Im Praxistest: DriveLock Zero Trust

Volle Kontrolle

02. Juni 2020, 07:00 Uhr   |  Thomas Bär und Frank-Michael Schlede/am

Volle Kontrolle
© Drivelock

Wie kann die IT die Endpunkte im Unternehmen am besten sichern? Lange Zeit war es mit dem Aufspielen von Antivirensoftware getan. Die IT-Landschaft wird jedoch auch an den Endpunkten immer komplexer. Im Test musste die Lösung von DriveLock zeigen, wie sie darauf eine Antwort liefert. DerFokus des Tests lag dabei auf den Aspekten des Geräte-Managements.

DriveLock mit Hauptsitz in München ist bereits seit 1999 in den Bereichen IT- und Datensicherheit tätig. Mit der aktuellen Version 2019.2 will das Unternehmen das sogenannte „Zero-Trust“-Modell weiter vorantreiben.
Ist der Name DriveLock vielen Anwendern in Zusammenhang mit einer reinen Verschlüsselungslösung bekannt, so stellt die Software in der aktuellen Version sehr viel umfangreichere Sicherheitsmaßnahmen bereit. Laut DriveLock handelt es sich bei dem getesteten Produkt um eine Softwarelösung, die der Absicherung von Client-Rechnern dient und dabei die folgenden vier Bereiche vereint:

  • Schutz der Daten (Data Protection),
  • Endpunktschutz (Endpoint Protection),
  • Detection and Response bei den Endpunkten sowie
  • Identity- und Access-Management.

Die Lösung stellt den Administratoren den dynamisch konfigurierbaren Zugriff für die CD/DVD-Laufwerke sowie USB-Sticks bereit. Auch die Kontrolle von Blue-tooth sowie anderer Gerätetypen wie beispielsweise Palm, Windows Mobile, Blackberry oder Smartphones ist möglich.

Die Installation und der Betrieb der DriveLock-Software kann sowohl On-Premise als auch als Managed Service erfolgen. Beide Wege stellt das Unternehmen für 30 Tage zu Testzwecken kostenfrei bereit. Wir haben uns für diesen Test eine Man<discretionary-hyphen>aged-Service-Version von DriveLock einrichten lassen. Grundsätzlich besteht die Software aus vier Komponenten. Dazu gehören der DriveLock Enterprise Service (DES), die Management-Console (DMC), das Control Center (DCC) und der Agent. Noch relativ neu und mit der aktuellen Version 2019.2 deutlich erweitert ist das DriveLock Operation Center (DOC). Dabei handelt es sich um eine Web-Konsole, die laut Anbieter den Nutzern in den nächsten Versionen der Lösung alle Funktionen bereitstellen soll. Aktuell kann ein Anwender dort nur auf ein Subset der Funktionen und Features zugreifen.

Der Dienst DES ist der zentrale Teil der Software, dessen Installation zusammen mit einem Datenbank-Server mit zwei Datenbanken auf einem Server ablaufen muss. Dazu kann ein Microsoft-SQL-Express-Server zum Einsatz kommen. Ab 200 zu verwaltenden Geräten empfiehlt der Anbieter jedoch, einen vollwertigen SQL Server zu verwenden. An dieser Stelle folgt die zentrale Speicherung aller Ereignisse, gemeldet und gesammelt von den Agenten der Software. Dieser Teil der Lösung dient unter anderem dazu, die Komponenten wie auch die zentral gespeicherten Richtlinien zu verteilen. Muss die Installation dieser Bestandteile bei einer On-Premise-Installation auf einem Server im eigenen Rechenzentrum erfolgen, so hostet DriveLock die Managed-Service-Version im eigenen Rechenzentrum. Der Anwender bekommt einen eigenen Tenant (Mandanten) zugewiesen, auf den er mit Hilfe des DOCs zugreifen kann.

Zudem muss er auf einem Verwaltungsrechner die DMC installieren, bei der es sich um ein Snap-in für die MMC (Microsoft Management Console) handelt, die unter Windows für viele Zwecke der Administration und Verwaltung zum Einsatz kommt. Mit ihrer Hilfe kann der Administrator die Sicherheitseinstellungen für alle Rechner vornehmen und auch die verschiedenen DriveLock-Komponenten verwalten. Der Hersteller empfiehlt, das Control Center direkt auf dem Server, auf dem auch der Enterprise-Service läuft, und/oder auf den Workstations der Administratoren und Helpdesk-Mitarbeiter zu installieren. Das DCC kommuniziert direkt mit dem Enterprise-Service und liest darüber hinaus die in der DriveLock-Datenbank gespeicherten Informationen und Ereignisdaten aus. Mit seiner Hilfe können Systembetreuer den Status der Agenten überwachen sowie Ereignisse und Vorfälle auswerten. Sie können mit dieser Konsole auch dynamische Reports generieren oder mit den gesammelten Daten forensische Analysen durchführen.

Übergangsphase
© Drivelock

In der Übergangsphase: Auf der rechten Seite das sogenannte DriveLock Control Center (DCC) und links daneben die aktuelle Web-Oberfläche des Drivelock Operations Centers.

Erste Schritte und Einrichtung

Wir haben auf Empfehlung des Anbieters als ersten Schritt nach der Anmeldung in der Web-Oberfläche des Operations Centers aus der linken Spalte den Bereich „Aufgaben“ ausgewählt. Die Oberfläche präsentiert sich insgesamt übersichtlich und mit den inzwischen bei vielen SaaS-Lösungen üblichen Dashbords. Sie startete beim ersten Zugriff in englischer Sprache. Dies lässt sich allerdings umstellen, sodass danach alle Anzeigen deutsch lokalisiert waren. Unter den Aufgaben konnten wir den Web-Installer für den jeweiligen Client herunterladen.

Wer diesen mit einer Lösung zur Softwareverteilung auf seine Systeme bringen will, findet an dieser Stelle einen Download-Link auf eine MSI-Datei in einer 32- und einer 64-Bit-Ausprägung. Der Agent unterstützt alle gängigen Windows-Versionen. Die Unterstützung von Windows XP erfolgt durch eine entsprechende Supportlizenz. Diese Art der Unterstützung ist laut Anbieter gerade im Industrieumfeld immer noch gefragt. Während die Windows-Client-Systeme 32- wie auch 64-Bit-Versionen unterstützen, testet DriveLock die Agenten auf den Windows-Server-Systemen (bis einschließlich Windows Server 2008 R2) nur mit den 64-Bit-Ausprägungen der Betriebssysteme.

Wir haben die Agenten auf unterschiedliche Windows-10-Versionen (dabei auch einige Rechner mit aktuellen Insider-Releases) installiert. Dies funktioniert stets problemlos, und nach einem Neustart des jeweiligen Rechners waren diese in den Konsolen zu finden. Die Agenten waren dabei im Hintergrund tätig, ohne dass wir eine zusätzliche Belastung der Systeme feststellen konnten. Die Software führt nach der Installation zunächst eine Inventarisierung des entsprechenden Systems durch, was insgesamt eine gewisse Zeit dauern kann. Wer – wie wir in diesem Testszenario – ungeduldig ist und schneller vorankommen will, kann den Client auf dem jeweiligen System mittels Kommandozeile aufrufen und dort ein sofortiges Update der Konfiguration anstoßen. Nicht nur dieses Feature erinnert stark an die Möglichkeiten bei den Windows-Gruppenrichtlinien. Wer die DriveLock-Software in einer Active-Directory-Domäne einsetzt, kann die Standard-Gruppenrichtlinien auch entsprechend deaktivieren, wenn die DriveLock-Richtlinien aktiv sind. Dies vermeidet außerdem unnötige Konflikte.

Freigabe
© Drivelock

Nutzer können eine kurzzeitige temporäre Freigabe ihrer gesperrten Laufwerke erwirken, wenn diese Möglichkeit freigegeben ist. Der Administrator sieht im Operations Center jedoch sofort die Änderung in der Compliance des jeweiligen Systems.

Konfiguration mittels Richtlinien

Um Richtlinien und damit auch die Zugriffe auf den Client-Systemen zu konfigurieren, müssen Administratoren auf die DMC, das Snap-in für die MMC, zurückgreifen. Mit ihrer Hilfe kann der Administrator alle Richtlinien konfigurieren, die für seine Clients gelten sollen. Neben der Konfiguration mittels AD-Gruppenrichtlinien bietet die Software den Einsatz sogenannter zentral gespeicherten Richtlinien (Centrally Stored Policy) an, die der Anbieter als Alternative zu den Windows-Gruppenrichtlinien positioniert. Auf unserer Testinstallation standen neben einer sogenannten „Default Company Policy“ weitere sechs vorkonfigurierte, zentral gespeicherte Richtlinien bereit. Bei allen Richtlinien, ganz gleich, ob sie die Bereiche Laufwerke, Anwendungen, Verschlüsselung, System-Management oder Security Awareness betreffen, setzt die Software das „Zero Trust“-Modell direkt um: Wer einen ersten Blick auf die Richtlinien wirft, sieht zunächst bei den Sperreinstellungen ein grünes Icon. Dies symbolisiert in diesem Fall, dass der Zugriff gesperrt ist – oder nicht konfiguriert, was ebenfalls eine Sperrung bedeutet.

Daher waren zunächst auch alle externen USB-Laufwerke und, falls vorhanden, auch DVD/CD-Laufwerke auf unseren Systemen mit installiertem Agenten nicht mehr im Zugriff. Der Administrator kann so zum Beispiel bei den allgemeinen Eigenschaften der Laufwerke zwischen „Erlauben“, „Sperren für alle Benutzer“ (die Standardeinstellung) und „Sperren, aber Zugriff für definierte Benutzer und Gruppen erlauben“ auswählen. Mit Hilfe sogenannter Whitelist-Regeln kann ein Administrator einzelne Geräte mittels Hersteller- oder Produkt-ID explizit von einer solchen Einstellung ausnehmen. Hat er die Regel geändert, dann muss er sicherstellen, dass sie auch die Endgeräte erreicht. Am einfachsten funktionierte dies in unseren Tests, indem wir die entsprechenden Windows-Systeme im DOC einer Gruppe hinzufügten, in diesem Fall der „Base Security“ – danach landeten alle Änderungen zuverlässig auf den Endpunkten.

Die DriveLock-Lösung bietet den Administratoren noch viele umfangreiche Möglichkeiten, die über die reine Absicherung von Endgeräten weit hinaus reichen und deren eingehender Test den Rahmen dieses Beitrags sprengen würden. IT-Abteilungen können das DCC auch dazu einsetzen, die Agenten remote zu installieren oder sie bei Problemen auch zu reparieren. Weiterhin bietet das Control Center einen Helpdesk-Bereich, in dem Administratoren verschiedene Ansichten auf die installierten Systeme definieren und nutzen können. In dieser Konsole kann die IT dann auch Systeme inventarisieren und Reports generieren. Gut hat uns auch die Unterstützung der Bitlocker-Verschlüsselung gefallen.

Käufer können aus drei Preismodellen auswählen: Beim Modell „Base Security“ zahlt man 4,99 Euro pro Gerät und Monat. Dies umfasst dann neben der Geräte- und Applikationskontrolle unter anderem die Verschlüsselung von Dateien und Verzeichnissen (auch Encryption2Go) sowie Applikationskontrolle, die auf Whitelists basiert. Für „Advanced Security“ muss der Käufer 5,99 Euro pro Gerät und Monat zahlen und erhält zusätzlich die sogenannte „Base Security Plus“, Bitlocker-Management und die Möglichkeit, den Zugriff auf externe Laufwerke nur via externer Anfrage und expliziter Freigabe zu regeln. Schließlich steht noch das Paket „Security Awareness“ bereit, das 2,66 Euro pro Gerät und Monat kostet. Damit stehen dem Anwender insgesamt 30 Security-Kampagnen einschließlich Wissenstest sowie unter anderem eine DSGVO-Schulung für die Mitarbeiter bereit. Auch regelmäßig Updates mit aktuellen IT-Sicherheitsthemen sind Teil des Pakets. Die Buchung aller drei Pakete beläuft sich auf mindestens zwölf Monate. Die Preise für eine On-Premise-Installation teilt das Unternehmen auf Anfrage mit.

Fazit

Nachdem wir uns an das Prinzip der Arbeit mit den insgesamt drei Konsolen, von denen der Administrator nach unseren Erfahrungen zumindest das DriveLock Control Center und die Management-Console installieren und nutzen sollte, gewöhnt hatten, war das Arbeiten mit der Plattform ohne Probleme möglich. Das mit der aktuellen Version 2019.2 auch für die On-Premise- Version bereitstehende, erweiterte Operations Center dürfte allerdings den meisten Administratoren besser gefallen, bietet es doch eine modernere Möglichkeit der Anzeige in einem Browser. Einen sehr guten Eindruck hat die Client-Komponente in Form des Agenten hinterlassen: Die Software arbeitet unter Windows unauffällig und zuverlässig im Hintergrund. Ein weiterer Pluspunkt: Die Agentensoftware ließ sich – soweit der Administrator diese Möglichkeit nicht explizit unterbunden hat – auch problemlos wieder durch Bordmittel entfernen.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen