Windows bringt zur Absicherung von USB-Geräten zwar einige Bordmittel mit, für ein differenziertes Management reichen sie aber meist nicht aus. So lassen sich beispielsweise USB-Geräte über Gruppenrichtlinien relativ einfach blockieren. Diese Technik eignet sich jedoch nicht, um beispielsweise Regeln umzusetzen, wonach ausgewählte User ein USB-Gerät mit einer bestimmten Seriennummer zu festgelegten Zeiten verwenden dürfen. Auch die Verschlüsselung von externen Speichermedien mit Microsofts Bitlocker To Go unterliegt Einschränkungen. So fehlt dem Feature bisher ein zentrales Management.

Aufgrund der unzureichenden Ausstattung von Windows für ein ausgefeiltes Geräte-Management hat sich für ein eigener Markt gebildet, in dem Hersteller umfassende Lösungen für Endpoint Security und Device Control anbieten. Zu den Herstellern solcher Software zählt die in Ettlingen ansässige Cynapspro GmbH. Seine Software umfasst unter anderem Module für das Whitelisting von Applikationen ("ApplicationPro"), das sichere Löschen von Dateien ("ErasePro") oder das Power-Management ("PowerPro"). Der Verwaltung und Kontrolle von Peripheriegeräten dienen die Komponenten DevicePro und "CryptionPro".

Wenig Ressourcenbedarf

Die Installation der Cynapspro-Suite setzt eine Datenbank voraus. Akzeptiert werden My SQL sowie alle Versionen von SQL Server einschließlich des kostenlosen SQL Server Express. Als Nächstes wird die Server-Komponente als Windows-Dienst installiert. Sie stellt relativ geringe Ressourcenanforderungen und benötigt daher zumindest bei kleineren oder mittleren Installationen keine dedizierte Hardware. Der Server kann für eine höhere Ausfallsicherheit auf mehreren Maschinen parallel installiert werden.

Bei der Installation auf dem ersten Server wird die Administrationsoberfläche ebenfalls mit eingerichtet. Sie dient der Verwaltung sämtlicher Module und umfasst auch die Konfigurationsmöglichkeiten für jene Komponenten der Suite, die man nicht nutzt beziehungsweise nicht erworben hat. Die Konsole ist in einer einzigen .exe-Datei gekapselt, so dass die Anwendung portabel ist und auf jedem Windows-PC ohne Installation gestartet werden kann.

Nach der Installation von Datenbank, Server-Komponente und Management-Konsole kennt das System zwar noch keine Benutzer, dennoch steht als nächster Schritt die Vergabe der Standardrechte an. Diese Reihenfolge gibt auch der Assis-tent vor, der beim ersten Aufruf der Konsole startet. Durch diese Vorabdefinition der Standardrechte kann man dafür sorgen, dass bei der späteren Synchronisierung mit einem Verzeichnisdienst alle importierten Benutzer ihre Rechte automatisch auf Basis von sinnvollen Vorgaben erhalten.

Die Standardrechte

Die Festlegung der Standardrechte besteht typischerweise darin, Benutzern für alle in Frage kommenden Gerätetypen entweder sämtliche Rechte, nur lesenden oder gar keinen Zugriff zu gewähren. DevicePro bietet in der entsprechenden Übersicht praktisch alle gängigen Geräteklassen an, von Laufwerken über Kameras, TV-Tuner und Modems bis zu Bluetooth und WLAN-Adaptern. Was sich damit nicht erfassen lässt, kann als "unbekannt" gebannt werden.

Der nächste vom Assistenten vorgegebene Schritt zur Einrichtung der Software ist nun der Import von Benutzern und Gruppen aus einem Verzeichnis. Unterstützt werden Microsoft Active Directory, Novell eDirectory sowie Open LDAP. Die Synchronisierung erfolgt nur in eine Richtung, nämlich vom Verzeichnis zu DevicePro, so dass keine schreibenden Zugriffe auf das Directory stattfinden.

Client-Agent kontrolliert

Die Installation der Datenbank, der Server-Komponente sowie der Administrationskonsole richtet das Backend von DevicePro ein. Damit ist die Infrastruktur jedoch nicht vollständig. Benötigt wird noch ein Agent auf jedem Client, der die zentral definierten Richtlinien durchsetzt. Dieser ist als Kernel-Treiber ausgelegt, so dass selbst lokale Administratoren ihn nicht umgehen können, auch nicht im abgesicherten Modus. Diese Implementierung hat zudem den Vorteil, dass sich die Vorgaben in Echtzeit anwenden lassen.

Die Client-Komponente wird aus der Administrationsoberfläche erzeugt, wofür mehrere Konfigurationen zur Auswahl stehen. So muss man sich entscheiden, ob man den Treiber zur Kontrolle von WLAN-Adaptern mitinstallieren möchte, ob der Agent als Symbol im Infobereich sichtbar ist oder ob die Rechte für bestimmte Benutzer gleich in die Datei geschrieben werden sollen, damit sich die Policies auch auf Rechnern ohne Netzzugang sofort umsetzen lassen.

Nach der Auswahl der Optionen erzeugt DevicePro ein MSI-Paket, das über die im Unternehmen vorhandenen Tools zur Softwaredistribution verteilt werden kann. Die Software kann nach der Erstinstallation Client-Updates selbst einspielen, etwa wenn man sich für eine alternative Konfiguration entschieden hat.

Grundsätzlich kann man nun den Agent auf allen PCs installieren, nachdem man die Standardrechte für die Nutzung von Peripheriegeräten definiert und die User aus dem Verzeichnisdienst importiert hat. Tatsächlich liefert diese Basiskonfiguration schon einen grundlegenden Schutz gegen den Missbrauch von Geräten für den Datendiebstahl und dürfte damit die Ansprüche einiger Kunden bereits erfüllen.

In der Praxis besteht darüber hinaus die Möglichkeit, Nutzungsrechte auf Abteilungen oder einzelne Mitarbeiter zuzuschneiden.Je nachdem, wie viele Sonderregelungen und Ausnahmen definiert wurden, handelt es sich dabei um den schwierigsten Aspekt des Device-Managements. Das liegt vor allem daran, dass DevicePro viele Mechanismen und Optionen bietet, die sich bei der Kalkulation der effektiven Rechte gegenseitig beeinflussen.

So lässt sich nicht nur der Zugriff für alle Gerätetypen regulieren, sondern man kann auch Rechte auf Ports vergeben, also auf USB-, Firewire-, parallele oder serielle Anschlüsse sowie auf PCMCIA. Zusätzlich sieht DevicePro noch vor, dass individuelle oder Gruppen von Geräten, bestimmte CDs/DVDs (Medien, nicht Laufwerke) oder WLANs anhand ihrer SSID freigeschaltet werden. Damit ließe sich beispielsweise bestimmen, dass ausgewählte Mitarbeiter auf USB-Sticks mit einer vorgegebenen Seriennummer schreiben. Diese Gerätefreigaben wiederum überlagern alle anderen Rechte, sie setzen sich auch dann durch, wenn etwa alle Ports komplett gesperrt wurden.

Vielfältige Optionen

Diese Beispiele zeigen, dass DevicePro unzählige Kombinatio-nen aus verschiedenen Einstellungen zulässt, um je nach Wunsch die Rechte zum Zugriff auf bestimmte Gerätetypen zu regeln. Dabei sind noch gar nicht die Möglichkeiten berücksichtigt, die daraus entstehen, dass sich die Vererbung von Gruppenrechten an einzelne Benutzer pauschal oder nur für einzelne Gerätetypen aktivieren oder abschalten lässt.

Aufgrund dieser vielen verschiedenen Wege, die verwendeten Geräte abzusichern, empfiehlt es sich unbedingt, die eigenen geschäftlichen Anforderungen vorab genau zu klären. Die Cynapspro-Software präsentiert sich nämlich als mächtiger Werkzeugkasten, der dem Anwender keine bestimmte Richtung vorgibt und ihn auch nicht anhand von Best Practices leitet. Wer sich also an den technischen Fähigkeiten von DevicePro orientiert und darauf konzentriert, den Funktionsumfang möglichst vollständig auszuschöpfen, verfolgt den falschen Ansatz. (ue)