USB-Device-Management Teil 2: So geht`s!

09.
Dez
2019
mobile Datensicherungen, USB-Device-Management, USB-Festplatten, USB-Sicherheit, USB-Sticks

Wer in professionell geführten Organisationen USB-Devices einsetzt, muss strenge Sicherheitsrichtlinien aufstellen und mehr noch, dafür sorgen, dass sie konsequent eingehalten werden.

USB-Devices sind wichtige Werkzeuge und aus dem IT-Alltag nicht mehr wegzudenken: USB-Sticks für Krankenhäuser und Behörden, USB-Festplatten in der Industrie, in der Fertigung oder im Dienstleistungssektor, in großen Konzernen, im Mittelstand und in kleinen Betrieben. Sie alle verbindet dabei eine große Herausforderung: Security!

Nachdem wir in Teil 1 besprochen haben was USB-Device-Management grundsätzlich leistet und welche Sicherheitsmerkmale und -funktionen darin enthalten sind, wollen wir in diesem zweiten Beitrag eine der Kernfunktionen näher beleuchten: die Sicherheitsrichtlinien.

Die wichtigsten Sicherheitsrichtlinien
für USB-Devices.

Die Sicherheitsrichtlinien für USB-Devices bestehen aus derzeit 15 Teilrichtlinien, von denen wir nachstehend die 9 interessantesten beschreiben:

1. Kein Reset, außer durch den Admin!

Im Bereich User Defaults kann u. a. eingestellt werden, ob ein Anwender sein Laufwerk selbst zurücksetzen darf. Wenn dies erlaubt ist, kann das Laufwerk theoretisch zur missbräuchlichen Nutzung entwendet und entweder ohne oder in einer fremden zentralen Verwaltung in Betrieb genommen werden. Ist diese Option jedoch aktiviert, lohnt es sich nicht ein Laufwerk zu entwenden, da es ohne Mithilfe des Administrators und ohne Aufzeichnung in den Compliance Berichten nicht genutzt werden kann.

 

2. Sicherheit geht vor Bequemlichkeit!

Die Device State Richtlinie legt fest, ob sich das Laufwerk immer mit dem Server verbinden muss um genutzt werden zu können, oder ob es reicht periodisch Verbindung zum Server aufzubauen. Dabei kann festgelegt werden wie viele Tage vergehen, bzw. wie viele Logins getätigt werden dürfen, bevor der Server wieder kontaktiert werden muss. Es wird auch festgelegt, welche Sanktion verhängt wird, wenn diese Regel verletzt wird, z. B. die Sperrung des Laufwerkes. Die Verbindung zum Server ist wichtig, da so die aktuellsten Sicherheitsrichtlinien oder der Factory Reset Befehl zur Löschung des Laufwerkes übertragen werden.

Hier gilt es die maximale Sicherheit der optimalen Benutzerfreundlichkeit gegenüberzustellen. Ein Laufwerk, das nur verwendet werden kann, wenn eine Serververbindung besteht, ist in Regionen oder an Systemen ohne Internet-Verbindung nicht nutzbar. Ein Laufwerk, welches sich nicht verbinden muss ist u. U. zumindest zeitweise unsicherer, da Sicherheitsrichtlinien-Updates und der Factory Reset Befehl nicht greifen.

 

3. Mal wieder: Sichere Passwörter

In der Passwortrichtlinie wird zum einen die Passwort-Komplexität festgelegt (Länge, Sonderzeichen, Zahlen, Groß-/Klein-Buchstaben) und auch bestimmt, wie oft ein Passwort erneuert werden muss (Anzahl Logins / Tage).

Es können auch FIPS-140-2-konforme Passwörter erzwungen werden. Dieses umfasst eine Mindestlänge von 8 Zeichen, davon mindestens drei aus den folgenden Kategorien: ASCII Zahlen, -Kleinbuchstaben, -Großbuchstaben, Nicht-Alphanumerische ASCII Zeichen, Nicht-ASCII Zeichen. Weiterhin wird das erste Zeichen, wenn es ein Großbuchstabe ist, nicht als erforderlicher ASCII Großbuchstabe gezählt. Und wenn das letzte Zeichen eine Zahl ist, wird diese nicht als erforderliche ASCII Zahl gewertet. Diese Einstellung ist für Unternehmen, die großen Wert auf Sicherheitszertifizierungen legen, von Bedeutung.

 

4. Intelligenter Schreibschutz

Die Write Protection Richtlinie erlaubt es zentral einen Schreibschutz für alle Laufwerke zu verhängen. Der Schreibschutz kann auch nur dann aktiviert werden, wenn sich das Laufwerk außerhalb des vertrauenswürdigen Bereiches befindet (siehe Trusted Network Richtlinie).

5. File Restrictions

In diesem Bereich können bestimmte Dateitypen erlaubt oder untersagt werden. So können z. B. nur PDF Dokumente erlaubt werden. Oder es können EXE- oder INF-Dateien untersagt werden. Das Schreiben einer solchen Datei auf das Laufwerk ist dann einfach nicht möglich.

 

6. Konsequente Kontrolle mit Audits und Logging

Die Device Audits erlauben eine Aufzeichnung aller Aktivitäten, z. B. Logins, falsch eingegebene Passwörter, Passwort-Wiederherstellungen, usw. Zudem kann festgelegt werden, dass alle Dateien oder nur bestimmte Dateitypen, die auf das Laufwerk kopiert oder von dort gelöscht werden, in den Compliance-Berichten dokumentiert werden.

 

7. Vertrauenswürdige Systeme definieren

Über den ZoneBuilder können PCs anhand von Zertifikaten zu vertrauenswürdigen Systemen erklärt werden. Ein Loginversuch an einem Fremdsystem ist dann nicht erfolgreich und es ist kein Zugriff auf die Daten möglich.

 

8. Aktualisierungen planen

Der Publisher ermöglicht das automatische Ausrollen und die Aktualisierung von Dateien auf dem USB-Laufwerk. Hiermit können z. B. Portable Applikationen, Preis- oder Kundenlisten für den Außendienst oder auch Treiberdateien für den technischen Service ausgerollt werden.

 

9. Sicherheitszonen festlegen

Die Trusted Network Richtlinie erlaubt die Verwendung des Laufwerkes ausschließlich in bestimmten IP-Adressbereichen, Ländern oder wenn die Verbindung über bestimmte Internetprovider erfolgt. Sie kann als Bestandteil von den Write Protection- und ZoneBuilder-Richtlinien eingesetzt werden. Damit diese Richtlinie optimal umgesetzt werden kann, muss eine Verbindung zum Server bestehen. Daher wird empfohlen in der Device State Richtlinie festzulegen, dass sich das Laufwerk immer mit dem Server verbinden muss.

Fazit: USB-Device-Management klingt komplex – ist aber wichtig.
Natürlich erfordert auch dieser Teilaspekt einer erfolgreichen IT wieder die volle Aufmerksamkeit der Administratoren. Je nachdem wie umfangreich eine Organisation das Regelwerk gestalten möchte, kann der Initial-Aufwand für den Administrator nicht unerheblich sein (nicht für den Nutzer, der im optimalen Fall beim erstmaligen Gebrauch eines Laufwerkes nur noch sein Passwort vergibt.)
Natürlich muss ein professionelles USB-Device-Management dann auch weiter konsequent gepflegt, entwickelt und fortgeführt werden. Aber es hilft kein Jammern und Wehklagen: Wir wollen die praktischen Devices, die Kollegen brauchen sie, der Nutzen ist groß. Und wenn man eine vernünftige Software an den Start bringt, ist es letztlich auch keine Mission Impossible.
Übernehme Sie …?

Konstantin Fröse

EMEA Account Executive DataLocker Inc.

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This