DLP - Data Loss Prevention, Fachartikel

Die Sicherheitssuite Endpoint Data Protection 2011 von Cynapspro besteht aus mehreren unterschiedlichen Komponenten, die sich alle über eine zentrale Managementkonsole verwalten lassen. Das Tool DevicePro ist der wohl wichtigste Bestandteil der Cynapspro-Produktreihe. Dieses Werkzeug steuert den Datentransfer von und zu externen Speichermedien wie USB-Sticks und externen Festplatten. Dazu behält es unter anderem Datenübertragungen über Systemports, WLAN-Netze und optische Speichermedien im Auge und kann sogar bestimmte Medien (wie etwa ausgewählte CDs) zulassen und andere abblocken. Darüber hinaus haben die Administratoren mit DevicePro Gelegenheit, Übertragungen bestimmter Datentypen auf externe Medien zu unterbinden oder zu erlauben. Sämtliche Rechte lassen sich den verwalteten Computern und Benutzern in Echtzeit zuweisen und außerdem bietet die Lösung auch Unterstützung für mobile User. Umfassende Protokollfunktionen sorgen schließlich dafür, dass alle Arbeitsschritte stets nachvollziehbar sind, so dass die Anwender der Software keine Probleme beim Einhalten behördlicher Vorgaben bekommen.

Die zweite wichtige Komponente, CryptionPro, verschlüsselt im Gegensatz dazu die Unternehmensdaten auf mobilen Speichergeräten automatisch, so dass sich die Anwender um diesen wichtigen Schritt zur Datensicherung nicht kümmern müssen. Die Verschlüsselung erfolgt auf Dateiebene, so dass es bei Bedarf ohne großen Aufwand möglich ist, einzelne Dateien unverschlüsselt herauszugeben. Eine "mobile Verschlüsselung" sorgt gleichzeitig dafür, dass Daten, die externe Mitarbeiter außerhalb des Unternehmens erhalten, sicher ins Büro gelangen. Die Passwortverwaltung läuft über eine zentrale Stelle ab, und die Zugriffsrechte lassen sich nach Benutzern und Gruppen zuteilen. Bei den weiteren Komponenten der Suite – auf die wir in diesem Test nur am Rande eingehen – handelt es sich um eine Festplattenverschlüsselung, ein Tool zum Blockieren unerwünschter Anwendungen, ein Werkzeug zum sicheren Löschen von Daten und eine Komponente zum Einsparen von Energiekosten.

Installation

Alle Komponenten der Security-Suite von Cynapspro werden – wie bereits angesprochen - über eine zentrale Konsole verwaltet und greifen auf eine gemeinsame Datenbank zu, die sämtliche Informationen vorhält. Der Hersteller empfiehlt als Datenbank den SQL Server Express von Microsoft. Wir hielten uns an diese Empfehlung und spielten die Version 2005 der genannten Datenbank auf einem Rechner ein, der unter Windows Server 2003 R2 mit Service Pack 2 in der 32-Bit-Version lief. Dieser Computer kam dann später auch zum Einsatz, um die Sicherheitstools und die zentrale Managementkonsole zum Laufen zu bringen.

An dieser Stelle ergibt es Sinn, kurz auf die Hard- und Softwareanforderungen der Sicherheitslösung einzugehen. Laut Hersteller läuft die Serverkomponente auf allen Windows-Betriebssystemen seit Windows 2000. Der dabei verwendete Rechner muss mindestens über 512 Mbyte RAM und 100 Mbyte Festplattenplatz verfügen. Was die Clientkomponente angeht, so arbeitet sie mit Windows 2000, Windows XP, Windows Vista und Windows 7 zusammen und benötigt 128 Mbyte RAM und fünf Mbyte Speicherplatz auf der HDD.

Beim Setup des SQL Servers Express sollten die Datendateien, die gemeinsamen Tools, die Konnektivitätskomponenten und das Management Studio Express eingespielt werden und bei der Authentifizierung empfiehlt es sich, den gemischten Modus zu wählen und ein Passwort für den sa-Benutzer zu vergeben. In diesem Zusammenhang ist positiv zu vermerken, dass neben der SQL-Datenbank keine weiteren Komponenten zum Betrieb der Endpoint Data Protection 2011 erforderlich sind. Folglich entstehen auch keine neuen Sicherheitslücken und keine versteckten Kosten.

Sobald die Datenbank läuft, kann es daran gehen, den Setup-Assistenten von DevicePro aufzurufen. Dieser möchte neben der Sprache und dem Installationspfad im Wesentlichen wissen, über welche Ports die Kommunikation mit den verwalteten Client-Systemen ablaufen soll. Standardmäßig handelt es sich dabei um die Ports 6005 und 6006, die auch in der Firewall des Systems freigeschaltet sein müssen. Abgesehen davon unterstützt Cynapspro den Import von Benutzerdaten aus einem Active- oder einem E-Directory sowie aus einem Open-LDAP-Verzeichnis. Auf diese Weise müssen die IT-Verantwortlichen die User-Accounts nicht doppelt pflegen. Bei Bedarf ist es auch möglich, einen Verzeichnisdienst und die lokale Authentifizierungsfunktion der Sicherheitssuite zu mischen und so zusätzliche Konten für das Sicherheitswerkzeug zu erstellen, ohne dazu schreibend auf den Directory-Server zuzugreifen.

Während des Setups genügt es zum Vorbereiten der Verzeichnissynchronisation, der Software die Anmeldedaten eines Benutzerkontos mitzuteilen, dass das Recht hat, die relevanten Daten aus dem jeweiligen Verzeichnisdienst auszulesen. Die weitere Konfiguration der Verzeichnisdienstintegration läuft dann im Betrieb über die Managementkonsole ab. Zum Schluss ist es noch erforderlich, im Setup-Wizard die Datenbankverbindung einzurichten (mit dem zuvor definierten sa-Passwort, das System richtet die Datenbank dann automatisch ein) und ein Supervisor-Passwort zu konfigurieren, mit dem Administratoren die Möglichkeit erhalten, auf alle Funktionen der Sicherheitssoftware zuzugreifen. Wurden alle Angaben gemacht, so läuft die Installation durch und auf dem Desktop des Rechners erscheint ein Icon zum Zugriff auf die Managementkonsole.

Erste Konfiguration

Nach dem Setup kann der Benutzer, der die Installation durchgeführt hat, das Verwaltungswerkzeug als Supervisor starten. Danach erscheint ein Willkommensbildschirm, der die vier Konfigurationsschritte verdeutlicht, die erforderlich sind, um die Software in Betrieb zu nehmen. Administratoren erhalten also – ähnlich wie bei neueren Windows-Servern – nach dem Setup eine To-Do-Liste, die sie lediglich abarbeiten müssen, um die Grundkonfiguration durchzuführen. Wir halten diesen Ansatz für sehr gelungen, da dabei praktisch nichts schiefgehen kann.

Der erste Konfigurationsschritt dient dazu, die Standardbenutzerrechte festzulegen, die ein neues Benutzerkonto erhält, sobald es in der Cynapspro-Umgebung erscheint. Defaultmäßig erhalten an dieser Stelle alle User alle Rechte, deswegen wird es in den meisten Umgebungen sinnvoll sein, die Standardrechte so einzuschränken, dass wirklich nur Zugriff auf die unbedingt benötigten Komponenten besteht.

Im nächsten Schritt führen die IT-Mitarbeiter eine Synchronisation mit dem im LAN vorhandenen Verzeichnisdienst durch (bei uns war das das Active Directory auf einem Server unter Windows Server 2008 R2). Auf diese Weise machen sie der Lösung von Cynapspro die vorhandenen Benutzerkonten bekannt und diese erhalten gleich auch die eben definierten Standardbenutzerrechte.

Nachdem die Benutzerkonten im System vorhanden sind, geht es daran, die Rechte einzelner User an die Sicherheitsanforderungen im Unternehmen anzupassen. Beispielsweise ist es oft sinnvoll, bestimmten Anwendern Zugriff auf optische Speichermedien oder ähnliches zu geben.

Sobald alle Benutzerrechte den Vorstellungen der Administratoren entsprechen, generieren die zuständigen Mitarbeiter im letzten Schritt eine MSI-Datei, mit der sich der Agent der Sicherheitssuite auf den verwalteten Rechnern installieren lässt. Hierbei gibt es unter anderem die Option, das Tray-Icon des Agenten auf den Clients zu verstecken, so dass die User die Software überhaupt nicht zu Gesicht bekommen. Abgesehen davon sind die IT-Verantwortlichen dazu in der Lage, das Stoppen des Sicherheitsdienstes durch den lokalen Administrator auf den Clients zu unterbinden (was in den meisten Fällen sinnvoll sein dürfte) und ein Passwort zu definieren, das ein Administrator vor dem Entfernen des Agenten von einem verwalteten System eingeben muss. Last but not Least besteht auch die Option, Benutzerrechte und Freigaben mit in die Installationsdatei zu integrieren. Nach dem Abschluss der dazugehörigen Konfiguration erstellt die Verwaltungskonsole dann MSI-Files für 32- und 64-Bit-Windows-Systeme, die sich anschließend im Netzwerk verteilen lassen. Gleichzeitig erzeugt sie auch Skripts zum manuellen Installieren, Deinstallieren und Aktualisieren des Agenten.

Im Test spielten wir den Agenten zunächst auf einem 64-Bit-System unter Windows 7 und dann auf einem 32-Bit Windows-XP-Rechner mit Service Pack 3 ein. Dabei kam es zu keinen Überraschungen und wir verfügten anschließend über eine einsatzbereite Umgebung.