USB-Device-Management von DataLocker

DataLocker PortBlocker™ kann sowohl eigenständig als auch als Add-on zur SafeConsole eingesetzt werden. PortBlocker stellt sicher, dass keine unautorisierten Daten über USB-Massenspeichergeräte das Netzwerk verlassen und schützt gleichzeitig vor Malware. Mit PortBlocker stellen Sie außerdem sicher, dass nur erlaubte USB-Speichergeräte wie z. B. verschlüsselte USB-Sticks verwendet werden können.

• PortBlocker filtert die Nutzung von USB-Massenspeicher-, MTP- und PTP-Geräten wie USB-Flashspeicher, externe USB-Festplatten, MP3-Player, Kartenlesegeräte, Digitalkameras, Smartphones und andere Geräte, die der Klasse USB-Massenspeichergeräte angehören. USB-Geräte anderer Klassen, wie z. B. Tastaturen und Mäuse werden nicht überprüft.
• Der PortBlocker Endpoint Protection Agent wird auf die jeweiligen Arbeitsstationen verteilt und installiert. Die Richtlinien werden in der SafeConsole konfiguriert und auf die Endgeräte übertragen. Dabei können Sie unterschiedliche Richtlinien pro Arbeitsstation oder für ganze Gruppen erstellen. Der Agent protokolliert und überwacht alle Aktivitäten und meldet sie an die SafeConsole zurück.

Die Hauptfunktionen von DataLocker PortBlocker

• Whitelisting nach USB-Geräteklassen, PID (eindeutige Product ID), VID (eindeutige Vendor ID) und Seriennummer.
• Geofencing: USB-Speichergeräte werden automatisch gesperrt, wenn sich der Host-Computer außerhalb der geografischen Standortanforderungen befindet. Die möglichen Merkmale sind IP-Adresse, Land oder Internet Service Provider (ISP).
• Ausnahmen können kurzfristig remote aktiviert bzw. deaktiviert werden. Administratoren können beispielsweise temporär alle Geräte zulassen oder blockieren.
• Proxy Aware: Verwendung in sicheren Netzwerkumgebungen ohne spezielle Konfiguration.
• Audit aller Aktivitäten, wie z. B. Sperre eines USB-Speichergerätes. Anzeige der Protokolle und Logs in der SafeConsole.
• Kompatibel zu Windows und macOS

Für die Nutzung von PortBlocker sind lediglich ein SafeConsole Startpaket und je eine DataLocker PortBlocker Lizenz pro Arbeitsplatz erforderlich.

Mehr dazu erfahren Sie auch in dem kurzen Video über PortBlocker

PortBlocker Datenblatt

SafeCrypt

Mit SafeCrypt verschlüsseln Sie Dateien und Ordner mit AES 256-Bit, und zwar sowohl an lokalen Speicherorten als auch bei der Nutzung von Cloud-Speichern wie Microsoft OneDrive etc. SafeCrypt ist nur in Kombination mit SafeConsole einsetzbar. In SafeConsole werden die Sicherheitsrichtlinien für die virtuellen SafeCrypt-Laufwerke festgelegt und protokolliert.

SafeCrypt Datenblatt

Antivirus

Der integrierte Malware-Schutz von McAfee / Trellix^® ist stets aktiv, um Dateien auf sicheren USB-Laufwerken zu scannen, sowie Malware-Bedrohungen zu entfernen oder unter Quarantäne zu stellen. Dabei werden mögliche Ereignisse in SafeConsole aufgezeichnet. Antivirus ist nur in Kombination mit SafeConsole einsetzbar.

Alle Geräterichtlinien lassen sich zentral aktivieren, konfigurieren oder bei Bedarf deaktivieren. Zu den möglichen Richtlinien zählen:

• Das Device-Status-Management sorgt dafür, dass zertifizierte Speichergeräte, die sich nicht innerhalb einer gewissen Zeit genutzt werden, in der SafeConsole automatisch als »verloren« gemeldet werden. Es kann definiert werden, ob das Gerät gesperrt oder nur vorübergehend deaktiviert werden soll. Der Administrator kann das Speichergerät wieder aktivieren oder einem neuen Anwender zuweisen.
• Die Passwortstärke ist entscheidend für den Schutz der Daten auf hardwareverschlüsselten USB-Speicherlaufwerken. Auch ohne USB-Device-Management sind bei deshalb bei den USB-Sticks Passwort-Mindestvorgaben definiert. Mit dem USB-Device-Management können Sie alle Passwortrichtlinien an die Unternehmensvorgaben anpassen. Neben der Passwortlänge lassen sich die Komplexität des Passworts und die Wechselintervalle festlegen.
• Alle Funktionen wie Inactivity Lock, Publisher oder Zone Builder lassen sich jeweils für alle oder ausgewählte USB-Speicherlaufwerke an- oder abschalten. Funktionen wie File Restrictor lassen sich granular konfigurieren.

Das Video zeigt die Erstellung von Richtlinien bei SafeConsole und EMS Cloud.

Hat ein Anwender das Zugriffspasswort für das USB-Speicherlaufwerk vergessen, kann er nicht mehr auf die dort gespeicherten Daten zugreifen. Bei zu vielen falsch hintereinander eingegebenen Passwörtern wird der Verschlüsselungs-Key auf dem USB-Gerät gelöscht und die Daten können nicht mehr entschlüsselt werden. Diese Sicherheitsfunktion schützt zusätzlich vor Brute-Force-Attacken auf das Zugriffspasswort.

Einige Hersteller lösen dieses Problem einfach über ein Masterpasswort. Ein Administrator hat damit die Möglichkeit, das Anwenderpasswort zurückzusetzen und dadurch immer auch Zugriff auf die Anwenderdaten.

Mit SafeConsole USB-Device-Management kann der Anwender direkt aus der Passworteingabe GUI über ein Challenge-Response-Verfahren, dem voreingestellten Administrator oder Helpdesk Mitarbeiter einen 8-Stelligen Code senden und daraufhin einen Response-Code erhalten, der nur für dieses USB-Speicherlaufwerk und dem zugeordneten Anwender (Login am Host Computer) gültig ist. Der Anwender kann daraufhin ein neues Passwort vergeben. Voraussetzung ist natürlich, dass sowohl Anwender als auch das USB-Speichergerät im USB-Device-Management registriert sind. Diese Methode gilt als extrem sicher, da immer nur der Anwender sein Passwort kennt.

Das Video zeigt das Challenge-Response-Passwort Reset am Beispiel der Cloud-Version. Diese Funktion ist in SafeConsole grundsätzlich identisch ausgeführt.

Mit der Content Distribution Funktion Publisher können Sie Daten und Applikationen von zentraler Stelle aus auf USB-Geräten aktualisieren. Dokumente wie Preislisten, Datenblätter, interne Telefonlisten, aber auch Applikationen wie neue Signaturen einer Anti-Virensoftware, werden durch Publisher auf dem USB-Device bei Bedarf aktualisiert. SafeConsole Administratoren müssen lediglich die neuesten Daten auf ein definiertes Netzwerk Share kopieren.  Bei jeder Verbindung des Device mit der SafeConsole wird überprüft, ob Aktualisierungen durchgeführt werden müssen.

Es können unterschiedliche Synchronisierungen für unterschiedliche Device-Gruppen erstellt werden. Sollen große Datenmengen übertragen werden, kann diese Funktion auf die »Trusted Zone« eingeschränkt werden.

Device-Auditing

Die automatische Inventarliste aller SafeConsole zertifizierten USB-Sticks und Festplatten, informieren den SafeConsole Administrator über den Gerätestatus, erfolglose Zugriffsversuche und erfolgreiche Geräte-Anmeldungen

Datei-Auditing

Diese Funktion informiert, welche Dateien auf das Speicherlaufwerk kopiert oder davon gelöscht wurden. Namensänderungen werden ebenfalls protokolliert. Datei Auditing zeigt niemals den Dateiinhalt.

Remote-Kill

Im SafeConsole USB-Device-Management können Speichergeräte remote gelöscht werden, weil sie verloren oder von ehemaligen Mitarbeitern nicht zurückgegeben wurden. Zusätzlich können sie temporär deaktiviert oder als verloren markiert werden. Der Gerätestatus wird allen SafeConsole Administratoren entsprechend angezeigt. Wenn SafeConsole zertifizierte USB-Geräte sich nicht innerhalb einer vorgegebenen Zeitspanne mit dem SafeConsole Server verbinden, dann wird die voreingestellte Markierung (Löschen, verloren oder deaktiviert) durch SafeConsole auch automatisch gesetzt.

Mit der neuen REST API (Stand 10/2020) können Informationen und Daten aus SafeConsole in andere Applikationen, wie beispielsweise ServiceNow integriert werden. Umgekehrt ist es auch möglich, Funktionen der SafeConsole über externe Applikationen zu konfigurieren und zu steuern.

So können Administratoren z. B. über externe Applikationen USB-Speichergeräte einem neuen Anwender zuordnen, Anwender-Details auslesen, Policies für einzelne User oder Gruppen erstellen oder anpassen, Audit-Logs einlesen etc.

Für alle Funktionen müssen entsprechende Berechtigungen vorliegen.

SafeConsole USB-Device-Management ist über Zertifikate geschützt und an das Unternehmen gebunden. Die Kommunikation zwischen USB-Device und SafeConsole erfolgt immer verschlüsselt.

Berechtigungsstufen

SafeConsole hat drei Berechtigungsstufen: Administrator, Manager und Support.

Benutzerberechtigungen

Verschiedene Voreinstellungen für Benutzer, wie beispielsweise

• dürfen Nutzer ihr USB-Speicherlaufwerk auf Werkseinstellung zurücksetzen
• dürfen Nutzer das Passwort-Reset starten
• die voreingestellte Sprachversion bei Passworteingabe und Autorun Dialog
• wird ein Passworthinweis angezeigt
• darf ein Nutzer die Garantiebestimmungen bestätigen (Haftung) uvm.

können zentral festgelegt werden.

SafeConsole Server

Zur Installation von SafeConsole On-Premise ist ein dedizierter Windows Server ab Windows Server 2003 (auch 2008 und 2012) notwendig. Die weiteren Systemvoraussetzungen sind:

• Prozessoren ab Pentium Quad Core, 2GHz
• 4 GB freier RAM Speicher
• 20 GB freie Festplattenkapazität

Administratoren können sich mit Windows Berechtigungen an die SafeConsole anmelden.

SafeConsole Cloud

Das Datencenter für SafeConsole Cloud ist u. a. in Frankfurt (ISO9001:2008, ISO27001:2005 und ISO22301:2012 zertifiziert). Neben Frankfurt können auch noch Datencenter in Amsterdam, London, Toronto, Singapur, San Francisco und New York ausgewählt werden. Bei SafeConsole Cloud wird nur die Management-Konsole in den Cloud-Datencentern gehostet. In den Datencentern werden keine Daten von den SafeConsole zertifizierten USB-Sticks und Festplatten gespeichert. SafeConsole Cloud ist eine Single-tenant-Lösung. Der Datentransfer (Richtlinien, Publisher-Dateien) zwischen Cloud-Konsole und den zertifizierten USB-Speicherlaufwerken erfolgt immer vollständig verschlüsselt.