Top menu

DeviceLock Endpoint DLP Suite - ausführliche Funktionsübersicht

Gerätezugriffskontrolle. Administratoren können festlegen, welche Benutzer oder Benutzergruppen Zugriff auf die folgenden Geräte und Schnittstellen haben: USB, FireWire, Infrarot, COM und LPT-Ports, WLAN- und Bluetooth-Adapter, Drucker (lokale, virtuell, Netzwerk), Windows Mobile, BlackBerry, iPhones und Palm-OS-basierte PDAs und Smartphones, sowie DVD/BD/CD-ROMs, Disketten- und Bandlaufwerke und andere Plug&Play-Wechseldatenträger. Für diese Geräte können sowohl "Nur-Lesen"-Berechtigungen vergeben werden als auch Berechtigungen in Abhängigkeit von Wochentag und Uhrzeit.

Kontrolle der Netzwerk-/Webkommunikation. Bei der Kontextkontrolle der Netzwerk- und Webkommunikation werden die verwendeten Protokolle und Anwendungen portunabhängig erfasst und wahlweise gesteuert. Eine granulare Konfiguration ermöglicht die Kontrolle von Webmail-Diensten, Sozialen Netzwerken, Instant Messenger, Dateitransfers und Telnet-Sessions. Reine und SSL-verschlüsselte E-Mail-Kommunikation kann abgefangen und überprüft werden. Die Kontrolle der E-Mails und Anhänge erfolgt unabhängig voneinander. Zusätzlich werden der Webzugriff, andere HTTP-basierten Anwendungen und verschlüsselte HTTPS-Sitzungen kontrolliert. Die Nachrichten und Sitzungen werden mit den dazugehörigen Informationen vollständig wiederhergestellt, um anschließend ihren Inhalt durchsuchen zu können.

Content Filtering. Die Inhaltsfilterung stellt sicher, dass nur die zuvor gefilterten Daten mit für den Benutzer freigegebenen Informationen ihre Ziele erreichen und auf oder von Wechseldatenträger/n und PnP-Geräte/n kopiert werden können. Ergänzend erfolgt die Analyse und Steuerung verschiedener Dateiobjekte innerhalb der Netzwerk-/Webkommunikation (E-Mails, Instant Messages, Webformulare, Dateien, Kommunikation mit Sozialen Netzwerken, Telnet-Sessions). ContentLock extrahiert aus über 80 Dateiformaten die Textinformationen und hält sie zur weiteren Klassifikation bereit. Das verwendete System bietet eine einfach zu handhabende und gleichzeitig zuverlässige Content-Filtering-Methode, die auf Regulären Ausdrücken, numerischer Konditionierung und Booleschen Kombinationen von "UND/ODER"-Kriterien basiert und umfangreiche Vorlagen zur schnelleren Umsetzung bereithält. Über 50 kontextbezogene Kenngrößen (Benutzer, Computer, Gruppen, Schnittstelle, Gerät, Datenkanal, Typ, Richtung des Datentransfers, Tag/Uhrzeit, etc.) können verwendet werden.

Schutz des DeviceLock-Dienstes. Als gehärtete DLP-Anwendung ist DeviceLock® so konfiguriert, dass Benutzer mit lokalen Administrationsrechten den DeviceLock-Dienst nicht anhalten, modifizieren oder deaktivieren können. Die Funktion ,DeviceLock-Administratoren' verhindert, dass nicht autorisierte Nutzer ungeachtet ihrer netzwerkseitigen Berechtigungen Einfluss auf DeviceLock® nehmen können. Nur die DeviceLock-Administratoren können über die DeviceLock-Konsole oder die Gruppenrichtlinienverwaltung den DeviceLock-Dienst installieren/deinstallieren oder Änderungen an den Richtlinien vornehmen.

Gruppenrichtlinien/AD Integration. Die DeviceLock-Konsole ist unmittelbar in die Microsoft Management Console (MMC) der Active Directory (AD) Gruppenrichtlinien-Verwaltung integriert. In Aussehen und Handhabung den Gruppenrichtlinien- und MMC-Oberflächen nachempfunden, erfordert die Lösung keine Einarbeitung in neue Strukturen oder den Erwerb einer speziellen Appliance zum zentralen Management. Die unmittelbare Integration als MMC Snap-In ermöglicht die Steuerung über die Gruppenrichtlinienkonsole (GPMC) oder die Konsole der Active Directory Users & Computers (ADUC). Es werden keine Skripts, ADO-Vorlagen oder Schemaerweiterungen benötigt. Administratoren binden die Konfiguration der DeviceLock-Zugriffsrechte in ihre allgemeinen Systemmanagement-Aufgaben ein. Zusätzlich bietet DeviceLock® zwei weitere Administrations-Konsolen, um die Agenten auf den Windows-PCs zentral über jedes AD, LDAP oder Arbeitsgruppennetzwerk zu konfigurieren. Hierbei werden die XML-basierten Richtlinien-Dateien über alle Konsolen hinweg ausgetauscht.

Binäre Dateitypenkontrolle. Mit dieser Funktion können granulare Berechtigungen für den Datentransfer auf Dateitypenebene vergeben werden. Dabei erfolgt eine Analyse des binären Dateiinhalts, um aus über 4.000 Dateitypen den richtigen Dateityp (unabhängig von Dateiname und Erweiterung) zu ermitteln. In Abhängigkeit der eingestellten Richtlinie, kann eine Kontrolle und ein Shadowing des Dateityps vorgenommen werden. Für eine größtmögliche Flexibilität, können die Richtlinien für die Dateitypenkontrolle auf Ebene des Geräte- oder Protokolltyps pro Benutzer oder Gruppe vergeben werden. Zusätzlich können die Richtlinien zur Vorfilterung von Schattenkopien verwendet werden, um das Volumen der gespeicherten Daten zu reduzieren.

Kontrolle der Zwischenablage. Mit DeviceLock® ist es möglich, die Erstellung von Screenshots zu unterbinden und die Zwischenablage zu kontrollieren. Datenlecks, die durch die Übertragung von Informationen zwischen verschiedenen Anwendungen und Dokumenten durch die Verwendung der Zwischenablage entstehen können, werden auf diese Weise verhindert. Der Datenaustausch durch das 'Kopieren und Einfügen'-Prinzip zwischen verschiedenen Anwendungen (z.B. von Word zu Excel oder OpenOffice) kann selektiv durchsucht werden. Auf der Kontextebene kontrolliert DeviceLock den Benutzerzugriff auf verschiedene Datenarten, wenn diese in die Zwischenablage kopiert werden. Zu diesen Datenarten gehören beispielsweise Dateien, Textdaten, Bilder, Audioaufzeichnungen und unbekannte Datenarten. Die Screenshot-Erstellung einschließlich der Windows Funktion 'Bildschirm drucken' kann für bestimmte Benutzer unterbunden werden.

(USB-)Device WhiteList-Zugriffskontrolle. DeviceLock® unterstützt den USB-Modell und -Seriennummern-Level über den Ansatz eines Whitelisting. Administratoren nehmen z.B. ausgegebene USB-Geräte zentral auf und geben sie einer beliebigen Anzahl von Benutzern oder Gruppen frei. Diese haben den entsprechenden Zugriff auf die Geräte, wohingegen alle anderen Geräte und nicht gelisteten Benutzer für den Datentransfer blockiert sind. Des Weiteren kann ein bestimmtes Einzelgerät auf die Whitelist gesetzt werden, so dass alle anderen modellgleichen Geräte desselben Herstellers gesperrt sind. DeviceLock® unterstützt jede denkbare Whitelist-Strategie, die von Ihren Sicherheitsbeauftragten gewünscht wird.

Medien-Whitelist. Gestattet den Zugriff auf eine einzelne DVD/BD/CD-ROM anhand der eindeutig bestimmbaren Datensignatur, auch wenn der Zugriff auf das entsprechende Laufwerk ansonsten durch DeviceLock gesperrt ist. Werden für die Verteilung neuer Software DVDs/BDs/CD-ROMs verwendet, können über die Medien-Whitelist berechtigte Benutzer und Gruppen festgelegt werden, sodass nur diese Benutzer Zugriff auf den Inhalt der DVD, Blue-Ray oder CD-ROM haben.

Zeitlich befristete Whitelist. Vergabe von befristeten Zugriffsberechtigungen für Geräte, die über die USB-Schnittstelle angeschlossen sind. Es wird ein Zugangs-Code erstellt, ohne dabei die normalen DeviceLock-Verfahren zur Festlegung und Bearbeitung von Zugriffsrechten anwenden zu müssen. Dies bietet einen großen Vorteil, wenn der Zugriff gestattet werden muss, der Systemadministrator aber keine Netzwerkverbindung zum Client hat - beispielsweise, wenn der Sales Manager bei einem Kunden vor Ort ist und Zugriff auf einen USB-Stick benötigt.

Protokoll-Whitelist. Über die Protokoll-Whitelist werden Richtlinien für IP-Adressen, Adressbereiche, Subnetzmasken, Netzwerk-Ports und deren Bereiche vergeben.

Auditing. Die DeviceLock-Audit-Funktion verfolgt alle Benutzeraktionen und Datenbewegungen für spezifische Gerätetypen, Schnittstellen und Netzwerkressourcen am lokalen Computer. Das Audit-Log kann anhand der Kriterien Benutzer/Gruppe, Tag/Uhrzeit, Schnittstelle/Gerät/Protokoll, Lesen/Schreiben und Erlaubt/Verboten vorgefiltert werden. DeviceLock verwendet das normierte Event-Logging-Subsystem und erstellt Audit-Einträge im Windows Event Viewer Log mit GMT-Zeitstempel. Die Logs können in viele standardisierte Dateiformate zur späteren Weiterverarbeitung oder zum Import in Auswertungssysteme bereitgestellt werden. Zusätzlich werden die Audit-Datensätze von entfernten Computern automatisch erfasst und zentral auf einem SQL-Server abgelegt. Selbst Benutzer mit lokalen Administratorrechten können die Audit-Datensätze, die an den DeviceLock Enterprise Server übermittelt werden sollen, nicht bearbeiten, entfernen oder manipulieren.

Data Shadowing. Ermöglicht die Spiegelung aller auf externe Speichergeräte (z.B. Festplatten, Wechseldatenträger, Disketten), CD/DVD-Geräte und Ports (seriell, parallel, Web und Netzwerk) kopierten oder an Drucker (lokal, virtuell, Netzwerk) gesendete Daten. Zusätzlich können die mit einem CD-/DVD-/BD-Brenner erstellten ISO-Images automatisch durch den DeviceLock Enterprise Server (DLES) in die ursprünglich einzeln vorliegenden Dateien aufgeteilt und archiviert werden. Es wird eine vollständige Kopie der Daten gesichert und auf Wunsch in einer SQL-Datenbank oder einer durch den DeviceLock Enterprise Server (DLES) verwalteten Netzwerkfreigabe gespeichert. Wie auch beim Auditing können spezifische Filter gesetzt werden, um das Datenvolumen zu reduzieren. Beide Funktionen sind für höchste Effizienz im Hinblick auf die Netzwerklast ausgelegt. Sie bieten neben einer optimierten Serverauswahl und Bandbreitenregulierung die Möglichkeit, Speicherbereiche zu definieren und somit das maximale Datenaufkommen zu limitieren. Der Inhaltsfilter steigert die Effizienz und Skalierbarkeit des Data Shadowing. Inhaltsbezogenes Data Shadowing wird für alle Datenkanäle der Netzwerkendpunkte unterstützt (Wechseldatenträger, PnP-Geräte, Web- und Netzwerkkommunikation, lokale Synchronisation mit Smartphones, Ausdrucken von Dokumenten). Für die Spiegelung ein- und/oder ausgehender Datenübertragungen können verschiedene Bedingungen definiert werden: Durch die Filterung des Inhalts großer Datenmengen vor dem Data Shadowing verkleinert DeviceLock das zu speichernde Datenaufkommen. Es werden nur solche Daten gespeichert, die wichtige Informationen für nachträgliche Sicherheitsaufgaben wie Compliance-Auditing, Untersuchung von Vorfällen und forensische Analysen beinhalten.

Mobile Device Data Leak Prevention. Granulare Zugriffsberechtigungen, Audit- und Datenspiegelungs-Regeln für alle mobilen Geräte mit Windows Mobile, iPhone OS oder Palm OS Betriebssystem. Die Zugriffsberechtigungen werden zentral vergeben und sind granular einstellbar. Unabhängig davon, auf welche Weise das Gerät mit dem Computer verbunden ist (USB, COM, IrDA oder Bluetooth), kann festgelegt werden, welche Datenarten (Dateien, Bilder, E-Mails, Kontakte, Kalendereinträge, etc.) ein bestimmter Benutzer und/oder eine Benutzergruppe mit dem Unternehmens-PC synchronisieren darf.

Online-/Offline-Richtlinien. Je nach Netzwerkstatus des PCs, werden angepasste Berechtigungen vergeben. Dadurch besitzt ein Anwender innerhalb eines Netzwerks (online) andere Berechtigungen als ,offline'. Ein typischer Anwendungsfall ist die Verhinderung des ,Bridging' durch eine Deaktivierung der WLAN-Schnittstelle an Notebooks, sobald diese an das Unternehmensnetzwerk angeschlossen sind.

Integration verschlüsselter Wechseldatenträger. Zur Sicherung der auf Wechseldatenträgern gespeicherten Informationen, lassen sich in DeviceLock® unterschiedliche Verschlüsselungstechnologien integrieren. Dadurch wird sichergestellt, dass Datentransfers nur gemäß der konfigurierten Verschlüsselungsrichtlinie getätigt werden können. Entsprechend den Unternehmensanforderungen kann die passende Verschlüsselung gewählt werden. Unterstützt werden derzeit: Windows BitLocker To Go™, Apple OS X FileVault und PGP® Whole Disk Encryption für FIPS-zertifizierte Verschlüsselung, TrueCrypt® für Open Source Verschlüsselung, SafeDisk® SecurStar® DriveCrypt Plus Pack Enterprise (DCPPE) Software und Lexar Media's S1100/S3000 Serie USB-Stick für hardwareverschlüsselnde Speichergeräte. Jedes weitere verschlüsselnde Endgerät kann verwendet und über die USB-Whitelist eindeutig verwaltet werden. Mit DeviceLock können getrennte Zugriffsberechtigungen für den verschlüsselten und den nicht verschlüsselten Bereich jedes Mediums erstellt werden.

Search Server. Der DeviceLock Search Server bietet eine Volltextsuche in der zentralen Dateispiegelungs-/Protokolldatenbank des DeviceLock Enterprise Servers. Die Volltextsuche unterstützt Sie beim Auffinden von Daten, die durch eine reine Filterung innerhalb des Log-Viewers nicht gefunden wurden. Müssen Schattenkopien von Dokumenten anhand des Inhalts durchsucht werden, leistet die Volltextsuche eine wertvolle Unterstützung. Der DeviceLock Search Server kann Dokumente unterschiedlicher Dateiformate automatisch indizieren und durchsuchen: Adobe Acrobat (PDF), Ami Pro, Archives (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (Dokumente, Tabellen und Präsentationen), Quattro Pro, WordPerfect, WordStar und viele weitere. Sie erhalten eine präzise, einfach zu handhabende und effiziente Unterstützung in den arbeitsintensiven Prozessen der Informationssicherheitsprüfungen, Untersuchung von Vorfällen und der Dateiforensik.

Erweiterte DeviceLock® Funktionen

Anti-Keylogger. DeviceLock® erkennt USB-Keylogger und blockiert daran angeschlossene Tastaturen. Bei PS/2-Keyloggern wird ein ,Rauschen' erzeugt und es werden nur nutzlose Informationen aufgezeichnet.

Überwachung. Echtzeitüberwachung des DeviceLock-Dienstes (aktiv oder nicht) sowie Zusammensetzung und Integrität der Berechtigungen durch den DeviceLock Enterprise Server. Diese Informationen werden in das Überwachungsprotokoll geschrieben. Es kann eine "Master Policy" definiert werden, die automatisch an ausgewählte Computer verteilt wird.

RSoP-Unterstützung. Das Windows-Anwendungsrichtlinien-Ergebnissatz-Snap-In (RSoP) wird zur Ansicht der aktuell vergebenen Berechtigungen verwendet. Außerdem kann vorhergesagt werden, welche Richtlinie in einer bestimmten Situation angewendet wird.

Batchverarbeitung. Für eine Gruppe von Computern mit ähnlicher Hardware-Konfiguration können in großen Netzwerken einheitliche Richtlinien auf schnelle und konsistente Weise festgelegt werden. Mit dem DeviceLock Enterprise Manager kann der DeviceLock-Dienst auf allen Computern im Netzwerk automatisch installiert oder aktualisiert werden.

Grafische Auswertungen. DeviceLock kann automatisch grafische Auswertungen anhand der Daten im Audit- oder Shadow-Log erzeugen. Die grafische Auswertungsfunktion unterstützt DeviceLock-Administratoren bei der Analyse des Datenflusses über die Netzwerkendpunkte. Die Berichte können automatisch per E-Mail an den Verantwortlichen versendet werden.

Berechtigungsanzeige. Ermöglicht die Erstellung von Berichten über die vergebenen Benutzerrechte und Audit-Einstellungen, die an die Computer im Netzwerk vergeben wurden.

Report Plug'n'Play-Devices. Mithilfe des PnP-Reports können Administratoren und Auditoren eine Liste aller momentan oder jemals zuvor im Netzwerk betriebenen USB-, FireWire- oder PCMCIA-Geräte generieren. Über diese Funktion lässt sich als erster Schritt ebenfalls die USB-Geräte-Datenbank erstellen, um in einem zweiten Schritt die eindeutige Geräte-Freigabe zu konfigurieren.

Bandbreitenregulierung. DeviceLock ermöglicht die Festlegung der verfügbaren Bandbreite für die Übertragung von Protokoll- und Spiegeldateien vom DeviceLock-Dienst an den DeviceLock Enterprise Server. Dadurch wird die Netzwerklast reduziert.

Datenstromkomprimierung. DeviceLock kann so eingestellt werden, dass die vom DeviceLock-Dienst an den DeviceLock Enterprise Server zu übertragenden Protokoll- und Spiegeldateien komprimiert werden. Die Größe des Datenstroms wird reduziert und das Netzwerk entlastet.

Optimierte Server-Auswahl. Um die Übertragung von Protokoll- und Spiegeldateien zu optimieren, wählt der DeviceLock-Dienst den am schnellsten verfügbaren DeviceLock Enterprise Server automatisch aus der Server-Liste aus.