Ukradli mi laptopa - nie szkodzi!
- Patryk Królikowski,
- 05.11.2007
Zarządzanie i funkcjonalność
Siłą każdego oprogramowania korporacyjnego, także FDE, jest zarządzanie. Jeżeli nie jest ono scentralizowane i przejrzyste, to ogarnięcie setek klientów i ich konfiguracji będzie koszmarem. Każdy z produktów prezentuje inne podejście do tego elementu.
PPC wychodzi z założenia, że jeden instalator (paczka MSI) może kryć w sobie zarówno klienta, jak i pełnowartościową konsolę zarządzania, a dostęp do poszczególnych ustawień oprogramowania zależny jest od posiadanych uprawnień. Jak już wspomnieliśmy, wszelkie ustawienia stacji klienckich konfigurowane są za pomocą zabezpieczonych hasłem profili, które następnie mogą zostać opublikowane na udziale sieciowych, a następnie stamtąd pobrane przez klientów. Konsola zarządzania jest bardzo logiczna i przejrzysta, szybka i bezawaryjna. Przyzwyczajenia wymaga przyswojenie i zrozumienie ogólnej koncepcji przyjętej przez PPC. W konfigurowaniu profili zestawy ustawień podzielone są wg parametrów systemowych, grup użytkowników i pojedynczych użytkowników. Użytkownicy muszą zostać stworzeni ręcznie lub możliwe jest wykorzystanie tzw. konta tymczasowego, które przeistoczy się w konto rzeczywistego użytkownika w momencie pierwszego logowania. Nie ma w chwili obecnej mechanizmów pozwalających na sprzęg z usługami katalogowymi. Na przełomie roku 2007/2008 Check Point planuje wypuszczenie znanej z innych produktów tej firmy (SmartCenter) platformy centralnego zarządzania, gdzie taka funkcjonalność będzie dostępna. Konsola PPC zawiera także narzędzie do awaryjnego przywracania systemu oraz zdalnej pomocy np. w przypadku zagubienia hasła lub tokenu (tryb Challenge-Response).
Zarówno SB, jak i SGN wierne są klasycznej, trójwarstwowej koncepcji z osobną konsolą zarządzającą. W przypadku SB wraz z najnowszą wersją przyszła ładniejsza niż w poprzedniej wersji produktu, bardziej "XP-kowa" konsola. Całość przypomina nieco Microsoftowe MMC, ale z pływającymi oknami i dodatkowymi panelami. Działa szybko, nie jest trudna w obsłudze, co jest ważne z punktu widzenia administratora. Możliwe do wykonania zadania podzielone są na te, które odnoszą się do komputerów, użytkowników oraz grup. Dzięki odpowiedniemu konektorowi usług katalogowych, także AD (dodatkowo płatny), administrator nie będzie miał problemu z zaimportowaniem użytkowników oraz ich grup. Interesującą opcją wbudowaną w konsolę SB jest możliwość dystrybucji plików. Dzięki temu oprócz polityki bezpośrednio związanej z FDE można przetransportować do systemu klienta np. łatę, dokument czy aktualizację bazy antywirusowej. Niezwykle użytecznym wynalazkiem jest także język skryptowy, za pomocą którego wprawny administrator może "wycisnąć" z SB dodatkową funkcjonalność. Z poziomu konsoli SB możemy również pomóc zdalnie zapominalskiemu użytkownikowi, który zawieruszył hasło do PBA (Challenge-Response).
Na ratunek użytkownikom
Niezwykle istotnym elementem systemu FDE jest jego mechanizm ratunkowy w razie awarii systemu lub zwyczajnego zapomnienia hasła. Każdy z produktów udostępnia funkcjonalność recovery "z pudełka", bez dodatkowych licencji. Funkcje ratunkowe zostały podzielone na dwa obszary: Challenge-Response - wykorzystywany w przypadku zagubienia tokenu czy zapomnienia hasła, oraz narzędzia bezpośredniej "interwencji" (awaria systemu operacyjnego, uszkodzenie file systemu).
Mechanizm Challenge-Response w zależności od produktu pozwala na wykonanie różnych czynności. W PPC przywiązany jest do użytkownika. Dzięki niemu możemy jednokrotnie uruchomić system lub zezwolić na zmianę hasła użytkownika.
Poprzez C/R SB udaje się raz uruchomić maszynę czy odblokować wygaszacz ekranu (obydwie rzeczy bez związku z użytkownikiem) lub zresetować hasło użytkownika, odblokować jego konto w przypadku zablokowania, stworzyć lub zmienić token uwierzytelniający.
C/R w SGN przypomina funkcjonalnie ten z PPC. Jest prosty w użyciu i szybko pozwala na uzyskanie dostępu do maszyny zapominalskiego. Dzięki niemu możemy m.in. zezwolić na jednokrotne uruchomienie komputera bez znajomości hasła, uruchomienie komputera z nośnika zewnętrznego czy wyczyścić cache.
Zarówno SB, jak i SGN podczas procedury C/R sprawdzają, czy wpisywane przez użytkownika kody są wprowadzane bezbłędnie. Dzięki temu nie ma potrzeby wstukiwania kilku linijek kodu, aby po chwili przekonać się, że gdzieś jest literówka. SGN oznacza błędnie wpisaną frazę kolorem czerwonym po każdym błędzie. To teoretycznie daje szansę na odgadnięcie ciągu fragment po fragmencie. Na szczęście czas na wpisanie frazy jest ograniczony do 15 min. W SGN dodatkowo można wyświetlić Spelling Aid, czyli tabele z poszczególnymi literami oraz cyframi i odpowiadające im nazwy (np. "T" = tango, jak w lotnictwie) - niestety w języku obcym.
C/R sprawdzają się, w przypadku gdy "awarii" ulegnie bądź pamięć użytkownika, bądź jego spostrzegawczość (np. zgubiony token). Co jednak w przypadku gdy stanie się coś znacznie gorszego, np. nie będziemy mogli uruchomić systemu i konieczna będzie awaryjna deszyfracja? Do tego każdy z producentów dostarcza osobne narzędzia - tworzone z poziomu interfejsu zarządzania (PPC i SB) lub bardziej "manualnie" (SGN). Tutaj na uwagę zasługuje PPC, gdzie proces recovery przebiega w sposób najmniej uciążliwy dla użytkownika. Bezpośrednio z konsoli tworzony jest bootowalny dysk (dyskietka lub klucz USB - później możliwe jest skopiowanie jego zawartości na bootowalny nośnik CD/DVD). Czynność ta wymaga uwierzytelnienia dwóch administratorów posiadających odpowiednie uprawnienia. Po uruchomieniu komputera z napędu konsola odzyskiwania do złudzenia przypomina środowisko PBA. Jest niezwykle czytelna i banalna w obsłudze.
SB wprowadził w trybie recovery system haseł jednorazowych - uruchomienie procedury odzyskiwania z utworzonego nośnika wymaga podania hasła, które należy uzyskać bezpośrednio od producenta (jest ważne przez jeden dzień). Interfejs środowiska odtwarzania jest przejrzysty, ale ze względu na dużą liczbę opcji wymaga interwencji administratora, ale też daje możliwość prowadzenia szerokiej gamy działań. Wizualnie przypomina aplikację windowsową.
SGN wymaga stworzenia bootowalnej płyty CD opartej na Windows PE lub BartPE, do której dołączana jest aplikacja odtwarzania. Przy tworzeniu live CD należy dołączyć do obrazu narzędzia odzyskiwania. Konsolka odzyskiwania jest prosta i pozwala na przeprowadzenie podstawowych czynności.
W każdym z przypadków wskazane jest dokładne przeczytanie instrukcji, które kwestie te traktują wystarczająco szczegółowo.