Kampf den Schmugglern Dr. Götz Güttich

Transkript

1 Publikation des Instituts zur Analyse von IT-Komponenten Vergleichstest: Zentral verwaltete Security-Suites zum Schutz von PC-Schnittstellen Kampf den Schmugglern Dr. Götz Güttich Mit der Markteinführung kleiner portabler Speichergeräte mit großer Kapazität stellt sich den Unternehmen die Herausforderung, den Schmuggel ihrer Daten zu unterbinden. Dafür müssen sie den freien Zugriff auf Rechnerschnittstellen wie den USB- und den Firewire-Anschluss sowie auf Medien wie DVD-Brenner und Wechsellaufwerke einschränken. IAIT hat sich drei zentral verwaltete Sicherheits- Suites angesehen, die genau diese Aufgabe übernehmen: Devicelock von Devicelock, Drivelock von Centertools und Endpoint Security von Lumension. In den letzten Jahren ist es zunehmend einfacher geworden, große Datenmengen mit sich herumzutragen. Der Markt bietet sowohl USB-Festplatten mit großer Kapazität (bis in den TByte-Bereich hinein), als auch eine Vielzahl anderer Speichermedien wie Media-Player, mobile Telefone mit eingesteckten Micro-SD-Karten und etlichen GByte Kapazität und ähnliches. All diese Medien lassen sich dazu nutzen, Daten unauffällig aus einem Unternehmen heraus- oder auch in ein Netzwerk hineinzuschmuggeln. Der letztgenannte Fall spielt zwar keine besonders große Rolle, wenn es um Industriespionage geht, ist aber durchaus für die Sicherheit des Unternehmensnetzes relevant, da die Mitarbeiter auf diese Weise trojanerverseuchte Spiele und ähnliches auf ihren Bürorechnern einspielen können. Um solche Schwierigkeiten in den Griff zu bekommen, bieten diverse Sicherheitsunternehmen seit langer Zeit schon so genannte Device-Blocker an, die den Zugriff der Anwender auf die Schnittstellen ihrer Rechner unterbinden. In der letzten Zeit hielt diese Funktionalität sogar Einzug in den Leistungsumfang klassischer Sicherheitslösungen, wie beispielsweise von Sophos Endpoint Security and Control. Oft reicht es aber nicht aus, die Arbeit mit bestimmten Schnittstellen generell zu untersagen, da es in vielen Szenarien durchaus sinnvoll sein kann, wenn die Mitarbeiter Dateien eines bestimmten Typs oder einer vorher definierten Gattung auf USB-Sticks oder ähnliches kopieren und auf anderen Rechnern weiter verarbeiten können. Häufig ergibt es auch Sinn, diese Dateien während des Transports dadurch zu schützen, dass nur das Kopieren auf verschlüsselte Medien erlaubt wird. In manchen Umgebungen verlangen die Unternehmensrichtlinien auch das Erstellen von zentralen Schattenkopien der auf Wechselmedien übertragenen Dateien für spätere Analysen. Es ist also klar, dass durchaus ein Markt für Lösungen existiert, die von der Funktionalität weit über das Blockieren der Schnittstellen hinausgehen. Für den vorliegenden Test haben wir uns drei dieser Produkte näher angesehen. Bei der Analyse standen immer die Konfiguration und die Administrierbarkeit der Lösungen im Mittelpunkt, damit wir uns ein Urteil über den Arbeitsaufwand bilden konnten, den ein Administrator beim Einrichten des Produkts in seinem Netz und beim täglichen Betrieb mit der Lösung hat. Konkret gingen wir so vor, dass wir die zentrale Verwaltungskonsole auf einem Rechner mit einem 2,4-GHz-Dual-Core- Prozessor mit zwei GByte RAM und 180 GByte Festplattenkapazität installierten, der unter Windows Server 2003 R2 mit Service Pack 2 lief. Danach brachten wir den Dienst, der auf den Client-Systemen die Schnittstellen schützt, mit Hilfe der Bordwerkzeuge der jeweiligen Managementumgebung im Netz aus und zwar auf diverse Client-Rechner, die unter Windows XP Service Pack 3 arbeiteten (die beiden genannten Betriebssysteme kamen zum Einsatz, weil sie in Unternehmensumgebungen immer noch am weitesten verbreitet sind). Daraufhin definierten wir eine Schutz-Policy, die den Zugriff auf sämtliche Schnittstellen und Geräteklassen (also Mediaplayer, Kameras, Modems etc.) untersagte und die Arbeit mit USB-Medien zuließ. Auf diesen USB-Medien erlaubten wir aber nur das Kopieren von Textdateien und untersagten alle anderen File-Typen. Zum anderen ließen wir in einer alternativen Zugriffsregel alle Dateien außer Bilddateien zu. Zum Schluss prüften wir, ob die Regeln wie gewünscht funktionierten. Dazu versuchten wir, Dateien über die Firewire-Schnittstelle der Rechner zu kopieren, diverse Digitalkameras und Filmkameras (von Fuji, Ricoh und JVC) mit den 1

2 Systemen zu verbinden, Daten von Mediaplayern von Philips zu lesen und ähnliches. Zum Schluss testeten wir noch unsere Zugriffsregeln auf bestimmte Dateitypen über den USB-Port. Dabei verwendeten wir zum einen echte Text- und JPG-Dateien, als auch gefälschte Files eines anderen Typs, die wir lediglich so umbenannt hatten, dass sie wie Text- und Bilddateien erschienen. Devicelock von Devicelock Das erste Produkt im Test war Devicelock Build Die Lösung arbeitet mit allen Windows-Betriebssystemen seit Windows NT zusammen und benötigt mindestens 25 MByte Festplattenplatz sowie 64 MByte RAM. An Sprachen unterstützt das Produkt Englisch, Japanisch und Russisch. Die Installation der Serverkomponente setzt voraus, dass auf dem Server zunächst einmal der Microsoft SQL-Server laufen muss. Für den Test installierten wir zu diesem Zweck die Express Edition des SQL Servers 2005 Service Pack 2. Die Dienstoptionen in der Devicelock Management Konsole Wenn der SQL-Server einmal läuft, können die Administratoren die Setup-Routine starten, die wie unter Windows üblich Wizard-gesteuert abläuft. Sie zeigt die Lizenzinformationen an, fragt nach dem Installationspfad und führt etliche weitere Arbeitsschritte durch, die keinen IT-Mitarbeiter vor irgendwelche Probleme stellen werden. Schwieriger wird es bei der Auswahl der zu installierenden Komponenten, denn hier bietet der Assistent Service and Consoles, Server and Consoles sowie Custom an. In diesem Zusammenhang muss man wissen, dass der Hersteller mit Service den Dienst meint, der den Zugriff auf die Schnittstellen regelt, die Consoles sind die drei Managementwerkzeuge der Suite und der Server ist die bereits angesprochene Serverkomponente, die alle Maßnahmen der Software in einer Datenbank aufzeichnet und Computer in Echtzeit überwacht. Dazu kommt dann noch als Zusatzkomponente der so genannte Content Security Server, der eine Suchfunktion für die im Enterprise Server gespeicherten Daten bietet. Im Test installierten wir zunächst den Service und die Konsolen, um das Managementsystem schnell in Betrieb zu nehmen. Dazu benötigten wir fünf Minuten und 15 Arbeitsschritte (mit Arbeitsschritten meinen wir in diesem Test das Anklicken eines Bottons, das Ausfüllen einer Dialogbox sowie das Markieren einer Checkbox). Während des Setups fragt der Installationswizard gleich nach den zu sichernden Geräten, wie Floppy, Wechselmedien, CD- Laufwerken und Produkten, die an den seriellen und parallelen Ports arbeiten. Dazu kommen noch Blackberries, I-Phones, Palm-Geräte, Windows-Mobile-Komponenten, Bandlaufwerke, Drucker und diverse Schnittstellen wie Bluetooth, Firewire, IrDA, USB und Wifi. Zu diesem Zeitpunkt behielten wir für alle Komponenten die Standardeinstellungen bei. Anschließend installierten wir separat auch noch den Enterprise Server und den Content Security Server. Nach dem Abschluss dieser Arbeitsschritte war das Produkt serverseitig voll einsatzbareit. Jetzt konnte es an die Remote-Installation des Dienstes auf den Client-Systemen gehen. Wir verwendeten dazu die Push-Installationsfunktion der Managementkonsole, es ist aber auch möglich, den Dienst als MSI-Paket oder über eine Konfigurationsdatei zu verteilen. Mit der Push-Funktion dauerte der Vorgang eine Minute und nahm vier Arbeitsschritte in Anspruch. Die Setup-Datei des Dienstes hat übrigens eine Größe von KByte. Funktionsumfang der Administrationswerkzeuge Nachdem wir alle zum Betrieb erforderlichen Komponenten der Devicelock-Suite installiert hatten, wendeten wir uns zunächst dem Funktionsumfang zu, den die drei Managementwerkzeuge der Lösung bereit stellen. Devicelock hat sich dazu entschieden, drei verschiedene Verwaltungstools anzubieten, um den Anwendern einen einfachen Zugriff auf sämtliche Features der sehr leistungsfähigen Software zu gewähren. Dieser Ansatz ist sicherlich Geschmackssache, denn manchen Benutzern wird ein zentrales Managementwerkzeug lieber sein. Wir müssen allerdings auch zugeben, dass die Arbeitsteilung zwischen den einzelnen Werkzeugen nach einer gewissen Einarbeitungszeit durchaus einleuchtet und teilweise sogar die Übersichtlichkeit etwas verbessert. Wie bei vielen anderen Dingen auch, ist alles wohl hauptsächlich Gewöhnungssache. Devicelock kommt mit dem Enterprise Manager, der Management Console und dem Service Settings Editor. Der Enterprise Manager kommt zum Einsatz, um den Dienst auf entfernten Computern zu installieren und zu löschen und um Verwaltungsaufgaben durchzuführen. Dazu sammelt das Tool Daten von allen administrierten Computern, es ist sogar möglich, Snapshots des Status der Clients zu erstellen, um Veränderungen nachverfolgen zu können. Zu den Aufgaben, die die Administratoren mit Hilfe des Enterprise Managers durch- 2

3 Die Dateitypenfilter lassen sich benutzerbezogen einrichten führen, gehört das Einsehen des Audit Logs (mit Informationen über den Start des Dienstes, das Setzen der Sicherheitseinstellungen etc.), das Aufrufen des Shadow Logs (mit Details über die bereits erwähnten Schattenkopien), das Anzeigen der auf einem Client gerade aktiven Einstellungen, die Präsentation der gerade mit einem Client verbundenen Geräte und ähnliches. Es ist jederzeit möglich, die Client-Rechner neu zu scannen, die angezeigten Daten zu filtern, die Sortierreihenfolge festzulegen und Vergleiche mit zuvor gespeicherten Daten (den bereits erwähnten Snapshots) durchzuführen. Damit liefert der Enterprise Manager den IT-Verantwortlichen stets klare und einfach nutzbare Ergebnisse. Die Devicelock Management Console kommt als MMC-Snapin daher und ermöglicht es den zuständigen Mitarbeitern, den Dienst auf den Clients zu installieren, Berechtigungen einzusehen beziehungsweise zu ändern und so weiter. Außerdem greifen die Administratoren mit diesem Werkzeug auf den Enterprise Server und seine Daten zu und führen Suchanfragen beim Content Security Server durch. Bei der Konfiguration des Devicelock- Dienstes mit Hilfe der Management Console können die IT-Verantwortlichen die jeweiligen Einstellungen laden und abspeichern, ein MSI-Installationspaket mit integrierten Settings erzeugen und auf den Client-Systemen einen temporären Zugriff auf bestimmte Medien freigeben. Außerdem lassen sich Benutzerkonten mit Administratorrechten für den Dienst definieren und Einstellungen zum Auditing sowie Shadowing festlegen (mit Speicherquotas und den Settings zum Audit Log wie maximale Größe und automatischem Überschreiben der ältesten Einträge). Da es sich bei Devicelock um eine russische Firma handelt, die einen weltweiten Kundenstamm betreut, wurde bei diesem Tool auf eine eigene Verschlüsselungskomponente verzichtet. Statt dessen unterstützt Devicelock die Integration diverser Verschlüsselungswerkzeuge von Drittherstellern. Dazu gehören Drivecrypt, Lexar JD Safe S3000, Lexar JD Safe S3000 FIPS, Lexar Safe PSD, PGP Whole Disk Encryption, Safedisk und Truecrypt. Abgesehen von den genannten Funktionen lassen sich an dieser Stelle auch diverse weitere Einstellungen vornehmen. Dazu gehören das Loggen von Policy-Änderungen, der Einsatz einer Group-Policy (anstelle von lokalen Policies), die für mehrere Rechner in der Domäne Gültigkeit hat und das Aus- beziehungsweise Einblenden des Tray-Icons auf dem Client. Ist dieses Icon aktiv, so können die Anwender es nutzen, um auf Geräte in temporären White- Lists zuzugreifen und um die Diensteinstellungen zu importieren. Ebenfalls von Interesse sind die Device- Settings, die sich an gleicher Stelle finden. Sie regeln die Zugriffsrechte auf die einzelnen Geräte. Die Access-Permissions lassen sich dabei für zwei verschiedene Szenarien festlegen: Den eben erwähnten Offline-Modus und den regulären Zugriffsmodus beim Betrieb im Netz. An Zugriffsrechten unterstützt die Suite Full Access, Not Configured und selbst definierte Zugriffsrechte, die nach Lese- und Schreibzugriffen unterscheiden und die auf Wunsch auch nur zu bestimmten Tageszeiten gültig sind. Bei den Geräteklassen unterscheidet die Lösung zwischen Blackberry, Bluetooth, DVD/CD-ROM, Firewire Port, Floppy, Harddisk, Infrared Port, I-Phone, Palm, Parallel Port, Printer, Removable, Serial Port, Tape, USB-Port, Wifi und Windows Mobile. Die Auditing- und Shadowing-Funktionen lassen sich ebenfalls für den regulären und den Offline-Modus festsetzen. Analog zu den Zugriffsrechten bietet die Lösung an dieser Stelle No Audit, Not Configured sowie selbstdefinierte Regeln mit Audit Allowed, Audit Denied und einer Regelgültigkeit zu bestimmten Tageszeiten. Zusätzlich haben die IT-Mitarbeiter hier noch die Option, Whitelists zu generieren, die benutzerbezogen bestimmte Geräte oder Medien (zum Beispiel Audio-CDs) für den Zugriff freigeben. Von besonderem Interesse für diesen Test war der Dateitypenfilter, der bereits eine Vielzahl unterschiedlicher Einträge mit sich bringt, die in Gruppen wie Blackberry Files, Datenbankdateien, Word-Files, Virtual Machines und ähnliches einsortiert wurden. Es lassen sich auch eigene Gruppen definieren und der Dateitypenfilter funktioniert benutzerbasiert. Die Regeldefinition gestaltet sich verhältnismäßig einfach: Nach der Angabe der relevanten Benutzerkonten fügt der Administrator die gewünschten Dateitypengruppe hinzu, legt fest, ob die Regel für Zugriffsrechte und die Shadowing-Funktion gültig ist, selektiert die Device-Typen, die von der Regel betroffen sein sollen (Palm, Removable etc.) und setzt zum Schluss die Benutzerrechte (Lesen, Schreiben) für Generic und Encrypted. Auf diese Weise lassen sich etwa Regeln erzeugen, die nur das Schreiben von Word-Dateien auf bestimmte verschlüsselte Zieldatenträger erlauben. Die Sicherheitseinstellungen übernehmen schließlich die Zugriffssteuerung für bestimmte Geräte, wie USB Human Interface Devices (Maus, Keyboard etc.), USB 3

4 Drucker, USB Bluetooth Adapter und so weiter. Auch hier stehen wieder die Modi Regular und Offline zur Verfügung und es gibt die Funktionen Enabled, Disabled und Not Configured. Die restlichen Funktionsknoten der Management Console befassen sich mit der Konfiguration und Nutzung des Enterprise Servers und des Content Security Servers. Beim Enterprise Server nehmen die Verantwortlichen Verbindungseinstellungen vor, legen die Administratorkonten fest, geben die Lizenzen an, aktivieren eine Kompressionsfunktion und haben die Möglichkeit, die Audit-, Server-, Shadowund Monitoring-Logs einzusehen. Dazu kommen die Reports, die beispielsweise über die aktivsten Computer, die Zugriffsrequests per Device Type, die am meisten genutzten USB-Geräte, die untersagten Gerätezugriffe und die am meisten kopierten Dateien Aufschluss geben. Was den Content Security Server angeht, so versetzt dieser die Verantwortlichen im Wesentlichen in die Lage, die Devicelock-Informationen (zum Beispiel Shadow-Files) zu durchsuchen. Das dritte Verwaltungswerkzeug, der Service Settings Editor, fasst noch einmal alle für die Dienstekonfiguration relevanten Funktionen zusammen. Für den täglichen Konfigurationsbetrieb wird es also ausreichen, mit diesem Tool zu arbeiten. Fazit Im Test waren wir wegen der Vielzahl der Verwaltungswerkzeuge zunächst einmal verwirrt. Im laufenden Betrieb konnte uns die Lösung von Devicelock aber immer mehr überzeugen. Nach einer gewissen Einarbeitungszeit erschien uns das Produkt recht einfach zu bedienen und der Funktionsumfang ließ keine Wünsche offen. Die Zugriffslisten sind für alle Geräte einzeln konfigurierbar, das System protokolliert auf Wunsch sämtliche Geräteänderungen und die Sperrfunktion für die Dateitypen arbeitet nach Herstellerangaben sogar mit Files, die bis zu zehnfach verschachtelt sind. Wurden die Zugriffsrechte entsprechend gesetzt, so haben die Anwender zudem keine Chance, den Dienst auf ihrem System anzuhalten oder gar zu entfernen. Was das Einlesen der Client-Rechner angeht, so unterstützt die Software übrigens sowohl LDAP als auch das Active Directory. Während des Tests blockierte das Tool alle Schnittstellen entsprechend der Konfiguration und war auch dazu in der Lage, unsere TXT- und JPG-Dateien, die wir von und zu den USB-Wechselmedien kopieren wollten, als solche zu erkennen und entsprechende Maßnahmen zu treffen. Dabei spielte es keine Rolle, ob die Dateien mit ihren echten Endungen kamen oder zuvor umbenannt worden waren. Was das Reporting angeht, so kommt die Lösung mit insgesamt elf vordefinierten Berichten, es ist aber auch möglich, selbst Reports zu anzulegen. Die Reports umfassen grafische Elemente und lassen sich bei Bedarf automatisch erstellen sowie als HTML, RTF und PDF exportieren. Alarmmeldungen exportiert das Produkt im Gegensatz dazu in den Formaten ASCII, CSV und Text. Centertools Drivelock Die Installation von Centertools Drivelock (im Test kam Version 5.5 R2 zum Einsatz) gestaltet sich verhältnismäßig einfach. Zunächst sollten die Administratoren auch bei dieser Lösung einen Microsoft SQL Server auf ihrer Serverplattform einspielen. Danach können sie die Installations-CD einlegen, die Sprache auswählen (Deutsch oder Englisch) und entscheiden, ob sie Drivelock oder nur den Agenten einspielen möchten. Da wir zunächst den Server aufsetzten, entschieden wir uns für die Drivelock-Installation. Diese unterscheidet zwischen Drivelock, der Drivelock Full Disk Encryption, dem Security Reporting Center (zum Überwachen des Ist-Zustands) und Drivelock Mobile. Für unseren Test spielten wir alle Komponenten außer Drivelock Mobile ein. Das eigentliche Setup läuft dann wieder Wizard-basiert ab und lässt sich in den Sprachen Deutsch, Englisch, Französisch und Niederländisch durchführen. Im Betrieb unterstützt die Software dann zusätzlich noch Tschechisch und Japanisch. Drivelock läuft unter Windows XP und neuer, benötigt 25 MByte Festplattenplatz und das Agenteninstallationspaket ist KByte groß. Serverseitig verlangt das Produkt 128 MByte RAM und 82 MByte Festplattenplatz. Die Installation der Verwaltungskomponente dauerte vier Minuten und nahm zwölf Arbeitsschritte in Anspruch. Drivelock kann nicht nur Wechseldatenträger sperren, sondern auch Software im Allgemeinen. Entscheidet sich ein IT-Verantwortlicher wie wir in unserem Test dafür, die Wechseldatenträger zu blockieren, so hat er unter anderem die Auswahl zwischen Floppies, CD-ROMs, USB-Laufwerken, Firewire-Komponenten, sonstigen Wechseldatenträgern sowie RDP- und ICA- Client-Laufwerkszuordnungen. Bei Fire- Die Drivelock Management Konsole bringt umfassende Hilfstexte mit 4

5 wire, USB und sonstigen Datenträgern kann er zudem eine Verschlüsselung erzwingen. Drivelock kann folgende Geräteklassen sperren: Windows Mobile, Palm, Bluetooth, Scanner, Modems, Netzwerkinterfaces, Smartcard-Leser, USB-Controller, Firewire, IrDA, Sound-, Video und Game-Controller, PCMCIA, Drucker, Blackberry, Vmware-Devices, Mobiltelefone, HID-Eingabegeräte, Medien-Abspielgeräte, biometrische Geräte, Software- Schutz-Produkte (Dongles), Secure Digital Host Controller, Flashspeicher, Tapes, IEC (AVC)-Bus-Geräte, Media-Center-Extender-Komponenten und Sideshow-Devices. Wenn die Installation des Servers abgeschlossen ist, kann es an die Verteilung des Dienstes gehen. Im Wesentlichen unterstützt Drivelock die Installation und Konfiguration der Software im Netz mit Hilfe von Gruppenrichtlinien, wenn keine Domäneninfrastruktur zur Verfügung steht, können die zuständigen Mitarbeiter auch ein MSI-Paket mit der Konfiguration erstellen, und dieses auf die Clients ausrollen. In letzterem Fall liegt die Konfigurationsdatei für die Clients in einem Windows- Share und die Clients prüfen regelmäßig nach (das Standardintervall dafür liegt bei 30 Minuten), ob es Konfigurationsänderungen gab und spielen diese im bei Bedarf gleich ein. Die Arbeit mit Gruppenrichtlinien läuft mit Hilfe der Domänenverwaltungswerkzeuge von Microsoft ab und sollte deswegen den meisten Administratoren bekannt sein. Deswegen gehen wir zunächst darauf ein, wie das Setup über das MSI-Paket abläuft. Zum Erstellen dieses Pakets steht ein Softwareverteilungsassistent zur Verfügung, der zunächst nach dem Pfad fragt, unter dem die Konfigurationsdatei zur Verfügung steht (zu diesem Zeitpunkt verwendeten wir eine Standardkonfigurationsdatei, die wir zuvor mit Hilfe der Management Console abgespeichert hatten). Dieser Pfad kann lokal oder über UNC, FTP sowie HTTP erreichbar sein. Danach nehmen die zuständigen Mitarbeiter noch einige weitere Konfigurationsschritte vor, anschließend richtet der Assistent die Setup-Datei für den Dienst ein. Im Test benötigten wir zur Paketerstellung sechs Minuten und 17 Arbeitsschritte. Die Installation des Pakets auf den Clients nahm dann eine Minute und vier Arbeitsschritte in Anspruch. Um die Agenteninstallation mit Gruppenrichtlinien durchzuführen, müssen die zuständigen Mitarbeiter im Gruppenrichtlinienobjekteditor auf Computerkonfiguration / Softwareeinstellungen / Softwareinstallation gehen, dort den Befehl Neu / Paket selektieren und dann die Installationsdatei über ihren UNC-Pfad angeben. Danach sollten sie Zugewiesen statt Erweitert als Verteilungsmethode wählen. Anschließend wird das Paket in der Domäne verteilt. Die Konfiguration des Agenten läuft in diesem Fall über das Werkzeug zur Gruppenrichtlinienkonfiguration ab. Zum Schluss des Setups installierten wir noch das Security Reporting Center. Der dafür zuständige Installationswizard benötigt hauptsächlich Angaben zur zu verwendenden Datenbank, nach einem Neustart steht das System dann komplett zur Verfügung. Das Administrationswerkzeug Das Drivelock-Konfigurationsinterface arbeitet als MMC-Snapin und der Administrator landet nach dem Start dieser Software auf einer Einführungsseite mit einem Produktüberblick und dem Device-Scanner, der alle Rechner im Netz (auch die, auf denen der Dienst nicht läuft) auf angeschlossene Geräte und Laufwerke untersucht und diese in eine Datenbank einträgt. Der Device-Scanner zeigt auch Geräte nach Computer und Laufwerke nach Computer an. Die Scans lassen sich jeweils nach Name, nach Active-Directory-Organisationseinheit, nach IP-Netzwerk, nach Active- Directory-Computer oder Gruppe und nach Netzwerkumgebung durchführen. Die gefundenen Daten landen dann je nach Wunsch in einer lokalen Access-Datenbank, der Centertools-Datenbank oder dem Security Reporting Center (SRC). Nach dem Scan zeigt das System bei den gefunden Laufwerken unter anderem an, wann diese zuletzt benutzt wurden. Ebenfalls von Interesse ist der Punkt lokale Richtlinie. Über ihn legen die Administratoren die Sicherheitseinstellungen für das lokale System also den Server fest. Die lokalen Richtlinien haben den gleichen Funktionsumfang wie die im Netz gültigen Richtlinien (wie etwa über die Gruppenrichtlinien festgelegt) und eignen sich damit zum lokalen Testen von Settings und zum Festlegen von Einstellungen, die später in eine Konfigurationsdatei geschrieben werden. In diesem Zusammenhang spielen zunächst die globalen Einstellungen eine Rolle. Sie legen fest, welche Anwender das Recht erhalten, den Dienst zu stoppen, ob der Dienst auch im abgesicherten Modus gestartet werden soll, wie das Passwort für die Deinstallation lautet und welche Benutzer und Gruppen den Dienst aus der Ferne konfigurieren dürfen. Diverse Settings zum Übermitteln von Ereignismeldungen legen fest, bei welchen Vorkommnissen das System Alertmeldungen verschickt ( Dienst gestartet, kein Server erreichbar, Gerät angeschlossen, Laufwerk gesperrt, etc.) und ob die Meldungen im Ereignisprotokoll oder beim SRC landen. Alternativ lassen sie sich auch via SMTP und SNMP übertragen. Von besonderem Interesse ist die Laufwerkskonfiguration. Hier gibt es nicht nur die Option, Administratoren den Zugriff auf alle Laufwerke zu erlauben, sondern auch eine Funktion, die es Anwendern und Gruppen erlaubt, Wechselmedien zu formatieren und auszuwerfen. Dazu kommen die Schattenkopiereinstellungen mit Speicherort, Speicherbeschränkungen und ähnlichem. Die Sperreinstellungen legen für bestimmte Bus-Typen die Basisrichtlinien fest. Sie haben eine höhere Priorität als die Richtli- 5

6 nien für Laufwerkstypen. Zu den Bussen gehören Floppies, CD-ROMs, USB- und Firewire-Anschlüsse, andere Wechseldatenträger sowie RDP- und ICA-Client- Laufwerkszuordnungen. An gleicher Stelle lassen sich auch Whitelist-Regeln definieren. Beim Dateifilter sind die meisten relevanten Typen vordefiniert, es ist aber jederzeit möglich, eigene Dateiheader festzulegen. Das System lässt übrigens nur dann den Zugriff auf eine Datei zu, wenn Binärtyp und Endung übereinstimmen. Ebenfalls von Interesse sind die Sperreinstellungen, die es für Adapter und Schnittstellen gibt (seriell, parallel, Bluetooth, USB, Firewire, IrDA und PCMCIA). Hier haben die Administratoren jeweils die Option, den Zugriff zu erlauben, zu sperren oder mit Ausnahmen zu sperren. Bei Bluetooth, Firewire, IrDA, PCMCIA und USB lassen sich für die Geräte auch Ereignismeldungen aktivieren, Systemgeräte der genannten Typen nicht sperren und Neustarts der Geräte bei Benutzerwechseln unterbinden. Neben den Adaptern und Schnittstellen unterstützt die Software auch noch bestimmte Geräte, für die sich ebenfalls Regeln bestlegen lassen. Dabei handelt es sich im Wesentlichen um Mitglieder der bereits erwähnten Geräteklassen. Abgesehen davon arbeitet das Produkt mit White-Lists zum Wiederzulassen einzelner Geräte aus gesperrten Klassen. Die restlichen Punkte sind schnell erklärt. Sie befassen sich mit den Netzwerkprofilen, die unterschiedliche Standorte mit den dazugehörigen Konfigurationspolicies definieren. Diese lassen sich auch in Whitelists einbauen, um Geräte nur in bestimmten Netzwerken zuzulassen. Die Software erkennt ihren Standort unter anderem anhand von IP-Adresse, SSID und Active- Directory-Umgebung. Der Application- Blocker erlaubt oder untersagt das Ausführen bestimmter Anwendungen, während die Verschlüsselungseinstellungen für Wechseldatenträger die Verschlüsselungsverfahren (AES, Blowfish, CAST5, Triple-DES, Twofish, Serpent), die Passwortkomplexität, das Dateisystem für verschlüsselte Laufwerke und ähnliches festlegen. Es ist an dieser Stelle sogar möglich, bestimmten verschlüsselten Datenträgern feste Laufwerksbuchstaben zuzuweisen, was in manchen Umgebungen die Sicherheit weiter erhöht. Verschlüsselte Container lassen sich offline mit Hilfe des Helpdesks oder online mit einem Zertifikat wiederherstellen. Bei Bedarf können die zuständigen Mitarbeiter jederzeit Richtlinien erstellen, die nur verschlüsselte Geräte akzeptieren. Im Betrieb ermöglicht die Agentenfernkontrolle das temporäre Entsperren von Geräten oder Laufwerken auf den Clients sowie das Arbeiten mit den Schattenkopien. Es ist auch jederzeit möglich, Geräte nur zu bestimmten Zeiten freizugeben. Gehen wir nun noch kurz auf das Security Reporting Center an. Über dieses lassen sich Lizenzinformationen einsehen, die Sprache einstellen, die Datenbank pflegen, Vorgaben für Reports erstellen und die Mandantenfähigkeit aktivieren. Letztere ist wichtig für die Zusammenfassung von Daten mehrerer Organisationen. Das SRC ermöglicht es zudem, Zugriffsrechte auf Daten oder Berichte festzulegen. Bei den Berichten die auch grafische Elemente enthalten hat der Hersteller unter anderem Reports zur Dateiüberwachung, zu den Geräteereignissen und zu Verschlüsselungsereignissen vordefiniert. Es stellt zudem kein Problem dar, eigene Reports anzulegen und die Reports zu exportieren. Fazit Auch die Lösung von Centertools konnte im Test überzeigen. Sie ist beliebig Mit dem Security Reporting Center haben Administratoren Zugriff auf alle Drivelock-Ereignisse skalierbar, lässt sich über Group-Policy-Standardmechanismen steuern und das Festlegen von Lese- und Schreibrechten war genauso wenig ein Problem, wie das Konfigurieren von Zugriffslisten für alle Geräte, das Protokollieren von Geräteänderungen, das Durchführen von Datei-Audits und das automatische Importieren verwalteter Hosts. In Bezug auf das Blockieren von Geräteklassen ergaben sich im Test keine Probleme, das gleiche gilt für die Arbeit mit Dateifiltern. Was die Reports angeht, blieben keine Wünsche offen und die zwölf vordefinierten Berichte deckten alle wichtigen Arbeitsbereiche ab. Lumension Endpoint Security 4.4 SR2 Die Endpoint Security 4.4 SR2 läuft unter Windows 2000 und neuer und benötigt 10 MByte Festplattenplatz sowie 256 MByte RAM. Die Setupdatei für den Dienst ist KByte groß. Der Client unterstützt insgesamt 15 Sprachen, darunter Chinesisch, Deutsch, Englisch, Französisch, Italienisch, Japanisch, Russisch, Niederländisch, Portugiesisch, Schwedisch und Spanisch. Das Managementinterface arbeitet im Gegensatz dazu nur mit den Sprachen Deutsch und Englisch. Um die Endpoint Security von Lumension zu installieren, ist es zunächst erforderlich, die Lizenzdatei in das Windows\System32 -Verzeichnis zu kopieren, 6

7 den SQL-Server auf dem Managementsystem zu installieren (für den Test verwendeten wir wieder den SQL Server 2005 Express mit Service Pack 2), die Datenbank mit Hilfe der dafür vorgesehenen Lumension Setup-Datei einzuspielen (das geht praktisch ohne Benutzerinteraktion) und mit Hilfe eines mitgelieferten Tools ein Key-Pair zu generieren. Die dabei erzeugten Schlüssel sollten zudem vor der Installation des Applikationsservers ebenfalls im Verzeichnis Windows\System32 liegen. Sobald diese Voraussetzungen erfüllt sind, kann es daran gehen, den Applikationsserver einzuspielen. Im Test nahm dieser Vorgang 18 Arbeitsschritte in Anspruch und dauerte acht Minuten. Die nun folgende Installation der Managementkonsole läuft fast ohne Interaktion mit dem Administrator ab, einzig erwähnenswert ist, dass das System dabei die C Redistributable-Bibliothek mit einspielt. Die Konsoleninstallation dauert nicht mal eine Minute. Damit ist das Setup der Serverkomponente abgeschlossen und es kann an das Ausbringen des Client-Dienstes gehen. Hierzu müssen die Administratoren zunächst den zuvor generierten Public-Key in den Client-Folder des Installationsordners kopieren. Danach haben sie die Möglichkeit, den Client Deployment Wizard aufzurufen. Dieser möchte erst einmal wissen, ob er ein 32- oder 64-Bit-MSI-Paket erstellen soll. Anschließend benötigt er einen Namen für das Package und verlangt die Angabe der Adresse der Server, mit denen der Dienst Kontakt aufnimmt (bis hin zu maximal drei Systemen). Dazu kommen Angaben zu Verschlüsselung und Authentifizierung sowie ein Befehl zum Importieren des Public Keys. Es gibt sogar die Option, die Serververbindung gleich aus dem Deployment- Wizard heraus zu testen und so sicher zu stellen, dass im späteren Betrieb keine Schwierigkeiten auftreten. Zum Schluss geben die IT-Verantwortlichen unter anderem noch an, ob die Client-Komponente in der Liste der installierten Programme auf dem Zielsystem erscheinen soll und ob eine Uninstallation möglich ist oder nicht. Das schließt die Konfiguration der Setup-Routine ab. Im Test benötigten wir dazu fünf Arbeitsschritte. Die Installation der Software gestaltet sich anschließend einfach: Es genügt, dem System den Zielcomputer aus der Domäne hinzuzufügen und das Setup zu starten. Es läuft dann automatisch durch und auch der Neustart des Clients lässt sich auf Wunsch automatisieren. Im Test dauerte das Client-Setup mit Reboot vier Minuten und nahm acht Arbeitsschritte in Anspruch. Generell hatten wir den Eindruck, dass zum Inbetriebnehmen der Lumension-Lösung relativ viele Grundvoraussetzungen zu erfüllen und zudem diverse voneinander getrennte Komponenten zu installieren sind, was leicht zu Verwirrung führen kann. In diesem Zusammenhang möchten wir aber darauf hinweisen, dass die dazugehörige Dokumentation, die die IT-Verantwortlichen Schritt für Schritt durch den Setup-Prozess führt, sehr gut gestaltet wurde und alle Schritte eindeutig erklärt, so dass es bei uns nie zu Problemen kam. Die Client-Installation lässt sich übrigens alternativ auch über ein Skript durchführen. Der Funktionsumfang Das Konfigurationsinterface des Lumension-Produkts arbeitet mit einer Befehlsleiste auf der linken Seite. Der erste Eintrag dieser Leiste nennt sich Modules und bietet zunächst einmal den Device Explorer an. Mit diesem sind die Administratoren dazu in der Lage, die einzelnen Geräte durchzugehen, Berechtigungen für ihre Nutzung zu setzen, Dateifilter einzurichten und so weiter. Die Settings lassen sich Übersichtlich: Das Verwaltungswerkzeug von Lumension auch rechnerspezifisch vornehmen und es ist unter anderem möglich, bei Wechselmedien bestimmten Anwendern Lese- und Schreibrechte zu geben. Zeitgesteuerte Regeln sind gleichfalls implementierbar. Generell unterscheidet die Lumension-Lösung bei praktisch allen Geräten zwischen dem Bus, über den sie angebunden sind (All, USB, Bluetooth, IrDA, PCMCIA, etc.) und zwischen Lese- und Schreibrechten. Bei einigen Geräten, wie beispielsweise optischen Laufwerken, kommen noch andere Parameter hinzu (Verschlüsselung, SCSI, ATA/IDE, Firewire und so weiter). Endpoint Security 4.4 unterstützt folgende Geräteklassen: biometrische Geräte, Produkte am seriellen Port, CDs, DVDs, Floppies, Imaging-Lösungen, Geräte am parallelen Port, Modems, Palm-Komponenten, Portables, Drucker, Lösungen am PS/2-Port, Wechselmedien (hier differenziert die Lösung auch zwischen Festplatten und Nicht-Festplatten), Blackberries, Smartcardleser, Bandlaufwerke, drahtlose Netzwerkkarten, Windows-CE-Produkte und User Defined. Die letztgenannte Klasse umfasst alle Geräte, die in die anderen Klassen nicht hineinpassen. Über den Log Explorer, der sich ebenfalls bei den Modulen findet, sind die zuständigen Mitarbeiter dazu in der Lage, 7

8 Logs von den verwalteten Rechnern zu holen und Abfragen durchzuführen bei Bedarf auch mit Zeitplan. Dabei ist es möglich, entweder eigene Abfragen zu generieren, oder vordefinierte Queries laufen zu lassen, wie Users denied apps this month, Shadow MP3, MP4 by user, Everything Today sowie Files CD/DVD -> PC/user this month. Über den Media Authorizer erhalten die Administratoren zusätzlich noch die Option, für bestimmte Benutzer bestimmte Medien (beispielsweise Musik-CDs) freizugeben. Unter Tools finden sich im Gegensatz dazu diverse Werkzeuge zum Einlesen der Domäne, zum Warten der Datenbank (mit einer automatischen Löschfunktion für Logs und ähnlichem) und zum Steuern des Benutzerzugriffs auf die Verwaltungskonsole. Über den Password Recovery Wizard lassen sich verlorene Daten auf verschlüsselten Medien wieder herstellen. Das geht über eine ID des betroffenen Mediums und einen Sicherheitscode des Benutzers. Die Defaultoptionen legen im Gegensatz dazu fest, in welchen Intervallen das System Logs hochlädt und ähnliches. An gleicher Stelle senden die zuständigen Mitarbeiter die vorgenommenen Konfigurationsaktualisierungen entweder an alle, oder nur an bestimmte Clients. Im Test ergaben sich dabei keine Schwierigkeiten. Es ist auch möglich, die Einstellungen in eine Datei zu exportieren und temporäre Offline-Permissions zu erteilen, und zwar für bestimmte Geräte und Zeiträume. Wenn diese Funktion zum Einsatz kommt, erhalten die Anwender vom Administrator einen Unlock Key, über den sie auf die freigegebenen Medien zugreifen können. Ebenfalls von Interesse sind die Reports, über die die zuständigen Mitarbeiter User-, Device- und Computer-Permissions einsehen können. Sie bieten auch Detailinformationen zum Shadowing nach Geräten und Benutzern und zeigen die Defaultoptionen, Client-Daten und Servereinstellungen in Listenform an. Fazit Endpoint Security von Lumension machte auf den ersten Blick (vor allem bei der Installation) einen etwas umständlichen Eindruck, entpuppte sich im Betrieb aber als die Lösung mit dem übersichtlichsten Konfigurationswerkzeug. Unsere Sichtweise ist allerdings vollkommen subjektiv und es wird sicher Administratoren geben, die diesen Punkt ganz anders sehen. Auch der Leistungsumfang der Suite überzeugte uns: Die Lösung unterstützt Black- und Whitelisten, gestattet den Zugriff nach Benutzern und Gruppen, sperrt bestimmte Dateitypen (nach Endung und Inhalt) und legt auf Wunsch Schattenkopien an. Auch die Verschlüsselungsfunktionen lassen keine Wünsche offen. So können die zuständigen Mitarbeiter verschlüsselte Daten auf Wechseldatenträgern auch auf Systemen entschlüsseln, auf denen die Lumension Software nicht installiert wurde, und das ohne zusätzliche Programminstallationen. Das Produkt kann außerdem Daten sicher Löschen und Container mit vergessenem Kennwort wieder zugänglich machen. Was die Verwaltungskomponente angeht, so arbeitet das Tool nicht nur mit LDAP und Active Directory zusammen, sondern unterstützt auch mehrere Administratorkonten und den Export der Alarmmeldungen. Eine Anwendungssteuerung mit Black- und Whitelisten rundet den Leistungsumfang der Lösung ab. Im Betrieb verhielt sich das Produkt sowohl bei der Arbeit mit Geräteklassen als auch beim Blocken unserer Testdateien mit Bildern und Texten wie erwartet. Die dafür erforderliche Konfiguration war schnell erstellt und im Netz ausgebracht. Was das Reporting angeht, so liefert der Hersteller 35 vordefinierte Reports mit, die grafische Elemente unterstützen. Bei Bedarf lassen sich auch eigene Reports generieren und die Berichte laufen auf Wunsch automatisch und nach Zeitplan ab. Ein Export der gesammelten Daten lässt sich ebenfalls realisieren. Zusammenfassung Im Test ergaben sich bei der Arbeit mit den drei genannten Sicherheitsprodukten keine Probleme und alle erfüllten ihre Aufgaben so, wie das zu erwarten war. Beim Funktionsumfang gibt es ein paar kleinere Unterschiede, so dass die Administratoren sich im Vorfeld ihrer Kaufentscheidung genau überlegen sollten, auf welche Features sie in ihrem Umfeld verzichten können und auf welche nicht. Ansonsten sind die Unterscheidungsmerkmale zwischen den Produkten leider eher subjektiv, wir wollen aber an dieser Stelle trotzdem kurz darauf eingehen. Dabei muss allerdings gelten, dass niemand unsere Bewertung zu hoch einschätzen darf, da viele Leute die von uns erwähnten Punkte sicher ganz anders sehen. Am einfachsten lässt sich wohl das Produkt von Centertools installieren, während das Lumension-Setup am meisten Arbeit und Konzentration in Anspruch nimmt. Im Betrieb kehrt sich dieses Verhältnis um und Lumension bietet die wohl komfortabelste Benutzerschnittstelle. Die Lösung von Devicelock mit ihren drei Managementkonsolen ist da etwas gewöhnungsbedürftiger, nach einer kurzen Einarbeitungszeit sollte aber auch kein Administrator bei der Arbeit mit diesem Produkt Schwierigkeiten bekommen. Bei Centertools wird die nahtlose Integration der ganzen Verwaltung in die Gruppenrichtlinenwerkzeuge sicher für einige Administratoren schwierig zu verstehen sein. Andere werden gerade diesen Punkt als großes Plus werten. Jede der getesteten Lösungen hat also ihre Vorteile und letztendlich liegt es wohl beim jeweiligen IT-Verantwortlichen, das für ihn beste Produkt auszuwählen. Impressum Herausgeber: Institut zur Analyse von IT-Komponenten (IAIT) Dr. Götz Güttich Tel.: 02182/ Fax: 02182/ Web: Blog: 8