Рішення по управлінню пристроями повинно працювати за принципом білого списку (за замовчуванням доступ заборонений) для забезпечення найвищого рівня захисту.
Є. Максимальна безпека за допомогою повного використання принципу білого списку, з віддаленим скануванням пристроїв для заповнення білого списку.
Рішення по управлінню пристроями повинно вміти надавати розмежований рівень захисту. Так, щоб була можливість захищати специфічні класи пристроїв, захищати специфічні типи / бренди пристроїв, або індивідуальні пристрої по їх унікальному серійним номером.
Є. Повна підтримка розмежування структури управління.
W2k3: немає. W2k8: обмежена (ID пристроїв з консолі Windows device manager необхідні для використання білого або чорного списку; неможливо розподіл унікальних пристроїв по конкретним користувачам). W2k8 GPO припускають наявність на клієнтських машинах ОС Vista і вище!
Рішення по управлінню пристроями повинно вміти групувати індивідуальні знімні пристрої.
Є. Знімні пристрої можна гнучко групувати і називати ці групи як зручно.
W2k3: немає. W2k8: дуже обмежена (кілька ID пристроїв з консолі Windows device manager можуть групуватися в одну окрему політику без опції перейменування). W2k8 GPO припускають наявність на клієнтських машинах ОС Vista і вище!
Рішення по управлінню пристроями повинно вміти розрізняти різницю між повним доступом до пристрою і доступом на читання / запис.
W2k3: немає. W2k8: є, але тільки для шести доступних класів пристроїв.
Є. Будь-яка кількість індивідуальних CD / DVD дисків, які розпізнаються завдяки їх Хешам.
Немає такої функції.
Рішення по управлінню пристроями повинно вміти давати тимчасові дозволи на доступ до пристрою на вимогу.
Немає такої опції.
Рішення по управлінню пристроями повинно вміти давати систематичний доступ до пристроїв, доступ за розкладом.
Немає такої опції.
Рішення по управлінню пристроями повинно вміти розрізняти online і offline дозволу.
Є. Різні дозволу можуть надаватися в залежності від статусу машини в мережі.
Немає такої опції.
Рішення по управлінню пристроями повинно дозволяти певним користувачам скасовувати будь-які обмеження (кореневі настройки) з доступу до пристроїв.
W2k3: немає. W2k8: тільки адміністратори можуть мати право скасовувати обмеження політик.
Застосування дозволів на доступ до пристроїв повинно здійснюватися в режимі реального часу, застосовуватися на всю мережу, без необхідності перезавантаження клієнтської машини і здійснення виходу з системи для користувача.
Є. Негайне застосування політик в режимі реального часу.
Ні (застосування GPO залежить від інтервалу оновлення групових політик; за замовчуванням цей час одно 90 хв).
Повинно бути можливим застосування політик як з ініціативи сервера (push), так і з ініціативи клієнта (pull), автоматично (через задані інтервали часу) і шляхом імпорту (offline зміни).
Є. Можливі всі 4 режими форсування налаштувань.
W2k3 і W2k8: тільки 2 режими. Неможливо застосування політик з ініціативи сервера і відсутня опція імпорту. Тільки автоматичний режим (за замовчуванням) і застосування політик з ініціативи клієнта.
Рішення по управлінню пристроями повинно давати дозволу для існуючих користувачів і груп користувачів і підтримувати Microsoft Active Directory (без необхідності в управлінні кожним окремим користувачем).
Рішення по управлінню пристроями повинно вміти давати різні дозволи для різних машин.
Є. Повна підтримка політик для окремих машин при необхідності.
Обмежено (GPO застосовуються до сайтів, доменів або організаційним одиницям, не до окремих машин).
Рішення по управлінню пристроями повинно вміти об'єднувати машини в групи машин (управління пристроями на основі машинних груп).
Немає (тільки побічно за допомогою організаційних одиниць)
Є. Розмежування контролю передачі файлів в залежності від їх типу.
Немає контролю типу файлів для дозволених пристроїв.
Рішення по управлінню пристроями повинно вміти перехоплювати копіюються файли, як по іменах файлів, так і повністю за змістом.
Немає опції тіньового копіювання.
Рішення по управлінню пристроями повинно вміти зашифровувати дані на знімних накопичувальних пристроях, таких як карти пам'яті або флешки.
Є. Можливість шифрування даних на знімних носіях.
Немає опції шифрування знімних носіїв.
Шифрування даних на знімних носіях має здійснюватися, як централізовано (централізоване форсування обов'язкового шифрування носіїв), так і децентралізовано (локальне шифрування носія користувачем за бажанням).
Є. Опція централізованого та децентралізованого шифрування.
Рішення по управлінню пристроями повинно вміти створювати зашифровані CD / DVD диски.
Немає такої опції.
Доступ до даних, зашифрованих рішенням з управління пристроями, повинен бути і на незахищених машинах поза організації за допомогою введення пароля.
Немає такої опції.
Рішення по управлінню пристроями повинно вміти встановлюватися на клієнтські машини в тихому режимі, автоматично, стандартними засобами, наприклад за допомогою GPO, або за допомогою засобів ПО сторонніх розробників.
Є. Клієнтський інсталяційний модуль являє собою стандартний MSI пакет, є власна утиліта для розгортання.
Є (програмне забезпечення для розгортання за допомогою GPO не потрібно)
Рішення по управлінню пристроями повинно забезпечувати ієрархічний режим адміністрування з рівнями, що охоплюють різні області конфігурації і різну деталізацію логів.
Є. Гнучкі права адміністратора можуть призначатися будь-якому користувачеві при необхідності.
Обмежено. Політики можуть задавати тільки адміністратори і користувачі з делегованими правами (немає гранульованого розподілу прав адміністраторів)
Рішення по управлінню пристроями повинно забезпечувати делегування прав адміністратора з AD.
Рішення по управлінню пристроями повинно підтримувати централізоване логирование позитивних і негативних дій користувачів на клієнтських машинах.
Є. (Централізоване логирование і звіти).
Є. (Журнал подій Windows).
Рішення по управлінню пристроями повинно мати просту систему звітності для полегшення адміністраторам зворотного зв'язку.
Є (плановані звіти і створення користувацьких шаблонів для звітів).
Немає (тільки за допомогою засобів сторонніх розробників).
Рішення по управлінню пристроями повинно вміти Залогуватися дії адміністраторів.
Чи не є окремого журналу аудиту.
Кінцевий користувач не повинен мати можливості обійти або видалити з клієнта рішення по управлінню пристроями (функціонування програми на рівні ядра, опциональная можливість зробити програму невидимою як встановлене ПЗ), навіть з правами локального адміністратора.
Є (різні опції деінсталяції і захисту від локальних адміністраторів).
Обмежено і залежно від інших налаштувань (наприклад, користувач входить в систему локально, обходячи, таким чином, заборона на USB пристрої).
Lumension Device Control. Перевірена провідне рішення для централізованого управління пристроями, з достатком потужних і сучасних можливостей. Воно пропонує стійку архітектуру, легку інсталяцію та наочну конфігурацію. Це спеціалізоване рішення з безпеки використовується тисячами компаній і державних установ по всьому світу. Порівняння цього рішення з можливостями GPO, навіть в Windows Vista і W2k8, це як порівняння велосипеда з Mercedes. Ти можеш їздити на обох, але яка відмінність!
Windows GPO. Використання групових політик для управління пристроями в середовищі AD не вимагає додаткових витрат на ліцензування, централізоване управління в GPMC вже звично для адміністраторів Windows. Але, з іншого боку, це дорого обходиться з точки зору безпеки, якщо враховувати безліч обмежень при використанні GPO: