Как удалить devicelock с компьютера

Как удалить devicelock с компьютера

В октябре 2017 года довелось побывать на рекламном семинаре DLP-системы DeviceLock, где помимо основного функционала защиты от утечек типа закрытия USB-портов, контекстного анализа почты и буфера обмена рекламировалась защита от администратора. Модель простая и красивая — в маленькую фирму приходит установщик, ставит комплекс программ, паролит БИОС, создает администраторскую учетку DeviceLock, а местному админу оставляет только права на управление собственно Виндой и остальным софтом. Даже в случае умысла этот админ ничего украсть не сможет. Но это все теория…

Т.к. за 20+ лет работы в области разработки средств защиты информации наглядно убедился, что администратор может все, особенно имея физический доступ к компьютеру, то основной защитой от него могут служить исключительно организационные меры типа строгой отчетности и физической защиты компьютеров, содержащих важную информацию, то немедленно возникла мысль проверить стойкость предложенного продукта.

Попытка сделать сразу по завершении семинара не удалась, в лоб защиту от удаления основной службы DlService.exe сделали и даже про права доступа и выбор последней удачной конфигурации не забыли, в результате чего повалить ее, как большинство вирусов, запретив системе доступ на чтение и выполнение, не получилось.

На все вопросы о защите наверняка имеющихся в составе продукта драйверов представитель фирмы-разработчика Смарт Лайн уверенно заявлял, что «все на том же уровне».

Через день решил продолжить изыскания, скачал пробную версию. Сразу же удивил размерчик дистрибутива почти в 2 Гб! Привык, что системное ПО, к которому принято относить средства защиты информации (СЗИ), обычно имеет гораздо более компактный размер.

После установки удивился 2й раз — размер вышеупомянутого ехе-шника тоже весьма немаленький — 13Мб. Сразу подумалось, что при таком объеме есть за что зацепиться. Попробовал подменить модуль с помощью отложенной записи — закрыто. Покопался в каталогах программы, а там одних драйверов аж 11 штук! Потыкал в разрешения — не закрыты для изменения! Ну ладно, всем запрет, перегружаемся!

Эффект просто феерический — все функции отключились, служба не стартовала. Какая там самозащита, бери и копируй что хочешь хоть на флешки, хоть по сети. Вылез первый серьезный недостаток системы — слишком сильная взаимосвязь компонентов. Да, служба с драйверами должна общаться, но падать то зачем, если никто не отвечает? В итоге один метод обхода защиты есть.

Выяснив, что чудо-служба такая нежная и чувствительная, решил проверить ее зависимости от сторонних библиотек. Тут еще проще, список большой, просто наугад стираем библиотеку WinSock_II и наблюдаем аналогичную картину — служба не стартовала, система открыта.

В результате имеем то самое, что живописал докладчик на семинаре, мощный забор, но огораживающий не весь охраняемый периметр из-за нехватки денег, а на незакрытом участке просто колючий шиповник. В данном же случае, учитывая архитектуру программного изделия, предполагающую не закрытую по умолчанию среду, а множество разнообразных затычек, перехватчиков, анализаторов трафика, это скорее штакетник, причем многие планочки прикручены саморезами снаружи и их очень легко открутить. Проблемы большинства подобных решений в том, что в таком огромном количестве потенциальных дырок всегда есть вероятность забыть что-то, пропустить взаимосвязь либо повлиять на стабильность, неудачно реализовав какой-то из перехватчиков. Судя по тому, что приведенные в данной статье уязвимости просто лежат на поверхности, продукт содержит еще множество других, искать которые надо на пару часов дольше.

Причем на рынке полно примеров грамотной реализации защиты от отключения, например отечественные антивирусные средства, где самозащиту просто так не объедешь. Насколько мне известно, они не поленились пройти сертификацию ФСТЭК.

Проведя несколько бесед с сотрудниками Смарт Лайн, несколько подобных мест, о которых они даже не слышали, было найдено. Один из примеров — механизм АррInitDll.

Пусть он не самый глубокий, зато во многих случаях позволяет обойтись без влезания в ядро ОС и не влиять на ее стабильность. Драйвера nVidia во всю используют данный механизм для подстройки видеодаптера под конкретную игру.

Вызывает вопросы полное отсутствие комплексного подхода к построению автоматизированой системы на базе DL 8.2. Предлагается живописать заказчику преимущества продукта, проверить вычислительную мощность имеющихся ПК и серверов (контекстные анализаторы весьма ресурсоемки и модные сейчас офисные моноблоки и неттопы на базе Атом в данном случае не подходят) и просто накатить сверху изделие. При этом такие термины, как «разграничение доступа», «замкнутая программная среда», даже не прозвучали на семинаре. Про шифрование было сказано, что помимо сложности оно вызовет вопросы регуляторов, хотя реально никаких проблем с этим нет. Вопросы про сертификацию даже во ФСТЭК отметаются ввиду их якобы сложности и затянутости. Как специалист по ИБ, неоднократно принимавший участие в подобных процедурах, могу сказать, что в процессе их проведения выявляется множество уязвимостей, подобных описанным в данном материале, т.к. специалисты сертифицирующих лабораторий имеют серьезную профильную подготовку.

В итоге представленная DLP-система может выполнять весьма малый набор функций, собственно обеспечивающих информационную безопасность, генерируя при этом серьезную вычислительную нагрузку и создавая у неискушенного в вопросах ИБ руководства компании ощущение защищенности корпоративных данных.

Читайте также:  Значок стрелочка на айфоне как убрать

Реально защитить она может разве что реально большие данные от непривилегированного пользователя, т.к. администратор вполне способен полностью деактивировать защиту, а для необъемных секретов и младший менеджер по клинингу догадается незаметно сфотографировать экран, а то и запомнить адресок или номер кредитки, заглянув в экран через плечо коллеги.
Причем все это справедливо только в случае невозможности физического доступа сотрудников к внутренностям ПК или хотя бы к БИОС для активации загрузки с внешних носителей. Тогда может не помочь даже БитЛокер, который вряд ли применяется в фирмах, которые только задумались о защите информации.

Вывод, как это ни банально звучит, в комплексном подходе к ИБ, включая не только программно/аппаратные решения, но и организационно-технические меры для исключения фото/видеосъемки и недопуска на объект посторонних «мальчиков с феноменальной памятью». Полагаться на чудо-продукт DL 8.2, рекламируемый как одношаговое решение большинства проблем с безопасностью предприятия нельзя ни в коем случае.

DLService.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .Exe — это аббревиатура для исполняемых файлов. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли DLService.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с DLService.exe

  1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
  2. Обновите программу DeviceLock Service. Обновление можно найти на сайте производителя (ссылка приведена ниже).
  3. В следующих пунктах предоставлено описание работы DLService.exe.

Информация о файле DLService.exe

Процесс DeviceLock Service принадлежит программе DeviceLock Service от DeviceLock (www.devicelock.com).

Описание: DLService.exe не является необходимым для Windows. DLService.exe находится в папке C:WindowsSystem32. Известны следующие размеры файла для Windows 8/7/XP 782,336 байт (25% всех случаев), 4,556,120 байт, 974,848 байт или 3,241,544 байт.
Приложение не видно пользователям. Процесс слушает или шлет данные на открытые порты в сети или по интернету. Это не файл Windows. Нет информации по файлу. Это неизвестный файл в папке Windows. DLService.exe способен спрятать себя, мониторить приложения и манипулировать другими программами. Поэтому технический рейтинг надежности 81% опасности.

Если DLService.exe находится в подпапках "C:Program Files", тогда рейтинг надежности 42% опасности. Размер файла 10,595,648 байт. Процесс можно деинсталлировать из панели инструментов. У файла нет информации о создателе этого файла. Приложение не видно пользователям. Это не системный процесс Windows. DLService.exe способен подключится к интернету, спрятать себя, мониторить приложения и манипулировать другими программами.
Если у вас возникли любые проблемы с DLService.exe, вы можете удалить DeviceLock Service, или попытаться получить помощь от поставщика программного обеспечения. Нажмите на DeviceLock Service в Панели управления Windows (раздел Программы и компоненты) для удаления, или нажмите на www.devicelock.com/dl, чтобы перейти на сайт разработчика.

Важно: Некоторые вредоносные программы маскируют себя как DLService.exe. Таким образом, вы должны проверить файл DLService.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

DLService сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

SpeedUpMyPC бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Вторая статья цикла описывает особенности сетевого взаимодействия компонентов и механизмы обеспечения собственной безопасности компонентов в DeviceLock Endpoint DLP Suite

Использование фиксированных сетевых портов

По умолчанию компоненты DeviceLock при сетевом взаимодействии пытаются использовать определенные порты (TCP 9132, 9133 и 9134), но задействуют и динамическую привязку, то есть, если соответствующие порты заняты, компонент DeviceLock подключится через другой порт, который даст подсистема RPC. Если же задать фиксированный порт, который займет другая служба/приложение, компонент DeviceLock не осуществит привязку к этому порту и будет недоступен для управления. Однако в сети, разделенной на сегменты сетевыми экранами, применение фиксированных портов целесообразно. Так, если агенты находятся в защищенном сегменте, а сервер — в основной сети (агенты имеют доступ в основную сеть, а из основной сети доступ к ним ограничен), серверу для работы с агентами нужно, чтобы на сетевом экране были открыты порты TCP 139, 445, а также фиксированный порт. А для работы сервера с агентами, использующими динамическую привязку, — TCP 139, 445, 135 плюс все порты выше 1024. Для подключения консолью к агентам нужны те же порты, если в строке адреса будут указываться IP-адреса удаленных систем; те же адреса плюс UDP137, если в строке адреса будут указываться имена компьютеров, а не IP-адреса. Указанных портов достаточно в том числе для того, чтобы обновлять версию агента на удаленном компьютере.

Читайте также:  Как убрать окно безопасность windows

Сетевое взаимодействие сервера и агента DeviceLock

В течение пяти минут после того, как агент DeviceLock создал записи в своем журнале (например, о вставке в USB-порт устройства), он выбирает сервер DeviceLock из списка, заданного в его настройках, чтобы передать записи на сервер для централизованного хранения. В зависимости от настройки Fast Servers First он выбирает сервер либо случайным образом, либо тот, «цена» трафика с которым (в условных единицах) наименьшая. Агент посылает серверу запрос. Сервер получает запрос и ставит его в очередь. Когда очередь подходит, сервер начинает попытки сбора журналов с агента. Если подключение удалось, то он все собирает и удаляет соответствующий компьютер из очереди. В случае ошибки подключения сервер предпринимает еще две попытки с интервалом в одну минуту, отражая их в соответствующем журнале. Если и после этих двух попыток серверу не удастся подключиться к агенту, он удалит его из очереди и снова поставит в очередь, когда тот, записав локально новую порцию журналов, пришлет ему новый запрос. Если после этого соединение будет установлено, агент передаст серверу сначала более старые записи, потом более новые.

В настройках агента DeviceLock есть параметр Traffic priority, определяющий, какую часть пропускной способности канала может занимать агент для своих целей. Оптимальным можно считать режим, когда агенту не дается больше 50%. Однако настройка работает только при условии, что на целевой системе установлена и запущена служба QoS — Quality of Service Packet Scheduler. Без службы QoS функция не работает, и агент может занимать до 100% пропускной способности.

Сетевое взаимодействие консоли и агента DeviceLock

Подключение из консоли к агенту и серверу DeviceLock происходит по портам, указанным в настройках агента и сервера. В интерфейсе консоли нет поля настроек, в котором можно указать порт, по которому она всегда будет пытаться соединяться с удаленными системами. Таким образом, консоль сначала подключается к RPC, которая выдает ей номер порта, после чего соединяется по полученному номеру порта. Можно сократить процедуру подключения консоли, явно задав порт. Порт указывается в строке адреса для подключения консоли в квадратных скобках сразу после имени/IP-адреса удаленной системы без пробелов computer_name [port]. Указание в явном виде порта при подключении консоли к серверу избавляет консоль от необходимости подключения к RPC.

Безопасность компонентов. Защита агента от нарушения целостности

Разработчики DeviceLock предусмотрели несколько эшелонов защиты компонентов программы от несанкционированного доступа и модификации, в том числе при взаимодействии друг с другом. К их чести нужно отметить, что защита целостности обеспечивается не в ущерб доступности: предусмотрены процедуры управления по вспомогательному каналу, позволяющие в экстренных случаях менять настройки доступа к устройствам и снимать защиту от модификации с агентов DeviceLock.

Первый эшелон защиты сервера и агента DeviceLock — отключение так называемой Default Security. До отключения этого режима любой пользователь с повышенными привилегиями, позволяющими устанавливать/удалять программы и менять параметры запуска служб, сможет просматривать настройки агента DeviceLock и журналы на своей системе, если является администратором, менять настройки агента, удалять его. Отключение Default Security означает включение списков доступа к агенту DeviceLock. В список могут включаться как доменные, так и локальные учетные записи пользователей/групп. Привилегированные учетные записи, вплоть до администраторов домена, не смогут модифицировать/удалять агента, если они не будут включены в список доступа (см. экран 1). В частности, они не смогут поставить на той же системе «враждебный» агент DeviceLock, который разрешит доступ. В таком случае установленный DeviceLock будет считать, что его пытаются обновить, и не даст этого сделать. Более того, они не смогут поставить не только агент, но даже просто консоль. Также им не удастся соединиться с помощью враждебной консоли DeviceLock Enterprise Manager или DeviceLock Management Console, уже установленной на компьютере. Они не смогут удалить агент в безопасном режиме, прочитать его настройки, заключить из настроек, на какие серверы агент шлет журналы, и внести эти имена серверов в файл hosts, чтобы отсылка журналов прекратилась. Правда, для получения данных на модификацию файла hosts они могут перехватить трафик, если уровень аутентификации RPC понижен до 1 (rpc_c_protect_level_none). В таком случае трафик между агентами и сервером не шифруется. Это возможно при взаимодействии между сегментами сети или между доменами с разными политиками доступа. По умолчанию же соединение агента и сервера происходит на уровне аутентификации Rpc 6 (rpc_c_protect_level_pkt_privacy). Отслеживание случаев незашифрованного трафика между сервером и агентами возможно по записям «Authentication level for comp changed from 6 to 1» в журнале сервера. Для обладателей учетных записей, не внесенных в список доступа к агенту, останется один путь избавиться от агента DeviceLock, не удаляя операционную систему, — манипулировать параметрами реестра.

Читайте также:  Как ввести ключ в steam
Экран 1. Список администраторов DeviceLock с различными правами

На этот случай разработчики предусмотрели второй эшелон защиты — режим Unhook protection. В этом режиме агент DeviceLock не позволит пользователям отключить защиту критичных для службы ветвей реестра и файлов, таким образом делая невозможным отключение DeviceLock при помощи утилит-руткитов (таких, как Kernel Detective). В режиме Unhook protection агент DeviceLock при нарушении целостности вызывает завершение работы Windows «синим экраном смерти».

Третий эшелон защиты — это мониторинг активности агентов и восстановление целостности их настроек с помощью модуля «Мониторинг» сервера DeviceLock. В частности, модуль будет уведомлять, что удаленный агент замолчал, если злоумышленники все-таки узнали имя сервера или IP-адрес и порт и заблокировали соединение с ними.

Авторизация при взаимодействии сервера и агентов DeviceLock может быть построена не только на членстве учетной записи, под которой запущен сервер DeviceLock, в списке доступа агента DeviceLock. Может использоваться несимметричная пара криптографических ключей. Секретный (private) ключ секретной пары хранится на сервере, с ним сопоставляются открытые (public) ключи, хранящиеся на агентах. Если открытый ключ, предъявленный агентом, соответствует секретному ключу, предъявленному сервером, сервер принимает запрос агента. Это называется аутентификацией по сертификату, она имеет приоритет, то есть используется в первую очередь, но если данный вариант не проходит, то осуществляется аутентификация по учетной записи. Если не проходит и она, выдается ошибка подключения. Надо заметить, что, даже если обе указанные аутентификации пройдут, это не гарантирует успеха, так как отказ в доступе сервера к удаленному агенту может произойти из-за самой операционной системы. Поэтому рекомендуется в настройках запуска службы сервера DeviceLock использовать учетную запись с большими привилегиями в домене. Лучше не давать слишком большие права (domain admin, enterprise admin), а создать учетную запись, имеющую права администратора на системах определенного типа в домене или организационной единице (например, только типа workstations).

Разблокировка доступа с помощью криптографических ключей

У криптографических ключей существует и другое применение, и оно, на мой взгляд, так важно, что с первого дня развертывания необходимо снабдить все агенты публичным криптографическим ключом. Ключи применяются для управления по вспомогательному каналу, то есть экстренного управления агентами в случае недоступности стандартных каналов управления. Представьте себе ситуацию: на компьютере установлен агент, защищенный списком доступа, в который включены только доменные учетные записи, при этом агент запрещает любой доступ к внешним устройствам. Теперь случается сетевой сбой, компьютер оказывается в автономном режиме, но вдруг срочно нужно разблокировать доступ к какому-то из внешних устройств. Настройки доступа нельзя изменить, так как невозможна регистрация под доменной учетной записью. На этот случай предусмотрена пара функций, объединенная в компоненте DeviceLock Signing Tool (см. экран 2).

Экран 2. Предоставление администратором временного доступа к устройству в DeviceLock Signing Tool

Первая функция — выдача временного кода доступа. Администратор DeviceLock получает от пользователя так называемый «код устройства», сгенерированный им на рабочей станции с помощью его экземпляра DeviceLock Signing Tool с использованием открытого ключа. Администратор вводит полученный код в нужное поле в своем экземпляре DeviceLock Signing Tool, загружает секретный ключ и генерирует ответный код, задавая срок или условие (завершение сеанса пользователя либо отключение устройства) прекращения его действия. Пользователь получает ответный — разблокирующий — код по телефону или другим способом, вводит его в соответствующем поле своего экземпляра DeviceLock Signing Tool и получает временный доступ к нужному устройству. Пожалуйста, перед использованием этих кодов примите во внимание два обстоятельства. Первое: код устройства генерируется на основе информации о системе, сертификате и устройстве. Идентификаторы конкретного экземпляра агента DeviceLock не используются. Это означает, что если на системе, где запущено приложение DeviceLock Signing Tool, после генерации DeviceCode будет удален агент и затем установлен агент с тем же открытым ключом, то полученный на основании кода устройства код разблокировки все еще можно будет задействовать. Второе: если пользователь, сгенерировав код устройства, закрыл приложение DeviceLock Signing Tool, то, открыв его заново и получив от администратора код разблокировки, он не сможет им воспользоваться; прерывание сеанса DeviceLock Signing Tool на стороне пользователя при ожидании разблокирующего кода от администратора недопустимо.

Вторая функция DeviceLock Signing Tool — подписывание файла настроек. Вернемся к нашему примеру. С помощью обмена кодами мы смогли получить временный доступ к «флэшке» на компьютере, отрезанном от сети. Теперь мы хотим изменить его настройки более глобально, а не только для отдельно взятого устройства. Для этого мы получаем от администратора DeviceLock файл с нужными настройками агента, подписанный секретным ключом, который применяем с помощью локального DeviceLock Signing Tool (файл DLTempAccess.cpl в установочном каталоге DeviceLock). Настройки будут применены, даже если процесс выполняется от имени ограниченной учетной записи и учетной записи, не включенной в список доступа агента DeviceLock.

Илья Кузьминов, специалист по защите информации

Поделитесь материалом с коллегами и друзьями

Ссылка на основную публикацию
Как создать словарь в word
Меня интересует вот такая тема: когда печатаешь текст на компе, например, с ошибкой правописания, появляется подсказка - как правильно надо....
Как сделать кроссворд в ворде 2010
Пользоваться файлами, созданными в MS Office, можно как угодно: открыть документ Ворд онлайн, составить в Экселе квартальный отчёт или в...
Как сделать местный разрез
Основным назначением видов является определение формы внешних поверхностей предмета. Выявление на видах формы внутренних поверхностей при помощи штриховых линий не...
Как создать таблицу на компьютере
Как создать таблицу в Word? Сейчас я просто не представляю, как можно работать без такой нужной и полезной программы, как...
Adblock detector