Searchinform удалить с компьютера
Вопрос клиента:
Подскажите, у нас в офисе сотрудники работают на терминальном сервере. Ваша программа может отслеживать их деятельность там? Сколько лицензий нужно покупать в этом случае?
Ответ:
- На терминальный сервер поставьте 1 агент.
- Лицензии расходуются следующим образом: 1 раз в сутки на 1 учетную запись пользователя уходит 1 лицензия. Следственно, вам необходимо приобрести столько лицензий, сколько пользователей работает у вас на терминальном сервере.
- Дополнительно, у нас предусмотрен функционал «Фильтрация по пользователям» (вкладка «Администрирование», подвкладка «Фильтрация по пользователям»). Здесь вы можете указать единый список учетных записей, которые хотите контролировать (включить в перехват трафика указанные в фильтрах значения) или не хотите (исключить из перехвата трафика указанные в фильтрах значения). Так вы сможете избежать расхода лицензий на ненужных пользователей.
- Если у вас уже ушла лицензия на «ненужного» сотрудника, просто перезапустите службы нашей программы на вкладке «Администрирование», подвкладка «Состояние».
Вопрос клиента:
Как полностью отключить агента и удалить компьютер из списка в консоли? Я пробовал в окне управления агентами ставить «х» и нажимал «Применить», потом нажимал «Деинсталлировать все» и «Применить». Компьютер стал «Неактивным». Как теперь полностью удалить его из консоли, очистить собранные с него данные и освободить лицензию?
Ответ:
- Касательно удаления агента и компьютера из списка:
1 раз в сутки на 1 учетную запись пользователя уходит 1 лицензия. Если у вас уже ушла лицензия на «ненужного» сотрудника, просто перезапустите службы нашей программы на вкладке «Администрирование», подвкладка «Состояние».
Дополнительно, у нас предусмотрен функционал «Фильтрация по пользователям» (вкладка «Администрирование», подвкладка «Фильтрация по пользователям»). Здесь вы можете указать единый список учетных записей, которые хотите контролировать (включить в перехват трафика указанные в фильтрах значения) или не хотите (исключить из перехвата трафика указанные в фильтрах значения). Так вы сможете избежать расхода лицензий на ненужных пользователей.
Выборочное удаление уже собранной информации невозможно, поскольку вся информация хранится в БД MS SQL.
Есть вариант разбить существующие БД. Таким образом, появятся новая и старая БД, последнюю из которых вы и сможете удалить. Но там будет информация по всему собранному перехвату ото всех агентов.
Настройки по БД производятся в DataCenter (вкладка «Администрирование» над надписью подвкладки «Состояние», вызывается как отдельное окно). В самой консоли DC на вкладке «Управление», если раскрыть дерево, можно увидеть возможные действия над БД. Пример:
Вопрос клиента:
Подскажите, данную программу надо устанавливать на каждый компьютер? Один компьютер – админ и три компьютера – агенты? Или два?
Ответ:
Сама программа устанавливается на 1 ПК, агенты могу устанавливаться на любые 3 ПК (в том числе и на тот, где установлена серверная часть). Вот ссылка на подробную инструкцию.
Вопрос клиента:
Хотим внедрять ваш продукт на предприятие. Начинаем тестировать полную версию на 3 компьютера и столкнулись с проблемой. Серверную часть поставили на определенный компьютер и туда же установили агента. Агент отлично функционирует на серверном локальном компьютере, а еще два компьютера рабочей группы отображаются и добавляются во вкладку «Управление агентами». Но агенты не ставятся по сети, а при создании инсталлятора («Создать инсталлятор агента») создается файл, который я запускаю на необходимых компьютерах. Тогда все работает, но не через WorkGroup, а через Unrecongnized (создается другая группа). Надеюсь, я корректно расписал проблему? Нам необходимо ставить агенты по сети незаметно для других участников сети.
Ответ:
Нельзя производить установку от пустой учетной записи. На присланном вами снимке экрана видно, что установка невозможна по причине отказа в доступе (ошибка 5).
Из этого следует, что необходимо прописать учетную запись, от которой и будет производиться установка агента по сети из консоли TimeInformer.
Для установки агента из консоли TimeInformer необходимо следующее:
- наличие на ПК включенной учетной записи с правами локального администратора и паролем (доступ без пароля по сети к административным ресурсам запрещен);
- есть доступ к административным ресурсам (c$, admin$, ipc$);
- отключен UAC.
Пароль административной учетной записи необходимо указать индивидуально на каждый ПК, либо на группу (при условии единой административной учетной записи на всех ПК). Сделать это можно в закладке «Управление агентами», как показано на рисунке:
По окончании ввода настроек нажмите клавишу «Применить». При установке агента вручную, он автоматически добавляется в группу Unrecongnized. Впоследствии вы сможете переместить любой ПК в необходимую вам группу по правому клику мышки и выбору из списка строки «Пользовательские группы» – «Переместить в. ».
По данной ссылке вы можете найти полную инструкцию по установке и настройке нашего ПО. Там также есть информация об ошибках установки и способах решения.
Вопрос клиента:
Подскажите, пожалуйста, что еще может быть? Перечитал всю инструкцию, перепробовал разные варианты подключения со вводами имени и пароля при «Подключаться как. » (на вкладке «Управления агентами» и на вкладке «Администрирование» – «Настройки»). Все равно ошибка 1326. Что она означает?
Ответ:
Ошибка 1326 означает «Неверное имя пользователя или пароль». Что означает ошибка, можно проверить в командной строке с помощью команды «net helpmsg номер ошибки».
Скорее всего вами указан неверный логин или пароль для учетной записи. Можно проверить учетную запись следующим образом: попробуйте зайти от этой учетной записи удаленно на административный ресурс (\\pc-name\c$). В открывшемся окне укажите логин и пароль. Если диск откроется, проверьте настройки в программе.
Вопрос клиента:
Какая нагрузка на агента в плане процессора и памяти (клиентский компьютер, за которым идёт слежка)? Какова приблизительная нагрузка на сеть с одного агента и в целом какова нагрузка на сеть на обмен информацией агент-сервер?
Ответ:
Приблизительную нагрузку на ПК мы не подскажем. Все зависит от множества факторов.
Минимальные требования для ПК с нашим агентом описаны в документе (п.2 Системные требования), доступного по ссылке.
Нагрузка на канал связи, при передаче информации от агента на сервер в среднем для TimeInformer- 5 Мбит на каждые 100 пользователей.
Вопрос клиента:
Скачали файл установки, который включает в себя серверную и клиентскую части. На сервер с SQL все поставили. Подскажите где взять агентскую часть? Про это нигде не написано.
Ответ:
Инсталлятор агента можно создать в консоли, в закладке «Управление агентами». Там будет кнопка «Создать инсталлятор агента».
Описание процесса создания можно найти в справке по F1 в разделе «Управление агентами» – «Работа с агентами» – «Установка агентов» – «Вручную».
Вопрос клиента:
Здравствуйте! Подскажите, пожалуйста, как без переустановки поменять место расположения данных SQL?
Ответ:
Изменить расположения БД можно в SQL Management Studio в «Свойствах». Данное приложение можно скачать отдельно с сайта по ссылкам:
После внесенных изменений, желательно, отсоединить БД, переместить их в папку, которую вы задали по умолчанию на другом диске, и присоединить снова.
Вопрос клиента:
Где можно посмотреть системные требования к серверу ТИ и ПК для агента?
Ответ:
Эти данные вы можете найти в документации по данной ссылке в разделе 2.1 «Системные требования».
Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В этой статье пойдет речь о КИБ SearchInform.
Первым из тех, по кому хочу актуализировать знания, будет именно КИБ SearchInform, что вполне логично, так как с этим решением я работала дольше, чем с любым другим, и мне конечно же очень интересно, что там происходит у вендора. Поэтому от предложения в комментариях протестировать новую версию софта я не стала отказываться.
Полноценного тестирования до конца года провести не получилось, но немного погрузиться в изучение новинок все-таки мне удалось.
Итак, по порядку.
Консоль аналитика
Кто знает меня или читал мой предыдущий обзор, в курсе, что я давно жду консоль аналитика от вендора. И вот, наконец, она вышла!
Визуально она мне понравилась, потому что чего-то сверх навороченного в ней не появилось (чтобы было бы плохо, мне кажется), но при этом она совместила то, что удобно иметь в одной консоли – общий клиент, репорт-центр и профайл-центр.
В текущих релизах в нее еще не встроен алерт-центр (он остался без особых визуальных изменений), но, например, меня это не пугает, потому что в последнее время чаще занимаюсь точечным мониторингом сотрудников, чем настройкой политик и созданием правил для отлова всяких вкусняшек.
Для работы с событиями мне всегда был более удобен общий клиент.
Также отдельным окном в консоль вынесли из общего клиента модуль онлайн-наблюдения за компьютером (LiveView), что мне тоже понравилось, потому что им я пользуюсь довольно часто. С другой стороны, отделение его от общей консоли просмотра удобно, не люблю, когда все в одном окне и постоянно одно сбрасывает другое.
Ну и присутствие в той же консоли всех возможных отчетов бывшего репорт-центра – это большой плюс.
Так что я довольна таким изменением.
Веб-версия
Симпатичная и тоже вполне простая, для любителей минимализма сразу плюс. В ней пока воплощены веб-версии алерта и репорта. Администрирование алерта при этом осталось в толстом клиенте, но обещают скорый перенос – также в веб.
Новые фишки
Файловый аудитор
Новый модуль, который теперь выступает универсальным сканером пространств с возможностью выхватывания теневых копий и разметки документов. Ранее эту задачу приходилось решать двумя разными модулями – файл контроллером и ИРС. Второй, к слову, так же переработан и стал на порядок быстрее и удобнее в настройке.
Сканирование облачных хранилищ
Вещь скорее всего востребованная, потому что в облака с каждым днем улетает все больше и больше компаний. По сути это тоже сканер, который соберет теневые копии, разметит файлы и даст возможность с ними работать, в том числе посредством политик алерт-центра.
Съемные носители
Теневая копия файлов, находящихся на съемном носителе.
Вот это круто, правда. Сколько проблем я лично испытала с тем, когда очень было надо посмотреть, а что же там за файлы на флэшке, которую сотрудник подключил к компу. Долго сидишь и ловишь на видео момент в надежде, что сотрудник их хотя бы частично открывал.
Шифрование данных, записываемых на носитель. Кому-то будет полезно, ну и меньше заморочек с дополнительными средствами шифрования для флэшек. Тонкая настройка параметров прав записи на носитель. По размерам файлов, например.
Появилась галочка, нажав которую можно перестать завязывать глаза при мониторинге, а просто перестать видеть пароли.
Радуйтесь борцы за свободу и всадники GDPR!
Перехват мессенджеров
Один из самых популярных, мне кажется, вопросов у клиентов. Причем любят спрашивать даже про те мессенджеры, которые в компании не используются вообще, либо использует 1 человек. Ну да ладно.
Так вот. В новом КИБе перехватывается все из наших любимых ватсапа, телеги и вайбера в обоих вариантах: веб и десктоп. Кстати, это, видимо, эксклюзив, в части ватспапа точно.
Работа почты в режиме блокировки
Перехват реализован для перечисленного, в том числе, с использованием s\mime. Блокировка доступна для исходящих протоколов, опять же включая MAPI и s\mime.
Видео рабочего стола и веб-камеры
Появился модуль контроля изображений с веб-камеры, то есть у каждого инцидента теперь есть «человеческое лицо». Аналогично формату скриншотов можно включить запись только в привязке к определенным процессам или даже сайтам.
Контроль трафика на всем семействе Astra Linux, Ubuntu и CentOS. Скоро обещают, что добавится и device sniffer.
Одно из моих любимых.
Добавился контроль агентов. Если в течение какого-то времени агент не отстукивает серверу, запускается его переустановка.
Причем теперь агенту для обновления нужен только интернет для коннекта с сервером и даже необязательно нахождение внутри корпоративной сети.
Репорт-центр
Его больше нет как отдельной сущности. Аллилуйя! А еще забываем о постоянной синхронизации его баз – теперь она циклична.
Профайл-центр
Его польза для меня очевидна. Зачем ловить постфактум инциденты, если какую-то часть из них можно предвидеть. Да и знать своего сотрудника не только в лицо для меня прямо хлебушек с маслом.
Как это работает в технике мне сказать сложно, но визуально вкладка с ним выглядит очень скромно и минималистично, а значит не надо мучиться с настройками.
Честно сказать, кому какое дело, как там работают эти алгоритмы. Люди, которые разрабатывали этот продукт, явно много лет посвятили профайлингу и работе с живыми людьми. Если бы такой разработкой занялись люди, которые могут быть супер-разработчиками и супер-инженерами, но в психологии ничего не понимают, то тогда это было совсем странно.
Надо тестировать. Потребности на рынке в таком продукте точно есть, особенно в службах безопасности и очень продвинутом HR. Ну и конкурентов как минимум на российском рынке UBA и DLP особо-то и нет.
По словам вендора, в среднем 1-2 месяца нужно накапливать данные для построения достоверного портрета сотрудника. Да, как в фильмах путем мгновенного высасывания мозга через ухо пока не работает, если кто мечтал об этом.
Скорость поиска
Про быстроту поиска и изменилось ли в ней что-то, ничего сказать не могу, визуальным анализом этого не поймешь. Разработчик рассказывает о выпуске принципиально нового поискового движка, лишенного старых проблем. Объясняется новой 64х архитектурой, не имеющей программных ограничений (как было в старом движке) по памяти, ядрам и потокам. С технической точки зрения звучит вполне обоснованно, но сама о реальной скорости судить не берусь. Нужны данные. Много реальных данных…
Еще раз дайджест:
- интерфейс не утратил своей простоты и понятности;
- общий клиент с репортом поженились и усыновили профайл-центр, так получилась дружная семья — консоль аналитика;
- алерт-центр пока не сдается и живет в отдельной квартире;
- LiveView теперь в отдельном окошке объединенной консоли;
- кейлоггер сдался и включил режим запрета сбора паролей;
- агенты научились бороться с жестокостью этого мира и теперь используют переустановку в автоматическом режиме, мониторинг собственной работоспособности и прочие плюшки;
- загадочный профайл-центр выглядит весьма дружелюбно;
- теневая копия данных, находящихся на флэшке, — для особо фанатеющих от своей работы офицеров безопасности;
- морально готовым к переходу на линуксы можно уже начинать радоваться;
- атавизм файлового контроллера реинкарнировал в крутой сканер с разметкой данных;
- телеги, сани, лыжи и прочие ватсапы: мы вас не боимся, мы вас перехватываем во всех позах;
- сканирование облаков для тех, кто идет в ногу со временем.
Надеюсь, что у меня будет возможность погрузиться в новый КИБ поглубже и рассказать вам еще много интересного.
Возможно даже возьмем интервью с провокационными вопросами у вендора и покажем все, что скрыто.
Контроль всей информации циркулирующей в организации является одной из главных задач при практической реализации организационно-распорядительных документов (политика информационной безопасности и иные внутренние документы нижних уровней) организации.
Системы предотвращения утечек конфиденциальной информации из информационной системы (Data Leak Prevention, DLP) в большей части способны разрешить данную проблему.
На современном рынке достаточно разновидностей данных систем, например таких как: SearchInform DLP, Infowatch Traffic Monitor DLP, Zecurion DLP, Symantec DLP и другие. Но сегодня данная статья будет о продукте компании ООО «СёрчИнформ».
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) – это серьёзный и гибко настраиваемый программный комплекс, который по своему функционалу и обширным аналитическим инструментарием создает серьезную конкуренцию другим компаниям в данной сфере. Но как и у всех продуктов у КИБ Сёрчинформ имеется один из недостатков, о котором сейчас и пойдет речь.
Рисунок 1 – Логотип КИБ Сёрчинформ
В КИБ Сёрчинформ одним из источников сбора информации является агент (Windows/Linux). Агент для ОС Windows, как и для ОС Linux, имеет модульную систему сбора информации, при необходимости они включаются или отключаются. Мы рассмотрим модуль Device (контроль внешних устройств, сетевых устройств, процессов и т.п.). Демо-версию данного продукта можно получить официально через сайт разработчика (с полным функционалом). Дальнейшие действия будут реализованы с помощью полученного ключа лицензии — версия программы EndPointController 5.51.0.9 (версия агента 5.51.0.9).
Основной проблемой в работе данного модуля, является алгоритм шифрования информации на внешних съемных устройствах. Рассмотрим принцип работы алгоритма шифрования в КИБ Сёрчинформ.
Устанавливаем агент на рабочую станцию и выставляем для рабочей контроль внешних устройств (модуль Device) в разделе «Сетевое окружение» EndPointController 5.51.0.9
Рисунок 2 – Установка и включение модуля
Производим конфигурацию шифрования в настройках модуля Device вкладки «Шифрование»: генерируем ключ и включаем шифрование для всех носителей (возможно включение шифрования только для определенных носителей информации).
Рисунок 3 – Настройка белого списка
Рисунок 4 – Конфигурация шифрования
Теперь приступаем к разбору алгоритма шифрования файлов данным продуктом. Скопируем файлы «Install.exe» и «Основы права.rtf» с подконтрольной рабочей станции «WINOC» на внешний съемный носитель «Съемный диск (Е:)». Как видно на рисунке 5 в скрытой папке «System Volume Information» создались объекты «Install.exe» и «Основы права.rtf». Тем самым можно сделать вывод, что папка «System Volume Information» содержит в себе перечень зашифрованных объектов на съемном носителе.
Рисунок 5 – папка «System Volume Information»
Рисунок 6 – Корневая папка съемного носителя информации
Как известно, существуют три аспекта, на которых строится информационная безопасность – это целостность, доступность и конфиденциальность. Данные аспекты нарушаются с использованием данного подхода шифрования, так как системная информация о том зашифрован объект или нет должна находиться в самом заголовке объекта.
При текущем построении алгоритма возможны варианты случайной модификации/удаления объектов папки «System Volume Information» на съемном носителе с дальнейшей утери исходных зашифрованных объектов, а также модификация самих объектов на бесконтрольных станциях (например: переименование объекта «Install.exe» с сетевым путем «E:\Install.exe» на компьютере без агента, при этом информационный файл программного продукта КИБ Сёрчинформ в папке «System Volume Information» «Install.exe» сетевым путем «E:\System Volume Information\Install.exe» остается неизменным, так как отсутствует агент, который изменит служебную информацию, и открытие данного файла уже становится невозможным).
Будем надеяться, что разработчик примет к сведению данный недостаток в работе функции шифрования съемных носителей информации в продукте КИБ Сёрчинформ и изменит ее алгоритм.
Для установки агентов на компьютеры пользователей вручную (например, с внешнего носителя) можно использовать инсталлятор агента (файл FgstAgentSetup.exe , находящийся в папке C:\Program Files\Falcongaze SecureTower\EPA Control Server\Agent\ ).
Агент может устанавливаться на рабочей станции через графический интерфейс, либо с помощью командной строки.
Установка через графический интерфейс
- Запустите файл FgstAgentSetup.exe на рабочей станции, на которую необходимо установить агента.
- В открывшемся окне инсталлятора необходимо указать адрес Сервера контроля агентов SecureTower и порт, по которому агент будет с ним связываться (по умолчанию это порт 10500).
- После завершения установки в окне мастера установки нажмите кнопку Готово .
В случае если адрес сервера не был указан, установка агента будет невозможна, при этом будет отображено соответствующее предупреждение:В случае если адрес сервера был указан неверно или не удается установить соединение с сервером по какой-либо иной причине, пользователь увидит следующее предупреждение:В этом случае установку агента рекомендуется продолжить только после того, как проблема связи с сервером будет устранена. Для отмены установки нажмите кнопку Отмена (No).В случае если вы продолжите установку агента, нажав кнопку Да , агент будет успешно установлен на компьютер, но будет работать некорректно. В циклическом режиме он будет пытаться установить соединение с указанным сервером для получения настроек. До тех пор пока такое соединение не будет установлено, никакие данные агентом перехватываться не будут.
Установка с помощью командной строки
Исполняемый файл инсталлятора можно запускать из командной строки с различными параметрами:
- /SVC - инсталлятор будет работать в режиме сервиса.
- /SILENT - запуск автоматической установки/обновления продукта без отображением графического интерфейса инсталлятора, при этом будет отображен прогресс бар. В случаях необходимости в перезагрузке системы для осуществления корректной установки, пользователю будет выдан запрос перезагрузки системы. Для отключения запроса на перезагрузку используется дополнительный параметр /NORESTART .
- /VERYSILENT - запуск автоматической установки/обновления продукта в скрытом режиме. В случаях необходимости в перезагрузке системы для осуществления корректной установки, перезагрузка будет выполнена автоматически. Для отмены перезагрузки используется дополнительный параметр /NORESTART .
- /SUPPRESSMSGBOXES - отключение любых запросов пользователю (MessageBox) в режиме автоматической установки/обновления.
- /LOG="filename" - инсталлятор создаст лог своей работы.
- /LANG=language - указать язык интерфейса инсталлятора. Возможные значения: en или ru.
- /COMPONENTS="comma separated list of component names" - указывает набор компонент для установки/обновления явно. Не указанные параметры считываются не выбранными. Доступно использование масок «*» и «?».
/COMPONENTS="help,plugins" - отменить выбор всех компонент и отметить только компоненты "help" и "plugins".
/COMPONENTS="*parent,!parent\child" - отменить выбор всех компонент, затем отметить все родительские и дочерние компоненты, за исключением одного из дочерних.
console_client – Консоль пользователя
console_admin – Консоль администратора
server – Серверы SecureTower
server\mailprocsrv - Сервер обработки почты
server\intercept - Сервер сетевого трафика
server\intercept\event - Сервер журналирования событий
server\epa - Сервер контроля агентов
server\search - Сервер индексирования
server\search\secsrv - Сервер безопасности и отчетов
server\search\srv_rcnz - Сервер распознавания изображений
server\search\clnt_rcnz - Клиентский модуль распознавания изображений
- /TYPE=type name - указать явно тип установки. Если указан «не-выборочный» тип, то параметр /COMPONENTS будет проигнорирован. По сути «тип» - это категоризатор компонент.
type_full – установка всех компонентов
type_custom – выборочная установка
type_admin – Консоль администратора
type_client –Консоль пользователя
type_server_intercept – Сервер сетевого трафика
type_server_mailproc – Сервер обработки почты
type_server_epa – Сервер контроля агентов
type_server_dataprocessing – Сервер индексирования
type_icap – сервер ICAP
type_server_recognize – Сервер распознавания
type_client_recognize – Клиент распознавания
- /uninstall команда для удаления агента.
- /server SERVERADDR:PORT - адрес Сервера контроля агентов.
- /checksrv - проверка подключения к серверу при установке/обновлении.
Обновление и восстановление агента
Для обновления версии агента, а также в случае повреждения файлов агента, для исправления некорректных настроек (например, неверно указанного при установке или устаревшего адреса Сервера контроля агентов) используйте мастер установки агента для его обновления/восстановления.
Читайте также: