Ergänzende Features für spezifische Anforderungen
Während die beschriebenen Mechanismen eine ganze Reihe von Möglichkeiten eröffnen, den Zugriff auf Peripheriegeräte zu regeln, benötigt eine Software für Endpoint Security noch weitere Funktionen, um einige spezielle Nutzungsszenarien abzudecken:
-
Wenn Benutzer keine Verbindung zum Unternehmensnetzwerk und damit zum DevicePro-Server haben und Zugriff auf bestimmte Geräte benötigen, kann sie der Administrator über ein Challenge-Response-Verfahren freischalten. Nach Erhalt des Anfragecodes legt er die Rechte und den Zeitraum für die Freigabe fest und erzeugt einen entsprechenden Freischaltungscode, den der User über den Agent eingibt.
-
Noch feiner abgestufte Berechtigungen werden dadurch geschaffen, dass DevicePro nicht nur auf der Ebene der Geräte operiert, sondern dort auch bestimmte Daten zulassen oder blockieren kann. Dafür ist ein Content-Filter zuständig, der Dateien anhand ihrer Namenserweiterung und ihres Headers inspiziert. Der Filter lässt sich entweder für Whitelisting oder Blacklisting einsetzen, so dass nur die spezifizierten Dateitypen zugelassen oder blockiert werden. Er lässt sich auf das Lesen, Schreiben und Kopieren von Dateien anwenden und wie praktisch alle anderen Rechte für sämtliche oder ausgewählte Benutzer festlegen.
-
Wenn man DevicePro mit der Option Shadowcopy installiert hat, dann lassen sich alle User-Aktivitäten auf Peripheriegeräten ausführlich protokollieren. Darüber hinaus kann man sogar Kopien aller Daten, die etwa auf USB-Laufwerke geschrieben werden, auf dem Server speichern und auf verdächtige Aktivitäten untersuchen. Es liegt auf der Hand, dass es sich dabei um datenschutzrechtlich sensible Operationen handelt. Um dem Missbrauch durch einen Administrator vorzubeugen, kann der Zugriff auf das Protokoll über ein 4- oder 6-Augenprinzip gesichert werden.
-
Angesichts der vielen Optionen und Einstellungen, die das Programm bietet, muss man gerade bei großen Installationen davon ausgehen, dass nicht nur ein Verwalter für das gesamte Rechtemanagement zuständig ist. DevicePro bietet daher ein rollenbasiertes Administrationsmodell, das die Delegierung einzelner Operationen an bestimmte Benutzer erlaubt. Denkbar ist in diesem Zusammenhang etwa, dass die Vergabe von ausgewählten Rechten an die Fachabteilungen übertragen wird.