DeviceLock - USB und Firewire sperren

Funktionalität: Dass USB-Geräte für Unternehmen ein hohes Sicherheitsrisiko darstellen, belegen zahlreichen Studien. Auf diesem Weg gelangt Malware ins Unternehmen, andererseits können so kritische Daten das Unternehmen ganz einfach verlassen. Mit dem kommerziellen Sicherheitstool DeviceLock kann der Administrator die Verwendung der Schnittstellen kontrollieren. So kann die Nutzung von bestimmten Geräten unterbunden werden. Es lässt sich steuern welche Anwender oder Gruppen Zugriff auf USB, WLAN, Bluetooth oder Firewire haben. Über eine USB-Whitelist kann man nur bestimmte USB-Geräte zulassen.

Per Medien-Whitelist kann der Administrator festlegen, dass der Anwender nur auf ganz bestimmte CD- oder DVD-Medien in seinem Laufwerk zugreifen darf. Einzelne Geräte lassen sich als Read-Only definieren. Ebenso kann der Administrator steuern, auf welche Art von Dateitypen auf Wechsedatenträgern wie zugegriffen werden darf. Es lassen sich Berichte erstellen, welche Geräte auf welche Art und Weise auf den Clients genutzt werden. Von allen Daten, die auf externe Geräte oder mit Windows Mobile synchronisiert werden, lassen sich auf einem zentralen Server Shadow-Kopien anlegen. DeviceLock unterstützt auch Endgeräte mit iOS- Android und Windows-Phone-Betriebssystemen. Die Zugriffe auf BlackBerrys, iPhones und iPod Touch können beschränkt werden, außerdem sind Auditing- und Shadowing-Funktionen integriert.

Installation: Der Download von DeviceLock ist rund 187 MByte groß. DeviceLock kann als 30-tägige Demo mit vollem Funktionsumfang genutzt werden. Eine Einzellizenz kostet 47,60 Euro, Mehrplatzlizenzen sind je nach Anzahl deutlich günstiger. DeviceLock läuft unter Windows 7/NT/2000/XP/Vista sowie Windows Server 2003/2008. Administratoren können DeviceLock remote auf den Anwender-Clients installieren. Um DeviceLock zu installieren muss man über Administratorrechte verfügen.

Bedienung: Zu DeviceLock gehören drei Komponenten. Der DeviceLock Service Settings Editor ist der Agent auf dem Clientsystem läuft und den Laufwerkschutz bietet. Der DeviceLock Enterprise Manager erlaubt eine zentralisierte Sammlung und Speicherung der Shadow-Daten. Über die DeviceLock Management Console können Administratoren das Clientsystem mit dem DeviceLock Service aus der Ferne verwalten. Per Settings-Editor kann man komfortabel menügesteuert die Beschränkungen für die einzelnen Schnittstellen einrichten. So lassen sich Zugriffe beispielsweise auf Read-only beschränken. Zudem sind bestimmte zeitliche Einschränkungen möglich, sowie das Anlegen von Whitelists für USB-Geräte. Man kann den Dienst so konfigurieren, dass Anwender mit lokalen Administratorrechen diesen nicht deaktivieren können.

Fazit: Mit DeviceLock kann man eine Sicherheitsstrategie in Sachen Data Leak Prevention praktisch umsetzen. Die Software hat sich ständig verbessert, vor allem die Verwaltungs-Funktionen rund um Smartphones sind praktische und sinnvolle Erweiterungen. (mja/mst/hal)