Soluția de gestionare a dispozitivului trebuie să funcționeze pe bază de listă albă (accesul este refuzat în mod implicit) pentru a asigura cel mai înalt nivel de protecție.
Există. Securitate maximă prin utilizarea pe deplin a principiului biți, cu scanarea de la distanță a dispozitivelor pentru a umple lista albă.
Soluția de gestionare a dispozitivelor ar trebui să poată oferi un nivel de protecție delimitat. Pentru a proteja anumite clase de dispozitive, protejați anumite tipuri / mărci de dispozitive sau dispozitive individuale prin numărul lor de serie unic.
Există. Sprijin complet pentru delimitarea structurii de conducere.
W2k3: nu. W2k8: limitat (ID-urile dispozitivelor de la managerul de dispozitive Windows sunt obligate să utilizeze lista albă sau neagră, nu este posibilă distribuirea dispozitivelor unice anumitor utilizatori). W2k8 GPO își asumă prezența Vista și mai sus pe mașinile client!
Soluția pentru gestionarea dispozitivelor ar trebui să poată grupa dispozitivele detașabile individuale.
Există. Dispozitivele detașabile pot fi grupate flexibil și numesc aceste grupuri ca convenabile.
W2k3: nu. W2k8: foarte limitat (ID-urile de mai multe dispozitive din consola managerului de dispozitive Windows pot fi grupate într-o politică separată fără opțiunea de redenumire). W2k8 GPO își asumă prezența Vista și mai sus pe mașinile client!
Soluția de gestionare a dispozitivelor ar trebui să poată distinge între accesul complet la dispozitiv și accesul la citire / scriere.
W2k3: nu. W2k8: Da, dar numai pentru șase clase de dispozitive disponibile.
Există. Orice număr de discuri CD / DVD individuale care sunt recunoscute datorită hash-urilor.
Nu există o astfel de funcție.
Soluția de gestionare a dispozitivului ar trebui să poată acorda permisiuni temporare pentru accesarea dispozitivului la cerere.
Nu există o astfel de opțiune.
Soluția pentru gestionarea dispozitivelor ar trebui să poată oferi acces sistematic la dispozitive, acces programat.
Nu există o astfel de opțiune.
Soluția pentru gestionarea dispozitivelor trebuie să fie capabilă să facă distincția între permisiunile online și cele offline.
Există. Pot fi acordate diferite permisiuni în funcție de starea aparatului în rețea.
Nu există o astfel de opțiune.
Soluția de gestionare a dispozitivului ar trebui să permită anumitor utilizatori să suprascrie orice restricții (setări de bază) pentru accesarea dispozitivelor.
W2k3: nu. W2k8: Doar administratorii pot avea dreptul de a revoca restricțiile de politică.
Utilizarea permisiunilor de acces la dispozitive trebuie să fie efectuată în timp real, aplicată pe întreaga rețea, fără a fi nevoie să reporniți mașina clientului și să ieșiți din sistem pentru utilizator.
Există. Imediat aplicarea politicilor în timp real.
Nu (Aplicația GPO depinde de intervalul de actualizare a politicii de grup, în mod implicit acest timp este de 90 de minute).
Ar trebui să fie posibilă aplicarea politicilor atât la inițiativa serverului (push), cât și la inițiativa clientului (trageți), automat (la intervale specificate) și prin import (modificări offline).
Există. Toate cele 4 moduri de forțare a setărilor sunt posibile.
W2k3 și W2k8: numai 2 moduri. Este imposibil să se aplice politici privind inițiativa serverului și nu există opțiune de import. Numai modul automat (implicit) și aplicarea politicilor la inițiativa clientului.
Soluția de gestionare a dispozitivului trebuie să ofere permisiuni utilizatorilor existenți și grupurilor de utilizatori și să suporte Microsoft Active Directory (fără a fi nevoie să gestionați fiecare utilizator individual).
Soluția pentru gestionarea dispozitivelor trebuie să poată oferi rezoluții diferite pentru diferite mașini.
Există. Suport politic complet pentru mașini individuale, dacă este necesar.
Limited (GPO-urile se aplică pe site-uri, domenii sau unități organizaționale, nu pe mașini individuale).
Soluția pentru gestionarea dispozitivelor ar trebui să poată combina mașinile în grupuri de mașini (gestionarea dispozitivelor pe bază de mașină).
Nu (numai indirect prin intermediul unităților organizaționale)
Există. Delinearea controlului transferului de fișiere în funcție de tipul acestora.
Nu există nici un tip de control al tipurilor de fișiere pentru dispozitivele autorizate.
Soluția pentru gestionarea dispozitivelor ar trebui să fie capabilă să intercepteze fișierele copiate, fie prin nume de fișiere, fie complet prin conținut.
Nu există opțiune pentru copierea umbrei.
Soluția de gestionare a dispozitivelor ar trebui să poată cripta datele pe dispozitive de stocare amovibile, cum ar fi cardurile de memorie sau unitățile flash.
Există. Abilitatea de a cripta datele pe suporturi amovibile.
Nu există opțiune de criptare pentru mediile amovibile.
Criptarea datelor privind mediile amovibile ar trebui efectuată atât la nivel central (criptarea obligatorie centralizată obligatorie a mass-media), cât și descentralizată (criptarea locală a mass-mediei de către utilizator, în mod intenționat).
Există. Opțiunea de criptare centralizată și descentralizată.
Soluția de gestionare a dispozitivului ar trebui să poată crea discuri CD / DVD criptate.
Nu există o astfel de opțiune.
Accesul la date criptate de soluția de management al dispozitivului trebuie să fie disponibil și pe mașinile neprotejate în afara organizației, prin introducerea unei parole.
Nu există o astfel de opțiune.
Soluția pentru gestionarea dispozitivelor ar trebui să poată fi instalată pe mașinile client în mod silențios, în mod automat, cu instrumente standard, de exemplu printr-un GPO sau cu instrumente software terță parte.
Există. Modulul de instalare client este un pachet standard MSI, are propriul utilitar pentru implementare.
Da (software-ul pentru implementare cu GPO nu este necesar)
Soluția de gestionare a dispozitivului trebuie să furnizeze un mod de administrare ierarhic cu straturi care acoperă diferite zone de configurare și diferite detalii ale jurnalului.
Există. Drepturile administrative flexibile pot fi atribuite oricărui utilizator, dacă este necesar.
Limited. Politicile pot fi stabilite doar de administratori și de utilizatori cu drepturi delegate (nu există o distribuție granulară a drepturilor de administrator)
Soluția de gestionare a dispozitivului trebuie să asigure că delegarea drepturilor de administrator de la AD.
Soluția de gestionare a dispozitivelor ar trebui să sprijine logarea centralizată a acțiunilor utilizatorilor pozitivi și negativi pe mașinile client.
Există. (Logare centralizată și raportare).
Există. (Jurnal de evenimente Windows).
Soluția de gestionare a dispozitivului ar trebui să aibă un sistem simplu de raportare pentru a facilita feedback-ul către administratori.
Există (rapoartele planificate și crearea de șabloane personalizate pentru rapoarte).
Nu (numai cu ajutorul unor instrumente terță parte).
Soluția pentru gestionarea dispozitivelor trebuie să poată loga acțiunile administratorilor.
Nu există o pistă de audit separată.
Utilizatorul final nu ar trebui să poată ocoli sau elimina de la client soluția de administrare a dispozitivelor (funcționalitatea programului la nivel de kernel, opțiunea opțională de a face programul invizibil ca software instalat), chiar și cu drepturi de administrator local.
Există (diverse opțiuni pentru dezinstalarea și protecția împotriva administratorilor locali).
Restricționată și dependentă de alte setări (de exemplu, utilizatorul se loghează în sistem local, ocolind astfel interzicerea dispozitivelor USB).
Controlul dispozitivului Lumension. O soluție de vârf dovedită pentru gestionarea centralizată a dispozitivelor, cu o abundență de capabilități puternice și moderne. Oferă o arhitectură stabilă, o instalare ușoară și o configurație vizuală. Această soluție de securitate specializată este utilizată de mii de companii și agenții guvernamentale din întreaga lume. Compararea acestei soluții cu capabilitățile GPO, chiar și în Windows Vista și W2k8, este ca și cum ați compara o bicicletă cu un Mercedes. Puteți călători pe amândouă, dar ce diferență!
Windows GPO. Folosirea politicilor de grup pentru a gestiona dispozitivele într-un mediu AD nu necesită costuri suplimentare pentru licențiere, gestionarea centralizată în GPMC este deja cunoscută pentru administratorii Windows. Dar, pe de altă parte, este scump din punct de vedere al securității, având în vedere numeroasele limitări la utilizarea GPO: