Private Web-Nutzung & mobile Datenträger
Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern. Vermeiden Sie die Ausführung von Skriptsprachen wie zum Beispiel Java auf den lokalen Rechnern, sofern diese nicht von vertrauenswürdigen Websites stammen. Viele Angriffe kommen über diesen Weg.
Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.
- Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt
Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden. - Bessere Methode
Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln. - Durch die Gruppenrichtlinien kann sogar jeglicher Zugriff auf jede Art von Wechselmedien wirksam unterbunden werden ...
... allerdings ist dann auch keine granulare Regelung mehr machbar. - Der Zugriff auf „erweiterte Speichergeräte“
Kommen Endgeräte zum Einsatz, die eine Authentifizierung nach dem Protokoll IEEE 1667 erlauben, so kann mit Hilfe eines aktuellen Windows-Servers eine genaue Kontrolle dieser Geräte durchgeführt werden. - Die DriveLock-Lösung
Wie die meisten Anwendungen dieser Kategorie erlaubt sie sowohl eine Suche der Systeme im Netz via Active Directory als auch über einen Bereich von IP-Adressen. - Nach dem Durchlauf des Scans
Der Systemverwalter sieht auf einem Blick, welche Systeme im Netz mit externen Laufwerken verbunden sind. - Kann die Scan-Software die Informationen der externen Geräte direkt auslesen, ...
... bekommt der Systembetreuer bereits umfangreiche Informationen an die Hand. - GFI EndPointSecurity
Alle von uns vorgestellten Anwendungen verwenden eine Datenbank (häufig den SQL-Server von Microsoft), um die gefundenen Informationen zur Verfügung zu stellen. Diese muss bei der Installation mit eingerichtet werden. - Automatische Erkennung
Für einen ersten Scann der Systeme ist es in der Regel einfacher, auf die automatische Erkennung der Lösungen zu setzen. Bei diesem Produkt kann der Administrator auch gleich entscheiden, dass die Agenten mit ausgerollt werden. - Das Ausrollen der Agenten kann aber auch im nächsten Schritt erfolgen
So kann der Systembetreuer entscheiden, welche der Systeme im Netz mit dieser Überwachung bestückt werden sollen. - Der „Auditor“ der Safend-Lösung
Auch diese Komponente (die zum freien Download bereit steht) prüft zunächst einmal nur die im Netz vorhandenen Systeme darauf, ob sie mit externen Geräten verbunden sind. - Der Report des Auditors
Diese als HTML-Datei erstellte Übersicht ist sehr umfangreich und zeigt genau, wann welches Gerät mit einem PC verbunden war und welche Geräte aktuell im Betrieb sind. - Feinere Unterscheidung
Der Auditor der Safend-Lösung ermöglicht es, schon bei der Suche zu entscheiden, welche Art von Geräte er beachten soll – so kann eine Suche in einem großen Netz deutlich verkürzt werden. - Die freie Alternative
Die Software USBDeview von Nirsoft ist klein und handlich, stellt dem Anwender dabei aber sehr umfangreiche Informationen zur Verfügung. - Auch bei der Freeware kann ein Systembetreuer direkt aktiv werden
So steht ihm die Möglichkeit zur Verfügung, Geräte auszuwählen und direkt vom Computer zu trennen. - Tiefer Einblick
Selbst die Leistung eines externen Geräts wird hier angezeigt – hilfreich bei einer Fehlersuche, wenn beispielsweise ein USB-Gerät außerhalb der Spezifikation zu viel Strom aus der Schnittstelle zieht. - Für weitere Konfigurationen geeignet
Mit Hilfe dieser Funktionalität können die Geräte so konfiguriert werden, dass beim An- beziehungsweise Abkoppeln bestimmte Befehle direkt ausgeführt werden. - Der Report der Freeware-Lösung
Alle gefundenen Geräte und ihre Daten werden in einer HTML-Datei abgelegt. - Unter den vielen Daten, die von USBDeview ausgelesen werden, finden sich wie hier gezeigt auch Hinweise auf den Hersteller des Geräts.
Das kann in einigen Fällen zu genaueren Identifizierung eines vormals angeschlossenen Endgeräts dienen. - Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt
Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden. - Bessere Methode
Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln. - Durch die Gruppenrichtlinien kann sogar jeglicher Zugriff auf jede Art von Wechselmedien wirksam unterbunden werden ...
... allerdings ist dann auch keine granulare Regelung mehr machbar. - Der Zugriff auf „erweiterte Speichergeräte“
Kommen Endgeräte zum Einsatz, die eine Authentifizierung nach dem Protokoll IEEE 1667 erlauben, so kann mit Hilfe eines aktuellen Windows-Servers eine genaue Kontrolle dieser Geräte durchgeführt werden. - Die DriveLock-Lösung
Wie die meisten Anwendungen dieser Kategorie erlaubt sie sowohl eine Suche der Systeme im Netz via Active Directory als auch über einen Bereich von IP-Adressen. - Nach dem Durchlauf des Scans
Der Systemverwalter sieht auf einem Blick, welche Systeme im Netz mit externen Laufwerken verbunden sind. - Kann die Scan-Software die Informationen der externen Geräte direkt auslesen, ...
... bekommt der Systembetreuer bereits umfangreiche Informationen an die Hand. - GFI EndPointSecurity
Alle von uns vorgestellten Anwendungen verwenden eine Datenbank (häufig den SQL-Server von Microsoft), um die gefundenen Informationen zur Verfügung zu stellen. Diese muss bei der Installation mit eingerichtet werden. - Automatische Erkennung
Für einen ersten Scann der Systeme ist es in der Regel einfacher, auf die automatische Erkennung der Lösungen zu setzen. Bei diesem Produkt kann der Administrator auch gleich entscheiden, dass die Agenten mit ausgerollt werden. - Das Ausrollen der Agenten kann aber auch im nächsten Schritt erfolgen
So kann der Systembetreuer entscheiden, welche der Systeme im Netz mit dieser Überwachung bestückt werden sollen. - Der „Auditor“ der Safend-Lösung
Auch diese Komponente (die zum freien Download bereit steht) prüft zunächst einmal nur die im Netz vorhandenen Systeme darauf, ob sie mit externen Geräten verbunden sind. - Der Report des Auditors
Diese als HTML-Datei erstellte Übersicht ist sehr umfangreich und zeigt genau, wann welches Gerät mit einem PC verbunden war und welche Geräte aktuell im Betrieb sind. - Feinere Unterscheidung
Der Auditor der Safend-Lösung ermöglicht es, schon bei der Suche zu entscheiden, welche Art von Geräte er beachten soll – so kann eine Suche in einem großen Netz deutlich verkürzt werden. - Die freie Alternative
Die Software USBDeview von Nirsoft ist klein und handlich, stellt dem Anwender dabei aber sehr umfangreiche Informationen zur Verfügung. - Auch bei der Freeware kann ein Systembetreuer direkt aktiv werden
So steht ihm die Möglichkeit zur Verfügung, Geräte auszuwählen und direkt vom Computer zu trennen. - Tiefer Einblick
Selbst die Leistung eines externen Geräts wird hier angezeigt – hilfreich bei einer Fehlersuche, wenn beispielsweise ein USB-Gerät außerhalb der Spezifikation zu viel Strom aus der Schnittstelle zieht. - Für weitere Konfigurationen geeignet
Mit Hilfe dieser Funktionalität können die Geräte so konfiguriert werden, dass beim An- beziehungsweise Abkoppeln bestimmte Befehle direkt ausgeführt werden. - Der Report der Freeware-Lösung
Alle gefundenen Geräte und ihre Daten werden in einer HTML-Datei abgelegt. - Unter den vielen Daten, die von USBDeview ausgelesen werden, finden sich wie hier gezeigt auch Hinweise auf den Hersteller des Geräts.
Das kann in einigen Fällen zu genaueren Identifizierung eines vormals angeschlossenen Endgeräts dienen.