Как разрешить Skype

Как разрешить Skype
В одном из прошлых постов я писал, как парой строк в конфигурационном файле squidможно закрыть проблему, решить которую не под силу ведущим вендорам в области защиты информации. То есть, заблокировать работу Skype в локальной сети компании. С тех пор случилось две вещи.

Первое, мне на глаза попалась замечательная публикация под названием Skype: A Practical Security Analysis . В ней достаточно подробно и доступно раскрываются особенности реализации сети Skype, а также даются практические рекомендации по обнаружению и блокировке Skype-трафика на сетевом периметре при помощи IPS с открытым исходным кодом Snort. Там все очень круто и вызывает искреннее уважение к автору, рекомендуется к прочтению каждому сисадмину.

Но самым вкусным в этой статье было второе: упоминание о существовании шаблона групповой политики Active Directory , предназначенной для "легализации" использования Skype в вашей компании. В двух словах, в реестре Windows , в ветке HKEY_CURRENT_USERSoftwarePoliciesSkypePhoneможно размещать ключи, разрешающие или запрещающие отдельные функции приложения. Например, ключи DisableFileTransfer, DisableSupernode, WebStatus и MemoryOnly позволяют запретить, соответственно, передачу файлов, получение статуса super node , отображение в Интернете статуса абонента и сохранение на жестком диске данных программы.


Полный перечень ключей и прочие вкусности доступны в документе Network Administrator's Guide , а шаблон групповой политики можно скачать по этой ссылке http://www.skype.com/security/Skype-v1.7.adm .

В программе Auslogic Tweak Manager, входящей в состав пакета Auslogic BoostSpeed , присутствуют средства настройки некоторых из этих полезных свойств.


Теперь о главном: как нам это может быть полезно. Если вы прогрессивный ИТ/ИБ менеджер, не безразличный к мнению коллег, то одним из ваших подарков общественности может стать регулируемое разрешение использования Skype сотрудниками компании. Для этого нужно, для начала, заручиться поддержкой высшего руководства. Скорее всего придется провести презентацию и привлечь на свою сторону союзников, способных аргументировать такое разрешение. Продавцы, маркетологи и прочие социально активные кадры подойдут наилучшим образом.

Затем стоит составить список счастливцев, которых коснется это разрешение. Исходить нужно из соображений минимальной достаточности и бизнес-необходимости. Естественно, бухгалтеру по з/п такое средство ни к чему - оно не решает поставленных перед сотрудником служебных задач. К тому же, следует всегда ориентироваться на "классификацию" данных, с которыми работает сотрудник, а также на его "послужной список", степень доверия, лояльности и т.п.

В итоге, нужно централизованно расставить приложение-клиент, настроить применение и проверить выполнение групповой политики и после этого наслаждаться в сиянии всеобщей любви и восторженного поклонения.

Такой подход к проблеме содержит в себе глубокий философский смысл. Как известно, для обеспечения информационной безопасности следует использовать только знакомые и проверенные средства. На этом пути очень легко впасть в крайность и запрещать все новое и незнакомое, подпадающее под клише вредоносного и бесполезного - например, Skype. Но если овладеть средствами управления этими технологиями, то их "негативные" свойства можно эффективно использовать во славу и во благо бизнеса.
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Vlad Styran

информационно. безопасно.*