外接式儲存裝置控管

 

針對外接式儲存裝置控管，只有儲存媒體受到影響，其他裝置不受影響。如鍵盤內含記憶卡，僅記憶卡受到控管，不影響鍵盤使用。

在管控外接式儲存裝置中， X-FORT提供多種控管模式，包含完全禁止、唯讀（Read only）、寫出明文/密文、審核寫出...等，最多樣的控管方式，提供企業內不同工作性質與人員階層的彈性管理。

控管各種介面儲存媒體，範圍包含：

• 各式USB裝置的儲存媒體：USB隨身碟、手機、MP3播放器、記憶卡（CF, MS, MMC, Micro SD, SD, XD）、外接式硬碟、磁片、數位相機、PDA...等。
• 透過各種介面連接本機的儲存裝置， SATA、 IDE等會產生磁碟機代號皆在控管範圍內。

 

支援最多種寫出模式

提供以下多種檔案寫出模式，並可將寫出檔案備份至X-FORT伺服器。

 (*) 需搭配進階外接式儲存裝置控管使用

完全禁止	對於任何連接本機的儲存媒體，都禁止讀取或寫出。
唯讀	允許外接式儲存媒體內的資料讀入電腦，但不允許電腦內的資料寫出至外接式儲存媒體。
密文寫出	離線解密 (AES加解密)	寫出的密文檔案，在安裝X-FORT Agent的電腦上均可解密，無需與X-FORT伺服器連線。
	連線解密 (PKI機制加解密)	應用於檔案在公司內部流通，寫出的檔案以密文方式寫出，將檔案拖回裝有X-FORT Agent的電腦，且電腦與X-FORT伺服器有連線時可自動解密。
	群組解密*	寫出的密文檔案可預設指定的群組人員可以解密，用於控管加密檔案在企業內流通時，指定的群組人員才能解密。
	審核寫出*	審核寫出密文需經主管審核批准，才可寫出密文檔案至外接式儲存裝置。
明文寫出	允許寫出明文時間	設定特定允許的寫出時間，在時間範圍內，擁有寫出明文檔案的權限；超過允許的寫出時間，將自動恢復為原權限。
	永久允許寫出明文	與原本操作方式完全相同，可以寫出明文檔案，適用於高階主管或特定人員。並可設定在寫出資料時需輸入密碼驗證，再次驗證身分，避免有其他人借用其電腦時，將資料取走。以下自解檔使用AES技術加密，且解密後將不再受到X-FORT控管。 ZIP加密檔：將寫出的明文檔壓縮成為ZIP檔格式，之後使用一般的ZIP解壓縮程式並輸入密碼，即可解開此檔案。 (可以多個寫出檔案自動壓縮成同一檔案) 密碼自解檔*：以密碼保護的自解檔。 限期自解檔*：檔案通過密碼驗證，並在規定時間內，才能解密為明文檔。 電腦自解檔*：檔案必須在指定的電腦中解密。
	審核寫出*	需經主管審核批准，才可將明文檔案寫至外接式儲存裝置；搭配寫出記錄、寫出檔案實體備份和審核記錄，可事後稽核備查；搭配寫出記錄、寫出檔案實體備份和審核記錄，可事後稽核備查。

 

線上申請開放控管

提供主管審核機制，使用者可申請暫時開放外接式儲存裝置；審核許可後，在開放時間內允許讀取及寫出外接式儲存裝置。搭配寫出記錄、寫出檔案實體備份和審核記錄，可事後稽核備查。

 

檔案寫出記錄&備份

• 記錄各用戶端電腦檔案外接裝置寫出活動，包括寫出檔案日期、網域、使用者、部門、電腦名稱、寫出方式、寫出類型（明文或密文）、來源檔名、檔案大小、儲存檔案、寫出電腦和原因備註等資料欄位。
• 儲存寫出檔案，檢視記錄時可開啟檔案內容。

外接式儲存裝置註冊機制

可將隨身碟、指紋碟、市售的外接式儲存裝置(如外接硬碟)等在X-FORT伺服器上註冊，並且只允許註冊過的外接式裝置可被存取使用，其他未經註冊者，將無法使用。支援類型包含：

• 硬體辨識註冊：讀取裝置上的Hardware ID註冊，同批號的裝置只需註冊一次即可，較其他方式便利。
• 軟體辨識註冊：寫入特定識別資訊到外接儲存媒體上，若重新註冊資訊會有所不同。
• 序號辨識註冊：讀取裝置序號註冊，序號具唯一性，需逐一個別註冊。

 

MTP裝置

媒體傳輸協定MTP(包含PTP)讓行動裝置可以 傳輸檔案，是Windows Media功能的一部份。 隨著行動裝置的普及， MTP已經被廣泛應用， 作為智慧型手機的預設傳輸模式，數位相機、 MP3和MP4播放器均屬MTP協定。除了原本的「裝置控管功能」可用來禁用MTP裝置外，還 支援記錄、備份與警示功能。

• 使用模式
  

  禁止使用	不能讀、寫MTP裝置裡的檔案
  唯讀使用	可將行動裝置裡的檔案複製到電腦，反向則不行
  可讀寫	不限制使用MTP裝置

• 記錄&備份：使用檔案總管在MTP裝置上讀入或寫出，記錄檔案名稱和備份檔案。
• 警示功能：使用者將檔案寫出至MTP裝置時，可發送警示訊息給群組管理者或系統管理者。

 

硬碟防護

X-FORT系統可啟動有效磁碟的「硬碟防護」功能，即便使用者以磁片/光碟片開機，或將受保護的硬碟串接至另一台電腦內，均無法存取到受保護硬碟內的資料。受保護的硬碟只在X-FORT Agent的電腦在正常開機時才能存取，如此一來，將可保障硬碟失竊或被有心人士任意取走時，硬碟內的資料不會外洩。

• MBR硬碟防護 (只適用2TB以下的MBR硬碟，不支援NVMe SSD)
  • 透過修改硬碟的MBR區域，使得必須要在有X-FORT Agent下，才可正常存取。
• BitLocker硬碟防護 (可支援MBR/GPT格式的大容量硬碟及SSD)
  • 以中央控管方式啟動BitLocker功能，開機後X-FORT Agent自動將磁碟解鎖。
  • 自動接管系統內的BitLocker功能，重新產生密碼並置換。電腦開機後， X-FORT Agent會自動帶入密碼解鎖，使用者不需自行輸入密碼。
  • 支援TPM晶片加密開機磁碟，開機時自動解鎖。 (無TPM晶片需手動輸入密碼； Windows 7不支援TPM解鎖)
  • 提供救援機制，救援金鑰加密儲存在資料庫中，萬一發生問題時可取回解鎖或解密。

 

 

光碟裝置控管

 

禁用光碟機、燒錄機

禁止使用任何光碟機或燒錄機。建議可用於不需使用光碟機或燒錄機的員工，即使私接光碟機或燒錄機也無法使用。

 

禁用燒錄軟體

可唯讀使用光碟機，但不允許燒錄，適用於配有燒錄機的電腦。

 

X-BURN

X-BURN為X-FORT獨有之內建燒錄工具，具有以下功能。

• 記錄&備份：燒錄時，可將燒錄檔案備份至X-FORT伺服器，供事後稽核。
  
• 燒錄檔案警示：燒錄檔案時，檔名含特定關鍵字，自動提出警示。
  
• 線上申請開放燒錄：提供主管審核機制，使用者可申請暫時開放燒錄，主管檢閱檔案後許可。使用者只可燒錄申請時的檔案，若原本燒錄檔案已被修改，需重新提出申請。
  
• 燒錄內容：
  • 視需求將檔案燒錄為明文或密文。
  • 燒錄明文時，可指定燒錄的檔案類型格式，包含純明文檔、自解檔、 ZIP檔等6種類型。

 

列印裝置控管

 

包含禁止列印、強制浮水印、暫時開放印表機，並記錄列印內容，多項控管模式，讓管理更彈性，並具備事後追查的功能。支援實體印表機、網路印表機、分享印表機、虛擬印表機。

 

列印控管

• 限制用戶端使用未控管的印表機。
  
• 限制每日列印頁數上限。
  

 

線上申請開放列印

提供主管審核機制，用戶端可申請暫時開放列印的印表機，或允許暫時取消浮水印列印的權限。

 

浮水印功能

• 提供7種浮水印樣式可供挑選，支援空心/實心字、濃淡調整，不干擾列印內容。
  
• 支援巨集參數，可顯示部門、使用者、日期時間等。
  
• 支援特殊編碼，事後隱密反查原列印記錄及備份。
  

 

 

記錄&備份

• 列印記錄：記錄使用者所有文件列印事件，部門主管或IT人員可透過記錄評估是否啟動印表機控管。
  
• 備份列印內容：
  
  • 用戶端電腦在列印時，備份支援備份為列印圖檔，事後重新列印還原當時列印實際頁面。
    
  • 選擇備份列印的原始檔案，不論列印頁數，皆備份整個檔案。
    

警示

• 列印檔案警示：當用戶端所列印的文件或檔案符合檔案過濾表(檔名關鍵字)的設定條件時，發出警告通知。
  
• 列印張數警示：列印張數超過設定值時，發出警告通知。
  
• 檔案過濾表： IT人員可設定檔案過濾項目，當有符合過濾條件文件被列印時， X-FORT系統會自動發出警示通知。 

 

操作記錄

 

啟動系統檔案更名/刪除記錄

• 系統檔案名稱異動，記錄更名前後的相關資訊。
• 系統檔案被刪除，可記錄與備份被刪除的檔案。

 

 

使用者日誌

• 軟體執行記錄：使用者執行軟體時，或執行軟體視窗標題名稱有所變動時，都會記錄下來。 專利
• 網頁瀏覽記錄：當瀏覽器Chrome, Edge, IE, FireFox視窗標題變動時，會記錄視窗標題與網址。
• 檔案操作記錄：記錄透過檔案總管對檔案的操作細節。應用範圍包含本機、網路芳鄰、外接式儲存裝置、 MTP裝置等。對於建立、刪除、更名、移動、複製檔案，均會留下詳細的記錄。

 

---

 

進階操作記錄

 

(必須搭配操作記錄模組使用) 

Microsoft Office檔案存取記錄

使用Microsoft Word, Excel, PowerPoint, Visio應用軟體執行開檔、存檔、另存新檔時，操作的日期、時間、使用者、電腦資訊，以及檔案的來源與目的檔名都完整的記錄。

 

 

剪貼簿文字記錄

記錄使用者複製/貼上剪貼簿的文字內容。

 

CMD及PowerShell記錄

CMD與PowerShell是作業系統預設功能，利用執行指令可以啟動提權、複製/合併檔案操作、螢幕截圖、上傳檔案等，演變成隱性資安漏洞。

• 蒐集CMD及PowerShell執行指令與輸出文字記錄，供事後調查、追溯。
  
• 設定警示指令表，使用者執行符合的指令時，發送mail給群組管理者或系統管理者。

 

其他控管

 

特定裝置控管

可針對特殊項目控管，禁用對象包含：

• 紅外線（IrDA）
• 傳輸線軟體
• 藍牙(Bluetooth)裝置
• 藍牙(Bluetooth)傳檔
  
• 螢幕擷取鍵（PrtScr）
• PrtScr按鍵使用記錄
• 定位服務
• 行動裝置同步軟體
  
• 遠端遙控軟體
• GHOST軟體
• VMWare軟體
• P2P軟體
  
• SHARE軟體
• 登錄編輯器
• 音效卡
• 無線網卡
  
• 禁用USB連接的網卡
• 禁用光碟機

 

 

一般裝置控管

• 針對Windows裝置管理員中裝置開放或禁用，管理者也可自行新增或遠端匯入欲控管的裝置項目。
• 禁用或允許裝置管理員中的裝置，包含限制裝置類別(Class、ClassID)、PID/VID、列舉程式等。

 

裝置鎖定

• 對電腦裝置清查並鎖定當下連接所有裝置，防止未經許可、未獲授權的裝置連接。
• 排除特定裝置類別，不予列入鎖定的信任清單；即使為電腦內建之裝置，仍不允許使用。
• 線上申請放行裝置：提供主管審核機制，允許申請暫時放行指定裝置。

 

X-DISK

 

X-DISK為一套虛擬磁碟工具，具本機管理員權限的使用者（Local Administrators），即可新增與掛載虛擬磁碟。藉由X-DISK所提供的功能，即使不同人員共用電腦，也可以各自保有私有的空間。由於X-DISK虛擬磁碟本身已加密保護，即使虛擬磁碟被複製，或硬碟被串接到其他裝置，也不用擔心機密檔案外流。為保護公司資產，部門主管可掛載閱覽所屬人員的X-DISK。