Device Control

Blockierte Geräte bei Verwendung von Citrix Workspace

  • In Kombination mit Citrix Workspace kommt es auf manchen Computern dazu, dass Geräte nicht gestartet werden können, weil Windows den Drivelock Treiber DLDevFlt.sys nicht laden kann. Anscheinend verursacht der "Citrix USB Monitor Driver" ctxusbmon.sys Probleme beim Entladen des DLDevFlt.sys.

    Empfohlenes Vorgehen: Eröffnen Sie ein Supportticket bei Citrix.

    Mögliche Workarounds bis Citrix das Problem behoben hat:

    1. Deinstallieren Sie Citrix Workspace.

    2. Da das Problem dadurch verursacht wird, dass DLDevFlt.sys nicht entladen werden kann, können Sie versuchen es dadurch zu umgehen, indem Sie den DLDevFlt.sys nur verzögert oder gar nicht entladen lassen. Wenn das Problem nur in Fällen besteht, wenn Geräte von DriveLock blockiert werden, so können Sie dies erreichen, indem Sie die Einstellung "Blockierte Geräte im Device Manager deaktivieren" einschalten. Falls DriveLock keine Geräte blockiert oder diese Einstellung keinen Erfolg bringt, können Sie die Einstellung "Entfernung von Geräten melden" verwenden, da hierbei der Treiber geladen bleibt bis das Gerät wieder entfernt wird (bitte beachten Sie die Hinweise bei der Beschreibung dieses neuen Features).

Quotierung /Dateifilter-Vorlagen

  • Auf dem Reiter Quotierung werden die geschriebenen bzw. gelesenen Bytes pro Zeiteinheit gezählt, nicht die eigentlichen Dateien. Daher wird die Erstellung neuer Dateien mit 0 Bytes nicht blockiert.

  • Die Lesequotierung hat Vorrang vor der Schreibquotierung, da ein Lesevorgang vor dem Schreibvorgang erforderlich ist und blockiert wird, wenn die Lesequotierung bereits überschritten ist.

  • Das Verhalten der Quotierungen ist anwendungsspezifisch und hängt davon ab, wie eine Anwendung eine Datei für eine scheinbar einfache Lese- oder Schreibanforderung eines Benutzers öffnet. Eine Datei kann zwischengespeichert, mehrmals geöffnet, dupliziert oder umbenannt werden, bevor die eigentliche Lese-/Schreibverarbeitung erfolgt. Störende Prozesse, die im Auftrag des Benutzers (z. B. AV) ausgeführt werden, können das geplante Verhalten zusätzlich verfälschen. In Version 2025.1 wird nur die erste in einer Reihe identischer Erstellungen einer Datei auf die „Anzahl der Dateien“ angerechnet. (Identisch bedeutet: gleicher Benutzer, gleicher Prozess und gleiche Zugriffsart – Lesen oder Schreiben.) Dies ermöglicht eine deutlich sinnvollere Nutzung der Quotenanzahl „Anzahl der Dateien“ als in früheren Versionen.

Dateifilter bei Archiv-Dateien

  • Wenn eine im Dateifilter ausgeschlossene Datei in eine Archiv-Datei kopiert wird, wird die komplette Archiv-Datei gelöscht. Wir empfehlen, Archiv-Dateien nicht direkt auf den kontrollierten Volumes zu bearbeiten, sondern auf der lokalen Festplatte, wo i.d.R. kein Dateifilter gesetzt ist. (Referenz EI-2651)

  • Beachten Sie bitte folgende Hinweise:

    • Ein nicht standardmäßiges Anwendungs- und Verschiebeverhalten kann zu unerwarteten Ergebnissen führen, z. B. öffnet 7zip die Zip-Datei und zeigt Abschnitte einer verbotenen EXE-Datei im Analysemodus an (Referenz EI-2650)

    • WebDAV-Laufwerke werden weiterhin nicht unterstützt

    • Hash-Ausschlüsse werden in Archiven nicht angewendet

    • Beim Verschieben eines Archivs von einem ungefilterten Speicherort wird auch dieses QuellArchiv gelöscht, wenn das ZielArchiv blockiert wird. (Referenz DL-7643)

    Beachten Sie außerdem, dass

    • Archive bis zu einer Verschachtelungsebene von 2 gescannt werden, d.h. zip1/zip2 wird gescannt, aber zip1/zip2/zip3 wird blockiert,

    • Größe bzw. Anzahl der enthaltenen Dateien nicht begrenzt sind; daher kann es trotz eines variablen, an die komprimierte Größe angepassten Timeouts zu einer Zeitüberschreitung während des Scans kommen,

    • Zeitüberschreitungen und andere Fehler, z.B. wenn das Archiv aus irgendeinem Grund nicht zum Scannen geöffnet werden kann, nicht zu einer Blockierung des Zugriffs führen.

Inhaltsprüfung

  • Unter bestimmten Umständen kann das Blockieren des Löschens einer Datei technisch nicht umgesetzt werden. In den Vorgängerversionen wurde in diesen Fällen trotzdem ein Ereignis für das Blockieren des Löschens erzeugt, obwohl die Datei bereits gelöscht war.
    Lösung: Da das Löschen einer Datei, die aufgrund ihres Inhalts durch die Inhaltsprüfung als unerwünscht eingestuft wird, nicht grundsätzlich ein Fehler ist, entfällt nun die Inhaltsprüfung und damit auch die Erzeugung des Ereignisses.

  • Die Inhaltsüberprüfung ist in Ordnern, die mit File Protection verschlüsselt wurden, nicht möglich und daher dort deaktiviert.

Lange Seriennummern

  • Laufwerke mit Seriennummern, die länger als 63 Zeichen sind, können nicht durch eine Whitelist-Regel mit erforderlicher Seriennummer oder einer Standardrichtlinie gesperrt bzw. entsperrt werden.

Kurzfristig gesperrte Dateien

  • Wenn ein Dateifilter konfiguriert ist und der Zugriff für bestimmte Benutzer oder Gruppen erlaubt ist, können Dateien auf dem USB-Stick während der Konfigurationsaktualisierung für kurze Zeit gesperrt sein.

Device Control im DOC

  • Im DOC unter Sicherheitskontrollen -> Laufwerke -> Ereignisse fehlt die Anzeige für das Ereignis 120: Serielle Schnittstelle gesperrt.

  • Beim Erstellen von Geräte-Regeln für manche Ereignisse (z.B. EventId120) kann es vorkommen, dass die Informationen aus den Parameter des Ereignisses (z.B. Hardware ID) nicht korrekt in die Regel übernommen werden.

Samsung Shield T7

  • Die Seriennummern für Samsung Shield T7 unter Windows werden spiegelverkehrt ausgelesen. Dies gilt möglicherweise für alle USB-SCSI-Massenspeichergeräte (UAS).

Kumulative Windows Server 2022 Security Updates auf Terminal Server

  • Wenn nach Installation bzw. Update des Drivelock Agenten auf den betroffenen Windows Servern weiterhin Fehler auftreten, sind folgende manuelle Schritte notwendig (Referenz EI-2639):

    • Bei aktivierter MTP-Kontrolle:

      Stoppen Sie die DriveLock Agent Services und des DriveLock Health Monitors (z. B. net stop drivelock & net stop dlhm) vor Einspielen des Windows Updates. Diese werden nach dem Neustart wieder automatisch gestartet.

      Starten Sie DriveLock gegebenenfalls manuell, wenn kein automatischer Neustart erfolgen sollte.

    • Bei nicht aktivierter MTP-Kontrolle:

      Nach dem Update von einer älteren DriveLock Agenten-Version müssen Sie einmalig in der Kommandozeile folgende Befehle ausführen: drivelock -regmtpfltinf und drivelock -unregmtpfltinf.

CD-ROM Laufwerke

  • Eine Verwendungsrichtlinie für CD-ROM-Laufwerke wird nur ein Mal angezeigt, wenn eine CD erstmalig eingelegt wird. Weitere CDs, die in dieses Laufwerk eingelegt werden, werden zwar geblockt, aber die Verwendungsrichtlinie erscheint nicht mehr. Wenn DriveLock neu gestartet wird, erscheint die Verwendungsrichtlinie wieder.

    Grund hierfür ist, dass DriveLock nur das eigentliche Gerät in der Richtlinie erkennt (CD-ROM-Laufwerk), nicht aber den Inhalt (CD-ROM).