電腦周邊裝置因應使用者多元的需求,出現了各種功能的電腦周邊裝置,然而這些周邊裝置對使用者帶來了方便,卻有可能讓企業帶來未知的風險。
IT人員為管理電腦周邊裝置也傷透腦筋,以往裝置控管是採取黑名單技術來禁用目前電腦的周邊裝置,缺點為只能禁用已知周邊設備。在裝置白名單功能下,IT人員可以鎖定每台電腦的裝置白名單清單,就是白名單以外的硬體設備一律禁用,
以下舉例說明:
- 公司資安政策規定,公司電腦只能使用通過資安認證檢驗的網路卡,為防止員工自行更換其他(如:私接)的網路卡,在配發裝置前,鎖定網路卡裝置白名單,讓公司電腦只能使用配發的網路卡。
- 當電腦接上一個實體周邊裝置時,裝置管理員上可能會出現多個不同虛擬裝置介面,這些虛擬裝置會有不同的特徵,而X-FORT就是使用裝置的特徵來建立裝置白名單或黑名單,進而達到控管效果。
周邊裝置有哪些特徵?
- 類別(Class):會依裝置特性去分門別類。如:隨身碟為DiskDrive、滑鼠為Mouse。
- 裝置例項路徑:裝置廠商供提裝置的PID、VID或序號給Windows系統辨識。
如何管理周邊裝置?
裝置類別(Class)控管
依裝置的Class屬性來放行或禁用周邊裝置。
如:滑鼠、鍵盤Class屬性皆為HID,可將Class = HID設為裝置白名單。
單一裝置(Instance)控管
依裝置的VID_XXXX & PID_XXXX或裝置序號來放行或禁用單一裝置。
如:因疫情嚴竣,員工居家開會須使用視訊攝影設備,IT人員將公司提供給員工的視訊設備VID及PID,設定到政策內來達到放行效果。
鎖定(Lockdown )裝置白名單
IT人員將鎖定裝置白名單設定到政策時,X-FORT Agent會立即將電腦上周邊設備進行快照,列為裝置白名單。
如:產線電腦可運行鎖定機制,進行周邊設備控管。
鎖定裝置白名單 + 單一裝置控管
IT人員已將產線電腦周邊設備建立裝置白名單,後續因應產線需求須增加設備時,IT人員取得設備特徵值,並更新白名單,由X-FORT Agent 同步政策給產線電腦使用。
裝置管理注意事項?
相同PID、VID?
有些裝置的PID & VID並非唯一值,同批裝置可能PID & VID相同,放行時需特別注意。。
不同USB port,會被視為不同硬體?
系統會比對硬體的特徵,若鎖定特徵為「裝置例項路徑(Instance Path)」,一般會有如下情況:
1. 此裝置無序號時,該硬體接上不同USB Port時,Instance Path會變動,將視為不同裝置。
2. 此裝置有序號時,將以序號是為唯一值,更換USB Port時,Instance Path不會改變。
X-FORT系統若比對結果只有USB port特徵不同,則系統仍會判斷為相同硬體。
串接、再串接結果如何?
相同硬體裝置,不論是直接接上電腦或透過Hub串接、再串接到電腦,其狀態是不會影響系統對特徵值的判斷,但使用上須將Hub & 串接的硬體裝置一併放行。亦可搭配X-FORT其他的控管方式,如外接碟寫出控管、光碟燒錄控管、印表機控管…等,達到更彈性的使用。