение - оповещение для всех попыток пользователя читать данные. Для типов устройств BlackBerry, Bluetooth, FireWire-порт, ИК-порт, Параллельный порт, Последовательный порт, USB-порт и WiFi Вы можете установить это право только в том случае, если установлено право Запись из группы Алерт.

• Запись - оповещение для всех попыток пользователя записывать данные. Для типов устройств BlackBerry, Bluetooth, FireWire-порт, ИК-порт, Параллельный порт, Последовательный порт, USB-порт и WiFi Вы можете установить это право только в том случае, если установлено право Чтение из группы Алерт.

• Форматирование - оповещение для всех попыток форматирования и любой другой прямой записи на устройство. Данное право применимо только к типам Гибкий диск, Жесткий диск и Съемные устройства.

• Печать - оповещение для всех попыток пользователя посылать документы на принтеры. Данное право применимо только к типу Принтер.

• Выполнение - оповещение для всех попыток пользователя удалённо выполнить код на стороне устройства. Данное право применимо только к типу Windows Mobile.

• Чтение не файлов - оповещение для всех попыток пользователя читать не файловые объекты (календарь, контакты, задачи и т.п.). Данное право применимо только к типам iPhone-устройства, Windows Mobile и Palm.

• Запись не файлов - оповещение для всех попыток пользователя записывать не файловые объекты (календарь, контакты, задачи и т.п.). Данное право применимо только к типам iPhone-устройства, Windows Mobile и Palm.

• Копирование - оповещение для всех попыток пользователя вставить данные из буфера обмена и сделать снимки экрана. Данное право применимо только к типу Буфер обмена.

• Чтение с подключенного диска - оповещение для всех попыток чтения данных с подключенных дисков в терминальной сессии. Применимо только к типу ТС-устройства.

• Запись на подключенный диск - оповещение для всех попыток записи данных на подключенные диски в терминальной сессии. Применимо только к типу ТС-устройства.

• Доступ к последовательному порту - оповещение для всех попыток доступа к последовательным портам во время терминальной сессии. Применимо только к типу ТС-устройства.

• Доступ к USB-устройствам - оповещение для всех попыток доступа к USB-устройствам во время терминальной сессии. Применимо только к типу ТС-устройства.

• Буфер обмена входящие данные - оповещение для всех попыток вставки различных типов данных (текстовых, графических, аудио, файлов и других) из буфера обмена в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.

• Буфер обмена исходящие данные - оповещение для всех попыток вставки различных типов данных (текстовых, графических, аудио, файлов и других) из буфера обмена из окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.

• Перевести на английский