Suchen

Security-Tools – Pointsec PC schützt vor unberechtigtem Zugriff Information Security dank Festplatten-Verschlüsselung von Checkpoint

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Die Security-Software Pointsec PC wird in den Datenblättern als Tool angepriesen, das eine “strong encryption“ für Notebooks oder Desktops beinhaltet. Dies führt zur Annahme, es handle sich um die bloße Verschlüsselung von Festplatten. Doch der Zugriff auf verschlüsselte Datenträger umfasst weitaus mehr, wie Security-Insider.de im Test erfahren konnte.

Die Verschlüsselung der Festplatte schützt sensible Daten vor unerlaubtem Zugriff.
Die Verschlüsselung der Festplatte schützt sensible Daten vor unerlaubtem Zugriff.
( Archiv: Vogel Business Media )

Lange Zeit betrachtete man Sicherheit vor allem als zentrale Angelegenheit: Durch zentrale Firewalls, Virenscanner und Mailfilter, VPN-Gateways und Intrusion-Detection- sowie Prevention-Systeme wollte man die Sicherheit der gesamten IT-Infrastruktur gewährleisten. Mittlerweile findet ein Umdenken statt und die Hersteller besinnen sich auf die Endgeräte, also die Benutzer-Desktops und -Notebooks.

Unter dem Begriff der Endpoint Protection (Symantec) oder Endpoint Security (Landesk) und ähnlichen Bezeichnungen will man nun also die Sicherheitslücken der Endgeräte schließen. Checkpoint hat sich vor allem mit seinen Firewalls einen Namen in der Security-Branche gemacht, will bei in diesem Bereich aber nicht außen vor stehen und hat sich dazu das Unternehmen Pointsec einverleibt. Deren Produkte stellen die Sicherheit der Endgeräte in den Fokus.

Bildergalerie

Durch Pointsec PC werden die Daten auf der Festplatte des jeweiligen Gerätes verschlüsselt. Dabei bleiben die mobilen Speichermeiden, die mittels USB oder jeglicher Wireless-Verbindungen angeschlossen werden, außen vor. Diese werden durch die zweite Komponente, den Pointsec Protector, abgedeckt. Der Protector kümmert sich aber nicht nur um die Verschlüsselung der Daten auf den mobilen Geräten, sondern umfasst jegliche Schutzvorkehrungen wie beispielsweise den Schutz vor Viren oder Application Blocking. Im Mittelpunkt dieses Tests steht allerdings die aktuelle Version von Pointsec PC.

Funktionsweise von Pointsec PC

Mit Pointsec PC lassen sich, wie oben bereits kurz erwähnt, die Daten auf der Festplatte verschlüsselt sichern. Dies mag auf den ersten Blick wenig spektakulär wirken, unterliegt aber bei genauerer Betrachtung doch eine Reihe an Anforderungen. Das Problem liegt zum einen in der Gewährleistung der Sicherheit und gleichzeitig darin, im Notfall dennoch den Zugriff zu ermöglichen. Dieser muss etwa beim Ausscheiden eines Benutzers, bei Bedien- oder Hadrware-Fehlern gewährleistet sein. Ferner werden einige Geräte von mehreren Benutzern parallel verwendet, so dass auch die Multiuser-Logiken implementiert sein müssen.

Die Verschlüsselung der Daten übernimmt ein Filtertreiber, der sich in das Betriebssystem einklinkt und alle Inhalte der Platte vor dem Schreiben verschlüsselt. Dies beinhaltet auch jegliche Programme und Konfigurationseinstellungen. Da die Filtertreiber in Windows integriert sind und somit die Entschlüsselung der Platteninhalte erst durch den in Windows eingebetteten Treiber vorgenommen wird, hätte dies zur Folge, dass Windows selbst nicht gestartet werden könnte.

Aus diesem Grund wird in einem Preboot-System der zum Start notwendige Windows-Anteil entschlüsselt. Da sich der Benutzer zuerst an Pointsec anmeldet hat dies ferner zur Folge, dass die bestehenden Vorkehrung zur Verifizierung der Benutzerberechtigung, wie etwa das Active Directory oder ein LDAP-Verzeichnis, nicht verwendet werden kann, da zu diesem Zeitpunkt Windows noch gar nicht gestartet ist.

Seite 2: Die Architektur von Pointsec PC

Die Architektur von Pointsec PC

Die Architektur des Sicherungstools basiert auf Konzepten, die heute bei Produkten dieser Art alltäglich sind. Ein lokaler Agent auf den Zielsystemen, also den Desktops oder Notebooks, sorgt für die Einhaltung der Sicherheitsrichtlinien, die auf einer zentralen Verwaltungskonsole leigen. Das Tool übernimmt gleichzeitig auch das Monitoring der gesamten Desktops und die entsprechende Auswertung.

Die Agenten greifen über Netzwerkfreigaben auf die, durch den Managementserver eingerichteten, Konfigurationen zu. Der Agent auf den Zielsystemen muss vorher dort fest installiert werden. Geliefert wird er zusammen mit seinen unterstützenden Softwaremodulen und Konfigurationen als MSI-Datei. Diese wird durch den Windows-internen Installer dann auf den Geräten eingerichtet.

Zur Verteilung der Installationsdateien lassen sich jegliche vorhandenen Softwareverteilungsprogramme verwenden. Alternativ reicht es auch, das Installationsverzeichnis auf das Zielsystem zu kopieren und das Setup manuell zu starten. Dabei richtet das Tool die Basiskonfiguration mit ein. Die dazu notwendigen Angaben werden entweder im Dialog abgefragt oder man stellt dem Setupprozesse die Konfigurationsangaben in einer Datei zur Verfügung. Dies bewirkt einen silent Setup der in wenigen Sekunden durchlaufen ist. Aber auch in der manuellen Variante ist die Installation schnell durchlaufen.

Vorgaben und Einschränkungen für das Test-Szenario

Von einem Einsatz von Pointsec auf Dualboot-Systemen, so wie wir im ersten Testlauf angedacht hatten, sollte man allerdings absehen. Zwar erlaubt Pointsec prinzipiell die Festlegung, welches Laufwerk zu verschlüsseln ist, Windows allerdings vermischt mitunter die Ablage von Inhalte auf den Platten. Ferner kann es passieren, dass sich der Windows Bootmanager und der Pointsec Bootmanager ins Gehege kommen.

Die Testinstallation wurde daraufhin auf einem weiteren Gerät mit nur einem Betriebssystem und einer Platte vorgenommen. Da die Programmierung der Verwaltungskonsole auf dem .NET 2.0-Framework basiert, muss dieses vorher bereitstehen, ansonsten stellt Pointsec keine besonderen Anforderungen an das Basissystem. Das GUI und die Logiken der Verwaltungskonsole sind schlüssig und erlauben ein flottes Arbeiten.

Die verschiedenen Setup-Varianten

Beim Setup kann man den manuellen Weg gehen, oder aber man verwendet eine vorbereitete Konfigurationsdatei. Erstellt werden diese Konfigurationsdateien mithilfe der Verwaltungskonsole, die aus Sicherheitsgründen verschlüsselt wird. Ein Konfigurationssatz beschreibt die Umgebung für einen Rechner, kann aber natürlich auch auf mehrere Rechner angewandt werden.

In unserem Beispiel legten wir vier Benutzereinträge samt aller Berechtigungen an: Zwei Administratoren, den eigentlichen Benutzer des Gerätes, der allerdings als solcher noch personalisiert werden musste und vorläufig als temporärer Benutzer galt, sowie einen Account für den Helpdesk. Ist das Setup korrekt durchgelaufen, dann muss das Gerät neu gestartet werden, damit die Sicherheitsmechanismen greifen können. Die Festplatte ist zu diesem Zeitpunkt noch nicht verschlüsselt. Dies passiert im späteren Rechnerlauf im Hintergrund.

Die Verwaltung der Sicherheitseinstellungen zergliedert sich in drei Bereiche: eine lokale Verwaltung des Rechners, eine Remote-Verwaltung und eine Remote-Hilfe.

  • Die lokale Verwaltung bietet sich beispielsweise an, wenn der Administrator direkten Zugriff auf das System hat und folglich nicht über den zentralen Verwaltungsserver operieren wird.
  • Bei Konfigurationsarbeiten aus der Ferne, der zweiten Variante, wird der Verwaltungsserver immer benötigt und eignet sich beispielsweise auch für Notebooks.
  • Die dritte Variante „Remote Help“ ist für den Einsatz bei Fragen und den Zugriff auf das Gerät durch den Helpdesk vorgesehen. Über die Remote-Help-Funktion, kann der Helpdesk mit Usern die Ihr Kennwort vergessen oder diese zu oft falsch eingegeben haben, eine Kennwortänderung durchführen, ohne dass hierfür eine lokaler Zugriff oder eine Netzwerkverbindung erforderlich sind.

Welche dieser möglichen Verwaltungsvarianten jeweils geboten werden hängt natürlich von den Berechtigungen des angemeldeten Benutzers ab.

Seite 3: Lokale Konfiguration

Lokale Konfiguration

Im Test operierten wir zuerst mit den Berechtigungen eines Administrators. Dann und nur dann zeigen sich die oben erwähnen Verwaltungsoptionen. Unter der Option Local finden sich eine Vielzahl an Einstellungen für die Konfiguration des lokalen Gerätes. Diese Einstellungen sind zweigeteilt in System Settings und Gruppeneinstellungen. Zu den Systemeinstellungen gehören die Einstellungen zur Hardware, der Installation samt Pfaden, dem Logon, Wake-On-LAN oder Passwortrichtlinien.

Wie weiter oben kurz angerissen umfasst Pointsec PC nicht nur die bloße Verschlüsselung der Festplatte, sondern deckt auch die gesamte Umgebung und Prozesse dabei ab. So ist beispielsweise unter den Hardwareeinstellungen festzulegen, ob USB, PCMCIA oder der serielle Anschluss im Preboot-System bereits unterstützt werden sollen.

Notwendig wird dies immer dann, wenn die Preboot-Authentisierung nicht mit statischen Kennwörtern, sondern mittels Smartcards und eToken durchgeführt werden soll. Denn Smartcard-Reader und eToken müssen über eine Hardware-Schnittstelle mit dem Computer verbunden werden.

Festplatte für andere Geräte zugänglich machen

Die Einstellungen „Allow a slave hard drive“ bestimmt, ob an dieses Gerät eine andere Festplatte angeschlossen werden darf. Der umgekehrte Schalter „Allow Hard Drive to be slaved” legt fest, ob die Platte dieses Systems ausgebaut und an einen anderen Rechner gehängt werden kann. Mit diesen beiden Optionen wird die Hürde für den Zugriff auf die Festplatte erneut erhöht.

Für die Betriebsphase empfiehlt der Hersteller, auf Notebooks den Schalter „Allow Hard Drive to be slaved” zu verwenden. Dies ermöglicht bei einem Hardwarefehler eines Notebooks, das nicht mehr booten würde, den Ausbau der Platte und Zugriff durch ein anderes Gerät.

Das Gerät an dem diese Platte dann angeklemmt wird, muss dann die Option „Allow a slave hard drive“ aktiviert haben. Dennoch sollte diese Möglichkeit nicht zu freizügig verwendet werden, sondern nur wenigen Geräte vorbehalten sein.

Seite 4: Optionen bei der Anmeldung

Optionen bei der Anmeldung

Durch Wake-On-Lan wird bestimmt, ob das Gerät aus der Ferne aktiviert werden darf oder eben nicht. Unter der System Passwort Policy werden die Anforderungen an die Passworte bestimmt. Hier finden sich die teilweise bekannten Einstellungen zur Länge oder den verwendeten Zeichen. Die elf insgesamt möglichen Optionen gehen aber bedeutend weiter. Hier kann auch bestimmt werden, ob Leerzeichen am Anfang oder Ende erlaubt sein sollen. Die Einstellungen reichen bis auf die Ebene des Screensavers und was dann zu passieren hat.

Unter Windows Integrated Logon wird festgelegt, ob Pointsec PC nach der Anmeldung des Benutzers das Logon an Windows machen soll. Auch hierzu erlaubt die Vielzahl an Parametern eine ausgefeilte Einstellung. Generell muss man aber auf die Integration mit Windows achten, außerdem kommen zu den Windows-bekannten Einstellungen nun weitere Optionen von Pointsec dazu.

Alle Aktionen, die auf den Geräten vorgenommen werden und natürlich auch die An- und Abmeldungen von Benutzern hinterlegt Pointsec in Protokolldateien. Über Netzwerklaufwerke werden sie auf den Managementserver übertragen. Die Konfigurationsänderungen nehmen den umgekehrten Weg, können aber auch, wie im Test, lokal am Gerät ausgeführt werden.

Der im Test verwendet Admin-Account dient, wie erwähnt, nur für den Zugriff durch den Administrator im Fehler- oder Supportfalls. Für den eigentlichen Benutzer wurde im Testszenario ein temporärer Account eingerichtet. Bei der ersten Anmeldung des Benutzers mit diesem temporären Account erfolgt die Personalisierung des echten Accounts für den User.

Bei der späteren Arbeit kann sich der Benutzer dann mit seiner bekannten Windows-Berechtigung am System anmelden. Diese Logik mit dem temporären Account kann man zwar durch die tatsächlichen Berechtigungen umgehen, doch dann müssen diese auch explizit in der Konfiguration erfasst werden. Auch wenn es für den Benutzer nicht relevant sein mag, meldet er sich genauso genommen an Pointsec an. Durch Integrated Logon erfolgt, sofern es eingestellt ist, die Anmeldung von Pointsec an Windows mit den Windows Benutzerberechtigungen.

Fazit

Pointsec PC ist ein umfangreiches Tool um den Zugriff auf die Daten eines Rechners zu schützen. Dies geht weit über die reine Verschlüsselung der Festplatte hinaus, basiert aber im Kern darauf. Je höher die Hürden der Sicherheit aber gelegt werden, umso bedachter muss damit umgegangen werden. Denn andernfalls sitzt der Benutzer vor seinem abgesicherten Gerät, auf das ihm Pointsec bei Bedienfehlern jeden Zugriff verwehrt.

Dies gilt zwar auch bei anderen Encryption-Lösungen. Doch ein einfacher Plattentausch oder Tools zum Zurücksetzten von Passworten greifen in diesem Fall nicht, um die Daten im Notfall zu restaurieren. Und das Passwort unter der Tastatur verbietet sich ebenso, denn dann braucht man Pointsec PC gar nicht erst einzusetzen. Eine umfassende Schulung für die Administratoren und Benutzer sollte daher in jedem Fall vorgesehen werden.

(ID:2008792)