外接式儲存裝置控管
外接式儲存裝置控管
系統針對外接式儲存裝置進行精準控管,僅針對具備儲存功能的媒體進行管理,其他非儲存性USB裝置則不受影響。如:若鍵盤內含記憶卡插槽,系統會針對記憶卡部分啟用管控措施,並不影響鍵盤的使用,確保安全性與使用便利性。
控管各種介面儲存媒體,範圍包含:
- 各式USB裝置的儲存媒體:隨身碟、外接式硬碟、手機USB Mode、記憶卡(SD, XD, CF)...等。
- 會產生磁碟機代號的儲存媒體,透過各種介面(如:NVMe, SAS, SCSI, SATA, IDE)連接本機的儲存裝置皆在控管範
圍內。
支援最多種寫出模式
在外接式儲存媒體提供多樣化的控管模式,包括完全禁止、唯讀(Read Only)、寫出明文/密文、審核寫出等設定。
| 禁止使用 | - 任何連接本機的儲存媒體,都禁止讀取或寫出 | ||||||||
| 唯讀 | - 允許外接式儲存媒體內的資料讀入電腦,但不允許電腦內的資料寫出 | ||||||||
| 密文寫出 | 離線解密 (AES加解密) |
- 寫出的密文檔案,在安裝X-FORT Agent的電腦上均可解密,無需與X-FORT伺服器連線 | |||||||
| 連線解密 (PKI機制加解密) |
- 寫出的檔案以密文寫出,應用於檔案在公司內部流通 - 檔案拖回有X-FORT Agent且與X-FORT伺服器連線的電腦時可自動解密 |
||||||||
| 群組解密* | - 寫出的密文檔案,指定的群組人員可解密 | ||||||||
| 審核寫出* | - 需經主管審核批准,才可將密文檔案寫出 | ||||||||
| 明文寫出 | 允許寫出明文時間 | - 允許特定的時間範圍內,擁有寫出明文檔案的權限 - 超過允許的時間,將自動恢復為原權限 |
|||||||
| 永久允許寫出明文 | - 與原本操作方式完全相同,可以寫出明文檔案 - 可在寫出資料時要求輸入再次驗證身分 - 自解檔使用AES技術加密,且解密後將不再受到X-FORT控管
|
||||||||
| 審核寫出* | - 需經主管審核批准,才可將明文檔案寫出 | ||||||||
* 需搭配進階外接式儲存裝置控管使用
線上申請開放控管
(需搭配進階外接式儲存裝置控管)
提供主管審核機制,使用者可申請暫時開放外接式儲存裝置;審核許可後,在開放時間內允許讀取及寫出外接式儲存裝置。搭配寫出記錄、寫出檔案實體備份和審核記錄,可事後稽核備查。
檔案寫出記錄&備份
- 記錄檔案寫出至外接儲存裝置,包括寫出檔案日期、網域、使用者、部門、電腦名稱、寫出方式、寫出類型(明文或密文)、來源檔名、檔案大小、儲存檔案、寫出電腦和原因備註等資料欄位。
- 備份寫出檔案(shadow),檢視記錄時可開啟檔案內容。
外接式儲存裝置註冊機制
將隨身碟、指紋碟、外接硬碟註冊,並且只允許註冊過的外接式儲存裝置可被存取使用;未經註冊者,將無法使用。
註冊支援類型包含:
| 硬體辨識 | 以裝置的Hardware ID註冊,同批號的裝置只需註冊一次,但同批號的裝置將不具唯一性 | |
| 軟體 | 寫入特定識別資訊到外接儲存媒體上註冊,若重新註冊資訊會不同 | |
| 序號辨識 | 讀取裝置序號註冊,序號具唯一性 | |
註冊儲存裝置全碟加密
為確保機密資料在攜帶式儲存裝置上的安全,透過 BitLocker 進行加密,可有效防止在裝置遺失、遭竊或於運送過程中被未授權人員存取時發生資料外洩的風險。
MTP裝置
媒體傳輸協定MTP(含PTP)作為智慧型手機的預設傳輸模式,數位相機、MP3和MP4播放器均屬MTP協定。可禁用MTP裝置;或開放使用,搭配記錄、備份功能。
- 使用模式
禁止使用 不能讀、寫MTP裝置裡的檔案 唯讀使用 可將行動裝置裡的檔案複製到電腦,反向則不行 可讀寫 不限制使用MTP裝置 - 記錄&備份:使用檔案總管在MTP裝置上讀入或寫出,記錄檔案名稱和備份檔案。
磁碟加密與硬碟防護
X-FORT系統認定的有效磁碟啟動硬碟防護功能,受保護的硬碟只在X-FORT Agent存在正常開機時才能存取。
- BitLocker磁碟加密 (支援MBR/GPT格式的大容量硬碟及SSD)
- 以中央控管方式啟動BitLocker功能,開機後X-FORT Agent自動將磁碟解鎖。
- 自動接管系統內的BitLocker功能,重新產生密碼並置換。電腦開機後,X-FORT Agent會自動帶入密碼解鎖,使用者不需自行輸入密碼。
- 支援TPM晶片加密開機磁碟,開機時自動解鎖。(無TPM晶片需手動輸入密碼)
- 提供救援機制,救援金鑰加密儲存在資料庫中,萬一發生問題時可取回解鎖或解密。
- MBR硬碟防護 (不支援NVMe SSD)
- 透過修改硬碟的MBR區域,使得必須要在有X-FORT Agent下,才可正常識別。
- 以磁片/光碟片或其他系統開機,均無法存取到受保護硬碟內的資料。
| BitLocker磁碟加密 | MBR硬碟防護 | |
| 保護對象 |
分割磁碟 | 實體硬碟 |
| 資料加密 | 有 | 無 |
| 救援金鑰 |
有 | 無 |
| 支援硬碟格式 | MBR/GPT | MBR |
| 支援OS | Windows 11, 10 | 所有X-FORT支援的Windows OS |
光碟裝置控管
光碟裝置控管
- 禁止使用光碟機或燒錄機。
- 可唯讀使用光碟機,但不允許燒錄,達到可讀取不可寫出的目的。
X-BURN
X-FORT內建燒錄工具,具有以下功能。
- 記錄&備份:燒錄時,可將燒錄檔案備份。
- 線上申請光碟燒錄:提供主管審核機制,使用者可申請暫時燒錄,主管檢閱檔案後燒錄檔案。
- 燒錄內容:將檔案燒錄為明文或密文;燒錄明文時,可指定檔案類型格式,包含明文檔、自解檔、ZIP檔等。
列印裝置控管
列印裝置控管
包含禁止列印、強制浮水印、暫時開放印表機,並記錄列印內容,多項控管模式,讓管理更彈性,並具備事後追查的功能。支援實體、網路、分享、虛擬印表機。
列印控管
- 限制用戶端使用未控管的印表機。
- 限制每日/周/月的列印頁數上限,超過上限亦可依規則阻擋或申請審核。
浮水印功能
- 提供多種浮水印樣式,支援空心/實心字、濃淡調整,並指定浮水印位置、大小。
- 支援巨集參數,可顯示部門、使用者、日期時間、電腦名稱等。
- 支援特殊編碼,事後反查原列印記錄及備份。
內容過濾與分類
(*需搭配內容過濾模組使用)
- 列印前過濾內容過濾列印中介檔或圖片檔,過濾支援OCR圖片內文字辨識。
- 依照過濾規則將檔案分類,依規則決定允許、阻擋或由主管審核後列印。
記錄&備份
- 列印記錄使用者所有文件列印事件,包含允許、阻擋、審核、列印浮水印等列印結果。
- 備份列印內容:用戶端電腦在列印時,備份支援列印中介檔或圖片檔,中介檔需事後重新列印還原列印實際頁面。
線上申請開放列印 / 審核後列印
提供主管審核機制,用戶端可申請
- 文件審核後才可列印
- 暫時取消列印控管的分類檢查 (*需搭配內容過濾模組使用)
- 開放列印的印表機
- 暫時取消浮水印列印
操作記錄
操作記錄
啟動系統檔案更名/刪除記錄
- 系統檔案名稱異動,記錄更名前後的相關資訊。
- 系統檔案被刪除,可記錄與備份被刪除的檔案。
使用者日誌
- 軟體執行記錄:使用者執行軟體時,或執行軟體視窗標題名稱有所變動時都會記錄。
- 網頁瀏覽記錄:當瀏覽器Chrome, Edge, FireFox視窗標題變動時,記錄視窗標題與網址。
- 檔案操作記錄:記錄透過檔案總管對檔案的操作細節。應用範圍包含本機、網路芳鄰、外接式儲存裝置等。對於建立、刪除、更名、移動、複製檔案,均會留下詳細的記錄。
進階操作記錄
(必須搭配操作記錄模組使用)
Microsoft Office檔案存取記錄
使用Microsoft Word, Excel, PowerPoint, Visio應用軟體執行開檔、存檔、另存新檔時,操作的日期、時間、使用者、電腦資訊,以及檔案的來源與目的檔名都完整的記錄。
剪貼簿文字記錄
記錄使用者複製/貼上剪貼簿的文字內容。
CMD及PowerShell記錄
CMD與PowerShell是作業系統預設功能,利用執行指令可以啟動提權、複製/合併檔案操作、螢幕截圖、上傳檔案等,演變成隱性資安漏洞。
- 蒐集CMD及PowerShell執行指令與輸出文字記錄,供事後調查、追溯。
- 設定警示指令表,使用者執行符合的指令時,發送mail給群組管理者或系統管理者。
其他控管
其他控管
裝置控管
- 針對Windows裝置管理員中裝置開放或禁用,管理者可遠端取得裝置樹,由裝置資訊新增控管規則。
- 禁用或允許裝置管理員中的裝置,包含限制裝置類別(Class、ClassID)、PID/VID、列舉程式等。
裝置鎖定 (Device Lockdown)
- 對電腦裝置清查並鎖定當下連接所有裝置,防止未經許可、未獲授權的裝置連接。
- 排除特定裝置類別,不予列入鎖定的信任清單;即使為電腦內建之裝置,仍不允許使用。
- 線上申請放行裝置:提供主管審核機制,允許申請暫時放行指定裝置。
特定裝置控管
可針對特殊項目控管,禁用對象包含:
- 傳輸線軟體
- 藍牙(Bluetooth)傳檔
- 螢幕擷取鍵(PrtScr)
- PrtScr按鍵使用記錄
- 定位服務
- 行動裝置同步軟體
- 遠端遙控軟體
- Ghost軟體
- VMware軟體
- P2P軟體
- SHARE軟體
- 登錄編輯器