外接式儲存裝置控管
外接式儲存裝置控管
針對外接式儲存裝置控管,只有儲存媒體受到影響,其他裝置不受影響。如鍵盤內含記憶卡,僅記憶卡受到控管,不影響鍵盤使用。
在管控外接式儲存裝置中, X-FORT提供多種控管模式,包含完全禁止、唯讀(Read only)、寫出明文/密文、審核寫出...等,最多樣的控管方式,提供企業內不同工作性質與人員階層的彈性管理。
控管各種介面儲存媒體,範圍包含:
- 各式USB裝置的儲存媒體:USB隨身碟、手機、MP3播放器、記憶卡(CF, MS, MMC, Micro SD, SD, XD)、外接式硬碟、磁片、數位相機、PDA...等。
- 透過各種介面連接本機的儲存裝置, SATA、 IDE等會產生磁碟機代號皆在控管範圍內。
支援最多種寫出模式
提供以下多種檔案寫出模式,並可將寫出檔案備份至X-FORT伺服器。
(*) 需搭配進階外接式儲存裝置控管使用
完全禁止 | 對於任何連接本機的儲存媒體,都禁止讀取或寫出。 | |
唯讀 | 允許外接式儲存媒體內的資料讀入電腦,但不允許電腦內的資料寫出至外接式儲存媒體。 | |
密文寫出 | 離線解密 (AES加解密) |
寫出的密文檔案,在安裝X-FORT Agent的電腦上均可解密,無需與X-FORT伺服器連線。 |
連線解密 (PKI機制加解密) |
應用於檔案在公司內部流通,寫出的檔案以密文方式寫出,將檔案拖回裝有X-FORT Agent的電腦,且電腦與X-FORT伺服器有連線時可自動解密。 | |
群組解密* | 寫出的密文檔案可預設指定的群組人員可以解密,用於控管加密檔案在企業內流通時,指定的群組人員才能解密。 | |
審核寫出* | 審核寫出密文需經主管審核批准,才可寫出密文檔案至外接式儲存裝置。 | |
明文寫出 | 允許寫出明文時間 | 設定特定允許的寫出時間,在時間範圍內,擁有寫出明文檔案的權限;超過允許的寫出時間,將自動恢復為原權限。 |
永久允許寫出明文 | 與原本操作方式完全相同,可以寫出明文檔案,適用於高階主管或特定人員。並可設定在寫出資料時需輸入密碼驗證,再次驗證身分,避免有其他人借用其電腦時,將資料取走。以下自解檔使用AES技術加密,且解密後將不再受到X-FORT控管。
|
|
審核寫出* | 需經主管審核批准,才可將明文檔案寫至外接式儲存裝置;搭配寫出記錄、寫出檔案實體備份和審核記錄,可事後稽核備查;搭配寫出記錄、寫出檔案實體備份和審核記錄,可事後稽核備查。 |
線上申請開放控管
提供主管審核機制,使用者可申請暫時開放外接式儲存裝置;審核許可後,在開放時間內允許讀取及寫出外接式儲存裝置。搭配寫出記錄、寫出檔案實體備份和審核記錄,可事後稽核備查。
檔案寫出記錄&備份
- 記錄各用戶端電腦檔案外接裝置寫出活動,包括寫出檔案日期、網域、使用者、部門、電腦名稱、寫出方式、寫出類型(明文或密文)、來源檔名、檔案大小、儲存檔案、寫出電腦和原因備註等資料欄位。
- 儲存寫出檔案,檢視記錄時可開啟檔案內容。
外接式儲存裝置註冊機制
可將隨身碟、指紋碟、市售的外接式儲存裝置(如外接硬碟)等在X-FORT伺服器上註冊,並且只允許註冊過的外接式裝置可被存取使用,其他未經註冊者,將無法使用。支援類型包含:
- 硬體辨識註冊:讀取裝置上的Hardware ID註冊,同批號的裝置只需註冊一次即可,較其他方式便利。
- 軟體辨識註冊:寫入特定識別資訊到外接儲存媒體上,若重新註冊資訊會有所不同。
- 序號辨識註冊:讀取裝置序號註冊,序號具唯一性,需逐一個別註冊。
MTP裝置
媒體傳輸協定MTP(包含PTP)讓行動裝置可以 傳輸檔案,是Windows Media功能的一部份。 隨著行動裝置的普及, MTP已經被廣泛應用, 作為智慧型手機的預設傳輸模式,數位相機、 MP3和MP4播放器均屬MTP協定。除了原本的「裝置控管功能」可用來禁用MTP裝置外,還 支援記錄、備份與警示功能。
- 使用模式
禁止使用 不能讀、寫MTP裝置裡的檔案 唯讀使用 可將行動裝置裡的檔案複製到電腦,反向則不行 可讀寫 不限制使用MTP裝置 - 記錄&備份:使用檔案總管在MTP裝置上讀入或寫出,記錄檔案名稱和備份檔案。
- 警示功能:使用者將檔案寫出至MTP裝置時,可發送警示訊息給群組管理者或系統管理者。
硬碟防護
X-FORT系統可啟動有效磁碟的「硬碟防護」功能,即便使用者以磁片/光碟片開機,或將受保護的硬碟串接至另一台電腦內,均無法存取到受保護硬碟內的資料。受保護的硬碟只在X-FORT Agent的電腦在正常開機時才能存取,如此一來,將可保障硬碟失竊或被有心人士任意取走時,硬碟內的資料不會外洩。
- MBR硬碟防護 (只適用2TB以下的MBR硬碟,不支援NVMe SSD)
- 透過修改硬碟的MBR區域,使得必須要在有X-FORT Agent下,才可正常存取。
- BitLocker硬碟防護 (可支援MBR/GPT格式的大容量硬碟及SSD)
- 以中央控管方式啟動BitLocker功能,開機後X-FORT Agent自動將磁碟解鎖。
- 自動接管系統內的BitLocker功能,重新產生密碼並置換。電腦開機後, X-FORT Agent會自動帶入密碼解鎖,使用者不需自行輸入密碼。
- 支援TPM晶片加密開機磁碟,開機時自動解鎖。 (無TPM晶片需手動輸入密碼; Windows 7不支援TPM解鎖)
- 提供救援機制,救援金鑰加密儲存在資料庫中,萬一發生問題時可取回解鎖或解密。
MBR硬碟防護 | BitLocker硬碟防護 | ||||||
保護對象 | 實體硬碟 |
分割磁碟 | |||||
資料加密 |
無 | 有 | |||||
救援金鑰 |
無 | 有 | |||||
支援硬碟格式 | MBR | MBR/GPT | |||||
支援OS |
|
|
光碟裝置控管
光碟裝置控管
禁用光碟機、燒錄機
禁止使用任何光碟機或燒錄機。建議可用於不需使用光碟機或燒錄機的員工,即使私接光碟機或燒錄機也無法使用。
禁用燒錄軟體
可唯讀使用光碟機,但不允許燒錄,適用於配有燒錄機的電腦。
X-BURN
X-BURN為X-FORT獨有之內建燒錄工具,具有以下功能。
- 記錄&備份:燒錄時,可將燒錄檔案備份至X-FORT伺服器,供事後稽核。
- 燒錄檔案警示:燒錄檔案時,檔名含特定關鍵字,自動提出警示。
- 線上申請開放燒錄:提供主管審核機制,使用者可申請暫時開放燒錄,主管檢閱檔案後許可。使用者只可燒錄申請時的檔案,若原本燒錄檔案已被修改,需重新提出申請。
- 燒錄內容:
- 視需求將檔案燒錄為明文或密文。
- 燒錄明文時,可指定燒錄的檔案類型格式,包含純明文檔、自解檔、 ZIP檔等6種類型。
列印裝置控管
列印裝置控管
包含禁止列印、強制浮水印、暫時開放印表機,並記錄列印內容,多項控管模式,讓管理更彈性,並具備事後追查的功能。支援實體印表機、網路印表機、分享印表機、虛擬印表機。
列印控管
- 限制用戶端使用未控管的印表機。
- 限制每日列印頁數上限。
線上申請開放列印
提供主管審核機制,用戶端可申請暫時開放列印的印表機,或允許暫時取消浮水印列印的權限。
浮水印功能
- 提供7種浮水印樣式可供挑選,支援空心/實心字、濃淡調整,不干擾列印內容。
- 支援巨集參數,可顯示部門、使用者、日期時間等。
- 支援特殊編碼,事後隱密反查原列印記錄及備份。
記錄&備份
- 列印記錄:記錄使用者所有文件列印事件,部門主管或IT人員可透過記錄評估是否啟動印表機控管。
- 備份列印內容:
- 用戶端電腦在列印時,備份支援備份為列印圖檔,事後重新列印還原當時列印實際頁面。
- 選擇備份列印的原始檔案,不論列印頁數,皆備份整個檔案。
- 用戶端電腦在列印時,備份支援備份為列印圖檔,事後重新列印還原當時列印實際頁面。
警示
- 列印檔案警示:當用戶端所列印的文件或檔案符合檔案過濾表(檔名關鍵字)的設定條件時,發出警告通知。
- 列印張數警示:列印張數超過設定值時,發出警告通知。
- 檔案過濾表: IT人員可設定檔案過濾項目,當有符合過濾條件文件被列印時, X-FORT系統會自動發出警示通知。
操作記錄
操作記錄
啟動系統檔案更名/刪除記錄
- 系統檔案名稱異動,記錄更名前後的相關資訊。
- 系統檔案被刪除,可記錄與備份被刪除的檔案。
使用者日誌
- 軟體執行記錄:使用者執行軟體時,或執行軟體視窗標題名稱有所變動時,都會記錄下來。 專利
- 網頁瀏覽記錄:當瀏覽器Chrome, Edge, IE, FireFox視窗標題變動時,會記錄視窗標題與網址。
- 檔案操作記錄:記錄透過檔案總管對檔案的操作細節。應用範圍包含本機、網路芳鄰、外接式儲存裝置、 MTP裝置等。對於建立、刪除、更名、移動、複製檔案,均會留下詳細的記錄。
進階操作記錄
(必須搭配操作記錄模組使用)
Microsoft Office檔案存取記錄
使用Microsoft Word, Excel, PowerPoint, Visio應用軟體執行開檔、存檔、另存新檔時,操作的日期、時間、使用者、電腦資訊,以及檔案的來源與目的檔名都完整的記錄。
剪貼簿文字記錄
記錄使用者複製/貼上剪貼簿的文字內容。
CMD及PowerShell記錄
CMD與PowerShell是作業系統預設功能,利用執行指令可以啟動提權、複製/合併檔案操作、螢幕截圖、上傳檔案等,演變成隱性資安漏洞。
- 蒐集CMD及PowerShell執行指令與輸出文字記錄,供事後調查、追溯。
- 設定警示指令表,使用者執行符合的指令時,發送mail給群組管理者或系統管理者。
其他控管
其他控管
特定裝置控管
可針對特殊項目控管,禁用對象包含:
- 紅外線(IrDA)
- 傳輸線軟體
- 藍牙(Bluetooth)裝置
- 藍牙(Bluetooth)傳檔
- 螢幕擷取鍵(PrtScr)
- PrtScr按鍵使用記錄
- 定位服務
- 行動裝置同步軟體
- 遠端遙控軟體
- GHOST軟體
- VMWare軟體
- P2P軟體
- SHARE軟體
- 登錄編輯器
- 音效卡
- 無線網卡
- 禁用USB連接的網卡
- 禁用光碟機
一般裝置控管
- 針對Windows裝置管理員中裝置開放或禁用,管理者也可自行新增或遠端匯入欲控管的裝置項目。
- 禁用或允許裝置管理員中的裝置,包含限制裝置類別(Class、ClassID)、PID/VID、列舉程式等。
裝置鎖定
- 對電腦裝置清查並鎖定當下連接所有裝置,防止未經許可、未獲授權的裝置連接。
- 排除特定裝置類別,不予列入鎖定的信任清單;即使為電腦內建之裝置,仍不允許使用。
- 線上申請放行裝置:提供主管審核機制,允許申請暫時放行指定裝置。
X-DISK
X-DISK
X-DISK為一套虛擬磁碟工具,具本機管理員權限的使用者(Local Administrators),即可新增與掛載虛擬磁碟。藉由X-DISK所提供的功能,即使不同人員共用電腦,也可以各自保有私有的空間。由於X-DISK虛擬磁碟本身已加密保護,即使虛擬磁碟被複製,或硬碟被串接到其他裝置,也不用擔心機密檔案外流。為保護公司資產,部門主管可掛載閱覽所屬人員的X-DISK。