以導入控管周邊裝置軟體來與Windows AD相比,它對於USB埠及其他連接埠的管理較具彈性,並且可整合GPO、AD。現在的企業為了要兼顧資料使用上的彈性及安全性,對於USB埠的管控,將不只是單純的開或關,而是有一些更為細膩的政策可供企業套用。

市面上很多的控管周邊軟體,例如DeviceLock、GFI EndPointSecurity、精品X-FORT等,還能夠設定USB裝置的寫入/讀取設定,有些企業會將隨身碟供內部的某些人員使用,而其他的人員則不得使用,這時企業就能以設定白名單的方式,將允許使用的隨身碟,以辨識該外接裝置的ID及序號的方式,寫入系統的白名單內。

這樣一來,當這支在白名單內的隨身碟,要存取電腦內的資料時,就不會受到周邊裝置控管軟體的阻撓。

反之,沒有加入白名單的隨身碟,意味著沒有存取資料的權限,當這樣的隨身碟插入電腦時,軟體就會對這支隨身碟,執行拒絕存取的動作。

而市面上不僅是周邊控管軟體能做這些功能,現在有一些企業版的防毒軟體,例如Kaspersky Endpoint Security及Symantec Endpoint Protection,它們能透過USB埠連接的裝置,進行拒絕寫入或讀取的相關設定,讓對於欲封鎖周邊連接埠的企業來說,除基本的控管功能外,對於外來的病毒入侵,也可以發揮一定的效用。

精品科技研發二部經理陳弘儒表示,目前周邊裝置控管技術來說,將不只是針對本機的USB埠做設定,在本機裝置管理員裏頭的各個使用USB埠的裝置,也能依類別來分別管理,像是USB網路卡、USB藍牙裝置等。

陳弘儒還提到,當企業欲購買大量隨身碟,供企業內部使用時,可以請製造商定義一組流水序號,這樣一來,周邊裝置管理系統就可以依照這組特別序號,來將這批隨身碟加以控管,在日後企業控管這類儲存裝置時,會比較方便。

還有一件事值得注意,是周邊裝置控管系統需部署代理程式到員工電腦上,因此,對於作業系統的相容性很重要。過去這類系統中,有些產品並不相容於64位元Windows,直到最近幾年才開始支援。而隨著微軟推出Windows 8,企業未來勢必也會逐漸要求周邊控管系統,去支援新版Windows,因此若想要建置這類系統,需注意廠商對這方面的支援。

圖上為卡巴斯基企業版防毒軟體,圖下為精品科技X-FORT,它們能夠對USB埠進行管控,也能進一步辨識該裝置的ID做控管。


優:可部分實施開啟與關閉USB埠,管理彈性較佳

缺:封鎖政策須實行,否則效果有限

建置時間:軟體部署加上制訂政策,實際上線需約1個月

所需成本:每位使用者每年的授權費用約500~1,300元


相關報導請參考「徹底搜查!封鎖USB 2012 最新13招」

熱門新聞

Advertisement