|
FAQ - Najczęściej zadawane pytania dotyczące programu DeviceLock Ogólne
Instalacja Rozwiązywanie problemów Różne P: Co to jest DeviceLock®?
O: DeviceLock® dla Windows NT/2000/XP i Windows Server 2003 umożliwia administratorom sieci kontrolowanie dostępu użytkowników do urządzeń (napędów dyskietek, dysków magneto-optycznych, napędów CD-ROM i DVD, napędów ZIP, USB, FireWire, portów podczerwieni, portów szeregowych i równoległych, napędów taśm, WiFi, urządzeń Bluetooth itd.) na lokalnym komputerze. Po zainstalowaniu DeviceLock® administrator może kontrolować dostęp do napędów dyskietek, napędów CD-ROM i innych urządzeń włącznie z kontrolą czasu ich używania (czas w ciągu dnia, dzień tygodnia). DeviceLock rozszerza możliwości kontroli dostępu dla administratorów systemów Windows oraz umożliwia kontrolę użytkowania napędów dysków wymiennych. DeviceLock® umożliwia ochronę sieci i lokalnych komputerów przed wirusami, końmi trojanskimi i innymi szkodliwymi programami, które mogą zaatakować system komputerowy z nośnika wymiennego. DeviceLock może chronić dyski przed przypadkowym lub nieumyślnym sformatowaniem. Administratorzy sieci mogą również używać programu DeviceLock® do opróżniania buforów urządzeń służących do przechowywania danych. P: Czy potrzebuję DeviceLock® jeśli korzystam z Group Policy?
O: Niestety standardowe rozwiązania ograniczania dostępu dostarczne z systemami Windows nie pozwalają na ustawianie praw dla portów USB i FireWire podobnie jak do urządzeń WiFi lub Bluetooth. Ktokolwiek może podłączyć małe urządzenie i skopiować setki megabajtów zastrzeżonych danych.
P: Czy mogę zainstalować DeviceLock® pod Windows NT/2000/XP jeśli nie posiadam praw administratora?
O: Nie. Nie można zainstalować DeviceLock® pod Windows NT/2000/XP nie posiadając uprawniwnień administratora. Do zainstalowania i użytkownia DeviceLock użytkownik MUSI posiadać uprawnienia administracyjne. Jeżeli użytkownik ma zamiar korzystać z DeviceLock® tylko na lokalnym komputerze musi on posiadać uprawnienia lokalnego administratora. Aby korzystać z DeviceLock® w sieci firmowej, użytkownik musi posiadać uprawnienia administratora domeny. P: Czy możliwe jest zainstalowanie DeviceLock® automatycznie (bez interwencji użytkownika)?
O: Tak. Ten typ instalacji może zostać przeprowadzony przy użyciu pliku wsadowego. Aby zainstalować usługę DeviceLock Service przy użyciu tej metody należy uruchomić program instalacyjny z parametrem /s (przykładowo: c:\setup.exe /s). Instalator jest wyposażony w specjalny plik konfiguracyjny przeznaczony dla trybu "cichej" instalacji. Plik ten nosi nazwę devicelock.ini i musi znajdować się w tym samym folderze, co plik setup.exe. Przy użyciu tego pliku można dostosować parametry procesu instalacji. Na przykład, aby dokonać instalacji wyłącznie usługi DeviceLock Service zawartość pliku devicelock.ini powinna wyglądać następująco: [Install]
Service = 1
Manager = 0
Documents = 0
Aby automatycznie zablokować urządzenia podczas procesu instalacji należy zdefiniować parametry Lock Devices. Dostęp do urządzeń będą mogli uzyskać wyłącznie członkowie specjalnych grup użytkowników Allow_Access_to_, system operacyjny (SYSTEM) i administratorzy lokalnego komputera:
[Lock Devices]
Floppy = 1
Removable = 1
CDROM = 1
Serial = 1
Parallel = 1
Tape = 1
USB = 1
IRDA = 1
FireWire = 1
Bluetooth = 1
WiFi = 1
Instalator przyznaje prawo Full Access, włączając przywileje Allow Format i Allow Eject dla systemu operacyjnego (SYSTEM) i administratorów lokalnego komputera.
Jeżeli parameter CreateGroups został włączony, instalator utworzy specjalną grupę użytkowników Allow_Access_To_ dla każdego typu urządzenia (np.: Allow_Access_To_Floppy dla napędów dyskietek). Działanie to zostanie wykonane jeżeli grupy te zostały wcześniej utworzone. Członkowie grupy Allow_Access_To_ posiadają uprawnienie Full Access, włączając przywilej Allow Eject. Nie zostaje im jednak nadany przywilej Allow Format. Jeżeli parametr CreateGroups nie zostanie włączony oraz specjalne grupy nie istnieją na lokalnym komputerze, dostęp do urządzeń będą posiadać wyłącznie administratorzy lokalnego komputera oraz system operacyjny. Przy użyciu parametru AccessTo... można określić dodatkowe konto (nazwę użytkownika, lokalną lub globalną grupę) posiadające dostęp do urządzenia (przykładowo: AccessToFloppy dla napędów dyskietek): AccessToFloppy = D1\John
Instalator przydzieli dla tego konta uprawnienie Full Access oraz przywileje Allow Format i Allow Eject.
UWAGA: Zanim konto będzie mogło zostać przydzielone do typu urządzenia musi on istnieć w systemie.
Jeżeli włączone zostaną parametry CtrlUSBHID, CtrlUSBPrint, CtrlUSBScan, CtrlUSBBth i CtrlUSBStor, DeviceLock będzie kontrolował dostęp do urządzeń typu Human Input Devices (mysz, klawiatura), drukarek, skanerów oraz still image devices, urządzeń Bluetooth oraz urządzeń do przechowywania danych podłączanych do portu USB.
Jeżeli włączony zostanie parametr CtrlFWNet, DeviceLock będzie kontrolował dostęp do kart sieciowych podłączanych do portów USB i/lub FireWire (IEEE 1394).
Jeżeli parametr CtrlSerModem zostanie włączony, DeviceLock będzie kontrolował dostęp do modemów podłączanych do portu COM.
W przeciwnym wypadku, nawet jeżeli porty zostaną zablokowane, urządzenia do nich podłączane będą działać poprawnie. Parametry te umożliwiają całkowite zablokowanie dostępu do portów COM, USB i FireWire, jednocześnie pozwalając na korzystanie z wybranych urządzeń (przykładowo z myszy podłączanej do portu USB). W celu zdefiniowania białej listy urządzeń należy użyć parametru WhiteList. Należy podać pełną ścieżkę dostępu do listy autoryzowanych urządzeń, przykładowo: WhiteList=C:\whitelist.csv
Plik ten może zostać utworzony przy użyciu przycisku Save znajdującego się w oknie USB Devices White List.
Jeżeli zakupiona została licencjonowana kopia DeviceLock, możliwe jest również określenie jej klucza licencyjnego. Dzięki temu instalator będzie mógł automatycznie zarejestrować nowe wersje usługi: RegFileDir = C:\Directory
gdzie C:\Directory jest folderem, w którym znajduje się klucz licencyjny.
Aby określić folder, w którym zainstalowany zostanie DeviceLock należy zdefiniować następujący parametr: InstallDir = C:\Program Files\DeviceLock
Aby uruchomić program (np.: przy użyciu pliku wsadowego) po pomyślnym zakończeniu instalacji, należy zdefiniować parametr Run: [Misc]Run = C:\mybatchfile.bat P: Czy możliwe jest zainstalowanie DeviceLock® przy wykorzytaniu Microsoft Systems Management Server (SMS)?
O: Tak. DeviceLock® może również zostać zainstalowany przy użyciu Microsoft Systems Management Server (SMS). W tym celu należy użyć plików definicji pakietu (DevLock.pdf dla SMS w wersji 1.x oraz DevLock.sms dla SMS w wersji 2.0 i nowszych). Pliki te zawarte są w archiwum sms.zip znajdującym się w pakiecie dystrybucyjnym DeviceLock®. P: Czy mogę zainstalować usługę DeviceLock® Service na zdalnym komputerze nie mając do niego fizycznego dostępu?
O: Tak. DeviceLock® obsługuje zdalną instalację. Jest to bardzo pomocne dla administratorów, którzy chcą zainstalować usługę na zdalnych komputerach bez konieczności uzyskania do nich fizycznego dostępu. Jeżeli usługa DeviceLock Service nie została zainstalowana na zdalnym komputerze, program DeviceLock Manager zasugeruje jej zainstalowanie. W tym celu należy wskazać plik wykonywalny usługi DeviceLock Service (dlservice.exe), a DeviceLock Manager skopiuje go na zdalny komputer. Plik wykonywalny usługi DeviceLock Service zostanie skopiowany do folderu systemowego Windows (przykładowo: c:\winnt\system32). Jeżeli w systemie istnieje starsza wersja usługi, DeviceLock Manager uaktualni ją. P: Które porty muszę odblokować w zaporze, aby umożliwić pracę DeviceLock®?
O: Należy otworzyć porty 135-139 i wszystkie prorty powyżej 1024 dla wchodzących i wychodzących pakietów: - Port 135 (TCP) - dla usługi Remote Procedure Call (RPC)
- Port 137 (UDP) - dla NetBIOS Name Service
- Port 138 (UDP) - dla NetBIOS Netlogon and Browsing
- Port 139 (TCP) - dla NetBIOS session (NET USE)
- Porty powyżej 1024 (TCP) - dla komunikacji RPC
DeviceLock® pracuje podobnie jak inne standardowe narzędzia administracyjne w systemach Windows NT/2000/XP więc, jeśli te narzędzia pracują to DeviceLock® też będzie mógł.
P: Otrzymuję komunikat błędu 1722 ("Serwer RPC jest niedostępny") za każdym razem jak próbuje połączyć się z komputerem?
O: Błąd 1722 oznacza to, że DeviceLock® Manager nie mógł uzyskać dostępu do usługi DeviceLock® Service na zdalnym komputerze. Oto kilka prawdopodobnych powodów: - zdalny komputer nie istnieje w sieci (nazwa lub adres IP komputera jest nieprawidłowy lub komputer został wyłączony, a nazwa nadal istnieje w otoczeniu sieciowym);
- zdalny komputer nie posiada systemu Windows NT 4.0/2000/XP i usługa DeviceLock® Service nie mogła być zainstalowana na danym komputerze;
- zdalny komputer jest za firewallem, który nie został odpowiednio skonfigurowany (o konfuguracji firewalla przeczytaj tą odpowiedź);
P: Czy jest możliwe zdalne zarządzanie programem DeviceLock®?
O: Tak. Można skorzystać z DeviceLock® Manager. Wystarczy wybrać komputer, na którym zainstalowana jest usługa DeviceLock® Service. P: Jak mogę jednocześnie przypisać grupę użytkowników do kilku urządzeń?
O: Należy wybrać kilka urządzeń z listy (używając CTRL lub SHIFT), nacisnąć przycisk "Perrmissions" i wybrać odpowiednich użytkowników. DeviceLock® dostarcza potężną funkcję jaką są uprawnienia wsadowe ("Batch Permissions"), które pomagają nadać uprawnienia do urządzeń na kilku komputerach jednocześnie.
|
