DevicePro im Test: USB sperren und externe Speichermedien absichern

    cynapspro-LogoDie cynapspro GmbH zählt zu den Anbietern von Software für Endpoint Security, sie deckt mit insgesamt 6 Modulen ein Spektrum vom Application Whitelisting bis zur Fest­platten­ver­schlüsselung ab. Eine wesentliche Aufgabe des Produkts besteht darin, den Zugriff auf externe Geräte zu regeln. Dafür ist DevicePro zuständig. Es soll dafür sorgen, dass USB-Speichermedien und andere externe Geräte nicht missbraucht werden können, um Daten aus dem Unternehmen zu schleusen.

    Auch wenn alle Komponenten der Software fest mit der zentralen Management-Konsole verdrahtet sind, können die Module einzeln erworben werden. Auf die Infrastruktur (Datenbank, Server, Agent), die für eine Anwendung eingerichtet wurde, lassen sich anschließend ohne zusätzlichen Aufwand auch weitere Tools aufsatteln, also etwa das Power-Management.

    Installation: Datenbank, Windows-Dienst, Konsole

    Die Installation der cynapspro-Suite setzt eine Datenbank voraus. Akzeptiert werden alle Versionen von SQL Server einschließlich des kostenlosen SQL Server Express oder MySQL. Bei unserer Testinstallation auf MySQL führte der vom Setup für die Datenbank vorgegebene Name "Device_Pro" zu Problemen. Die Installationsroutine legte die Datenbank zwar an, scheiterte aber beim Erzeugen der Tabellen. Als Ursache erwies sich die Verwendung von Großbuchstaben im Namen, die der ODBC-Treiber offenbar nicht durchgängig an MySQL übergab. Die Änderung auf "devicepro" überwand diese Hürde.

    Für eine höhere Ausfallsicherheit lassen sich mehrere Instanzen des DevicePro-Servers parallel installieren.Die Server-Komponente wird als Windows-Dienst installiert, der relativ geringe Ressourcen-Anforderungen stellt und daher zumindest bei kleineren oder mittleren Installationen keine dedizierte Hardware benötigt. Der cynapspro-Server kann zum Zweck einer höheren Ausfallsicherheit auf mehreren Maschinen parallel installiert werden. Die Priorität der vorhandenen Server-Instanzen lässt sich in der Management-Konsole festlegen.

    Bei der Installation auf dem ersten Server wird die Administrationsoberfläche ebenfalls mit eingerichtet. Sie dient der Verwaltung sämtlicher Module und umfasst auch die Konfigurationsmöglichkeiten für jene Komponenten der Suite, die man nicht nutzt bzw. nicht erworben hat. Die Konsole ist in einer einzigen .exe-Datei gekapselt, so dass die Anwendung portabel ist und auf jedem Windows-PC ohne Installation gestartet werden kann, um den bzw. die Server zu verwalten.

    Vergabe von Standardrechten

    Alle später angelegten oder importierten Benutzer erhalten die vorab definierten Standardrechte.Nach der Installation von Datenbank, Server-Komponente und Management-Konsole kennt das System zwar noch keine Benutzer, dennoch steht als nächster Schritt die Vergabe der Standardrechte auf der Tagesordnung. Diese Reihenfolge gibt übrigens auch der Assistent vor, der beim ersten Aufruf der Konsole startet. Durch diese Vorabdefinition der Standardrechte kann man dafür sorgen, dass bei der späteren Synchronisierung mit einem Verzeichnisdienst alle importierten Benutzer ihre Rechte automatisch auf Basis von sinnvollen Vorgaben erhalten.

    Die Festlegung der Standardrechte besteht typischerweise darin, Benutzern für alle in Frage kommenden Gerätetypen entweder sämtliche Rechte, nur lesenden oder gar keinen Zugriff zu gewähren. DevicePro bietet in der entsprechenden Übersicht praktisch alle gängigen Geräteklassen an, von Laufwerken über Kameras, TV-Tuner und Modems bis zu Bluetooth und WLAN-Adaptern. Was sich damit nicht erfassen lässt, kann als "unbekannt" gebannt werden.

    Ein Wizard unterstützt den Anwender bei den wichtigsten Schritten bis zur Inbetriebnahme von DevicePro.Folgt man den vom Assistenten vorgegebenen Schritten zur Einrichtung der Software, dann ist nun der Import von Benutzern und Gruppen aus einem Verzeichnisdienst an der Reihe. Unterstützt werden Active Directory, Novell eDirectory sowie Open LDAP. Die Synchronisierung erfolgt immer nur in eine Richtung, nämlich vom Verzeichnis zu DevicePro, so dass keine schreibenden Zugriffe auf das Directory stattfinden. Um die Liste der Benutzer auf dem neusten Stand zu halten, kann sie durch den zeitgesteuerten Import regelmäßig aktualisiert werden.

    Verfügt eine kleine Firma über keinen Verzeichnisdient, dann lässt sich DevicePro auch im Workgroup-Modus betreiben. In diesem Fall werden Benutzer automatisch im System angelegt, sobald sie sich auf einem verwalteten Rechner anmelden.

    Durchsetzung der Beschränkungen mit Agents

    Die Installation der Datenbank, der Server-Komponente sowie der Admin-Konsole richtet das Backend von DevicePro ein. Damit ist die Infrastruktur jedoch nicht vollständig. Benötigt wird noch ein Agent auf jedem Client, der dort die zentral definierten Richtlinien durchsetzt. Dieser ist als Kerneltreiber ausgelegt, so dass selbst lokale Administratoren ihn nicht umgehen können, auch nicht im abgesicherten Modus von Windows. Diese Implementierung hat gegenüber der Verteilung von Gruppenrichtlinien, auf die manche andere Produkte zurückgreifen, den gewichtigen Vorteil, dass sich die Vorgaben in Echtzeit anwenden lassen.

    Bei der Erstellung des Installationspakets für den Agent kann der Admin bestimmen, welche Funktionen der Client erhalten soll.Die Client-Komponente wird aus der Administrationsoberfläche erzeugt, wobei dafür mehrere Konfigurationen zur Auswahl stehen. So muss man sich dort entscheiden, ob man den Treiber zur Kontrolle von WLAN-Adaptern mitinstallieren möchte, ob der Agent als Symbol im Infobereich sichtbar ist oder ob die Rechte für bestimmte Benutzer gleich in die Datei geschrieben werden sollen, damit sich die Policies auch auf Rechnern ohne Netzzugang sofort umsetzen lassen.

    Nach der Auswahl der gewünschten Optionen generiert DevicePro ein MSI-Paket, das über die im Unternehmen vorhandenen Tools zur Software-Distribution verteilt werden kann. Die Software ist nach der Erstinstallation in der Lage, Client-Updates selbst einzuspielen, beispielsweise wenn man sich für eine alternative Konfiguration entschieden hat.

    Granulares Rechte-Management für Geräte

    Grundsätzlich kann man nun den Agent auf allen PCs installieren, nachdem man die Standardrechte für die Nutzung von Peripheriegeräten definiert und die User aus dem Verzeichnisdienst importiert hat. Man würde damit auch innerhalb der der 20 Minuten bleiben, die cynapspro auf seiner Website als die Zeit bewirbt, in der ein Unternehmen seine PCs absichern kann.

    Tatsächlich liefert diese Basiskonfiguration bereits einen grundlegenden Schutz gegen den Missbrauch von Geräten für den Datendiebstahl und dürfte damit die Ansprüche einiger Kunden erfüllen.

    In der Praxis besteht jedoch nun, da die Benutzer eingerichtet sind, die Möglichkeit, Nutzungsrechte auf Abteilungen oder einzelne Mitarbeiter zuzuschneiden. Je nachdem wie viele Sonderregelungen und Ausnahmen definiert wurden, handelt sich dabei um den schwierigsten Aspekt des Device-Managements. Das liegt vor allem daran, dass DevicePro eine Vielzahl von Mechanismen und Optionen bietet, die sich bei der Kalkulation der effektiven Rechte gegenseitig beeinflussen.

    Geräte freigebe, Ports sperren, Medien zulassen

    Statt auf Geräte kann man Rechte auf Ports vergeben. Das wahllose Mischen beider Methoden empfiehlt sich allerdings nicht.So lässt sich nicht nur der Zugriff für alle Gerätetypen regulieren, sondern man kann auch Rechte auf Ports vergeben, also auf USB-, Firewire-, parallele oder serielle Anschlüsse sowie auf PCMCIA. In dem Fenster, wo diese Einstellungen zu tätigen sind, weist eine Warnung darauf hin, dass Rechte auf Port-Ebene stärker sind als jene auf Geräteebene. Wer also USB-Anschlüsse nur zum Lesen freigibt, kann de facto keinen Schreibzugriff für USB-Laufwerke gewähren, auch wenn ihn die Konsole das entsprechende Häkchen setzen lässt.

    Zusätzlich sieht DevicePro noch vor, dass individuelle oder Gruppen von Geräten, bestimmte CDs/DVDs (Medien, nicht Laufwerke) oder WLANs anhand ihrer SSID freigeschaltet werden. Damit ließe sich beispielsweise bestimmen, dass ausgewählte Mitarbeiter auf USB-Sticks mit einer vorgegebenen Seriennummer schreiben oder dass auf einzelnen Rechnern Daten auf CDs gebrannt oder bestimmte DVDs abgespielt werden dürfen. Diese Gerätefreigaben wiederum überlagern alle anderen Rechte, sie setzen sich auch dann durch, wenn etwa alle Ports komplett gesperrt wurden.

    Rechte-Management ohne klare Vorgaben nicht praktikabel

    Diese Beispiele zeigen, dass DevicePro unzählige Kombinationen aus verschiedenen Einstellungen bietet, um je nach Wunsch die Zugriffsrechte auf bestimmte Gerätetypen zu regeln. Dabei sind noch gar nicht die Möglichkeiten berücksichtigt, die daraus entstehen, dass sich die Vererbung von Gruppenrechten an einzelne Benutzer pauschal oder nur für einzelne Gerätetypen aktivieren oder abschalten lässt.

    Aufgrund dieser vielen verschiedenen Wege zu abgesicherten Geräten empfiehlt es sich unbedingt, die geschäftlichen Anforderungen vorab zu klären. Die Software präsentiert sich nämlich als mächtiger Werkzeugkasten, der dem Anwender keine Richtung vorgibt und ihn auch nicht anhand von Best Practices leitet. Wer sich also an den technischen Fähigkeiten von DevicePro orientiert und darauf schaut, wie er den Funktionsumfang vollständig ausschöpft, wählt den falschen Ansatz.

    Wenn man beispielsweise einen restriktiven Kurs fahren und sämtliche externen Devices bannen möchte, könnte man alle Ports sperren und spezifische Geräte über die Hardware-IDs oder ähnliche Merkmale freischalten. Wenig sinnvoll scheint es dagegen, Beschränkungen für Ports mit solchen für Gerätetypen und zahlreichen Gerätefreigaben zu kombinieren und womöglich noch ausgiebig Rechte an einzelne Rechner oder Benutzer zu vergeben.

    Ergänzende Features für spezifische Anforderungen

    Während die beschriebenen Mechanismen eine ganze Reihe von Möglichkeiten eröffnen, den Zugriff auf Peripheriegeräte zu regeln, benötigt eine Software für Endpoint Security noch weitere Funktionen, um einige spezielle Nutzungsszenarien abzudecken:

    • Wenn Benutzer keine Verbindung zum Unternehmensnetzwerk und damit zum DevicePro-Server haben und Zugriff auf bestimmte Geräte benötigen, kann sie der Administrator über ein Challenge-Response-Verfahren freischalten. Nach Erhalt des Anfragecodes legt er die Rechte und den Zeitraum für die Freigabe fest und erzeugt einen entsprechenden Freischaltungscode, den der User über den Agent eingibt.
    • Noch feiner abgestufte Berechtigungen werden dadurch geschaffen, dass DevicePro nicht nur auf der Ebene der Geräte operiert, sondern dort auch bestimmte Daten zulassen oder blockieren kann. Dafür ist ein Content-Filter zuständig, der Dateien anhand ihrer Namenserweiterung und ihres Headers inspiziert. Der Filter lässt sich entweder für Whitelisting oder Blacklisting einsetzen, so dass nur die spezifizierten Dateitypen zugelassen oder diese blockiert werden. Er lässt sich auf das Lesen, Schreiben und Kopieren von Dateien anwenden und wie praktisch alle anderen Rechte für sämtliche oder ausgewählte Benutzer festlegen.
    • Wenn man DevicePro mit der Option Shadowcopy installiert hat, dann lassen sich alle User-Aktivitäten auf Peripheriegeräten ausführlich protokollieren. Darüber hinaus kann man sogar Kopien aller Daten, die etwa auf USB-Laufwerke geschrieben werden, auf dem Server speichern und auf verdächtige Aktivitäten untersuchen. Es liegt auf der Hand, dass es sich dabei um datenschutzrechtlich sensible Operationen handelt. Um dem Missbrauch durch einen Administrator vorzubeugen, kann der Zugriff auf das Protokoll über ein 4- oder 6-Augenprinzip gesichert werden.
    • Angesichts der vielen Optionen und Einstellungen, die das Programm bietet, muss man gerade bei großen Installationen davon ausgehen, dass nicht nur ein Verwalter für das gesamte Rechtemanagement zuständig ist. DevicePro bietet daher ein rollenbasiertes Administrationsmodell, das die Delegierung einzelner Operationen an bestimmte Benutzer erlaubt. Denkbar ist in diesem Zusammenhang etwa, dass die Vergabe von ausgewählten Rechten an die Fachabteilungen übertragen wird.

    Fazit

    Der Hersteller präsentiert den Funktionsreichtum seiner Software gegenüber dem Anwender in Form eines Werkzeugkastens, der eine nahezu beliebige Kombination der Tools zulässt. Damit lassen sich selbst ausgefallene Anforderungen und Sonderwünsche jeglicher Art abbilden, der Granularität des Device-Managements sind praktisch keine Grenzen gesetzt. Dieser Ansatz birgt jedoch auch Gefahren, wenn ein Unternehmen keine klare Vorstellung davon hat, welche Regeln es für den Einsatz mobiler Datenträger durchsetzen möchte. Regieren nämlich Ad-hoc-Management und Ausnahmen für diesen und jenen Mitarbeiter, dann können die Administratoren bald den Überblick verlieren.

    Dieses Modell der Toolbox, das sich auch aus zahlreichen Kundenprojekten speist, für die spezifische Features angefertigt wurden, unterscheidet sich stark von Produkten US-amerikanischer Hersteller, die den Benutzer mit Assistenten und Wizards durch alle möglichen Schritte führen. Die Ausrichtung auf den "mündigen Anwender" ist jedoch kein Grund, die Dokumentation und die Bedienerführung zu vernachlässigen.

    Hier liegen die größten Schwächen des Produkts: Die Dokumentation beschränkt sich auf eine kursorische Beschreibung der einzelnen Befehle und Optionen, allerdings ohne Anspruch auf Vollständigkeit. Zahllose orthografische und grammatikalische Fehler sowie die geringe sprachliche Qualität des Textes erschweren sein Verständnis. Die Online-Videos können dieses Manko zu einem gewissen Grad ausgleichen, ersetzen aber keine ordentliche Dokumentation. Ihr Stil setzt sich in die Software selbst fort, die den Anwender mit teilweise schwer verständlichen und fehlerhaften Dialogen konfrontiert. Negativ bemerkbar macht sich zudem das Fehlen einer Online-Hilfe, zumindest Tooltips (Bubble-Help) wären wünschenswert, wenn man mit der Maus über eine der zahlreichen Checkboxen fährt. Diese Mängel sind bedauerlich, weil ein technisch solides Produkt dadurch den Eindruck erweckt, als fehlte ihm der letzte Schliff.

    Keine Kommentare