Zarządzanie i funkcjonalność

Siłą każdego oprogramowania korporacyjnego, także FDE, jest zarządzanie. Jeżeli nie jest ono scentralizowane i przejrzyste, to ogarnięcie setek klientów i ich konfiguracji będzie koszmarem. Każdy z produktów prezentuje inne podejście do tego elementu.

PPC wychodzi z założenia, że jeden instalator (paczka MSI) może kryć w sobie zarówno klienta, jak i pełnowartościową konsolę zarządzania, a dostęp do poszczególnych ustawień oprogramowania zależny jest od posiadanych uprawnień. Jak już wspomnieliśmy, wszelkie ustawienia stacji klienckich konfigurowane są za pomocą zabezpieczonych hasłem profili, które następnie mogą zostać opublikowane na udziale sieciowych, a następnie stamtąd pobrane przez klientów. Konsola zarządzania jest bardzo logiczna i przejrzysta, szybka i bezawaryjna. Przyzwyczajenia wymaga przyswojenie i zrozumienie ogólnej koncepcji przyjętej przez PPC. W konfigurowaniu profili zestawy ustawień podzielone są wg parametrów systemowych, grup użytkowników i pojedynczych użytkowników. Użytkownicy muszą zostać stworzeni ręcznie lub możliwe jest wykorzystanie tzw. konta tymczasowego, które przeistoczy się w konto rzeczywistego użytkownika w momencie pierwszego logowania. Nie ma w chwili obecnej mechanizmów pozwalających na sprzęg z usługami katalogowymi. Na przełomie roku 2007/2008 Check Point planuje wypuszczenie znanej z innych produktów tej firmy (SmartCenter) platformy centralnego zarządzania, gdzie taka funkcjonalność będzie dostępna. Konsola PPC zawiera także narzędzie do awaryjnego przywracania systemu oraz zdalnej pomocy np. w przypadku zagubienia hasła lub tokenu (tryb Challenge-Response).

Zarówno SB, jak i SGN wierne są klasycznej, trójwarstwowej koncepcji z osobną konsolą zarządzającą. W przypadku SB wraz z najnowszą wersją przyszła ładniejsza niż w poprzedniej wersji produktu, bardziej "XP-kowa" konsola. Całość przypomina nieco Microsoftowe MMC, ale z pływającymi oknami i dodatkowymi panelami. Działa szybko, nie jest trudna w obsłudze, co jest ważne z punktu widzenia administratora. Możliwe do wykonania zadania podzielone są na te, które odnoszą się do komputerów, użytkowników oraz grup. Dzięki odpowiedniemu konektorowi usług katalogowych, także AD (dodatkowo płatny), administrator nie będzie miał problemu z zaimportowaniem użytkowników oraz ich grup. Interesującą opcją wbudowaną w konsolę SB jest możliwość dystrybucji plików. Dzięki temu oprócz polityki bezpośrednio związanej z FDE można przetransportować do systemu klienta np. łatę, dokument czy aktualizację bazy antywirusowej. Niezwykle użytecznym wynalazkiem jest także język skryptowy, za pomocą którego wprawny administrator może "wycisnąć" z SB dodatkową funkcjonalność. Z poziomu konsoli SB możemy również pomóc zdalnie zapominalskiemu użytkownikowi, który zawieruszył hasło do PBA (Challenge-Response).

SGN oferuje najbardziej plastyczny i miły dla oka (w odczuciu autora) interfejs zarządzania. Po uwierzytelnieniu w konsoli mamy wrażenie jakby uruchomił się… Outlook. Zbliżona do niego szata graficzna ułatwia szybką orientację. Zadania administracyjne podzielone są wg kategorii podzielonych na polityki, komputery oraz użytkowników, klucze i certyfikaty, tokeny, administratorów, raporty. Konsola jest czytelna i intuicyjna. Nierozerwalny związek SGN z Active Directory sprawia, że po przeprowadzeniu synchronizacji mamy dostęp do konfiguracji zarówno komputerów, jak i użytkowników. Tak jak w przypadku PPC oraz SB, także konsola SGN pozwala na uruchomienie pomocy zdalnej dla niefrasobliwych użytkowników.

Każdy z produktów oferuje funkcje raportowania. SGN należy pochwalić za najbardziej rozbudowane możliwości audytu logów (tworzenie warunków, filtrów). Także PPC spełnia oczekiwania - choć nie jest rewelacyjnie i ten moduł wymaga dopracowania. Żaden z konkurentów nie daje do ręki zabawek dla kadry zarządzającej w postaci kolorowych raportów obfitujących w słupki i statystyki.

Na ratunek użytkownikom

Niezwykle istotnym elementem systemu FDE jest jego mechanizm ratunkowy w razie awarii systemu lub zwyczajnego zapomnienia hasła. Każdy z produktów udostępnia funkcjonalność recovery "z pudełka", bez dodatkowych licencji. Funkcje ratunkowe zostały podzielone na dwa obszary: Challenge-Response - wykorzystywany w przypadku zagubienia tokenu czy zapomnienia hasła, oraz narzędzia bezpośredniej "interwencji" (awaria systemu operacyjnego, uszkodzenie file systemu).

Mechanizm Challenge-Response w zależności od produktu pozwala na wykonanie różnych czynności. W PPC przywiązany jest do użytkownika. Dzięki niemu możemy jednokrotnie uruchomić system lub zezwolić na zmianę hasła użytkownika.

Poprzez C/R SB udaje się raz uruchomić maszynę czy odblokować wygaszacz ekranu (obydwie rzeczy bez związku z użytkownikiem) lub zresetować hasło użytkownika, odblokować jego konto w przypadku zablokowania, stworzyć lub zmienić token uwierzytelniający.

C/R w SGN przypomina funkcjonalnie ten z PPC. Jest prosty w użyciu i szybko pozwala na uzyskanie dostępu do maszyny zapominalskiego. Dzięki niemu możemy m.in. zezwolić na jednokrotne uruchomienie komputera bez znajomości hasła, uruchomienie komputera z nośnika zewnętrznego czy wyczyścić cache.

Każdy z konkurentów ma tryb C/R dostępny z poziomu konsoli zarządzania. PPC oraz SB za dodatkową opłatą udostępniają także bardzo przydatną usługę zdalnej pomocy za pośrednictwem portalu webowego. To daje dwie podstawowe zalety. Po pierwsze możliwość świadczenia wsparcia użytkownikom z dowolnego miejsca bez konieczności instalacji dodatkowego oprogramowania. Po drugie udostępnienie użytkownikom miejsca, gdzie mogą przeprowadzić "samouzdrowienie" (self service, self recovery). W SGN webowa zdalna pomoc (moduł Web HelP Service) jest w trakcie opracowywania i pojawi się w pierwszym kwartale 2008.

Zarówno SB, jak i SGN podczas procedury C/R sprawdzają, czy wpisywane przez użytkownika kody są wprowadzane bezbłędnie. Dzięki temu nie ma potrzeby wstukiwania kilku linijek kodu, aby po chwili przekonać się, że gdzieś jest literówka. SGN oznacza błędnie wpisaną frazę kolorem czerwonym po każdym błędzie. To teoretycznie daje szansę na odgadnięcie ciągu fragment po fragmencie. Na szczęście czas na wpisanie frazy jest ograniczony do 15 min. W SGN dodatkowo można wyświetlić Spelling Aid, czyli tabele z poszczególnymi literami oraz cyframi i odpowiadające im nazwy (np. "T" = tango, jak w lotnictwie) - niestety w języku obcym.

C/R sprawdzają się, w przypadku gdy "awarii" ulegnie bądź pamięć użytkownika, bądź jego spostrzegawczość (np. zgubiony token). Co jednak w przypadku gdy stanie się coś znacznie gorszego, np. nie będziemy mogli uruchomić systemu i konieczna będzie awaryjna deszyfracja? Do tego każdy z producentów dostarcza osobne narzędzia - tworzone z poziomu interfejsu zarządzania (PPC i SB) lub bardziej "manualnie" (SGN). Tutaj na uwagę zasługuje PPC, gdzie proces recovery przebiega w sposób najmniej uciążliwy dla użytkownika. Bezpośrednio z konsoli tworzony jest bootowalny dysk (dyskietka lub klucz USB - później możliwe jest skopiowanie jego zawartości na bootowalny nośnik CD/DVD). Czynność ta wymaga uwierzytelnienia dwóch administratorów posiadających odpowiednie uprawnienia. Po uruchomieniu komputera z napędu konsola odzyskiwania do złudzenia przypomina środowisko PBA. Jest niezwykle czytelna i banalna w obsłudze.

SB wprowadził w trybie recovery system haseł jednorazowych - uruchomienie procedury odzyskiwania z utworzonego nośnika wymaga podania hasła, które należy uzyskać bezpośrednio od producenta (jest ważne przez jeden dzień). Interfejs środowiska odtwarzania jest przejrzysty, ale ze względu na dużą liczbę opcji wymaga interwencji administratora, ale też daje możliwość prowadzenia szerokiej gamy działań. Wizualnie przypomina aplikację windowsową.

SGN wymaga stworzenia bootowalnej płyty CD opartej na Windows PE lub BartPE, do której dołączana jest aplikacja odtwarzania. Przy tworzeniu live CD należy dołączyć do obrazu narzędzia odzyskiwania. Konsolka odzyskiwania jest prosta i pozwala na przeprowadzenie podstawowych czynności.

W każdym z przypadków wskazane jest dokładne przeczytanie instrukcji, które kwestie te traktują wystarczająco szczegółowo.

Na koniec…

Każdy z produktów, których funkcjonalność w skrócie została przedstawiona, stanowi "śmietankę" rozwiązań oferowanych na rynku. Trudno więc jednoznacznie wskazać najlepszy. Wszystko zależy od preferencji, potrzeb i złożoności środowiska, w jakim przyjdzie nam pracować. Wystawianie "szkolnych" ocen i kategorycznych opinii mogłoby się okazać krzywdzące dla uczestników testu. Choć żaden nie jest wolny od wad, a każdy posiada wiele zalet, to ostateczna ocena należy jednak do indywidualnego użytkownika czy administratora - od niego też zależy ostateczny poziom bezpieczeństwa, jaki wybrany produkt zaoferuje.