DeviceLock - USB und Firewire sperren

In Sachen Sicherheit gehören USB-Sticks und andere Wechseldatenträger zu den elementaren Bedrohungen in Unternehmen. Mit dem Sicherheitstool DeviceLock können Administratoren steuern, welche Benutzer Zugriff auf Schnittstellen wie USB, Bluetooth oder Firewire haben.

Funktionalität: Das USB-Geräte für Unternehmen ein hohes Sicherheitsrisiko darstellen belegen zahlreichen Studien. Auf diesem Weg gelangt Malware ins Unternehmen, andererseits können somit kritische Daten das Unternehmen ganz einfach verlassen. Mit dem kommerziellen Sicherheitstool DeviceLock kann der Administrator die Verwendung der Schnittstellen kontrollieren. So kann die Nutzung von bestimmten Geräten unterbunden werden. Es lässt sich steuern welche Anwender oder Gruppen Zugriff auf USB, WLAN, Bluetooh oder Firewire haben. Über eine USB-Whitelist kann man nur bestimmte USB-Geräte zulassen. Per Medien-Whitelist kann der Administrator festlegen, dass der Anwender nur auf ganz bestimmte CD- oder DVD-Medien in seinem Laufwerk zugreifen darf. Ebenso lässt sich für bestimmte Geräte ein Read-Only-Modus festlegen. Ebenso kann der Administrator steuern, auf welche Art von Dateitypen auf Wechsedatenträgern wie zugegriffen werden darf. Es lassen sich Berichte erstellen, welche Geräte auf welche Art und Weise auf den Clients genutzt werden. Von allen Daten, die auf externe Geräte oder mit Windows Mobile synchronisiert werden, lassen sich auf einem zentralen Server Shadow-Kopien anlegen.

Installation: Der Download von DeviceLock ist rund 55 MByte groß. Der Download kann als 30-tägige Demo mit vollem Funktionsumfang genutzt werden. Eine Einzellizenz kostet 31,20 Euro, Mehrplatzlizenzen sind je nach Anzahl deutlich günstiger. DeviceLock läuft unter Windows NT/2000/XP/Vista sowie Windows Server 2003/2008. Administratoren können DeviceLock remote auf den Anwender-Clients installieren. Um DeviceLock zu installieren muss man über Administratorrechte verfügen.

Bedienung: Zu DeviceLock gehören drei Komponenten. Der DeviceLock Service ist der Agent auf dem Clientsystem läuft und den Laufwerkschutz bietet. Der DeviceLock Enterprise Server erlaubt eine zentralisierte Sammlung und Speicherung der Shadow-Daten. Über die Managementkonsole können Administratoren das Clientsystem mit dem DeviceLock Service aus der Ferne verwalten. Per Settings-Editor kann man komfortabel menügesteuert die Beschränkungen für die einzelnen Schnittstellen einrichten. So lassen sich Zugriffe beispielsweise auf Read-only beschränken. Zudem sind bestimmte zeitliche Einschränkungen möglich, sowie das Anlegen von Whitelists für USB-Geräte. Man kann den Dienst so konfigurieren, dass Anwender mit lokalen Administratorrechen diesen nicht deaktivieren können.

Fazit: Mit DeviceLock kann man eine Sicherheitsstrategie in Sachen Data Leak Prevention praktisch umsetzen.