Ausgesperrt: USB und andere Ports am PC kontrollieren


Je detaillierter die Lösung eingestellt werden kann, desto mehr Freiheiten erlaubt sie den Benutzern, ohne die Sicherheit zu kompromittieren. Die schnelle Einteilung in Schreib- oder Leserechte für ein Gerät ist Standard. Exakter wird es, wenn man festlegen kann, wie viele Daten pro Tag kopiert werden dürfen. Ein Word-Dokument mit 300 Kilobyte ist in Ordnung, die Vertriebsdatenbank mit 2 Gigabyte nicht. Pluspunkte gibt es auch, wenn das Programm bei CD- und DVD-Brennern die Brennfunktion abschalten kann, das Lesen von Medien aber noch funktioniert. Das gleiche gilt für eine Zeitsteuerung, so dass nachts, allein im Büro, eben keine Kamera mehr angeschlossen und deren Speicherkarte als Datenträger genutzt werden kann. Besonders paranoide Lösungen erlauben das „Shadowing“ von Schreibvorgängen. Dabei werden kopierte Daten – nach Benutzer oder Gerät selektiert – mitgeschrieben. Das können entweder alle Daten sein, oder nur die Dateinamen mit Verzeichnisangabe. Solche Überwachungsformen bedürfen in Deutschland der Zustimmung des Betriebsrats, auch das Sichten der gesammelten Daten darf nur durch autorisierte Personen erfolgen.

Darum gleich der nächste Punkt: wer Daten sammelt, muss auch deren Schutz gewährleisten. Das geht nur mit einer expliziten, internen Benutzerverwaltung innerhalb des Programms. Damit werden Aufgaben delegiert und der Zugang zu Log-Dateien nur nach dem Vier-Augen Prinzip gestattet.

 Lösungen für Digital
      Rights Management

 Authentica (Secure Documents)

 Liquid Machines (Liquid Machines)

 SealedMedia (SealedMedia)

Auch wenn der ganze Aufwand nur für den Anwender getrieben wird, gerade er sollte am allerwenigsten von der Kontroll- und Schutzlösung bemerken. Angebracht ist höchstens eine Nachricht, wenn er versucht etwas zu tun, was ihm der Administrator per Richtlinie verboten hat, sonst muss die Software unsichtbar im Hintergrund arbeiten. Vielleicht nicht ganz unsichtbar: ein kleines Icon in der Taskleiste sagt dem Administrator, wenn er gerade vor Ort ist, dass die Software läuft und welche Regeln an diesem PC gelten. Änderungen darf der Mitarbeiter keine vornehmen, darum ist es selbstverständlich, dass die Anwender keine Administratorrechte haben. Noch ein Stolperstein könnte die unbeschwerte Port-Kontrolle stören: da die Clientsoftware an den PCs über RPC (Remote Procedure Calls) mit dem zentralen Richtlinienserver kommunizieren, muss eine eventuell installierte Firewall den Zugriff erlauben. Das gilt auch und vor allem für die Desktopfirewall von Windows XP SP2, die per Default nach der Installation aktiviert und weitgehend abgedichtet ist.

Wer es ganz sicher machen möchte, wird sich für Lösungen interessieren, die Inhalte automatisch verschlüsseln, bevor sie auf einen Datenträger kopiert werden. Versucht ein Unbefugter den Datenträger zu lesen, bekommt er nur wirre Zeichen auf den Schirm. Das ist natürlich besonders wichtig, wenn ein Datenträger gestohlen wird oder verloren geht. Aber auch im internen Einsatz kann so eine Vorsichtsmaßnahme sinnvoll sein, wenn die Verschlüsselung an einen bestimmten Computer und Benutzer gebunden ist. So könnte der Anwender eine Datei nur an seinem Büroarbeitsplatz öffnen und bearbeiten, und nur dann, wenn dieser Arbeitsplatz gerade im Firmennetz angemeldet ist, egal auf welchem Medium die Datei abgelegt wurde. Doch solche Maßnahmen gehen allmählich in den Bereich Digital Rights Management über und sollten zusammen mit USB-Port-Blockern eingesetzt werden.

Themenseiten: Big Data, Datenschutz, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Ausgesperrt: USB und andere Ports am PC kontrollieren

Kommentar hinzufügen
  • Am 12. April 2006 um 14:21 von Rolf-Peter Reber

    Flexibilität durch automatische Verschlüsselung
    Im letzten Teil des Beitrages wird erst auf die automatische Verschlüsselung eingegangen. Diese wird bei uns ohne viel Aufwand durch die Sicherheitssoftware tetraguard.usb erreicht. Kein unnötiger Aufwand mit Geräte-ID, keine ABM für Administratoren. Einfach, wirkungsvoll und sicher!

  • Am 10. Februar 2006 um 9:08 von Jensen

    Danke, aber wer hilft mir bei der Auswahl! ;)
    Danke erstmal für die detaillierte Beschreibung und Hilfestellung!
    Ich beschäftige mich selbst schon länger mit dem Thema und musste feststellen, dass es recht viele Anbieter für Port-Control-Software gibt.
    Mein Favorit war bis jetzt DEVICELOCK von Smartline.
    Allerdings sind mir die anderen Programme nicht bekannt, allerdings hab ich noch etliche mehr gefunden, die hier nicht aufgeführt werden.
    Hat jemand schon Erfahrungen mit Programmen gesammelt?

  • Am 8. Februar 2006 um 12:17 von dexdex

    Ein weiterer Vorteil von Linux?
    Also wenn ich mir das so durchlese, dann ist dies doch ein Grund mehr für Unternehmen, auf Linux umzusteigen? Dort kann ich ganz bequem die einzelnen Ports und USB sperren. Das sollte ein Vista wohl auch unbedingt können, und nicht erst ab Vista SP2.

    • Am 21. Februar 2006 um 12:06 von Lexius

      AW: Ein weiterer Vorteil von Linux?
      Naja USB Ports sperren ist keine echte lösung des Problems, denn ggf. will ich einen lokalen Drucker durchaus erlauben.
      USB grundsätzlich auszuschalten (zumindest so, dass einfache User das nicht reaktivieren können) sollte mit ein paar manipulationen im Gerätemanager auch unter Windows kein großer Akt sein.

    • Am 30. März 2006 um 23:35 von /sm

      AW: Ein weiterer Vorteil von Linux?
      das kann man auch mit win recht einfach lösen, indem man dem system verbietet die usbstor.sys zu laden.

      so können keine massenspeichermedien (usb sticks, usb platten,…) mehr verwendet werden.
      das schöne ist, dass sonstige usb geräte (usb drucker, usb mäuse,…) weiterhin funktionieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *