Suchen

Security-Tools – Pointsec PC schützt vor unberechtigtem Zugriff

Information Security dank Festplatten-Verschlüsselung von Checkpoint

Seite: 2/4

Die Architektur von Pointsec PC

Die Architektur des Sicherungstools basiert auf Konzepten, die heute bei Produkten dieser Art alltäglich sind. Ein lokaler Agent auf den Zielsystemen, also den Desktops oder Notebooks, sorgt für die Einhaltung der Sicherheitsrichtlinien, die auf einer zentralen Verwaltungskonsole leigen. Das Tool übernimmt gleichzeitig auch das Monitoring der gesamten Desktops und die entsprechende Auswertung.

Die Agenten greifen über Netzwerkfreigaben auf die, durch den Managementserver eingerichteten, Konfigurationen zu. Der Agent auf den Zielsystemen muss vorher dort fest installiert werden. Geliefert wird er zusammen mit seinen unterstützenden Softwaremodulen und Konfigurationen als MSI-Datei. Diese wird durch den Windows-internen Installer dann auf den Geräten eingerichtet.

Bildergalerie

Zur Verteilung der Installationsdateien lassen sich jegliche vorhandenen Softwareverteilungsprogramme verwenden. Alternativ reicht es auch, das Installationsverzeichnis auf das Zielsystem zu kopieren und das Setup manuell zu starten. Dabei richtet das Tool die Basiskonfiguration mit ein. Die dazu notwendigen Angaben werden entweder im Dialog abgefragt oder man stellt dem Setupprozesse die Konfigurationsangaben in einer Datei zur Verfügung. Dies bewirkt einen silent Setup der in wenigen Sekunden durchlaufen ist. Aber auch in der manuellen Variante ist die Installation schnell durchlaufen.

Vorgaben und Einschränkungen für das Test-Szenario

Von einem Einsatz von Pointsec auf Dualboot-Systemen, so wie wir im ersten Testlauf angedacht hatten, sollte man allerdings absehen. Zwar erlaubt Pointsec prinzipiell die Festlegung, welches Laufwerk zu verschlüsseln ist, Windows allerdings vermischt mitunter die Ablage von Inhalte auf den Platten. Ferner kann es passieren, dass sich der Windows Bootmanager und der Pointsec Bootmanager ins Gehege kommen.

Die Testinstallation wurde daraufhin auf einem weiteren Gerät mit nur einem Betriebssystem und einer Platte vorgenommen. Da die Programmierung der Verwaltungskonsole auf dem .NET 2.0-Framework basiert, muss dieses vorher bereitstehen, ansonsten stellt Pointsec keine besonderen Anforderungen an das Basissystem. Das GUI und die Logiken der Verwaltungskonsole sind schlüssig und erlauben ein flottes Arbeiten.

Die verschiedenen Setup-Varianten

Beim Setup kann man den manuellen Weg gehen, oder aber man verwendet eine vorbereitete Konfigurationsdatei. Erstellt werden diese Konfigurationsdateien mithilfe der Verwaltungskonsole, die aus Sicherheitsgründen verschlüsselt wird. Ein Konfigurationssatz beschreibt die Umgebung für einen Rechner, kann aber natürlich auch auf mehrere Rechner angewandt werden.

In unserem Beispiel legten wir vier Benutzereinträge samt aller Berechtigungen an: Zwei Administratoren, den eigentlichen Benutzer des Gerätes, der allerdings als solcher noch personalisiert werden musste und vorläufig als temporärer Benutzer galt, sowie einen Account für den Helpdesk. Ist das Setup korrekt durchgelaufen, dann muss das Gerät neu gestartet werden, damit die Sicherheitsmechanismen greifen können. Die Festplatte ist zu diesem Zeitpunkt noch nicht verschlüsselt. Dies passiert im späteren Rechnerlauf im Hintergrund.

Die Verwaltung der Sicherheitseinstellungen zergliedert sich in drei Bereiche: eine lokale Verwaltung des Rechners, eine Remote-Verwaltung und eine Remote-Hilfe.

  • Die lokale Verwaltung bietet sich beispielsweise an, wenn der Administrator direkten Zugriff auf das System hat und folglich nicht über den zentralen Verwaltungsserver operieren wird.
  • Bei Konfigurationsarbeiten aus der Ferne, der zweiten Variante, wird der Verwaltungsserver immer benötigt und eignet sich beispielsweise auch für Notebooks.
  • Die dritte Variante „Remote Help“ ist für den Einsatz bei Fragen und den Zugriff auf das Gerät durch den Helpdesk vorgesehen. Über die Remote-Help-Funktion, kann der Helpdesk mit Usern die Ihr Kennwort vergessen oder diese zu oft falsch eingegeben haben, eine Kennwortänderung durchführen, ohne dass hierfür eine lokaler Zugriff oder eine Netzwerkverbindung erforderlich sind.

Welche dieser möglichen Verwaltungsvarianten jeweils geboten werden hängt natürlich von den Berechtigungen des angemeldeten Benutzers ab.

Seite 3: Lokale Konfiguration

(ID:2008792)