Evaluierung der Verwaltungssoftware für Peripheriegeräte

Die Verwaltung von USB-Geräten ist fast genauso wichtig wie die Verwaltung anderer tragbarer Geräte, die unter die Kategorie BYOD fallen, z. B. Tablets und Smartphones. Ich gehe jedoch davon aus, dass viele Unternehmen nicht viel darüber nachdenken, wie Mitarbeiter USB-Sticks, iPods oder andere Geräte, die an den Computer angeschlossen sind, verwenden (oder missbrauchen) könnten.

Aufgrund der Regeln und Vorschriften für Kreditkarteninformationen und der Implementierung von PCI war meine Organisation gezwungen, einen genaueren Blick darauf zu werfen, wie diese Daten behandelt wurden und wo sie möglicherweise landen. Es scheint, dass jeder eine Art Flash-Laufwerk benötigt, auf dem er seine Arbeitsdaten speichern kann. Aber in meinen Augen fügt dies mehr Probleme hinzu als es löst.

Die Möglichkeit, Daten auf einem Flash-Laufwerk mit nach Hause zu nehmen, ermöglicht Remote-Arbeiten. Warum möchten Sie in einer Situation, in der Sie nicht regelmäßig von zu Hause aus arbeiten, freiwillig von zu Hause aus arbeiten? Das ist für mich einfach komisch. Freiwillige freie Arbeit passiert die ganze Zeit, und ja, ich mache es auch, aber es ist ziemlich lustig, wie viele denken, dass sie dadurch "produktiver" werden.

Aus IT-Sicht ist es ein Sicherheitsrisiko, jedem zu erlauben, der ein Gerät zum Sammeln von Daten oder zum Transport von Informationen verwenden möchte. Ich weiß nicht, wo das Super-Flash-Laufwerk war. Ich weiß nicht, ob es sauber und sicher ist, noch vertraue ich ihm. Da die Geräte Speicher enthalten, können sie Malware enthalten. Da der Mitarbeiter das Gerät besitzt, kann ich das Gerät nicht löschen, da es möglicherweise persönliche Informationen enthält. Es ist am besten, es vollständig zu blockieren.

GFI hat eine Lösung, die bei der Verwaltung von Peripheriegeräten hilft, und ich evaluiere sie derzeit, um zu steuern, welche Geräte zulässig sind, da das Nichtzulassen von Geräten genauso viel Arbeit bedeuten würde. Im Allgemeinen bin ich nicht so paranoid in Bezug auf Geräte und deren Verwendung, aber in letzter Zeit scheint Paranoia eine weitaus intelligentere Option zu sein als die Alternativen.

GFI EndPointSecurity wird mithilfe einer SQL-Datenbank ausgeführt, um von seinen Agenten gesammelte Informationen zu speichern, die zur Verwaltung der Richtlinien für Peripheriegeräte bereitgestellt werden. Der Agent ermöglicht auch die Authentifizierung mithilfe von Active Directory, damit die Richtlinien für vordefinierte Benutzergruppen wirksam werden. In meinem Fall wird die Richtlinie für die Peripheriegeräte auf die Benutzer in der Gruppe für verwaltete Geräte angewendet.

Das Hauptfenster der GFI EndPointSecurity-Konsole ist in Abbildung A dargestellt

Abbildung A.

EndPointSecurity-Konsole

Sobald die Regeln konfiguriert sind, können Geräte als zulässig angegeben werden, indem sie einer Richtlinien-Whitelist hinzugefügt werden (oder mithilfe einer Blacklist abgelehnt werden). Bei der Angabe eines Geräts kann dies anhand der Hersteller-ID und der Produkt-ID der Hardware erfolgen, sodass alle ähnlichen Geräte betroffen sind, oder anhand der Seriennummer des Geräts. Durch die granulare Steuerung bis zur Seriennummernebene kann einem Mitarbeiter eine Seriennummer zugewiesen werden. Auf diese Weise behält ein Unternehmen den Überblick über Geräte, die es an seine Mitarbeiter verteilt.

Abbildung B.

Neue Richtlinie erstellen

EndPointSecurity Manager ermöglicht nicht nur die Konfiguration von funktionierenden / verwendbaren Geräten, sondern bietet auch einige andere nützliche Funktionen, darunter:

  • Verfolgung der Gerätenutzung
  • Temporärer Zugriff auf Geräte
  • Nach angeschlossenen Geräten suchen
  • Verfolgung der Gerätenutzung

Mit GFI können verschiedene Kategorien von Geräten und Porttypen überwacht werden. Der Vorteil davon war mir zunächst nicht klar, aber dann wurde mir klar, wie viele Geräte speziell USB-zu-Parallel-Druckerkabel zulassen müssen. Da sie keine Drucker sind, gehören sie nicht zu dieser Kategorie, aber ohne dass sie zugelassen werden, funktionieren die angeschlossenen Geräte nicht.

Eingeschlossene Kategorien sind:

Enthaltene Porttypen sind:

Wenn eine Kategorie oder ein Porttyp in einem Sicherheitsprofil nicht definiert ist, wird dies nicht überwacht und ist vollständig zulässig. Wie bei anderen Konfigurationen ist es wahrscheinlich am besten, klein anzufangen und einem Profil USB-Speicher hinzuzufügen, um ein Gefühl für die Anwendung zu bekommen, ohne dass alle Geräte getrennt werden.

Da die Anwendung einen Agenten lädt, kann das Profil bei Änderungen an einem Profil erneut auf den zugewiesenen Computern bereitgestellt werden, und die Änderungen werden wirksam. Es funktioniert lose wie eine Gruppenrichtlinie, bei der Aktualisierungen von Elementen nach einem Zeitplan angewendet werden. Es ist kein Neustart / keine Anmeldung erforderlich, damit die Konfigurationsänderungen von GFI EndPointSecurity angewendet werden.

Temporärer Zugriff auf Geräte

Bei der Implementierung einer Lösung, die den Zugriff auf Elemente (periphere oder vernetzte) ändert, ist eine Aufwärmphase erforderlich, und die von der Lösung betroffenen Mitarbeiter haben wahrscheinlich einige Fragen. Eine Sache, die in dieser Lösung verfügbar ist, ist der temporäre Zugriff. Dies unterscheidet sich von vorhandenen verbundenen Geräten darin, dass der Administrator einen Code generiert, der einem Computer entspricht. Der Code teilt dem Agenten mit, wann er aktiv ist und wie lange der temporäre Zugriff zulässig sein soll.

Temporärer Zugangscode

Nach der Generierung gibt der Benutzer diesen Code in ein Applet der Systemsteuerung für den Gerätezugriff ein (vom GFI-Agenten installiert) und sendet einen weiteren Zugriffscode zur Aktivierung an den Administrator zurück. Dies funktioniert wie eine Zwei-Faktor-Authentifizierung, bei der beide Seiten ihre Identität nachweisen, bevor sie den Zugriff zulassen. Dies ist eine großartige Funktion, mit der Mitarbeiter ihre Dokumente vom persönlichen Speicher in den vom Unternehmen bereitgestellten Speicher migrieren können (natürlich abhängig von den Unternehmensrichtlinien). Wenn der zeitgesteuerte Zugangscode abläuft, erlaubt der Computer keinen Zugriff mehr auf diese Geräte ohne einen neuen Zugangscode.

Nach vorhandenen Geräten suchen

Da sich vor einer Steuerungslösung USB- und andere Peripheriegeräte in einer Umgebung befanden, können Computer mit installiertem GFI-Agenten gescannt werden, um festzustellen, welche Geräte (und Gerätetypen) an das System angeschlossen sind oder waren.

Wenn Geräte erkannt werden, können sie zur Liste der bekannten Elemente hinzugefügt werden. Diese Datenbank kann dann verwendet werden, um die Ausnahmenoptionen, die Whitelist, die Blacklist oder die allgemeinen Zulassungsregeln zu füllen.

Da sich in meiner Umgebung mehrere Benutzer bewegen und einige Laptops für Präsentationen verwendet werden, ist es am einfachsten, eine Whitelist für Geräte zu verwenden, die zulässig sind. Auf diese Weise funktioniert eine Gerätekategorie, die in einem Profil überwacht werden soll und nicht auf einer Whitelist steht oder explizit zulässig ist, nicht.

Es gibt Hauptbenutzergruppen, die, wenn sie mit Konten gefüllt sind, diesen Konten unabhängig von der Konfiguration den Zugriff auf alle Geräte ermöglichen. Administratoren oder Helpdesk-Mitarbeiter sind möglicherweise eine gute Gruppe von Benutzern, die hier platziert werden können.

Abbildung C.

Scannen nach Geräten in einer Umgebung

Aktivität überwachen

Da die GFI EndPointSecurity-Anwendung mit einem Agenten auf den Computern in einer Umgebung ausgeführt wird, wird die Aktivität von Geräten in einer SQL-Datenbank (standardmäßig MSDE oder SQL Express) verfolgt. Jedes Mal, wenn ein Gerät mit einem Computer verbunden ist, auf dem der Agent ausgeführt wird, wird seine Anwesenheit erfasst. Die Ergebnisse werden zurückgegeben und in der Datenbank gespeichert, um dem Managementteam für die Anwendung eine Vorstellung davon zu geben, welche Geräte in einer Umgebung verbunden sind. Wenn ein Gerät im Aktivitätsmonitor angezeigt wird, muss der Computer, auf dem es sich befindet, gescannt werden, damit das Gerät zur Gerätetabelle hinzugefügt werden kann. Dies ist ein Bereich, in dem eine Funktion zum Hinzufügen des Geräts direkt vom Aktivitätsmonitor äußerst nützlich wäre.

Aktualisieren der bereitgestellten Richtlinien und Herausgeben von Änderungen

Bei jeder Aktualisierung einer Richtlinie, einschließlich neuer Gerätezusätze oder Geräteentfernungen, müssen die der Richtlinie zugewiesenen Agenten diese Änderungen erhalten. Klicken Sie dazu mit der rechten Maustaste auf einen einzelnen Computer und wählen Sie Bereitstellen aus oder verwenden Sie Strg + D, um ein Fenster mit allen Computern anzuzeigen, die die geänderte Richtlinie erhalten sollen. Aktivieren Sie dort die Kontrollkästchen für Computer, die Sie aktualisieren möchten, und klicken Sie auf OK.

Richtlinienänderungen können in Form von Ergänzungen zu den White / Black-Listen erfolgen, wobei neue Gerätekategorien überwacht werden oder am häufigsten (zumindest für mich) neue Einzelgeräte hinzugefügt werden, damit sie wie gewohnt funktionieren.

Berichterstattung

Zusätzlich zur Registerkarte Aktivitätsüberwachung in der Verwaltungskonsole enthält GFI EndPointSecurity (als separaten Download) eine Berichtskonsole. Sobald diese Konsole installiert ist, kann über die Verwaltungskonsole auf sie zugegriffen werden. Es gibt eine Reihe vorgefertigter Berichte, aber es können auch benutzerdefinierte Elemente hinzugefügt werden. Diese zusätzliche Funktionalität macht es noch einfacher zu erkennen, welche Computer oder Benutzer versuchen, mit Peripheriegeräten zu interagieren.

Andere Produkte

Ich habe seit einiger Zeit nach einer guten Möglichkeit gesucht, USB und andere Peripheriegeräte zu verwalten und zu überwachen. In einer früheren Version von GFI konnte ich nicht verstehen, wie EndPointSecurity funktioniert, und hatte Probleme, es nach Bedarf zu verhalten. Dies veranlasste mich, nach anderen Tools zu suchen. So fand ich die USB- und Port-Sicherheit von Quest. Dieses Produkt wird an das Quest Desktop Authority-Produkt angeschlossen (das ich auch in meiner Organisation verwende).

Die Quest-Lösung war nicht so umfassend, wie ich es brauchte. Die Verwendung der Hersteller- und Produkt-IDs für die Hardware würde die Steuerung einer Reihe von Geräten ermöglichen, aber die Ermittlung der Seriennummer eines bestimmten Geräts funktionierte selbst nach mehreren Versuchen und zahlreichen Diskussionen mit dem Support nie. Hinweis: Quest wurde von Dell übernommen und diese Produkte werden derzeit umbenannt.

Als ich dies in der neuen Evaluierungsversion des GFI-Produkts schnell zum Laufen bringen konnte, rückte GFI EndPointSecurity neben der Granularität der Berichterstellung sowohl in der Konsole als auch im Report Center schnell an die Spitze des Stapels.

Neben GFI und Quest bietet ManageEngine auch ein Produkt zur Verwaltung von USB- und Peripheriegeräten, das Sie möglicherweise in Ihre Bewertung von Lösungen einbeziehen möchten. Haben Sie eine gefunden, die Sie bevorzugen?

© Copyright 2020 | mobilegn.com