DeviceLock – USB und Firewire sperren
Kurzbeschreibung: In Sachen Sicherheit gehören USB-Sticks und andere Wechseldatenträger zu den elementaren Bedrohungen in Unternehmen. Mit dem Sicherheitstool DeviceLock können Administratoren steuern, welche Benutzer Zugriff auf Schnittstellen wie USB, Bluetooth oder Firewire haben.
Funktionen: Das USB-Geräte für Unternehmen ein hohes Sicherheitsrisiko darstellen belegen zahlreichen Studien. Auf diesem Weg gelangt Malware ins Unternehmen, andererseits können somit kritische Daten das Unternehmen ganz einfach verlassen. Mit dem kommerziellen Sicherheitstool DeviceLock kann der Administrator die Verwendung der Schnittstellen kontrollieren. So kann die Nutzung von bestimmten Geräten unterbunden werden. Es lässt sich steuern welche Anwender oder Gruppen Zugriff auf USB, WLAN, Bluetooh oder Firewire haben. Über eine USB-Whitelist kann man nur bestimmte USB-Geräte zulassen. Per Medien-Whitelist kann der Administrator festlegen, dass der Anwender nur auf ganz bestimmte CD- oder DVD-Medien in seinem Laufwerk zugreifen darf. Ebenso lässt sich für bestimmte Geräte ein Read-Only-Modus festlegen. Ebenso kann der Administrator steuern, auf welche Art von Dateitypen auf Wechsedatenträgern wie zugegriffen werden darf. Es lassen sich Berichte erstellen, welche Geräte auf welche Art und Weise auf den Clients genutzt werden. Von allen Daten, die auf externe Geräte oder mit Windows Mobile synchronisiert werden, lassen sich auf einem zentralen Server Shadow-Kopien anlegen.
Installation: Der Download von DeviceLock ist rund 55 MByte groß. Der Download kann als 30-tägige Demo mit vollem Funktionsumfang genutzt werden. Eine Einzellizenz kostet 31,20 Euro, Mehrplatzlizenzen sind je nach Anzahl deutlich günstiger. DeviceLock läuft unter Windows NT/2000/XP/Vista sowie Windows Server 2003/2008. Administratoren können DeviceLock remote auf den Anwender-Clients installieren. Um DeviceLock zu installieren muss man über Administratorrechte verfügen.
Bei der Installation lässt sich auswählen, welche Komponenten installiert werden sollen.
Mit DeviceLock kann man den Zugriff auf eine Vielzahl von Geräten und Schnittstellen kontrollieren.
Über den Settings-Editor kann man die Zugriffe auf die einzelnen Geräte einrichten.
Administratoren können Richtlinien zur Verwendung von Verschlüsselung auf Datenträger vorgeben.
Dieser Anwender darf nur von USB lesen und dies nicht einmal am Wochenende.
Aus der USB-Gerätedatenbank kann man spezielle Richtlinien für einzelne Geräte festlegen.
So wird aus dem DVD-Brenner ein DVD-ROM-Laufwerk.
Man kann steuern, welche Daten mit Windows Mobile synchronisiert werden dürfen.
Administratoren können für Anwender entsprechende Benachrichtigungen für gesperrte Geräte einrichten.
Bei Wechseldatenträgern kann man bei den Zugriffsrechten zwischen verschlüsselten und nicht verschlüsselten Medien unterscheiden.
Bedienung: Zu DeviceLock gehören drei Komponenten. Der DeviceLock Service ist der Agent auf dem Clientsystem läuft und den Laufwerkschutz bietet. Der DeviceLock Enterprise Server erlaubt eine zentralisierte Sammlung und Speicherung der Shadow-Daten. Über die Managementkonsole können Administratoren das Clientsystem mit dem DeviceLock Service aus der Ferne verwalten. Per Settings-Editor kann man komfortabel menügesteuert die Beschränkungen für die einzelnen Schnittstellen einrichten. So lassen sich Zugriffe beispielsweise auf Read-only beschränken. Zudem sind bestimmte zeitliche Einschränkungen möglich, sowie das Anlegen von Whitelists für USB-Geräte. Man kann den Dienst so konfigurieren, dass Anwender mit lokalen Administratorrechen diesen nicht deaktivieren können.
Fazit: Mit DeviceLock kann man eine Sicherheitsstrategie in Sachen Data Leak Prevention praktisch umsetzen.
... zum Download