DeviceGuard


Beschreibung

Überblick

DeviceGuard ist ein Tool zur Überwachung und Administration von:

- logischen Laufwerken,
- USB-Geräten,
- paralleler und serieller Ports,
- FireWire- und Infrarot-Ports,
- WLAN Geräten.

DeviceGuard wird als Dienst auf einem Client Computer installiert und bevorzugt über das Microsoft Active Directory administriert (Gruppenrichtlinien). DeviceGuard läuft auf Clients unter Windows 2000, Windows XP und Windows 2003. Serverseitig bestehen keine besonderen Vorgaben – es wird Windows 2000/2003 Server mit Active Directory empfohlen, aber auch jede andere Technologie, die zentralisierte Änderungen an der Registry eines Client PCs ermöglichen, ist einsetzbar (z.B. ZENworks).

Laufwerksüberwachung

DeviceGuard überwacht permanent die Laufwerke, die auf dem Anwender-Desktop zur Verfügung gestellt werden. Ob ein Laufwerk auf dem Computer zur Verfügung gestellt werden darf, erfolgt auf der Grundlage des Laufwerktyps (Floppy, Removable Drive, CD/DVD/CD-RW).
Wird ein Laufwerkstyp erkannt, der auf dem Computer nicht erlaubt ist, wird der Zugriff auf dieses Laufwerk gesperrt. Zusätzlich kann das gesperrte Laufwerk versteckt werden.
Wird z.B. ein USB-Memory-Stick an den USB-Anschluss angeschlossen, installiert Windows die erforderlichen Treiber, um das Laufwerk zur Verfügung zu stellen. Sobald das Laufwerk zur Verfügung steht, greift DeviceGuard ein und identifiziert den Laufwerkstyp. Sind „Removable Drives“ (Wechseldatenträger) nicht erlaubt, wird der Zugriff auf das Laufwerk gesperrt und optional (empfohlen) das Laufwerk versteckt. Dem Anwender stellt es sich so dar, als ob er keinen Memory-Stick in den USB-Anschluss gesteckt hätte.

USB-Port-Überwachung

DeviceGuard kann angeschlossene USB-Geräte überwachen. Die Identifikation der USB-Geräte erfolgt auf der Grundlage der VID- und PID-Werte. Der VID-Wert ist die Vendor ID, der PID-Wert ist die Product ID. Die VID wird nach internationalen Vorgaben zentral vergeben. Die PID kann jeder Hersteller beliebig vergeben. Soll ein ganz bestimmtes Gerät überwacht werden, so wird der exakte VID&PID-Wert in die Überwachungsliste eingetragen. Sollen aber alle Geräte eines bestimmten Herstellers überwacht werden, so wird in diesem Fall nur der VID-Wert in die Liste eingetragen.
Weiterhin ist die Überwachung über die USB-Geräte-Klassen möglich. Damit können z.B. Eingabegeräte (HID – Human Input Devices) zugelassen und USB-Laufwerke (USBStor) gesperrt werden.
Bei der Überwachung von USB-Geräten werden zwei grundsätzliche Verfahren unterschieden:

Erlaube nur bestimmte Geräte
DeviceGuard überprüft alle installierten Geräte anhand einer vorgegebenen Liste (VID-PID-Werte und /oder Klassen) und sperrt dann die Geräte, die nicht in der Liste enthalten sind.

Sperre bestimmte Geräte
In diesem Fall sperrt DeviceGuard nur die Geräte bzw. Klassen, die in der Liste enthalten sind. Alle anderen Geräte bleiben unberührt.

Beide Verfahren sind administrativ recht aufwendig, erlauben aber einen hohen Sicherheitsstandard, da die Geräte nicht erst in der logischen Präsentationsschicht gesperrt werden, sondern bereits in der untersten Treiberschicht. Der Aufwand reduziert sich, wenn die Überwachung über USB-Geräte-Klassen erfolgt.
Die Informationen, die zur Administration der Überwachung benötigt werden, können einfach über das mitgelieferte Kommandozeilen-Tool USBTOOL.EXE, das „Device Check Tool“ oder den DeviceGuard Monitor ermittelt werden.

Parallele, serielle, Firewire, Infrarot, WLAN-Ports

DeviceGuard kann parallele, serielle, FireWire, Infrarot und WLAN Ports überwachen und entsprechend zentraler Vorgaben benutzer- und/oder computerspezifisch den Zugriff steuern (freigeben/sperren). Dabei werden nicht die angeschlossenen Geräte selbst gesperrt oder freigegeben, sondern nur der entsprechende Port. Existieren an einem Computer mehrere Ports gleichen Typs (z.B.: COM1, COM2), dann werden immer alle Ports gesperrt/freigegeben - eine Differenzierung ist nicht möglich.

Administration

Die Konfiguration von DeviceGuard erfolgt ausschließlich über die Registry des Computers, auf dem DeviceGuard läuft.
Zur zentralen Administration der Computer eines Netzwerkes wird eine Richtlinien-Vorlage (deviceguard.adm) zur Verfügung gestellt, die unter Windows 2000/2003 Server mit Active Directory eingebunden werden kann.
Der Einsatz von Windows 2000/2003 Server mit Active Directory wird empfohlen, ist aber nicht unbedingt Voraussetzung. Jede andere Technologie, die zentralisierte Änderungen an der Registry eines Client Computers ermöglichen, ist einsetzbar (z.B.: Novell ZENworks oder ScriptLogic).
Sämtliche Einstellmöglichkeiten in der Registry sind im Handbuch dokumentiert.

Protokollierung

DeviceGuard kann seine Aktivitäten optional in einer Log-Datei protokollieren und SMTP-Nachrichten versenden. Die Protokollierung in der Log-Datei und das Versenden von SMTP-Nachrichten muss explizit aktiviert werden.
Die Log-Datei deviceguard.log liegt im Verzeichnis ..\SYSTEM32.
SMTP-Nachrichten werden nur versendet, wenn während der Laufzeit Geräte erkannt wurden, die wegen einer Richtlinie gesperrt wurden.
Um die Anonymität von Anwendern zu schützen, können sämtliche Angaben zum Anwender unterdrückt werden, die im Rahmen der Protokollierung bzw. dem Versenden von SMTP-Nachrichten verwendet werden. Damit ist nicht nachvollziehbar, welcher Anwender zum Zeitpunkt einer Sperrung eines Gerätes am jeweiligen Computer angemeldet war

Systemvoraussetzungen

  • Windows 2000
  • Windows XP
  • Windows 2003
  • Windows Vista (beta 1)

Die Administration kann über Gruppenrichtlinien im Microsoft Active Directory oder über Novell ZENworks erfolgen.
Der Einsatz von DeviceGuard Monitor erfordert zusätzlich Microsoft .NET Framework 1.1. auf dem Computer, auf dem DeviceGuard Monitor ausgeführt wird.


 

 

 
Impressum