Конфигурация агентов

Конфигурация служит для включения/отключения модулей мониторинга, настройки агентов и добавления Правил мониторинга - гибких настроек правил перехвата и блокировки, что в совокупности дает возможность очень тонкой настройки агентов для оптимального и эффективного решения поставленных задач.

Каждому наблюдаемому агенту можно присвоить уникальную конфигурацию.

По умолчанию, ко всем впервые подключенным агентам применяется конфигурация под названием Default config.

Для редактирования конфигурации нажмите на соответствующее название конфигурации.

Примечание

Отключение неиспользуемых модулей мониторинга позволяет снизить нагрузку на ПК и не засорять БД избыточной/ненужной информацией.

Общее

• Название - здесь задается название новой конфигурации или отображается имя существующей конфигурации.
• Режим отладки - включение этого режима принуждает агент вести подробный отладочный лог, который необходим для выяснения причин возникновения нештатных ситуаций на агенте.

Мониторинг пользователей

• Вход в систему - модуль отслеживает вход/выход пользователей в ОС Windows.

Приложения

• Запуск приложений - модуль отслеживает запуск приложений.
• Установка приложений - модуль отслеживает установку/удаление приложений.

Учет активности

• Активность приложений - модуль отслеживает общее время работы приложений, время активности пользователя в приложении, время неактивности пользователя в приложении. Работа этого модуля необходима для построения отчетов по учету рабочего времени, отчетов продуктивности и др.
• Считать период активным после совершения действий клавиатурой или мышью в течение, секунд. - Интервал, после которого, если не совершалось никаких действий, время будет считаться неактивным, до совершения новых действий.

Снимки экрана

• Снимки экрана по активности приложения - модуль делает снимок экрана каждый раз, когда пользователь переключает активное окно (к примеру, сочетанием клавиш Alt-Tab).
• Интервал создания скриншотов - задает интервал создания скриншотов в секундах. Чтобы отключить функционал, введите значение равное 0.

Примечание

Снимки в этом режиме могут делаться с высокой частотой, следовательно, необходимо заранее рассчитать необходимый объем дисков для хранения скриншотов!

• Качество в процентах - позволяет экономить место на жёстом диске сервера путём уменьшения качества скриншотов.
• Интервал создания скриншотов для выбранных приложений (особый контроль) - Указывается интервал времени снимов приложений, которые были внесены в правила мониторинга Приложения - Особый контроль текущей конфигурации.

Клавиатура и буфер обмена

• Ввод с клавиатуры - модуль перехвата ввода с клавиатуры (кейлоггер)
• Низкоуровневый кейлоггер - модуль, который подменяет драйвер клавиатуры, при помощи которого перехватывает нажатия клавиш в secure desktop. Служит для перехватывата паролей при входе в Windows..
• Перехват паролей в диалогах Windows - модуль для перехвата паролей.

Примечание

Для получения событий необходимо также включить следующие модули Ввод с клавиатуры, Перехват паролей в диалогах Windows.

Примечание

Символы отправляются всегда в нижнем регистре.

• Буфер обмена - модуль перехвата буфера обмена ОС Windows.

Примечание

В редких случаях этот модуль может конфликтовать с приложениями MS Office. Если у пользователей наблюдаются просадки производительности при работе в MS Office, попробуйте отключить этот модуль.

Сетевые подключения

• Мониторинг сети - модуль по перехвату событий соединений в сети по IP и портам.

Интернет

• Веб трафик - модуль перехвата сетевого трафика по протоколам HTTP/HTTPS. Агент перехватывает и фиксирует всю сетевую активность приложений, в том числе по зашифрованным каналам (SSL/TLS). Данный модуль необходим для перехвата истории посещения веб-страниц и для построения отчетов по учету рабочего времени.
• Поисковые запросы - модуль по отслеживанию запросов в поисковых системах (Rambler, Google, Yandex) пользователями.
• Перехват форм - модуль, который позволяет перехватывать post-запросы с веб-страниц в браузере. Используется для перехвата паролей веб-ресурсов, при помощи политики безопасности «Перехват паролей в браузерах»

Примечание

Для просмотра событий, связанных с перехватом паролей веб-ресурсов, необходимо перейти в Сработавшие фильтры – Перехват паролей в браузерах.

Почта и мессенджеры

• Веб почта - модуль перехвата исходящих сообщений во всех основных публичных почтовых сервисах (Gmail, Yandex, Mail.ru, Rambler.ru, Outlook.com и т.д.). Поддерживает работу во всех сновных браузерах (Google Chrome, Mozilla Firefox, Yandex Browser, 360 Browser, Internet Explorer, Opera и др.).
• Электронная почта - модуль перехвата электронной почты из почтовых клиентов (Outlook, Thunderbird, The Bat) по протоколам POP, IMAP, SMTP.
• Электронная почта MAPI - модуль перехвата электронной почты с почтового сервера MS Exchange.

Примечание

По причине того, что периодически, раз в несколько минут, к серверу подключается агент и выкачивает необходимую информацию, MS Outlook может выдавать ошибку о невозможности соединения с сервером Exchange. Чтобы избежать подобных проблем, рекомендуется отключить модуль.

• Интернет-пейджеры - модуль перехвата интернет-пейджеров (за исключением Skype). Поддерживаются основные клиенты ICQ, QIP, Jabber, mail.agent и пр. по протоколам ICQ, MMP, XMPP.
• Скайп - модуль перехвата сообщений и файлов отправленных/принятых через приложение Skype.

Примечание

Для полноценного перехвата скриншотов, отправленных в скайпе, должен быть включен модуль Буфер обмена.

Файлы

• Файловая активность - модуль отслеживания файловую активность на компьютере. Перехватывает операции чтения, записи, удаления и др.

Примечание

Неправильная конфигурация данного модуля может привести к просадкам производительности на рабочих станциях пользователей. Если не стоит задачи контроля за файловой активностью, отключите этот модуль для снижения нагрузки.

• FTP - модуль мониторинга соединений по протоколу FTP.
• Теневое копирование - модуль перехвата теневых копий файлов. Поддерживает перехват файлов:
  • отправленных по электронной почте (в том числе используя веб-почту);
  • отправленных на съемные запоминающие устройства (USB-накопители);
  • загруженных в интернет через браузеры (файлообменники, облачные сервисы и др.);
  • отправленных через интернет-мессенджеры (QIP, Skype, ICQ, Mail.ru Агент и др.);
  • оправленных на печать;
  • перехват файлов отправленных через браузер на google drive.

Устройства USB, CD

• USB-Устройства - модуль для контроля подключений и отключений USB-устройств. Необходим для перехвата файловой активности и создания теневых копии файлов, скопированных на USB-накопители. Для полноценной работы требуется работающий модуль «Файловая активность» и включена настройка «Теневое копирование».
• Блокировать USB-накопители - включение данного модуля блокирует все подключаемые съемные USB-носители.
• USB-накопители только для чтения - включение данного модуля запретит изменять файлы на USB-носителях.
• Блокировать CD-накопители - включение данного модуля блокирует все подключенные CD-диски
• CD-накопители только для чтения - включение данного модуля блокирует вохможность записи на CD-диски.

Если вам необходимо настроить белый список устройств или список заблокированных устройств, рекомендуем ознакомиться со статьей Контроль USB-устройств.

Принтеры

• Печать на принтерах - модуль перехвата документов, отправленных на печать

Примечание

Использование комбинированного механизма позволяет перехватывать печать документов максимально эффективно. Для полноценной работы модуля (перехват исходного документа) требуется работающий модуль Файловая активность и включена настройка Теневое копирование

Веб-камеры

• Снимки с веб-камеры - модуль, который включается при наличии веб-камеры на компьютере агента и делает с нее снимки.

Если включить опцию снимков с веб-каменты и выставить в параметре «Интервала создания снимков» - 0, то снимки с веб-камеры будут происходить при входе и выходе пользователя из системы.

Предупреждение

Включение данного модуля демаскирует агента, так как срабатывает визуальный эффект снимка с веб-камеры (загорается лампочка), который невозможно отключить программно.

Микрофоны

• Запись с микрофона - модуль, записывающий звук, который подается на вход в микрофон компьютера пользователя.
• Длительность отрывков, секунд - запись ведется отрывками указанной длительности, если не прерывается «тишиной».
• Уровень записи - значение от 0 до 100. Выставляется уровень записи звука.
• Интервал тишины - Если нет звуков в течении указанного интервала, запись прекращается.
• Качество записи - позволяет выставить качество записываемого звука. При отрицательных параметрах - низкое качество, при 0 - среднее, при положительных - максимальное качество.
• Шумовой порог - значение от -100 до 100, которое позволяет выставить порог, при превышении которого начинается запись.

Удаленное управления

• Удаленное управление - модуль, позволяющий администратору удаленно подключаться к агенту.

Запись видео экрана

• Видео рабочего стола - модуль, записываюищй видео рабочего стола пользователя.
• Длительность видео - длительность одного видеоролика в минутах.

Инвентаризация программ и оборудования

• Реестр оборудования - модуль, собирающий информацию по конфигурации компьютерного оборудования пользователя.
• Реестр софта - модуль, собирающий информацию о программном обеспечении, установленном на операционной системе пользователей.

Присутствие на рабочем месте

Запрос причины отсутствия - Модуль предназначен для проверка присутсвия пользователя на рабочем месте. По истечении времени нактивности, заданного в окне Длительность периода неактивности перед запросом, на рабочем столе пользователя всплывает окошко с предупреждением:

«На компьютере отсутствует активность с ЧЧ-ММ. Пожалуйста, укажите причину отсутствия» - где «ЧЧ-ММ», время последней пользовательской активности.

Пользователь в этом окошке может объяснить, почему его не было на рабочем месте. По нажатию кнопки ОК, событие передастся на сервер, где его можно будет наблюдать в Тип событий: Контроль пользователей. Если пользователь ничего не напишет, а просто нажмет ОК или закроет окошко, на сервер передастся событие без текста, но с указанием длительности неактивности пользователя.

Проверка наличия на рабочем месте - при отсутствии пользовательской активности в течении заданного в поле Длительность периода неактивности перед запросом: интервала, на рабочем столе пользователя всплывает окошко с математическим примером, который ему будет предложено решить. При вводе пользователем правильного ответа окно закрывается, и на сервер уходит событие вида ДА, в случае неправильного ответа окно закрывается, и на сервер уходит событие типа ОШИБКА. Если пользователь не ввел никаких данных, по истечении интервала, указанного в поле Максимальное время отклика на запрос: окно исчезнет и на сервер передастся событие типа НЕТ.

Предупреждение

Включение данного модуля демаскирует агента.

Мониторинг лог-файлов

Опция для указания полных путей до файлов, которые нужно контроллировать постоянно.

Например:

• /var/log/syslog
• /var/log/auth.log
• /var/lib/staffcop/staffcop.log

Должен указываться полный путь до файла, события от именений указанных файлов будут построчно передаваться на сервер и отображаться в типе события - .

Назначение агентов

Интерфейс позволяет назначать или снимать конфигурацию для выбранных пользователей или отделов.

Опция - Группа AD предназначена для назначения текущей конфигурации пользователя по присутствию пользователя в одноименной группе в AD. Т.е. если задать эту опцию в значение - staffcop_default_config, а так же создать группу в AD с таким же именем, а затем добавить пользователя в эту созданную группу, то после сохранения конфигурации на сервере, у вас агенты, находящиеся в группе AD с именем staffcop_default_config - получат конфигурацию в которой задана одноименная группа AD.

Примечание

Для того, чтобы сервер Staffcop знал где расположен контроллер домена Active Directory, вы должны настроить доступ на странице Админ - Настройки AD.

Параметры отправки данных на сервер

Настройки отправки отчетов от агентов на сервер:

Агент отсылает данные на сервер небольшими шифрованными пакетами, распределенными по времени, что позволяет избежать излишней нагрузки на сеть. Максимальный размер пакета и интервал отправки можно задавать самостоятельно, тем самым регулируя нагрузку на сеть и сервер.

При корректной работе, агенты собирают события, отправляют их на сервер, и после подтверждением сервером получения этих событий, очищают локальную БД.

Если связь с сервером по какой-то причине отсутствует, то агенты начинают копить локальную БД на системном диске. Доступное для локальной БД место на компьютере пользователя задается в поле «Макс. размер локальной БД агента» в конфигурации. По достижении заданного объема, агент начинает записывать новые данные вместо самых старых, тем самым обеспечивая актуальность данных.

При включенном Режиме отладки агент пишет служебный лог и отправляет его на сервер при каждом рестарте компьютера/агента или при получении агентом новой конфигурации. Максимальный размер этого лога можно ограничить в поле Макс. размер лога агента

Примечание

Максимальный размер локальной базы данных агента не должен превышать 50 ГБ

Правила мониторинга:

Правила мониторинга позволяют очень гибко задавать правила сбора данных и блокировки.

О примерах в правилах мониторинга и их настройках и описаниях - вы можете посмотреть в Конфигурация - Правила мониторинга.