Инструкция по настройке и использованию FileControl 2.0

Инструкция для старой версии - FileControl 1.4 находится здесь

FileControl состоит из трех модулей – администраторского (панель управления программой), пользовательского, называемого также драйвером слежения, и серверного.

Тот компьютер, на который вы сейчас установили программу, служит для FileControl сервером. На нем устанавился сервис, функция которого - сбор информации от драйверов слежения на компьютерах локальной сети и разрешение или запрет тех или иных действий на этих компьютерах, а также запись информации о событиях на этих компьютерах в базу данных.

После установки сервера нужно установить на компьютеры локальной сети драйверы слежения FileControl, которые будут управлять доступом к внешним устройствам и портам в соответствии с установленными вами правилами, получать и отправлять информацию на сервер. Если связи с сервером не будет, то драйвер будет продолжать работать по правилам, установленным до обрыва связи.

Управление программой осуществляется через Панель Управления FileControl, которая связывается с сервером и служит для управления правами доступа на компьютерах локальной сети, а также для просмотра информации из базы данных. Панель управления устанавливается вместе с сервером, но также может быть запущена с любого компьютера локальной сети.

Предварительные настройки firewall (брандмауэра)

Внимание! Для корректной работы серверной части FileControl, на сервере нужно открыть следующие порты для протокола TCP: 4010, 4011, 4003.

Назначение портов:

4010 и 4011 - для подключения администраторского модуля (панели управления) и драйверов слежения к серверу FileControl;
4003 - для осуществления теневого копирования файлов.

Перед началом работы убедитесь, что ваш сетевой экран на сервере (т.е. на том компьютере, где только что была установлена программа) не блокирует эти соединения.

Входим в программу

Управление осуществляется через администраторский модуль - Панель Управления FileControl (файл 'fcadmin.exe', находящийся в папке, где установлена программа), который может запускаться с любой машины локальной сети. При входе в программу нужно указать адрес или имя сервера FileControl. Пароль входа в администраторский модуль по умолчанию не установлен. При необходимости его можно указать в разделе «Настройки» после открытия программы.

После входа в программу начинаем ее настраивать.

Добавляем компьютер и устанавливаем драйвер слежения

FileControl позволяет установить драйверы слежения на компьютеры вашей локальной сети двумя способами - дистанционно или вручную. Дистанционная установка - штатный режим работы, позволяющий быстро установить драйверы на любое количество компьютеров прямо из Панели Управления FileControl. Если ваша локальная сеть настроена правильно и у вас есть права администратора домена (для сети, построенной на домене), или локального администратора на удаленных компьютерах (для сети без домена), то дистанционная установка будет работать правильно. В других случаях драйверы слежения придется устанавливать вручную, запустив на каждом компьютере специальный инсталлятор драйвера FileControl.

Дистанционная установка драйвера слежения

Информация о действиях программы отображается в соответствующем окне. Если установка драйвера слежения прошла правильно, то он начинает работать без перезагрузки компьютера.

Нажимаем на кнопку "Добавить компьютеры". В открывшемся диалоговом окне находится список компьютеров, выбранных для установки драйвера, и кнопки для добавления компьютеров в этот список различными способами. Компьютеры можно добавлять в список как по одному, указывая адрес или имя отдельного компьютера, так и массово, указав диапазон IP адресов, или импортировав их из домена Windows AD. При использовании последнего способа нужно указать логин и пароль любого пользователя, которому разрешен доступ по LDAP. Или, если политикой безопасности доступ по LDAP разрешен только администратору, то вводим данные администратора домена Active Directory.

Добавляем компьютеры в список одним из способов, в списке выделяем галочкой те, на которые нам нужно установить драйвер, и жмем кнопку "Установить >>". Если требуется - вводим логин и пароль администратора на удаленной машине. Для добавления из Active Directory необходимо указать логин и пароль администратора домена

Установка может занять некоторое время – дождитесь ее завершения. Информация о действиях программы отображается в соответствующем окне. Если установка драйвера слежения прошла правильно, то он начинает работать без перезагрузки компьютера.

Возможные проблемы и способы их решения

Если при установке возникли проблемы с доступом к удаленному компьютеру, то нужно проверить возможность доступа, напечатав в адресной строке '\\computer\admin$', где computer - имя или IP-адрес удаленного компьютера. Если доступа нет, то это означает что на этот компьютер нельзя зайти с правами администратора.

Возможные причины такой проблемы и способы ее решения:

Для ситуации с доменом. Убедитесь, что вы авторизованы как администратор домена и повторите попытку.
Для ситуации без домена. По умолчанию в ОС Windows XP и Vista политики безопасности настроены так, что из локальной сети вход на компьютер осуществляется только с ограниченными правами учетной записи Гость (Guest), встроенной в Windows, и не дающей право установки программ. Для изменения политик зайдите в Панель Управления -> Администрирование -> Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Network access; для английской версии Windows: Control Panel -> Administrative Tools -> Local Security Policy -> Local Policies -> Security Options -> Network access: Sharing and security model for local accounts. Для изменения политик вы также можете воспользоваться этим reg файлом .
Также проблема может быть вызвана настройками брандмауэра (firewall) на клиентской машине, который запрещает соединение с компьютером. В этом случае универсального способа решения не существует, т.к. все зависит от настроек вашей локальной сети и используемых программ-брандмауэров. В такой ситуации мы можем помочь вам в индивидуальном порядке - пожалуйста, обращайтесь в службу технической поддержки FileControl с подробным описанием проблемы.

Если удаленная установка не проходит, то придется воспользоваться ручной установкой.

Ручная установка драйвера слежения

Для ручной установки (и удаления) используется консольная утилита 'InstallСlientСmd.exe', расположенная в папке, куда вы установили FileControl. Вы можете скопировать ее в общую для всех компьютеров локальной сети папку или, например, на USB Flash устройство и запустить на том компьютере, куда нужно установить драйвер. Копировать этот файл на удаленный компьютер не нужно, т.к. для установки драйверов его надо запустить лишь один раз.

Для установки драйвера слежения запустите 'InstallСlientСmd.exe' с параметрами -i, указав адрес или имя сервера. Например: InstallСlientСmd.exe -i 192.168.0.1, где 192.168.0.1 - адрес сервера FileControl.

После ручной установки клиента удаленный компьютер должен появиться в списке компьютеров в Панели Управления FileControl. Драйвер слежения на клиентской машине начинает работать без перезагрузки компьютера.

Если после ручной установки драйвера компьютер не появился в Панели Управления, то это значит, что клиент не смог соединиться с сервером из-за блокировки соединения брандмауэром (firewall). Для решения проблемы на клиентской машине нужно разрешить приложению ' fcdrvservice.exe' соединяться по протоколу TCP и портам 4010 и 4011 с сервером FileControl. Соответственно, на сервере FileControl должны быть разрешены входящие соединения по протоколу TCP и портам 4010 и 4011 с компьютеров, на которых установлен драйвер слежения FileControl.

Ручная установка драйверов слежения на Windows Vista

В связи с функциями безопасности Windows Vista может возникать ошибка Отказано в доступе. В таком случае нужно:

Скопировать файл InstallClientCmd.exe на компьютер пользователябщелкнуть на него правой кнопкой мыши и выбрать "Создать Ярлык".
Правой кнопкой мыши щелкаем по ярлыку, выбираем "Свойства" и исправляем в поле "Объект" строку на "C:\Program Files\FileControl\InstallClientCmd.exe" –i ИМЯ_СЕРВЕРА:4010. Вместо имени сервера можно указать его IP адрес.
Щелкаем правой кнопкой мыши по ярлыку и выбираем "Запустить под Администратором", после чего проверяем наличие службы FileControl Client Service (файл fcdrvsvc.exe)

Добавляем пользователей из домена Windows (опционально)

Если у вас в локальной сети используется домен Windows (Windows Active Directory), то вы можете управлять доступом пользователей домена к внешним устройствам. Для этого на всех компьютерах уже должен быть установлен драйвер слежения. Нажимаем на кнопку "Добавить пользователей" в окне Права пользователей, далее на кнопку "Поиск в ActiveDirectory" и вводим логин и пароль любого пользователя, которому разрешен доступ по LDAP. Или, если политикой безопасности доступ по LDAP разрешен только администратору, то вводим данные администратора домена Active Directory. В список будут импортированы все пользователи Windows AD. Выделяем галочкой те, на которые нам нужно установить драйвер, и жмем кнопку "Добавить".

Обратите внимание, что приоритет правил для пользователей выше, чем правил для компьютеров. Т.е. если на компьютере, где доступ запрещен работает пользователь, которому доступ разрешен, то будет применяться правило для пользователя.

Используем FileControl

Изменение правил доступа

FileControl управляет доступом к группам мобильных устройств - каждой группе соответствует колонка в таблице. Есть 3 вида правил: "Запретить всё", "Только чтение" и "Полный доступ". Изменять правила можно, или из контекстного меню, вызываемого щелчком мыши по соответствующей ячейке в таблице. В этом же контекстном меню включается теневое копирование и журналирование событей. Для выделения нескольких компьютеров сразу можно вместе с мышью использовать стандартные клавиши - Ctrl и Shift.

В FileControl все USB устройства разделены на 2 группы: "USB диски" и "Прочие USB".
К группе "USB диски" относятся все устройства, которые определяются ОС Windows как диски: накопители flash ("флэшки"), жесткие диски (HDD) с USB интерфейсом, большинство mp3 плееров, некоторые сотовые телефоны, кард-ридеры, некоторые фотокамеры и т.п.
К группе "Прочие USB" относятся все устройства, которые не являются дисками и работают с USB портом напрямую. Для группы "Прочие USB" возможны только 2 правила: "полный доступ" и "нет доступа". Внимание! Если правило для группы "Прочие USB" изменено тогда, когда устройство уже подключено, то оно начнет действовать не сразу, а только при следующем подключении устройства.

Для USB дисков можно включить тенвое копирование файлов (см. ниже). Для USB, FDD и CD/DVD дисков можно включить журналирование - сбор информации о файлах, с которыми работает пользователь. Для принтера можно включить только журналирование.

Белый список

В белый список заносятся USB устройства, доступ к которым должен быть открыт всегда и на всех компьютерах (USB-ключи, сканеры, принтеры и т.п.) Правила групп "USB диски" и "USB - не диски" к ним не применяются и доступ к ним всегда разрешен без ограничений.

Чтобы добавить устройство в белый список, надо подключить его к одному из компьютеров. В списке подключенных USB устройств надо щелкнуть по нему правой кнопкой мыши и выбрать пункт "Добавить в белый список". Аналогичным образом можно удалить устройство из белого списка.

Белый список - общий для всех компьютеров. Полный доступ к устройствам из белого списка будет разрешен со всех компьютеров, даже если связь с сервером отсутствует.

Отображение и сохранение информации

Всю информацию о работе программы сервер FileControl сохраняет в базу данных SQLite, идущую в комплекте с дистрибутивом FileControl. База данных находится в папке 'Db', которая в свою очередь находится в папке с установленной программой FileControl.

В Административной Панели FileControl вся эта информация доступна в разделе «Отчеты» - в «Журнале доступа» и «Журнале событий». По умолчанию показывается информация за последние 2 часа работы. Всю нужную вам информацию вы можете получить, нажав кнопку «Запрос» и применив нужные вам фильтры в открывшемся окне.

Теневое копирование

Теневое копирование позволяет сохранять на сервере FileControl копии всех файлов, которые читались с внешних USB дисков, или записывались на них. Так как драйвер FileControl работает в невидимом режиме, то пользователи, на компьютерах которых он установлен, без воли администатора не узнают о том, что на сервере сохраняются все файлы, которые они копировали с использованием USB дисков (флэшек, внешних жестких дисков и др.)

Для включения теневого копирования в окне Права компьютеров нужно выбрать правило "Полный доступ + теневое копирование".

Копии файлов сохраняются на сервере в папке, где установлен FileControl в виде "...\FileControl2\Db\sh_log\Имя_Компьютера\имя_файла-копии". Имя файла-копии формируется из даты копирования и имени оригинального файла. Например, если в 19 часов 27 минут 26 декабря 2008 г. скопировали файл с именем 'todo.doc', то в папке файлов теневого копирования будет сохранен файл с именем ' 2008_26_12_19-27_todo.doc'

При включенном теневом копировании пользователи не смогут редактировать файлы непосредственно с USB диска. Нужно будет сначала сохранить файл на жесткий диск, а потом скопировать на съемный USB диск.

Удаляем драйвер слежения с компьютера локальной сети

Удаление драйвера слежения FileControl возможно двумя способами - дистанционное удаление (штатный режим) и ручное, используемое в случае отсутствия связи между сервером FileControl и драйвером слежения.

Для выделения нескольких компьютеров сразу можно вместе с мышью использовать стандартные клавиши - Ctrl и Shift.

При дистанционном удалении по команде сервера с компьютера локальной сети деинсталлируется драйвер, а сам компьютер удаляется из списка в Панели Управления. Если деинсталлировать драйвер дистанционно не получилось (переставлена ОС, удален агент вручную, компьютер недоступен), то программа сообщит от ошибке и предложит просто удалить компьютер из списка в Панели Управления.

Для ручного удаления драйвера слежения запустите на компьютере, где установлен дравйвер слежения 'InstallСlientСmd.exe' с параметрами -u. Например: InstallСlientСmd.exe -u. Консольная утилита 'InstallСlientСmd.exe', расположенная в папке, куда вы установили FileControl.

Если вы не хотите работать с командной строкой, то можно использовать другой способ. Щелкаем правой кнопкой мыши по 'InstallСlientСmd.exe' и выбираем опцию "Создать Ярлык". Далее щелкаем правой кнопкой мыши по созданному ярлыку и выбираем "Свойства". Исправляем в поле "Объект" строку на "C:\Program File\FileControl\InstallClientCmd.exe" -u, т.е просто дописываем в конец '-u’. Запускаем ярлык и ждем, пока драйвер деинсталлируется.

Удаление программы FileControl

Удаление программы с сервера осуществляется стандартным способом. Перед удалением FileControl с сервера сначала обязательно удалите все драйвера слежения, иначе возникнут проблемы с доступом к внешним устройствам на этих компьютерах. Автоматически драйвера не удаляются.