Moderne USB-Devices weisen Kapazitäten von einigen Gigabytes auf, so dass sich ganze Datenbanken darauf kopieren lassen. Mit Bluetooth oder Wifi bestückte Notebooks wiederum werden unbemerkt zum Gateway in das Unternehmensnetz. Dem Missbrauch der Geräte will Centennial mit seinem Produkt "Device Wall" entgegenwirken, das den Gebrauch von Schnittstellen reglementiert. Die Version 4.5 des Tools bietet Funktionen zur Überwachung und gezielten Einschränkung von Rechnerschnittstellen in einem Netz.

Server und Agenten

Die Architektur von Device Wall basiert auf den gängigen Konzepten: Ein zentraler Management-Server namens "Control Center" dient als Monitoring- beziehungsweise Kontrollinstanz für die angeschlossenen und zu überwachenden Endgeräte. Dazu werden zunächst via Control Center spezielle Agenten auf die Endgeräte verteilt und dort fest installiert. Sie überwachen die Nutzung der Rechnerschnittstellen und sind mit dem Management-Server verbunden. Seine Aufgabe ist es, die Policies zu erfassen und zu verteilen, mit den Agenten auf den überwachten Geräten zu kommunizieren sowie die Log-Informationen zu sichern und auszuwerten. Die Nutzungs-Policies von Device Wall sind ausschließlich an den jeweiligen Benutzer gebunden. Weitere Abstufungen etwa nach Rechner, Uhrzeit oder dem LAN-Segment, in dem sich das Gerät jeweils befindet, sind nicht vorgesehen.

Die gesammelten Nutzungsinformationen und die definierten Policies hinterlegt der Management-Server in einer Datenbank - ist ein Microsoft SQL Server (ab der Version 2000) vorhanden, wird dieser dazu verwendet. Alternativ bringt das Tool die Runtime Engine MSDE mit, die es installiert und konfiguriert.

Zum Funktionsumfang des Produkts gehört ferner die Verschlüsselung für die Daten auf USB-Sticks nach den Algorithmen AES (Advanced Encryption Standard) und Blowfish mit 256-Bit-Codierung. Als Schlüssel lässt sich sowohl ein unternehmensweiter globaler als auch ein benutzerspezifischer Key einsetzen.

Wächter am Interface

Das Security-Tool überwacht alle bei Rechnersystemen dieser Art gängigen Schnittstellen. Sie werden im Control Center übersichtlich in mehrere Rubriken eingeordnet. Dabei handelt es sich um die Bereiche "Speicher- und Imaging-Systeme", "PDAs" sowie "Communication Ports". Die Rubriken dienen lediglich der übersichtlichen Kategorisierung und haben ansonsten keine Bedeutung. Unter den Rubriken finden sich Klassen. Der Rubrik "Speicher- und Imaging-Systeme" ordnet Device Wall die Klassen DVD/CD-ROM Drives, Diskettenlaufwerke, USB-Flash-Disks, Digital Media Player (etwa iPod, MP3), Scanner, Digitalkameras und U3 sowie weitere Multi-Drive-USB-Geräte zu. Die zweite Rubrik umfasst PDAs wie Pocket-PCs, Palm-OS-Geräte, Blackberries oder Smartphones. In der Rubrik "Communication Ports" wiederum sind Bluetooth, Infrarot und Wifi zusammengefasst.

Im Notfall lässt sich über das "Temporäre Access Tool" ein zeitlich begrenzter Zugriff etwa auf ein ansonsten gesperrtes USB-Device einrichten. Diese Erlaubnis muss allerdings der Administrator einrichten, der Nutzer erhält lediglich den Zugangsschlüssel.

Die Klassifizierung der Geräte erleichtert die Zuordnung von Policies, die somit nicht explizit jedem Gerät, sondern nur ihrer jeweiligen Klasse zugeteilt werden müssen. Für Geräte, die Device Wall keiner dieser Klassen zuweisen kann, gibt es eine weitere, allgemeine Gruppe. In diesem Fall muss allerdings der Administrator Hand anlegen und die korrekte Zuordnung vornehmen. Der Anwender kann aber auch eigene Klassen definieren und diesen dann spezielle Geräte zuordnen.

Installation

Der Testaufbau bestand aus einer Windows-Domäne mit eigenem Domänen-Controller und drei integrierten Windows-Rechnern mit den Betriebssystemen Windows 2000 Professional, Windows XP und Windows Server 2003. Die Installation beginnt mit dem Management-Server (Control Center) und ist - samt der im Test gewählten MSDE (Microsoft Database Engine) - in wenigen Minuten abgeschlossen. Als Systemvoraussetzung für das Control Center wird ein Rechner ab Windows 2000 vorgegeben - für den Testbetrieb wurde ein System mit Windows Server 2003 verwendet. Des Weiteren sind die Internet Information Services ab Version 5 sowie WebDAV erforderlich, zudem sollte der Rechner über eine statische IP-Adresse verfügen. Nicht zu empfehlen ist allerdings, das Werkzeug in einer virtuellen Umgebung zu testen, da hierbei vor allem die USB-Anschlüsse nicht immer an die virtuelle Maschine weitergereicht werden.

Die Installation beschreibt Centennial in einem englischsprachigen Handbuch gut. Die Software ist ebenfalls nur in einer englischen Variante verfügbar. Allerdings erscheinen auf einem deutschen Windows-System mitunter auch deutsche Dialoge. Die Anpassung an die englischen Begriffe muss der Nutzer selbst vornehmen.

Mit dem Abschluss der Installation und nach einem Reboot finden sich die Einträge für das Control Center und das Temporäre-Access-Tool im Windows-Startmenü. Nach dem Start des Control Center öffnet sich ein "Policy Wizard", womit die standardmäßigen Voreinstellungen der Zugriffsregeln vorgenommen werden. Sie lassen sich später weiter detaillieren und anpassen. Der Policy Wizard kennt nur folgende drei Optionen: Der Zugriff auf alle Schnittstellen ist für sämtliche Benutzer erlaubt, verboten oder individuell beziehungsweise benutzerspezifisch einzurichten.

Bei der Erstellung eines Nutzungsprofils sollte zunächst alles erlaubt sein. Anhand der Protokollierung lässt sich dann zu einem späteren Zeitpunkt der Gebrauch weiterer Schnittstellen einschränken. In der benutzerspezifischen Konfiguration sind individuelle Zugriffsrechte für jeden Nutzer festzulegen. Prinzipiell müssen die Zugriffe explizit erlaubt oder verboten, ansonsten gerätespezifisch eingestellt werden. Für ein beschreibbares Speichermedium beispielsweise sind dies Schreib- beziehungsweise Leserechte oder "Full Control", was beides umfasst. Scanner, Kameras und viele andere spezielle Geräte kennen nur den Full-Control-Modus, der dann wiederum explizit erlaubt oder verboten sein kann.

Intuitiv bedienbar

Die Arbeit mit dem Sicherheitswerkzeug ist einfach und intuitiv: Über einen Doppelklick auf die jeweilige Geräteklasse lassen sich die benutzer- oder gruppenspezifischen Rechte eintragen. Die als "Trustee-Lists" bezeichneten Zugriffslisten können sowohl einer Benutzergruppe als auch individuellen Usern eigene Rechte zuweisen. Das ermöglicht einen flexiblen Aufbau jeweils unter der Maßgabe des Benutzers. Letzterer ist, wie bereits erwähnt, jedoch das einzige Kriterium, eine weitere Detaillierung wird nicht vorgenommen.

Verbote haben Vorfahrt

Bei der Rechtezuweisung sind Vorrang-Regeln zu beachten: Werden unterschiedliche Rechte für eine Benutzergruppe und einen ihr zugehörigen User verwendet, so hat das Verbot Vorrang. Auf diese Weise lassen sich etwa der Gruppe die Full Control, einem Benutzer in der Gruppe jedoch nur Leserechte einräumen. Die modifizierten Policies müssen anschließend explizit durch das Control Center an die Agenten auf den Geräten verteilt werden. Die Rechte greifen sofort, ein Neustart ist nicht erforderlich.

Im Test experimentierten wir mit acht unterschiedlichen USB-Sticks, einer USB-Festplatte, einer USB-Digitalkamera, einem MP3-Player am USB-Port sowie einer Diskette und CD/DVD-Laufwerken. Dabei war festzustellen, dass die gesetzten Zugriffsregeln nicht in jedem Fall griffen: So wurde beispielsweise für zwei USB-Sticks der verbotene Schreibzugriff schlichtweg ignoriert, auch die Digicam ließ sich trotz anders lautender Regel benutzen.

Das ist allerdings nur begrenzt der Centennial-Software anzulasten: Da es bei den USB-Geräten bislang keine eindeutige Konvention zur Device-Identifikation gibt, verursacht ihre Erkennung mitunter Schwierigkeiten. Weil ein USB-Speicher als U3-Device, als einfacher Plattenspeicher oder auch als Multipartition-Gerät erkannt werden kann, sortiert Device Wall den USB-Stick in eine andere Gruppe ein. Bei den zwei im Test verwendeten Sticks, bei denen der Schreibschutz nicht griff, handelt es sich just um Modelle mit je zwei Partitionen, die von Device Wall in einer eigenen Klasse geführt wurden. Nach dem Erstellen einer Zugriffsregel für diese Klasse klappte es dann wie erwartet. Ähnlich verhielt es sich mit den anderen Geräten: So wurde für die USB-Festplatte nur Full Control, nicht jedoch eine Unterscheidung nach Lese- und Schreibschutz angeboten, was ebenfalls auf die fehlerhafte Geräteerkennung zurückzuführen war.

Berichtswesen

Insgesamt lässt sich aus den Tests schließen, dass die korrekte Klassifizierung eines Geräts von zentraler Bedeutung für seinen Gebrauch ist. Da allerdings die automatische Erkennung der Devices nicht immer zum Erfolg führt, hat der Hersteller ein zweites Tool, den "Policy Customizer", mitgeliefert. Er ermöglicht es, USB-Devices manuell zu erkennen und korrekt in Klassen einzuordnen. Nachdem die Zuordnung korrigiert und alle Rechte überprüft waren, verrichtete Device Wall seinen Dienst wie beschrieben. Eine weitere Erkenntnis: Die Regeln sollten stets als "White List" erstellt werden, sprich: Was nicht explizit erlaubt ist, sollte verboten sein. Das Tool liefert eine Vielzahl an Berichten, die Auskunft über die erfolgreiche beziehungsweise blockierte Nutzung der Geräte geben. Diese Daten lassen sich auch in das CSV-Format (Comma-Separated Values) exportieren und für andere Zwecke heranziehen. (kf)