DeviceLock®

Wichtigste DeviceLock Funktionen

Zugriffskontrolle: Sie können festlegen, welche Benutzer oder Benutzergruppen Zugriff auf die folgenden Geräte haben: USB, FireWire, Infrarot, COM und LPT-Ports, WLAN- und Bluetooth-Adapter, jedwede Art von Drucker (sowohl lokal angeschlossene, Netzwerk- und virtuelle Drucker), BlackBerry, iPhones, Windows-Mobile und Palm-OS-basierte PDAs und Smartphones, sowie DVD/CD-ROMs, Disketten- und Bandlaufwerke und andere Plug&Play-Wechseldatenträger. Weiterhin ist es möglich, für diese Geräte „read-only“-Berechtigungen zu setzen und all dies bei Bedarf abhängig von Wochentag und Uhrzeit.

Schutz des DeviceLock-Service: Ein Benutzer mit lokalen Administrationsrechten kann den DeviceLock-Service nicht anhalten oder deaktivieren, wenn dies in der zentralen Konsole festgelegt wurde. Somit können nur zuvor bestimmte DeviceLock-Security-Administratoren den Service über eine DeviceLock-Konsole oder den Gruppenrichtlinien-Editor installieren/deinstallieren oder stoppen.

Group Policy / Active Directory Integration: Unterschiedliche DeviceLock Management-Konsolen stehen zur Auswahl, einschließlich der Möglichkeit, DeviceLock-Zugriffsrechte unter Verwendung des Windows Standard Group Policy Editors festzulegen und zu steuern. Dies ermöglicht es Administratoren, die Konfiguration der DeviceLock-Zugriffsrechte in ihre allgemeinen Systemmanagement-Aufgaben einzubinden.

LDAP-Unterstützung: Rechner können direkt aus dem LDAP-Katalogservice (z.B. Novell eDirectory, Open LDAP, usw.) ausgewählt werden.

Content-Aware Rules: Administratoren können nun den Zugriff auf Dateitypen-Ebene kontrollieren. Sofern konfiguriert analysiert DeviceLock den wirklichen Dateityp ungeachtet des Namens oder der Dateierweiterung und gestattet oder verweigert den Zugriff, bzw. aktiviert das Shadowing je nach aktivierter Richtlinie. Um ein Maximum an Flexibilität zu bieten können alle Berechtigungen für Benutzer- oder Benutzergruppen anhand des Gerätetyps vergeben werden. Zum Beispiel können bestimmte Benutzer oder Gruppen die Berechtigung haben, MS-Word-Dokumente auf ein USB-Gerät zu kopieren, jedoch kann ihnen das Schreiben von MS-Excel-Dateien auf dasselbe Gerät verwehrt werden. Administratoren können ebenfalls die Leserechte für sämtliche ausführbaren Dateien von Wechseldatenträgern, DVD/CD-ROM- und Diskettenlaufwerken deaktivieren, jedoch Schreibrechte für solche oder andere spezifizierte Dateitypen gewähren. Diese Regeln können zudem als Filter dem Data-Shadowing vorgeschaltet werden, um die Datenmenge zu reduzieren.

USB-Whitelist: Hiermit kann für ein spezifisches Gerätemodell der Zugriff über die USB-Schnittstelle ermöglicht werden, während auf alle anderen Gerätemodelle nicht zugegriffen werden kann. Wenn der Gerätehersteller eine eindeutige Geräte-Identifikation wie eine Seriennummer zur Verfügung stellt, ist es sogar möglich, dieses Einzelgerät auf die Whitelist zu setzen, alle anderen modellgleichen Geräte des gleichen Herstellers jedoch auszusperren. DeviceLock ermöglicht jede denkbare Whitelist-Strategie, die von Ihren Sicherheitsbeauftragten gewünscht wird.

Medien-Whitelist: Es ist möglich, eine einzelne CD-ROM oder DVD anhand der Datensignatur eindeutig zu bestimmen und den Zugriff zu gestatten, auch wenn das CD/DVD-Laufwerk von DeviceLock ansonsten für den Zugriff gesperrt ist. Durch jede Änderung am Inhalt des Mediums ändert sich auch die Datensignatur und verliert somit ihre Gültigkeit.

Befristete USB-Whitelist: Hiermit kann der Zugang zu einem USB-Gerät mittels eines Zugangs-Codes befristet zugelassen werden, ohne die normalen DeviceLock-Verfahren für die Festlegung bzw. Bearbeitung von Zugangsrechten anzuwenden. Diese Möglichkeit ist besonders wertvoll, wenn Zugangsrechte dann erteilt werden müssen, während der Systemadministrator keinen Netzwerkanschluss hat, zum Beispiel im ungewöhnlichen Fall, dass man dem Antrag eines Mitarbeiters im Außendienst auf einen USB-Zugang stattgeben will.

Audit: Alle Benutzeraktionen auf Geräte und Dateien (Lesen, Kopieren, Löschen, usw.) wie auch Änderungen in den DeviceLock-Einstellungen können protokolliert werden.

Data Shadowing: Erlaubt eine Spiegelung aller auf externe Speichergeräte (Festplatten, Wechseldatenträger, Disketten), CD/DVD-Geräte und Ports (seriell und parallel) kopierten Daten. Es wird eine komplette Kopie der Daten gesichert und in einer SQL-Datenbank gespeichert.

Zugriffskontrolle, Protokollierung und Spiegelung von Smartphones: Für IPhones, Palm- und Windows Mobile PDA und Smartphones, die das iTunes-/HotSync-/Microsoft ActiveSync-Protokoll über lokale Ports und Schnittstellen wie USB, COM, IrDA, Bluetooth und Wi-Fi verwenden, können fein abgestufte Zugriffskontrollen, Protokollierungs- und Spiegelungsregeln festgelegt werden. Diese Kontrolle ermöglicht die zentrale und flexible Festlegung der Datenobjekte, die je nach Benutzer bzw. Benutzergruppe zwischen Unternehmens-PCs und privaten Mobile-Geräten synchronisiert werden dürfen. Zu diesen Datenobjekten können Dateien, Bilder, Kalender, E-Mails, Aufgaben, Notizen und weitere Objekte mit dem jeweiligen Protokoll gehören. Des Weiteren können Administratoren die Protokollierung und Spiegelung von Dateien und anderen Daten, die zwischen PCs und iPhones/Palm-OS/Windows Mobile PDA-Geräten ausgetauscht werden, aktivieren.

Network-Awareness: Administratoren können unterschiedliche Online- vs. Offline-Sicherheits-Richtlinien für denselben Benutzer-Account definieren. Eine sinnvolle und oftmals notwendige Einstellung für Notebooks ist es z.B., die WLAN-Funktion zu deaktivieren, wenn sich der PC im Unternehmensnetzwerk befindet, diese jedoch zu aktivieren, wenn er das Netzwerk verlässt.

DriveCrypt, TrueCrypt & PGP® Whole Disk Encryption Integration: DeviceLock kann durch DriveCrypt, PGP und TrueCrypt verschlüsselte Speichergeräte (USB-Flash-Speicher und andere tragbare Speichergeräte) erkennen und ihnen spezielle “verschlüsselte” Zugriffsrechte zuweisen. Mit DeviceLock können in Unternehmen mit standardisierten Verschlüsselungslösungen die Verschlüsselungsregeln, die Mitarbeiter bei der Verwendung von tragbaren Geräten zur Speicherung und Abfrage von Unternehmensdaten beachten müssen, zentral festlegt und per Fernsteuerung überwacht werden. Zum Beispiel kann bestimmten Benutzern oder Benutzergruppen die Datenspeicherung ausschließlich auf gesondert verschlüsselten USB-Flash-Speichern gestattet werden, während andere Benutzer des Unternehmensnetzwerks "read only"-Rechte für unverschlüsselte tragbare Speichereinheiten erhalten und darauf keine Daten speichern dürfen.

Lexar® SAFE PSD /Lexar® JumpDrive SAFE S3000-Integration: DeviceLock erkennt hardwareverschlüsselte Lexar SAFE PSD S1100 und Lexar® JumpDrive SAFE S3000 USB-Memorysticks und weist ihnen spezielle “verschlüsselte” Zugangsrechte zu.

64 Bit Platform Support: DeviceLock unterstützt den Einsatz auf 64-Bit Betriebssystemen wie XP/Vista x64 und Server 2003/2008 x64.

Search Server: Der DeviceLock Search Server bietet eine Volltextsuche über alle im DeviceLock Enterprise Server gespeicherten Log-Dateien. Somit ist es möglich Daten zu finden, die durch reine Filterung innerhalb des Log-Viewers nicht auffindbar sind. Diese Funktionalität ist im Besonderen wichtig, wenn Schattenkopien von Dokumenten anhand ihres Inhalts untersucht werden sollen. Der DeviceLock Search Server kann automatisch Dokumente in vielen Dateiformaten indizieren und durchsuchen. Hierzu zählen unter anderem: Adobe Acrobat (PDF), Ami Pro, Archive (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (Dokumente, Tabellen und Präsentationen), Quattro Pro, WordPerfect, WordStar und viele weitere.

DeviceLock: Erweiterte Funktionen

Anti-Keylogger: DeviceLock erkennt USB-Keylogger und blockt daran angeschlossene Tastaturen. Außerdem verschleiert DeviceLock PS/2 Tastatureingaben und zwingt PS/2-Keylogger nutzlose Informationen aufzunehmen anstatt der wirklichen Eingaben.

Überwachung: Der DeviceLock Enterprise Server kann Computer in Echtzeit überwachen. Er überprüft den Status des DeviceLock Dienstes (aktiv oder nicht), sowie Zusammensetzung und Vollständigkeit der Berechtigungen. Diese detaillierten Informationen werden in das Überwachungsprotokoll geschrieben. Für den Fall, dass Ihre aktuellen Berechtigungen verändert oder beschädigt wurden, haben Sie außerdem die Möglichkeit eine 'Master Policy' zu definieren, die dann wieder automatisch an ausgewählte Computer verteilt wird. Außerdem speichert er auf Wunsch Protokolle und Spiegeldaten zentral in einer SQL-Datenbank.

RSoP Unterstützung: Das Windows-Anwendungsrichtlinienergebnissatz (RSoP)-Snap-In kann zur Ansicht der aktuell vergebenen Berechtigungen verwendet werden. Außerdem kann damit vorhergesagt werden, welche Richtlinie in einer bestimmten Situation angewandt würde.

Zentrale Steuerung: DeviceLock unterstützt die Ferninstallation des DeviceLock-Service sowie dessen Aktualisierung über die Management-Konsole. Die DeviceLock-Management-Konsole kann als gesonderte Anwendung installiert werden. Ein optionales Snap-In für die Microsoft-Management-Konsole (MMC) als Active Directory-Integration bietet Administratoren, die mit Gruppenrichtlinien arbeiten, eine einfache Möglichkeit zur Konfiguration des DeviceLock-Service. In Netzen ohne Active Directory wird dafür der DeviceLock Enterprise Manager genutzt.

Graphical Reporting: DeviceLock kann automatisch grafische Auswertungen anhand der Daten der Audit- oder Shadow-Logs erzeugen.

Berichte: DeviceLock ermöglicht die Erstellung von Berichten über die vergebenen Benutzerrechte. Daraus geht hervor, auf welche Geräte zugegriffen werden darf, welche Sicherheitseinstellungen vorgenommen wurden und welche Geräte angeschlossen sind.

Report Plug-n-Play Devices: Erlaubt die Erstellung einer Auflistung aller derzeit und jemals an Computer im Netzwerk angeschlossenen USB, FireWire und PCMCIA-Geräte.

Bandbreitenregulierung: DeviceLock ermöglicht die Festlegung der verfügbaren Bandbreite für die Übertragung von Protokoll- und Spiegeldateien vom DeviceLock Service an DeviceLock Enterprise Server. Hierdurch wird das Netzwerk weiter entlastet.

Datenstromkomprimierung: DeviceLock kann so eingestellt werden, dass die vom DeviceLock Service an DeviceLock Enterprise Server zu übertragenden Protokoll- und Spiegeldateien komprimiert werden. Dadurch wird der Datenstrom reduziert und das Netzwerk somit entlastet.

Optimierte Server-Auswahl: Um die Übertragung von Protokoll- und Spiegeldateien optimal zu gestalten, wählt DeviceLock Service den schnellsten verfügbaren DeviceLock Enterprise Server automatisch aus der Server-Liste aus.

Einstellungen Im- und Export mit dem DeviceLock-Signing-Tool: Devicelock Einstellungen und Berechtigungen können als Datei exportiert werden und mit dem DeviceLock-Signing-Tool signiert werden. Diese Dateien können an Benutzer geschickt werden, deren Rechner nicht online für die Management-Konsole erreichbar sind. So können spezielle Zugangsschlüssel generiert werden, um Benutzern Zugang zu gewünschten Geräten zu gewähren.