PGP Endpoint Device Control

Überblick

Digitale Wechselspeichergeräte (wie etwa USB-Flash-Laufwerke und CD-/DVD-Laufwerke) und mobile Verbindungstechnologien (beispielsweise WiFi, FireWire und Bluetooth) erfreuen sich in Unternehmensumgebungen einer wachsenden Beliebtheit. Sie sind einfach zu handhaben und tragen zur Erhöhung der Produktivität bei, jedoch bergen sie auch Sicherheitsrisiken für Unternehmen. Daten, die auf diesen Wechselspeicher-Endpunktgeräten und -medien gespeichert sind, enthalten möglicherweise geistiges Eigentum oder vertrauliche Kundendaten. Unternehmensrichtlinien und Mitarbeiterschulungen reichen häufig nicht aus, um diese Daten vor Angriffen von Insidern und unbeabsichtigten Datenlecks zu schützen. Die Offenlegung von vertraulichen Daten infolge des Verlusts oder Diebstahls von Wechselspeichergeräten oder -medien kann weitreichende finanzielle Verluste, juristische Konsequenzen und nicht zuletzt – eine ernsthafte Rufschädigung nach sich ziehen.

PGP® Endpoint Device Control verfügt über integrierte Sicherheitsfunktionen, mit denen Wechselspeichergeräte- und medien (zum Beispiel USB-Laufwerke, CDs und DVDs) erkannt, autorisiert und geschützt werden.

• Einfacher und automatischer Betrieb – Ermöglicht die sichere und autorisierte Verwendung von Wechselspeichergeräten ohne zusätzlichen Aufwand für den Anwender und ohne Einbußen bei der Produktivität.
• Zuverlässige Sicherheitsrichtlinien – Erzwingt die Umsetzung von Richtlinien für die Gerätenutzung über USB-, FireWire-, WiFi- und Bluetooth-Verbindungen; ermöglicht eine automatische Verschlüsselung von Wechselspeichergeräten auf der Basis von Richtlinien; protokolliert die Nutzung und beweist Prüfern die Einhaltung gesetzlicher Vorschriften.
• Schnellere Bereitstellung – Verkürzt die Einrichtungszeit und sorgt für raschen Schutz von Firmendaten ohne zusätzlichen Aufwand für den Anwender durch maximale Nutzung der vorhandenen Verzeichnisinfrastruktur im Unternehmen.
• Niedrigere Betriebskosten – Aufgrund schnellerer Bereitstellung, einfacher Verwendung, zentraler Verwaltung und der automatisierten Umsetzung von Sicherheitsrichtlinien.

Technische Daten

Unterstützte Betriebssysteme

PGP Endpoint Client

• Windows 7 (32-Bit und 64-Bit Version)
• Windows Vista SP1 (32- und 64-Bit)
• Windows XP Professional SP2 oder höher (32-Bit- und 64-Bit-Version)
• Microsoft Windows Vista SP1+ (32- und 64-Bit)
• Windows XP Embedded SP2 (32-Bit)
• Windows Embedded Point of Service
• Windows XP Tablet PC Edition SP2 (32-Bit)
• Citrix Access Gateway™ 4.5
• Citrix Presentation Server™ 4.0 für Windows Server 2003
  SP1/SR2+ (32-Bit)
• Citrix Presentation Server 4.5 für Windows Server 2003
  SP1/SR2+ (32- und 64-Bit)
• Windows 2000 Server SP4 oder höher 32-Bit)
• Windows 2000 Professional SP4 (32-Bit)
• Windows Server 2003 SP1/SR2 (32-Bit- und 64-Bit-Version)

PGP Endpoint Administration Server

• VMware und Microsoft Windows Server 2008 Hyper-V virtual platforms
• Windows Server 2008 (32-Bit und 64-Bit)
• Windows Server 2008 R2 (64-Bit)
• Windows 2000 Server SP4
• Windows 2003 Server SP1/SR2

PGP Endpoint Administration Server Console (GUI-Client für PGP Endpoint Administration Server)

• Microsoft Windows 7 (32- und 64-Bit)
• Microsoft Windows Server 2008 (32-Bit und 64-Bit)
• Microsoft Windows Server 2008 R2 (64-Bit)
• Microsoft Windows XP Professional SP2+ (32-Bit)
• Microsoft Windows Server 2003 SP1/SR2+ (32-Bit)
• Microsoft Windows Vista™ SP1+ (32- und 64-Bit)

Datenbank (für den PGP Endpoint-Client)

• SQL Server 2008
• SQL Server 2008 Express Edition
• SQL 2005 Express SP2 (kostenlos)
• SQL Server 2000 SP4
• SQL Server 2005 SP2 (32-Bit- und 64-Bit-Version)

Unterstützte Gerätetypen

• Biometrische Geräte
• COM-/Serielle Ports
• DVD-/CD-Laufwerke
• Diskettenlaufwerke
• Bildgebende Geräte/Scanner
• LPT-/Parallele Ports
• Modems/Sekundäre Netzwerkzugriffsgeräte
• Palm-Handheld-Geräte
• Plug&Play-Geräte
• Drucker (USB/Bluetooth)
• PS/2-Ports
• Wechselspeichergeräte
• RIM BlackBerry®-Handhelds
• Smartcard-Leser
• Bandlaufwerke
• Benutzerdefinierte Geräte
• Windows CE-Handheld-Geräte
• Wireless-Netzwerkschnittstellenkarten

Unterstützte Verbindungen

• USB
• FireWire
• Bluetooth
• WiFi
• PCMCIA
• PS/2
• LPT
• IrDA
• IDE
• COM
• S-ATA
• SCSI

Unterstützte Sprachen

Die folgenden Sprachen werden für die Statusmeldungen, Berechtigungen und Benachrichtigungen auf Clientcomputern mit PGP® Endpoint unterstützt:

• Englisch
• Niederländisch
• Französisch
• Deutsch
• Italienisch
• Japanisch
• Portugiesisch
• Russisch
• Chinesisch (vereinfacht)
• Spanisch
• Schwedisch
• Chinesisch (traditionell)

FAQ

Allgemein

Was ist PGP Endpoint Device Control und welche wichtigen Funktionen werden damit erfüllt?

PGP Endpoint Device Control ist eine Datenschutz- und Verschlüsselungssoftware für Endpunktgeräte. PGP Endpoint Device Control schützt vor Datenverlust bei Verbindungen mit Wechselspeichermedien und mobilen Geräten.

Welche Betriebsprobleme löst PGP Endpoint Device Control?

PGP Endpoint Device Control verfügt über integrierte Sicherheitsfunktionen, mit deren Hilfe Wechselspeichergeräte und -medien (zum Beispiel USB-Laufwerke, CDs und DVDs) erkannt, autorisiert und geschützt werden. Durch diese Lösung werden zentral definierte Geräteverwendungsrichtlinien umgesetzt und Datenverlust auf Netzwerk- und peripheren Verbindungen (beispielsweise Bluetooth, WiFi und FireWire) verhindert. PGP Endpoint Device Control unterstützt Unternehmen bei der Aufrechterhaltung der Compliance und bei der Überwachung von Daten, die zwischen Endpunkten, Geräten und dem Netzwerk ausgetauscht werden.

Wie funktioniert PGP Endpoint Device Control? Wie gestaltet sich die Benutzung für den Endanwender?

PGP Endpoint Device Control ist eine umfangreiche Lösung zum Schutz vor Datenverlust an Endpunkten und bietet vier Methoden zum Schutz von Daten:

• Ermöglicht die sichere und autorisierte Verwendung von Wechselspeichermedien ohne zusätzlichen Aufwand für den Anwender und ohne Einbußen bei der Produktivität.
• Erkennt automatisch Geräte, ohne die Anwenderaktivitäten zu unterbrechen.
• Verkürzt die Einrichtungszeit und sorgt für raschen Schutz von Unternehmensdaten ohne zusätzlichen Aufwand für den Anwender.
• Ermöglicht die gemeinsame Nutzung von Daten im gesamten Unternehmen, auch durch Anwender ohne PGP®-Software; der Zugriff auf Daten wird durch Richtlinien umgesetzt.

Wie fügt sich PGP Endpoint Device Control in die PGP Encryption Platform ein?

PGP Endpoint Device Control ist eine Erweiterung der PGP Encryption Platform. PGP Encryption Platform bildet die unternehmensweite strategische Rahmenstruktur für das Management der gemeinsamen Datennutzung durch Anwender, zur Verwaltung von Richtlinien und für die Bereitstellung automatisierter system- und anwendungsübergreifender, integrierter Verschlüsselungsanwendungen. Zusammen mit PGP Whole Disk Encryption bietet PGP Endpoint Device Control dem Unternehmen eine vollständige Lösung zum Schutz vor Datenverlust an Endpunkten.

Technisch

Welche Betriebssysteme werden unterstützt?

Eine umfassende Liste der unterstützten Betriebssysteme und andere technische Daten finden Sie in den technischen Spezifikationen zu PGP Endpoint Device Control.

Was versteht man unter „Client-Härtung“ und welche wichtigen Funktionen werden damit erfüllt?

Der PGP Endpoint Device Control-Client ist ein gehärteter Client. Mithilfe von Client-Härtung wird die unberechtigte Deinstallationen oder Manipulation der Client-Software verhindert. Ein gehärterter Client kann nur durch den Administrator entfernt werden. Auf diese Weise wird verhindert, dass nicht berechtigte Anwender fest implementierte Schutzmaßnahmen entfernen können.

Was versteht man unter einem Positivlistenkonzept? Warum ist dies wichtig?

Eine Positivliste ist eine Liste mit zulässigen Elementen oder Personen in einem fest definierten Bereich. Diese Liste ist als Einschlussliste zu verstehen. Sie bestätigt, dass ein bestimmtes analysiertes Element zulässig ist. Das Gegenteil einer Positivliste ist eine Negativliste, in der nicht zulässige Elemente definiert sind. Dank der Verwendung eines Positivlistenkonzepts brauchen Unternehmen sich nicht mehr mit den enormen Mengen an unerwünschten Anwendungen, Malware und nicht zulässigen Geräten zu beschäftigen und können sich stattdessen auf die zulässigen und genehmigten Elemente konzentrieren.

Was versteht man unter einem so genannten „White List Driver“ (WLD, Positivlistentreiber) in PGP Endpoint Device Control?

Der PGP Endpoint Device Control WLD kontrolliert eine Anzahl bekannter Geräteklassen. Er kontrolliert sämtliche Schreib- und Leseklassen. Es könnten jedoch auch Geräte vorhanden sein, die nicht diesen Klassen zuzuordnen sind, aber dazu verwendet werden können, dem Unternehmen Schaden zuzufügen. Mit dem WLD wird diese Lücke geschlossen, denn das Unternehmen kann mit dieser Funktion selber definieren, welche Geräte zulässig sind. Alle anderen Geräte werden ignoriert und sind nicht verwendbar.

Was ist ein Kernelebenentreiber und warum wird dieser Treiber durch PGP Endpoint Device Control installiert?

Ein Kernelebenentreiber wird auf der Kernelebene des Betriebssystems ausgeführt. Für Software mit Anwendermodus ist es schwierig, in Kernelebenentreiber einzudringen und diese zu umgehen. Kernelebenentreiber tragen im Vergleich zu Treibern auf Anwenderebene außerdem zu Verbesserungen der Arbeitsleistung bei. PGP Endpoint Device Control installiert einen Kernelebenentreiber, um den Zugriff auf Geräte und binäre Ausführungsanfragen am Kernel abzufangen.

Erstreckt sich der Schutz bei PGP Endpoint Device Control auch auf Plug&Play-Geräte?

Ja, PGP Endpoint ist in der Lage, Plug&Play-Geräte zu erkennen, selbst wenn sie im laufenden Betrieb hinzugefügt wurden oder einen Neustart erfordern (etwa bestimmte Wechselspeichergeräte, die an den Parallelport angeschlossen sind). Diese Geräte unterliegen den gleichen Zugriffskontrollen, die für fest eingebaute Geräte des gleichen Typs gelten.

Wie schützt PGP Device Control Endpoint USB-, Firewire- und PCMCIA (Kartenbus)-Geräte?

Da es sich bei USB, FireWire und PCMCIA um Bustypen und nicht um tatsächliche Ports handelt, werden Geräte, die mit diesen Bussystemen verbunden sind, an ihrem Gerätetyp erkannt und nicht an der Art und Weise, wie sie verbunden sind. So wird ein externes CD-ROM-Laufwerk, das über eine USB-Schnittstelle mit dem Computer verbunden ist, beispielsweise als Gerätetyp „CD-ROM“ erkannt und daher gemäß dem gleichen Verfahren und den gleichen Einstellungen wie ein internes CD-ROM-Laufwerk angesteuert. Da die meisten MP3-basierten Geräte (zum Beispiel iPods) vom Betriebssystem wie Wechselspeicherlaufwerke behandelt werden, können Sie diesen Geräten den Zugriff auf das Netzwerk verweigern, indem Sie sie als generische Wechselspeicherlaufwerke oder speziell als iPod blockieren.

Wie funktioniert die CD-/DVD-Verschlüsselung?

Mithilfe von PGP Endpoint Device Control Administration Server können Administratoren Wechselspeichermedien wie CDs und DVDs Zugriffsrechte und Verschlüsselungsoptionen zuweisen. Anwender können Windows Explorer einsetzen oder die in den PGP Endpoint-Client integrierte Secure Volume Browser-Schnittstelle verwenden, um auf das Wechselspeichermedium zuzugreifen, es freizugeben, zu entschlüsseln oder zu verschlüsseln. Weitere Informationen hierzu finden Sie in der PGP Endpoint Device Control-Anwenderdokumentation.

Werden in PGP Endpoint Device Control Schlüssel in einem verschlüsselten Format gespeichert?

Ja. PGP Endpoint Device Control speichert alle Schlüssel in einem verschlüsselten Format.

Verwendet PGP Endpoint Device Control die Microsoft Windows-Domäne „SAM“ (Security Account Manager, Sicherheitskontenverwaltung) oder ist eine andere Datenbank erforderlich?

SAM (Security Account Manager, Sicherheitskontenverwaltung) ist eine Komponente von Windows NT/2000/XP/2003, die für die Speicherung und Verwaltung der Anwenderkontendatenbank verantwortlich ist. Diese Datenbank enthält Informationen zu allen Anwender- und Gruppenkonten. Darüber hinaus bietet SAM Anwender-Validierungsdienste, die von der lokalen Sicherheitsautorität verwendet werden. PGP Endpoint Device Control verwendet die SAM, speichert darüber hinaus jedoch eine Kopie ausgewählter Teilbereiche von Anwender-, Gruppen- oder Computerkonten in der PGP Endpoint-Datenbank. Die PGP Endpoint Device Control-Datenbank behält auch die Verbindung zwischen Anwendern/Gruppen/Computern und spezifischen Berechtigungen bei. Das Speichern dieser Daten in einer Datenbank, anstatt jedes Mal auf die SAM zuzugreifen, wenn diese Anwender-/Gruppen-/Computerdaten benötigt werden, bietet eine Reihe von Vorteilen: Neben einer wesentlich besseren Arbeitsleistung im Vergleich zum direkten Zugriff auf die SAM wird auch die Last auf den Domänencontrollern verringert und der Netzwerkdatenverkehr minimiert. Eine Liste der unterstützten Datenbanken finden Sie in den technischen Spezifikationen zu PGP Endpoint Device Control.

Schreibt PGP Endpoint Device Control Ereignisse in das Windows-Ereignisprotokoll?

PGP Endpoint Device Control verfügt über eine Option, mit der Versuche, ein Gerät zu verwenden, in das Windows-Ereignisprotokoll geschrieben werden können. Anhand von diesem Protokoll können Ereignisse anschließend von Drittanbieterprogrammen zentralisierter gruppiert und verwaltet werden.

Welche Sprachen werden von PGP Endpoint Device Control unterstützt?

PGP Endpoint Device Control kombiniert mit PGP WDE unterstützt Englisch, Deutsch und Japanisch. Eine reine PGP Endpoint Device Control-Bereitstellung unterstützt weitere Sprachen. Weitere Informationen hierzu finden Sie in den technischen Spezifikationen.

Interoperabilität

Ich möchte lediglich mein USB-Gerät schützen. Warum benötige ich PGP Endpoint Device Control, wenn auch PGP Whole Disk Encryption USB-Verschlüsselung bietet?

Mit PGP Whole Disk Encryption können Administratoren USB-Geräte mit einer Richtlinie schützen, die den Schreibschutz oder eine erzwungene Verschlüsselung vorgibt. PGP Endpoint Device Control bietet Administratoren die Möglichkeit, die Verwendung von Wechselspeichergeräten (nicht beschränkt auf USB) genauer zu steuern. So können Administratoren in einer Richtlinie für Wechselspeichergeräte Anwender, Berechtigungen, Gerätemarken und -modelle usw. definieren.

Wie funktioniert PGP Endpoint Device Control zusammen mit PGP Whole Disk Encryption?

Wenn PGP Whole Disk Encryption in Verbindung mit PGP Endpoint Device Control verwendet wird, können Administratoren flexible und genaue Geräterichtlinien definieren. So können Administratoren beispielsweise eine Richtlinie definieren, die die Verwendung von MP3-Wiedergabegeräten an USB-Schnittstellen unterbindet, die Verwendung von bestimmten USB-Geräten jedoch zulässt. Administratoren haben darüber hinaus die Möglichkeit, mehrere Verschlüsselungsoptionen festzulegen: PGP Whole Disk Encryption für Wechselspeichergeräte oder PGP Endpoint Device Control Removable Device Encryption. Die letztgenannte Option ermöglicht Anwendern die Freigabe einer verschlüsselten USB-Schnittstelle für Anwender, bei denen die PGP-Client-Software nicht ausgeführt wird. Wenn PGP Endpoint und PGP Whole Disk Encryption installiert sind und ein Wechselspeichergerät verwendet wird, spricht der PGP Endpoint Device Control-Client den PGP Whole Disk Encryption-Client an und setzt entsprechend die Richtlinie um.

Welche Version von PGP Whole Disk Encryption ist mit PGP Endpoint Device Control kompatibel?

PGP Endpoint Device Control ist mit PGP Desktop 9.7 und höher kompatibel.

Stört PGP Endpoint Device Control den Betrieb anderer Systeme oder Anwendungen?

Nein. Die Verschlüsselung läuft sowohl bei PGP Endpoint Device Control als auch bei PGP Whole Disk Encryption unsichtbar im Hintergrund ab und stört weder das Betriebssystem noch andere Anwendungen.

Ist eine Integration von PGP Endpoint Device Control mit LDAP-Verzeichnissen möglich?

Ja. PGP Endpoint Device Control ist mit Microsoft Active Directory und Novell eDirectory kompatibel.

Kann PGP Endpoint Device Control mit Tools für die Systemverwaltung eingesetzt werden?

Ja. PGP Endpoint Device Control ist kompatibel mit Systemverwaltungstools wie etwa Microsoft SMS, die Microsoft MSI-Installer unterstützen.

Verwaltung

Wie groß ist der Verwaltungsaufwand für PGP Endpoint Device Control?

PGP Endpoint Device Control ist keine Lösung, die auf alle Szenarien abbildbar ist und somit eine allgemein gültige Aussage zulässt. Der Verwaltungsaufwand richtet sich nach der Komplexität der definierten Richtlinien, der Dynamik der Client-Umgebung usw. Sobald diese Lösung in einer relativ stabilen Umgebung installiert wurde und läuft, fallen lediglich Überwachungsaufgaben an.

Wird für den Einsatz von PGP Endpoint Device Control auch PGP Universal Server benötigt?

Wenn Sie PGP Endpoint Device Control als Einzellösung verwenden, wird PGP Universal Server nicht benötigt. Wenn Sie PGP Endpoint Device Control und PGP Whole Disk Encryption gemeinsam verwenden, können Sie die Vorteile von PGP Whole Disk Encryption zur Gänze nur mithilfe einer zentral durch PGP Universal Server verwalteten Richtlinie nutzen.

Wo kann ich Versionshinweise und andere produktbezogene Informationen finden?

Versionshinweise und Handbücher zum Schnelleinstieg sind erhältlich unter http://support.pgp.com/?faq=589. Zusätzlich können sich Kunden mit einem aktuellen Supportvertrag Benutzer-, Administratoren- und Entwicklerhandbücher unter demselben Link herunterladen.