Главная

Friday, 23 August 2019

DLP от McAfee.

Всем привет.

В McAfee есть отличный модуль Data Protection. Который как раз и предназначен для организации процесса мониторинга использования съемных носителей на фирме. Но есть нюанс.

Независимо от принятой политики запрета в журнал DLP Incident Manager попадает информация об используемом носителе. Если это была флешка то устройство вполне адекватно определяется и по имени и по ID.

Пример:

Device Friendly Name : JetFlash Transcend 32GB USB Device
Device Description: Disk drive
Instance ID :         USBSTOR\Disk&Ven_JetFlash&Prod_Transcend_32GB&Rev_8.07\
USB Serial Number: 5200843DFE9E5685

Если это была не флешка, а например, смартфон, то все намного печальнее.

Пример:

Device Friendly Name : Remote NDIS based Internet Sharing Device
Device Description: Remote NDIS based Internet Sharing Device
USB Serial Number: KFKF5L8PMR09CIAU
Instance ID :         USB\VID_04E8&PID_6863\5200843DFE9E7785
USB (VID/PID Codes): 04E8-6863

Как видно в этом случае имя устройства безликое. А по VID/PID кодам можно только делать догадки ибо про их идентичность сейчас мало кто из производителей заботится. Ну разве что серийный номер нам сможет что-то сказать.(

Ну такое.

No comments:

Post a Comment

А что вы думаете по этому поводу?