Cómo controlar el uso de memorias USB con Centennial DeviceWall

2 11 2007

Para evitar fugas de información y cumplir con la LOPD, las empresas deben controlar el uso de lápices USB y otros dispositivos similares en los que podría copiarse al momento una gran cantidad de datos.

Existen varias aplicaciones que se ocupan de esto. En este documento explico cómo hacerlo usando el software Centennial DeviceWall.

Descripción

Centennial DeviceWall es un software que permite controlar y restringir la salida de la información en la empresa a través de medios de almacenamiento extraíbles como lápices USB, MP3, teléfonos móviles, y también dispositivos Bluetooth, CD’s, disquetes, PDA’s …. e incluso impresoras y escáneres, permitiendo también identificar con exactitud de qué dispositivo se trata (Ipod, Blackberry, etc).

Permite también encriptar la información que se transfiere a estos dispositivos extraíbles en caso de que sea necesario que ciertas personas lleven en ellos información de la empresa, en previsión de que en caso de pérdida u olvido, los datos caigan en manos de terceros.

Este software lo distribuye en España la empresa Ireo y el precio es de aproximadamente 700€ para 25 clientes. Podemos descargar una demo completa de 30 días aquí

Requisitos

DeviceWall es un software consta de un servidor (Policy Control Center) con su base de datos y los clientes (Client Agent), que hay que instalar en cada una de las máquinas que queramos controlar.

Requisitos para el servidor: Windows 2000, XP o 2003. IP estática, y SQL 2000 o SQL 2005; si no se dispone, se puede usar la base de datos MSDE que integra el software .

Requisitos para el cliente: Windows NT, 2000, XP o 2003. El sistema operativo ha de estar instalado sobre un volúmen NTFS.

Instalación

Servidor: al comienzo del proceso nos pedirá el nombre de la empresa y la clave de instalación, que se nos envía por correo electrónico a la dirección que hemos puesto en el formulario de descarga de la Demo. Haremos la instalación por defecto, que instala MSDE para albergar la base de datos de la aplicación.

Abrimos el Control Center y lo primero que sale es un asistente, Policy Wizard. Conviene por el momento seleccionar “Allow access to all device classes for all users (this is the Open Policy)”, que por el momento no restringirá nada pero sí monitorizará los accesos. Siguiente. Seleccionamos “Deploy the DeviceWall Client Service later ” en la pantalla que permite en teoría lanzar la instalación del cliente a los equipos de la red.

Cliente: la instalación del cliente se hace mediante el propio Control Center, y se puede hacer de diversas formas, indicando la lista de IP’s de los clientes, navegando por el dominio, usando los equipos de Active Directory, por nombre de los equipos, etc.

Si el cliente tiene algún tipo de Firewall habrá que desactivarlo/configurarlo para la instalación y el uso de Devicewall.

En nuestro caso, vamos a Tools->Deploy Client Service y elegimos Browse Active Directory. Posteriormente, pinchamos en Browse y en del contenedor Computers añadimos los equipos en los que queremos instalar el cliente.

A continuación click en Deploy y comenzará la instalación en los clientes elegidos. Cuando finalice, en las máquinas cliente aparecerá el icono en la barra de tareas y un mensaje emergente que indica que es necesario reiniciar la máquina:

Volviendo al Control Center, en la parte de Audit Log podemos ver infinidad de información, como los dispositivos de la máquina, los intentos de acceso permitidos/bloqueados, los accesos a archivos agrupados por extensión, etc.

Configuración

Hay dos formas de configurar los permisos: usando el Default Policy Wizard para restringir a todos los usuarios a la vez, o bien configurar manualmente para cada clase de dispositivo una lista de usuarios o grupos confiables (trustee list).

Vamos a usar el asistente para, por ejemplo, prohibir que en un PC se pueda leer, pero no escribir datos en un pendrive. Nos vamos a Tools->Default Policy Wizard. Si elegimos “Deny access to all device classes to all users” bloqueará el acceso, lectura y escritura sobre todos los dispositivos: CD’s, disquetes, memorias usb, PDA’s, WiFi… En este caso vamos a elegir “Set access to individual device classes” para elegir exactamente en la siguiente pantalla que se prohiba acceder a memorias USB’s y unidades de CD/DVD.

Una vez configuradas las opciones, o tras una actualización de la configuración, es necesario transferir esta a los clientes, haciendo click en el botón , donde podremos elegir los clientes a los que transferir esta configuración, normalmente a todas las máquinas. Una vez finalice la actualización, los clientes no podrán acceder a aquellos dispositivos a los que hemos prohibido el acceso, mostrándoles un mensaje de error y guardando registro del intento de acceso.

Permitir acceso temporal a los dispositivos

Puntualmente podemos necesitar que los usuarios sí que tengan acceso a lo que les hemos prohibido acceder. Para ello, los usuarios pueden solicitar un acceso temporal, haciendo click en el icono DeviceWall Tools de su escritorio y seleccionando “Create temporary access code”. Les saldrá una ventana con un código que tendrán que darle al administrador para que genere un contracódigo que les habilite el acceso.

El administrador deberá entonces acceder a Tools->Launch Temporary Access Tool; lo primero será elegir si desea habilitar el acceso a todos los dispositivos o sólo a alguno de ellos. A continuación podrá elegir durante cuánto tiempo permitirá este acceso; por defecto se permitirá en la sesión activa de Windows. En la siguiente pantalla seleccionar “Verbal Key Exchange” y poner la clave dada por el usuario; se generará la contraclave que le tendremos que facilitar al usuario para concederle el acceso. Si elegimos “Deploy Now”, podremos conceder este acceso seleccionando simplemente los PC’s a los que queremos conceder temporalmente el acceso.

Notas

  • El software de cliente no aparece en Instalar y desinstalar programas
  • Los usuarios pueden utilizar la aplicación para encriptar los datos de un pendrive, y para ello deberán contar con permisos para poder formatearlos con FAT32. Si las políticas que hemos configurado sólo permiten dispositivos encriptados, se mostrará un mensaje y deberán formatear los no encriptados cuando sean detectados. En este caso el administrador podrá elegir el algoritmo de encriptación, y si se usa una única clave global, o una clave para cada usuario. Esta clave podrá ser usada para acceder al pendrive desde cualquier equipo que tenga instalado DeviceWall.

Acciones

Information

2 responses

29 11 2007
Javier Ortiz

Hola, no se quien ha escrito este documento, pero es genial ya que se cumple todo lo dicho totalmente. lo he probado y comprado (IREO es el Importador oficial http://www.ireo.com), aunque lo tuve que adquirir a traves de mi distribuidor de informatica. Solo decir que he terminado con todos los quebraderos de cabeza en cuanto a uso de dispositivos extraibles: camaras, pen, cd´s, etc y desde IREO me han aconsejado 3 productos complementarios (para cerrar el circulo) y ahora no se escapa ni un solo dato sin control de mi empresa. A todos los que os interese los otros productos que he evaluado y me han convencido son: Mail Marshal ( para el correo), Web Marshal (navegacion y un monton de cosas mas) y para mi la joya de la corona= AKONIX que me controla en todos los usuarios tanto mensajeria (usamos internamente mesenguer o skype) como temas P2p y me traslada todas mis politicas internas a los portatiles de los comerciales (que antes era un sinvivir).

Osea que lo recomiendo, porque me permite irme a casa tranquilito y a mi hora😉
lo tengo instaladado con 30 pcs de sobremesa, y 5 portatiles.
ciao
javier

5 04 2008
Jaime

hola saludos les queria decir si me podrian mandar el instalador para mi bluetooh centennial…se me rompio el CD y no lo instale y ahora no lo puedo usar si me podrian ayudar enviando el instalador…o simplemente dejandome un mensaje a mi msn…para saber q puedo aser..gracias..soii.sincero@hotmail.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: