Granulares Rechte-Management für Geräte

Grundsätzlich kann man nun den Agent auf allen PCs installieren, nachdem man die Standardrechte für die Nutzung von Peripheriegeräten definiert und die User aus dem Verzeichnisdienst importiert hat. Tatsächlich liefert diese Basiskonfiguration bereits einen grundlegenden Schutz gegen den Missbrauch von Geräten für den Datendiebstahl und dürfte damit die Ansprüche einiger Kunden erfüllen.

In der Praxis besteht jedoch nun, da die Benutzer eingerichtet sind, die Möglichkeit, Nutzungsrechte auf Abteilungen oder einzelne Mitarbeiter zuzuschneiden. Je nachdem wie viele Sonderregelungen und Ausnahmen definiert wurden, handelt es sich dabei um den schwierigsten Aspekt des Device-Managements. Das liegt vor allem daran, dass DevicePro eine Vielzahl von Mechanismen und Optionen bietet, die sich bei der Kalkulation der effektiven Rechte gegenseitig beeinflussen.

So lässt sich nicht nur der Zugriff für alle Gerätetypen regulieren, sondern man kann auch Rechte auf Ports vergeben, also auf USB-, Firewire-, parallele oder serielle Anschlüsse sowie auf PCMCIA. Zusätzlich sieht DevicePro noch vor, dass individuelle oder Gruppen von Geräten, bestimmte CDs/DVDs (Medien, nicht Laufwerke) oder WLANs anhand ihrer SSID freigeschaltet werden. Damit ließe sich beispielsweise bestimmen, dass ausgewählte Mitarbeiter auf USB-Sticks mit einer vorgegebenen Seriennummer schreiben. Diese Gerätefreigaben wiederum überlagern alle anderen Rechte, sie setzen sich auch dann durch, wenn etwa alle Ports komplett gesperrt wurden.

Diese Beispiele zeigen, dass DevicePro vielfältige Kombinationen aus verschiedenen Einstellungen zulässt, um je nach Wunsch die Zugriffsrechte auf bestimmte Gerätetypen zu regeln. Dabei sind noch gar nicht die Möglichkeiten berücksichtigt, die daraus entstehen, dass sich die Vererbung von Gruppenrechten an einzelne Benutzer pauschal oder nur für einzelne Gerätetypen aktivieren oder abschalten lässt.

Aufgrund dieser vielen verschiedenen Wege zu abgesicherten Geräten empfiehlt es sich unbedingt, die geschäftlichen Anforderungen vorab zu klären. Die Software präsentiert sich nämlich als mächtiger Werkzeugkasten, der dem Anwender keine Richtung vorgibt und ihn auch nicht anhand von Best Practices leitet. Wer sich also an den technischen Fähigkeiten von DevicePro orientiert und darauf schaut, wie er den Funktionsumfang vollständig ausschöpft, wählt den falschen Ansatz.

Wenn man beispielsweise einen restriktiven Kurs fahren und sämtliche externen Devices bannen möchte, könnte man alle Ports sperren und spezifische Geräte über die Hardware-IDs oder ähnliche Merkmale freischalten. Wenig sinnvoll scheint es dagegen, Beschränkungen für Ports mit solchen für Gerätetypen und zahlreichen Gerätefreigaben zu kombinieren und womöglich noch ausgiebig Rechte an einzelne Rechner oder Benutzer zu vergeben.