X-FORT DLP 本機安控

外接式儲存裝置控管

 

彈性控管

針對外接式儲存裝置控管,只有儲存媒體受到影響,其他USB裝置不具有儲存媒體的使用不受影響。如鍵盤內含記憶卡,僅記憶卡受到控管,不影響鍵盤使用。
在管控USB外接式儲存裝置中,X-FORT提供多種控管模式,包含完全禁止、唯讀(Read only)、寫出明文/密文、審核寫出...等,最多樣的控管方式,提供企業內不同工作性質與人員階層的彈性管理。

控管各種介面儲存媒體,範圍包含:

  • 各式USB裝置的儲存媒體:USB隨身碟、手機、MP3撥放器、記憶卡(CF, MS, MMC, Micro SD, SD, XD)、外接式硬碟、磁片、數位相機、PDA...等。
  • X-FORT非信任磁碟:透過各種介面連接本機的儲存裝置,SATA、IDE等會產生磁碟機代號皆在控管範圍內。

 

支援最多種寫出模式

提供以下多種檔案寫出模式,並可將寫出檔案備份至X-FORT伺服器。

完全禁止 對於任何連接本機的儲存媒體,都禁止讀取或寫出。
唯讀 允許外接式儲存媒體內的資料讀入電腦,但不允許電腦內的資料寫出至外接式儲存媒體。
密文寫出 審核寫出 審核寫出密文需經主管審核批准,才可寫出密文檔案至外接式儲存裝置。
離線解密(AES加解密) 寫出的密文檔案,在安裝X-FORT Agent的電腦上均可解密,無需與X-FORT伺服器連線。
連線解密(PKI機制加解密) 應用於檔案在公司內部流通,寫出的檔案以密文方式寫出,將檔案拖回裝有X-FORT Agent的電腦,且電腦與X-FORT伺服器有連線時可自動解密。
群組解密 寫出的密文檔案可預設指定的群組人員可以解密,用於控管加密檔案在企業內流通時,指定的群組人員才能解密。
明文寫出 審核寫出 需經主管審核批准,才可將明文檔案寫至外接式儲存裝置;搭配寫出記錄、寫出檔案實體備份和審核記錄,可事後稽核備查。
允許寫出明文時間 設定特定允許的寫出時間,在時間範圍內,擁有寫出明文檔案的權限;超過允許的寫出時間,將自動恢復為原權限。
永久允許寫出明文 與原本操作方式完全相同,可以寫出明文檔案,適用於高階主管或特定人員。並可設定在寫出資料時需輸入密碼驗證,再次驗證身分,避免有其他人借用其電腦時,將資料取走。以下自解檔使用AES技術加密,且解密後將不再受到X-FORT控管。
  • 密碼自解檔:以密碼保護的自解檔。
  • 限期自解檔:檔案通過密碼驗證,並在規定時間內,才能解密為明文檔。
  • 電腦自解檔:檔案必須在指定的電腦中解密。
  • ZIP加密檔:將寫出的明文檔壓縮成為ZIP檔格式,之後使用一般的ZIP解壓縮程式並輸入密碼,即可解開此檔案。(可以多個寫出檔案自動壓縮成同一檔案)

 

線上申請開放控管

提供主管審核機制,使用者可申請暫時開放外接式儲存裝置;審核許可後,在開放時間內允許讀取及寫出外接式儲存裝置。搭配寫出記錄、寫出檔案實體備份和審核記錄,可事後稽核備查。

 

檔案寫出記錄

顯示各用戶端電腦檔案寫出外接裝置記錄,包括寫出檔案日期、網域、使用者、部門、電腦名稱、寫出方式、寫出類型(明文或密文)、來源檔名、檔案大小、儲存檔案、寫出電腦和原因備註等資料欄位。若勾選「儲存寫出檔案」,檢視記錄時可開啟檔案內容。

 

外接式儲存裝置註冊機制

可將隨身碟、指紋碟、市售的外接式儲存裝置(如外接硬碟)等在X-FORT伺服器上註冊,並且只允許註冊過的外接式裝置可被存取使用,其他未經註冊者,將無法使用。支援類型包含:

  • 硬體辨識註冊:讀取裝置上的VID、PID註冊,同批號的裝置,只需一次即可,較其他方式便利。
  • 軟體辨識註冊:寫入特定識別資訊到外接儲存媒體上,若重新註冊資訊會有所不同。
  • 序號辨識註冊:讀取裝置硬體序號註冊,序號具唯一性,需逐一註冊。

 

MTP裝置

媒體傳輸協議MTP(包含PTP)的擴充,讓行動裝置可以傳輸檔案,是Windows Media功能的一部份。隨著行動裝置的普及,MTP已經被廣泛應用,作為智慧型手機的預設傳輸模式,數位相機、MP3和MP4播放器都已支援MTP協定。除了原本的「裝置控管功能」可用來禁用MTP裝置外,還支援記錄、備份與警示功能。

  • 使用模式
    禁止使用 不能讀、寫MTP裝置裡的檔案
    唯讀使用 可將行動裝置裡的檔案複製到電腦,反向則不行
    可讀寫 不限制使用MTP裝置
  • 記錄功能:可記錄複製到行動裝置裡的檔案的名稱和備份檔案。
  • 警示功能:使用者將檔案寫出至MTP裝置時,可發送警示訊息給群組管理者或系統管理者。

 

硬碟防護

X-FORT系統可啟動有效磁碟的「硬碟防護」功能,即便使用者以磁片/光碟片開機,或將受保護的硬碟串接至另一台電腦內,均無法存取到受保護硬碟內的資料。受保護的硬碟只在X-FORT Agent的電腦在正常開機時才能存取,如此一來,將可保障硬碟失竊或被有心人士任意取走時,硬碟內的資料不會外洩。

  • MBR硬碟防護 專利 (功能只適用2TB以下的MBR硬碟)
    透過修改硬碟的MBR區域,使得必須要在有X-FORT Agent下,才可正常存取。
  • BitLocker硬碟防護(可支援MBR/GPT格式的大容量硬碟)
    以中央控管方式啟動BitLocker功能,開機後X-FORT Agent自動將磁碟解鎖。
    • 自動接管系統內的BitLocker功能,重新產生密碼並置換。電腦開機後,X-FORT Agent會自動帶入密碼解鎖,使用者不需自行輸入密碼。
    • 支援TPM晶片加密開機磁碟,開機時自動解鎖。(無TPM晶片需手動輸入密碼;Windows 7不支援密碼解鎖)
    • 提供救援機制,救援金鑰加密儲存在資料庫中,萬一發生問題時可取回解鎖或解密。
  MBR硬碟防護 BitLocker硬碟防護
保護對象 實體硬碟
 分割磁碟
資料加密
救援金鑰
支援硬碟格式 MBR MBR/GPT
支援OS
  • 所有X-FORT支援的Windows OS
  • Windows 7 企業版/旗艦版
  • Windows 8/8.1 專業版/企業版
  • Windows 10 專業版/企業版/教育版

光碟裝置控管

 

禁用光碟機、燒錄機

禁止使用任何光碟機或燒錄機。建議可用於不需使用光碟機或燒錄機的員工,即使私接光碟機或燒錄機也無法使用。


禁用燒錄軟體

可唯讀使用光碟機,但不允許燒錄,適用於配有燒錄機的電腦。

 

X-BURN

X-BURN為X-FORT獨有之內建燒錄工具,具有以下功能。

  • 記錄:燒錄時,可將燒錄檔案備份至X-FORT伺服器,供事後稽核。
  • 燒錄檔案警示:燒錄檔案時,檔名含特定關鍵字,自動提出警示。
  • 線上申請開放燒錄:提供主管審核機制,使用者可申請暫時開放燒錄,主管檢閱檔案後許可。使用者只可燒錄申請時的檔案,若原本燒錄檔案已被修改,需重新提出申請。
  • 燒錄內容:
    • 視需求將檔案燒錄為明文或密文。 專利
    • 燒錄明文時,可指定燒錄的檔案類型格式,包含純明文檔、自解檔、ZIP檔等6種類型。

列印裝置控管

 

包含禁止列印、強制浮水印、暫時開放印表機,並記錄列印內容,多項控管模式,讓管理更彈性,並具備事後追查的功能。支援實體印表機、網路印表機、分享印表機、虛擬印表機。

列印控管

  • 限制用戶端使用未控管的印表機。
  • 限制每日列印頁數上限。

浮水印功能

  • 支援巨集參數,可顯示部門、使用者、日期時間等。
  • 提供7種浮水印樣式可供挑選,支援空心/實心字、濃淡調整,不干擾列印內容。
  • 支援特殊編碼,事後隱密反查原列印記錄及備份。

線上申請開放列印

提供主管審核機制,用戶端可申請暫時開放列印的印表機,或允許暫時取消浮水印列印的權限。

記錄

  • 啟動列印記錄:記錄使用者所有文件列印事件,部門主管或IT人員可透過記錄評估是否啟動印表機控管。
  • 備份列印內容:
    • 用戶端電腦在列印時,備份支援備份為列印圖檔,事後重新列印還原當時列印實際頁面。
    • 選擇備份列印的原始檔案,不論列印頁數,皆備份整個檔案。

警示

  • 列印檔案警示:當用戶端所列印的文件或檔案符合檔案過濾表(檔名關鍵字)的設定條件時,發出警告通知。
  • 列印張數警示:列印張數超過設定值時,發出警告通知。
  • 檔案過濾表:IT人員可設定檔案過濾項目,當有符合過濾條件文件被列印時,X-FORT系統會自動發出警示通知。

 

【印表機列印浮水印設定畫面】

 

 

操作記錄

 

啟動系統檔案更名/刪除記錄

  • 系統檔案名稱異動,記錄更名前後的相關資訊。
  • 系統檔案被刪除,可記錄與備份被刪除的檔案。

使用者日誌

  • 軟體執行記錄:使用者執行軟體時,或執行軟體視窗標題名稱有所變動時,都會記錄下來。 專利
  • 網頁瀏覽記錄:當瀏覽器IE, Chrome, FireFox, Edge視窗標題變動時,會記錄視窗標題與網址。
  • 檔案操作記錄:記錄透過檔案總管對檔案的操作細節。應用範圍包含本機、網路芳鄰、外接式儲存裝置、MTP裝置等。對於建立、刪除、更名、移動、複製檔案,及掛載或移除磁碟機代號等動作,均會留下詳細的記錄。

 

【檔案操作流程】 

 

 

進階操作記錄

 

Microsoft Office檔案存取記錄

  • 使用Microsoft Word, Excel, PowerPoint, Visio應用軟體執行開檔、存檔、另存新檔時,操作的日期、時間、使用者、電腦資訊,以及檔案的來源與目的檔名都完整的記錄。

 

剪貼簿文字記錄

  • 記錄使用者複製/貼上剪貼簿的文字內容。

 

CMD及PowerShell記錄

  • CMD與PowerShell是作業系統預設功能,利用執行指令可以啟動提權、複製/合併檔案操作、螢幕截圖、上傳檔案等,演變成隱性資安漏洞。
  • 蒐集CMD及PowerShell執行指令與輸出文字記錄,供事後調查、追溯。
  • 設定警示指令表,使用者執行符合的指令時,發送mail給群組管理者或系統管理者。

其他控管

 

特定裝置控管

可針對特殊項目做控管,禁用對象包含:

  • 紅外線(IrDA)
  • 傳輸線軟體
  • 藍牙(Bluetooth)裝置
  • 藍牙(Bluetooth)傳檔
  • 螢幕擷取鍵(PrtScr)
  • PrtScr按鍵使用記錄
  • 定位服務
  • 行動裝置同步軟體
  • 遠端遙控軟體
  • GHOST軟體
  • VMWare軟體
  • P2P軟體
  • SHARE軟體
  • 登錄編輯器
  • 音效卡
  • 無線網卡
  • 禁用USB連接的網卡

 

 

一般裝置控管

面對日新月異的周邊裝置,為強化裝置控管功能,針對Windows「裝置管理員」中任一硬體裝置開放或禁用;管理者也可自行新增或遠端匯入欲控管的裝置項目。

X-DISK

X-DISK為一套虛擬磁碟產生工具,具本機管理員權限的使用者(Local Administrators),即可新增與掛載虛擬磁碟。藉由X-DISK所提供的功能,即使不同人員共用電腦,也可以各自保有私有的空間。由於X-DISK虛擬磁碟本身已加密保護,即使虛擬磁碟被複製,或硬碟被串接到其他裝置,也不用擔心機密檔案外流。為保護公司資產,部門主管可掛載閱覽所屬人員的X-DISK。