Laufwerke kontrollieren

DriveLock arbeitet mit dem Prinzip von Whitelist-Regeln. Das bedeutet, dass nach der Aktivierung der grundsätzlichen Sperrung von Laufwerken jedes Laufwerk zunächst gesperrt ist. Jede Ausnahme davon muss getrennt durch eine Whitelist-Regel konfiguriert werden. Das heißt, dass Sie für jedes Laufwerk (bzw. für jede Gruppe von Laufwerken), das verwendet werden soll, eine eigene Regel erstellen. Falls ein Laufwerk nicht über eine entsprechende Regel definiert ist, sperrt DriveLock automatisch den Zugriff darauf und es kann nicht verwendet werden. Damit wird sichergestellt, dass das Sicherheitsniveau Ihrer Umgebung intakt bleibt, auch wenn zwischenzeitlich neue oder noch unbekannte Geräte entwickelt und durch Ihre Benutzer verwendet werden.

Eine Übersicht über die Zusammenhänge der Laufwerkskontrolle finden Sie hier.

Um eine DriveLock Konfiguration durchzuführen, ist es aufgrund dieses Grundprinzips angeraten, zunächst benötigte Laufwerks-Whitelist-Regeln zu erstellen und anschließend das Sperren von Laufwerken zu aktivieren.

Laufwerke wie beispielsweise USB-Sticks werden ohne eine vorhandene Konfiguration aus Sicherheitsgründen standardmäßig gesperrt. Diese Standardeinstellung wird dann angewendet, wenn Sie einen DriveLock Agenten ohne zuvor konfigurierte und verteile Richtlinie auf einem Arbeitsplatzrechner installieren. In den Fällen, in denen ein Agent keine Richtlinien erhalten oder verarbeiten kann, ist somit Ihre Umgebung abgesichert.

DriveLock bietet die Möglichkeit, Laufwerksregeln für unterschiedliche Geltungsbereiche zu definieren (beginnend mit dem weitestreichenden):

  • Laufwerksklassen (z.B. alle USB-Laufwerke)
  • Laufwerksgröße (z.B. alle Laufwerke mit einer Kapazität größer 128 MB)
  • Hersteller (z.B. SanDisk)
  • Produkt ID (z.B. Ultra II 1 GB Compact Flash)
  • Seriennummer

Zusätzlich zum Geltungsbereich kann definiert werden, wann und wo eine Whitelist-Regel angewendet werden soll:

  • Auf welchen Computern (alle oder nur bestimmte) soll die Regel gelten?
  • Für welche aktiven Netzwerkverbindungen soll sie gelten?
  • Zu welcher Zeit (z.B. Montag bis Freitag zwischen 09:00 und 18:00 Uhr)?
  • Soll eine Regel für alle Benutzer gelten, oder kann ein Mitglied einer bestimmten Gruppe ein Laufwerk (oder Gerät) verwenden, während es für alle anderen angemeldeten Benutzer gesperrt ist?
  • Muss der angemeldete Benutzer einer Unternehmensrichtlinie zustimmen, bevor er Zugriff erhält?
  • Ist ein angesteckter USB-Stick verschlüsselt?
  • Ist ein Virenscanner-Dienst aktiv?
  • Enthält ein USB-Stick möglicherweise Malware?

Indem Sie die Geltungsbereiche und Fragestellungen in Ihre Planung miteinbeziehen, kann die Anzahl der benötigten Regeln in Ihrer Konfiguration und damit der Verwaltungsaufwand minimiert werden.

Wenn Sie DriveLock evaluieren, aktivieren Sie zuerst die generelle Sperrung, bevor Sie einzelne Regeln konfigurieren. Für die Evaluierung stehen in unserer Managed Services Umgebung bereits vordefinierte Richtlinien zur Verfügung.
In einer Produktionsumgebung sollten Sie zuerst alle notwendigen Regeln erstellen, bevor Sie die Sperrung komplett aktivieren.