PGP Endpoint

Digitale Wechselspeichergeräte (wie etwa USB-Flash-Laufwerke und CD-/DVD-Laufwerke) und mobile Verbindungstechnologien (beispielsweise WiFi, FireWire und Bluetooth) erfreuen sich in Unternehmensumgebungen einer wachsenden Beliebtheit. Sie sind einfach zu handhaben und tragen zur Erhöhung der Produktivität bei, jedoch bergen sie auch Sicherheitsrisiken für Unternehmen. Daten, die auf diesen Wechselspeicher-Endpunktgeräten und -medien gespeichert sind, enthalten möglicherweise geistiges Eigentum oder vertrauliche Kundendaten. Unternehmensrichtlinien und Mitarbeiterschulungen reichen häufig nicht aus, um diese Daten vor Angriffen von Insidern und unbeabsichtigten Datenlecks zu schützen. Die Offenlegung von vertraulichen Daten infolge des Verlusts oder Diebstahls von Wechselspeichergeräten oder -medien kann weitreichende finanzielle Verluste, juristische Konsequenzen und Ó nicht zuletzt – eine ernsthafte Rufschädigung nach sich ziehen.

PGP® Endpoint verfügt über integrierte Sicherheitsfunktionen, mit denen Wechselspeichergeräte- und medien (zum Beispiel USB-Laufwerke, CDs und DVDs) erkannt, autorisiert und geschützt werden.

• Einfacher und automatischer Betrieb – Ermöglicht die sichere und autorisierte Verwendung von Wechselspeichergeräten ohne zusätzlichen Aufwand für den Anwender und ohne Einbußen bei der Produktivität.
• Zuverlässige Sicherheitsrichtlinien – Erzwingt die Umsetzung von Richtlinien für die Gerätenutzung über USB-, FireWire-, WiFi- und Bluetooth-Verbindungen; ermöglicht eine automatische Verschlüsselung von Wechselspeichergeräten auf der Basis von Richtlinien; protokolliert die Nutzung und beweist Prüfern die Einhaltung gesetzlicher Vorschriften.
• Schnellere Bereitstellung – Verkürzt die Einrichtungszeit und sorgt für raschen Schutz von Firmendaten ohne zusätzlichen Aufwand für den Anwender durch maximale Nutzung der vorhandenen Verzeichnisinfrastruktur im Unternehmen.
• Niedrigere Betriebskosten – Aufgrund schnellerer Bereitstellung, einfacher Verwendung, zentraler Verwaltung und der automatisierten Umsetzung von Sicherheitsrichtlinien.

Technische Daten

Unterstützte Betriebssysteme

PGP Endpoint Client

• Windows Vista RTM und SP1
• Windows XP Professional SP2 (32-Bit- und 64-Bit-Version)
• Windows 2000 Professional SP4
• Windows 2000 Server SP4
• Windows Server 2003 SP1/SR2 (32-Bit- und 64-Bit-Version)
• Windows XP Embedded SP2
• Windows Embedded Point of Service
• Windows XP Tablet PC Edition SP2

PGP Endpoint Administration Server

• Windows 2000 Server SP4
• Windows 2003 Server SP1/SR2

PGP Endpoint Administration Server Console (GUI-Client für PGP Endpoint Administration Server)

• Windows 2000 Server SP4
• Windows 2003 Server SP1/SR2

Datenbank (für den PGP Endpoint-Client)

• SQL 2005 Express SP2 (kostenlos)
• SQL Server 2000 SP4
• SQL Server 2005 SP2 (32-Bit- und 64-Bit-Version)

Unterstützte Gerätetypen

• Biometrische Geräte
• COM-/Serielle Ports
• DVD-/CD-Laufwerke
• Diskettenlaufwerke
• Bildgebende Geräte/Scanner
• LPT-/Parallele Ports
• Modems/Sekundäre Netzwerkzugriffsgeräte
• Palm-Handheld-Geräte
• Plug&Play-Geräte
• Drucker (USB/Bluetooth)
• PS/2-Ports
• Wechselspeichergeräte
• RIM BlackBerry®-Handhelds
• Smartcard-Leser
• Bandlaufwerke
• Benutzerdefinierte Geräte
• Windows CE-Handheld-Geräte
• Wireless-Netzwerkschnittstellenkarten

Unterstützte Verbindungen

• USB
• FireWire
• Bluetooth
• WiFi
• PCMCIA
• PS/2
• LPT
• IrDA
• IDE
• COM
• S-ATA
• SCSI

Unterstützte Sprachen

Die folgenden Sprachen werden für die Statusmeldungen, Berechtigungen und Benachrichtigungen auf Clientcomputern mit PGP® Endpoint unterstützt:

• Englisch
• Niederländisch
• Französisch
• Deutsch
• Italienisch
• Japanisch
• Portugiesisch
• Russisch
• Chinesisch (vereinfacht)
• Spanisch
• Schwedisch
• Chinesisch (traditionell)

FAQ

Allgemein

Was ist PGP Endpoint und welche wichtigen Funktionen werden damit erfüllt?

PGP Endpoint ist eine Datenschutz- und Verschlüsselungssoftware für Endpunktgeräte. PGP Endpoint schützt vor Datenverlust bei Verbindungen mit Wechselspeichermedien und mobilen Geräten.

Welche Betriebsprobleme löst PGP Endpoint?

PGP Endpoint verfügt über integrierte Sicherheitsfunktionen, mit deren Hilfe Wechselspeichergeräte und -medien (zum Beispiel USB-Laufwerke, CDs und DVDs) erkannt, autorisiert und geschützt werden. Durch diese Lösung werden zentral definierte Geräteverwendungsrichtlinien umgesetzt und Datenverlust auf Netzwerk- und peripheren Verbindungen (beispielsweise Bluetooth, WiFi und FireWire) verhindert. PGP Endpoint unterstützt Unternehmen bei der Aufrechterhaltung der Compliance und bei der Überwachung von Daten, die zwischen Endpunkten, Geräten und dem Netzwerk ausgetauscht werden.

Wie funktioniert PGP Endpoint? Wie gestaltet sich die Benutzung für den Endanwender?

PGP Endpoint ist eine umfangreiche Lösung zum Schutz vor Datenverlust an Endpunkten und bietet vier Methoden zum Schutz von Daten:

• Ermöglicht die sichere und autorisierte Verwendung von Wechselspeichermedien ohne zusätzlichen Aufwand für den Anwender und ohne Einbußen bei der Produktivität.
• Erkennt automatisch Geräte, ohne die Anwenderaktivitäten zu unterbrechen.
• Verkürzt die Einrichtungszeit und sorgt für raschen Schutz von Unternehmensdaten ohne zusätzlichen Aufwand für den Anwender.
• Ermöglicht die gemeinsame Nutzung von Daten im gesamten Unternehmen, auch durch Anwender ohne PGP®-Software; der Zugriff auf Daten wird durch Richtlinien umgesetzt.

Wie fügt sich PGP Endpoint in PGP Encryption Platform ein?

PGP Endpoint ist eine Erweiterung von PGP Encryption Platform. PGP Encryption Platform bildet die unternehmensweite strategische Rahmenstruktur für das Management der gemeinsamen Datennutzung durch Anwender, zur Verwaltung von Richtlinien und für die Bereitstellung automatisierter system- und anwendungsübergreifender, integrierter Verschlüsselungsanwendungen. Zusammen mit PGP Whole Disk Encryption bietet PGP Endpoint dem Unternehmen eine vollständige Lösung zum Schutz vor Datenverlust an Endpunkten.

Technisch

Welche Betriebssysteme werden unterstützt?

Eine umfassende Liste der unterstützten Betriebssysteme und andere technische Daten finden Sie in den technischen Spezifikationen zu PGP Endpoint.

Was versteht man unter „Client-Härtung“ und welche wichtigen Funktionen werden damit erfüllt?

Der PGP Endpoint-Client ist ein gehärteter Client. Mithilfe von Client-Härtung wird die unberechtigte Deinstallationen oder Manipulation der Client-Software verhindert. Ein gehärterter Client kann nur durch den Administrator entfernt werden. Auf diese Weise wird verhindert, dass nicht berechtigte Anwender fest implementierte Schutzmaßnahmen entfernen können.

Was versteht man unter einem Positivlistenkonzept? Warum ist dies wichtig?

Eine Positivliste ist eine Liste mit zulässigen Elementen oder Personen in einem fest definierten Bereich. Diese Liste ist als Einschlussliste zu verstehen. Sie bestätigt, dass ein bestimmtes analysiertes Element zulässig ist. Das Gegenteil einer Positivliste ist eine Negativliste, in der nicht zulässige Elemente definiert sind. Dank der Verwendung eines Positivlistenkonzepts brauchen Unternehmen sich nicht mehr mit den enormen Mengen an unerwünschten Anwendungen, Malware und nicht zulässigen Geräten zu beschäftigen und können sich stattdessen auf die zulässigen und genehmigten Elemente konzentrieren.

Was versteht man unter einem so genannten „White List Driver“ (WLD, Positivlistentreiber) in PGP Endpoint?

Der PGP Endpoint WLD kontrolliert eine Anzahl bekannter Geräteklassen. Er kontrolliert sämtliche Schreib- und Leseklassen. Es könnten jedoch auch Geräte vorhanden sein, die nicht diesen Klassen zuzuordnen sind, aber dazu verwendet werden können, dem Unternehmen Schaden zuzufügen. Mit dem WLD wird diese Lücke geschlossen, denn das Unternehmen kann mit dieser Funktion selber definieren, welche Geräte zulässig sind. Alle anderen Geräte werden ignoriert und sind nicht verwendbar.

Was ist ein Kernelebenentreiber und warum wird dieser Treiber durch PGP Endpoint installiert?

Ein Kernelebenentreiber wird auf der Kernelebene des Betriebssystems ausgeführt. Für Software mit Anwendermodus ist es schwierig, in Kernelebenentreiber einzudringen und diese zu umgehen. Kernelebenentreiber tragen im Vergleich zu Treibern auf Anwenderebene außerdem zu Verbesserungen der Arbeitsleistung bei. PGP Endpoint installiert einen Kernelebenentreiber, um den Zugriff auf Geräte und binäre Ausführungsanfragen am Kernel abzufangen.

Erstreckt sich der Schutz bei PGP Endpoint auch auf Plug&Play-Geräte?

Ja, PGP Endpoint ist in der Lage, Plug&Play-Geräte zu erkennen, selbst wenn sie im laufenden Betrieb hinzugefügt wurden oder einen Neustart erfordern (etwa bestimmte Wechselspeichergeräte, die an den Parallelport angeschlossen sind). Diese Geräte unterliegen den gleichen Zugriffskontrollen, die für fest eingebaute Geräte des gleichen Typs gelten.

Wie schützt PGP Endpoint USB-, Firewire- und PCMCIA (Kartenbus)-Geräte?

Da es sich bei USB, FireWire und PCMCIA um Bustypen und nicht um tatsächliche Ports handelt, werden Geräte, die mit diesen Bussystemen verbunden sind, an ihrem Gerätetyp erkannt und nicht an der Art und Weise, wie sie verbunden sind. So wird ein externes CD-ROM-Laufwerk, das über eine USB-Schnittstelle mit dem Computer verbunden ist, beispielsweise als Gerätetyp „CD-ROM“ erkannt und daher gemäß dem gleichen Verfahren und den gleichen Einstellungen wie ein internes CD-ROM-Laufwerk angesteuert. Da die meisten MP3-basierten Geräte (zum Beispiel iPods) vom Betriebssystem wie Wechselspeicherlaufwerke behandelt werden, können Sie diesen Geräten den Zugriff auf das Netzwerk verweigern, indem Sie sie als generische Wechselspeicherlaufwerke oder speziell als iPod blockieren.

Wie funktioniert die CD-/DVD-Verschlüsselung?

Mithilfe von PGP Endpoint Administration Server können Administratoren Wechselspeichermedien wie CDs und DVDs Zugriffsrechte und Verschlüsselungsoptionen zuweisen. Anwender können Windows Explorer einsetzen oder die in den PGP Endpoint-Client integrierte Secure Volume Browser-Schnittstelle verwenden, um auf das Wechselspeichermedium zuzugreifen, es freizugeben, zu entschlüsseln oder zu verschlüsseln. Weitere Informationen hierzu finden Sie in der PGP Endpoint-Anwenderdokumentation.

Werden in PGP Endpoint Schlüssel in einem verschlüsselten Format gespeichert?

Ja. PGP Endpoint speichert alle Schlüssel in einem verschlüsselten Format.

Verwendet PGP Endpoint die Microsoft Windows-Domäne „SAM“ (Security Account Manager, Sicherheitskontenverwaltung) oder ist eine andere Datenbank erforderlich?

SAM (Security Account Manager, Sicherheitskontenverwaltung) ist eine Komponente von Windows NT/2000/XP/2003, die für die Speicherung und Verwaltung der Anwenderkontendatenbank verantwortlich ist. Diese Datenbank enthält Informationen zu allen Anwender- und Gruppenkonten. Darüber hinaus bietet SAM Anwender-Validierungsdienste, die von der lokalen Sicherheitsautorität verwendet werden. PGP Endpoint verwendet die SAM, speichert darüber hinaus jedoch eine Kopie ausgewählter Teilbereiche von Anwender-, Gruppen- oder Computerkonten in der PGP Endpoint-Datenbank. Die PGP Endpoint-Datenbank behält auch die Verbindung zwischen Anwendern/Gruppen/Computern und spezifischen Berechtigungen bei. Das Speichern dieser Daten in einer Datenbank, anstatt jedes Mal auf die SAM zuzugreifen, wenn diese Anwender-/Gruppen-/Computerdaten benötigt werden, bietet eine Reihe von Vorteilen: Neben einer wesentlich besseren Arbeitsleistung im Vergleich zum direkten Zugriff auf die SAM wird auch die Last auf den Domänencontrollern verringert und der Netzwerkdatenverkehr minimiert. Eine Liste der unterstützten Datenbanken finden Sie in den technischen Spezifikationen zu PGP Endpoint.

Schreibt PGP Endpoint Ereignisse in das Windows-Ereignisprotokoll?

PGP Endpoint verfügt über eine Option, mit der Versuche, ein Gerät zu verwenden, in das Windows-Ereignisprotokoll geschrieben werden können. Anhand von diesem Protokoll können Ereignisse anschließend von Drittanbieterprogrammen zentralisierter gruppiert und verwaltet werden.

Welche Sprachen werden von PGP Endpoint unterstützt?

PGP Endpoint kombiniert mit PGP WDE unterstützt Englisch, Deutsch und Japanisch. Eine reine PGP Endpoint-Bereitstellung unterstützt weitere Sprachen. Weitere Informationen hierzu finden Sie in den technischen Spezifikationen.

Sind regelmäßige Updates von PGP Endpoint Application Control auf neue bekannte Virenversionen erforderlich?

Für PGP Endpoint Application Control sind keine Updates erforderlich, da es sämtliche unbekannten Dateien ignoriert. Ein neuer Virus wird demnach einfach als eine neue, unbekannte Datei betrachtet und entsprechend behandelt. Sie beschränken sich darauf, welche Dateien Ihre Anwender ausführen können sollen. Alle anderen Dateien werden für die Ausführung gesperrt.

Vor welchen Arten von Bedrohungen schützt PGP Endpoint Application Control?

• Binäre ausführbare Viren (bekannte und unbekannte)
• Trojaner
• Illegale Software
• Spiele
• Hacking- und Cracking-Tools
• Malware und Spyware
• Periphere Treiber (in Windows eingebettete Treiber oder Treiber von Drittanbietern)
• Bestimmte Betriebssystembereiche, falls gewünscht (Messenger, Internet Explorer-Plug-Ins, FTP usw.)

Interoperabilität

Ich möchte lediglich mein USB-Gerät schützen. Warum benötige ich PGP Endpoint, wenn auch PGP Whole Disk Encryption USB-Verschlüsselung bietet?

Mit PGP Whole Disk Encryption können Administratoren USB-Geräte mit einer Richtlinie schützen, die den Schreibschutz oder eine erzwungene Verschlüsselung vorgibt. PGP Endpoint bietet Administratoren die Möglichkeit, die Verwendung von Wechselspeichergeräten (nicht beschränkt auf USB) genauer zu steuern. So können Administratoren in einer Richtlinie für Wechselspeichergeräte Anwender, Berechtigungen, Gerätemarken und -modelle usw. definieren.

Wie funktioniert PGP Endpoint zusammen mit PGP Whole Disk Encryption?

Wenn PGP Whole Disk Encryption in Verbindung mit PGP Endpoint verwendet wird, können Administratoren flexible und genaue Geräterichtlinien definieren. So können Administratoren beispielsweise eine Richtlinie definieren, die die Verwendung von MP3-Wiedergabegeräten an USB-Schnittstellen unterbindet, die Verwendung von bestimmten USB-Geräten jedoch zulässt. Administratoren haben darüber hinaus die Möglichkeit, mehrere Verschlüsselungsoptionen festzulegen: PGP Whole Disk Encryption für Wechselspeichergeräte oder PGP Endpoint Removable Device Encryption. Die letztgenannte Option ermöglicht Anwendern die Freigabe einer verschlüsselten USB-Schnittstelle für Anwender, bei denen die PGP-Client-Software nicht ausgeführt wird. Wenn PGP Endpoint und PGP Whole Disk Encryption installiert sind und ein Wechselspeichergerät verwendet wird, spricht der PGP Endpoint-Client den PGP Whole Disk Encryption-Client an und setzt entsprechend die Richtlinie um.

Welche Version von PGP Whole Disk Encryption ist mit PGP Endpoint kompatibel?

PGP Endpoint ist mit PGP Desktop 9.7 und höher kompatibel.

Stört PGP Endpoint den Betrieb anderer Systeme oder Anwendungen?

Nein. Die Verschlüsselung läuft sowohl bei PGP Endpoint als auch bei PGP Whole Disk Encryption unsichtbar im Hintergrund ab und stört weder das Betriebssystem noch andere Anwendungen.

Ist eine Integration von PGP Endpoint mit LDAP-Verzeichnissen möglich?

Ja. PGP Endpoint ist mit Microsoft Active Directory und Novell eDirectory kompatibel.

Kann PGP Endpoint mit Tools für die Systemverwaltung eingesetzt werden?

Ja. PGP Endpoint ist kompatibel mit Systemverwaltungstools wie etwa Microsoft SMS, die Microsoft MSI-Installer unterstützen.

Verwaltung

Wie groß ist der Verwaltungsaufwand für PGP Endpoint?

PGP Endpoint ist keine Lösung, die auf alle Szenarien abbildbar ist und somit eine allgemein gültige Aussage zulässt. Der Verwaltungsaufwand richtet sich nach der Komplexität der definierten Richtlinien, der Dynamik der Client-Umgebung usw. Sobald diese Lösung in einer relativ stabilen Umgebung installiert wurde und läuft, fallen lediglich Überwachungsaufgaben an.

Wird für den Einsatz von PGP Endpoint auch PGP Universal Server benötigt?

Wenn Sie PGP Endpoint als Einzellösung verwenden, wird PGP Universal Server nicht benötigt. Wenn Sie PGP Endpoint und PGP Whole Disk Encryption gemeinsam verwenden, können Sie die Vorteile von PGP Whole Disk Encryption zur Gänze nur mithilfe einer zentral durch PGP Universal Server verwalteten Richtlinie nutzen.