McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch

Transcrição

Produkthandbuch
Revision A
McAfee Data Loss Prevention Endpoint
9.4.100
Zur Verwendung mit McAfee ePolicy Orchestrator
COPYRIGHT
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
McAfee Data Loss Prevention Endpoint 9.4.100
Produkthandbuch
Inhaltsverzeichnis
Einleitung
Informationen zu diesem Handbuch
Zielgruppe . . . . . . .
Konventionen . . . . . .
Quellen für Produktinformationen .
1
7
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Einführung in McAfee DLP Endpoint
.
.
.
.
7
7
7
8
9
Übersicht über McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . .
Klassifizieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Produktkomponenten und deren Zusammenspiel . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Endpoint-Client-Software . . . . . . . . . . . . . . . . . . . . . . . . .
9
10
12
12
13
14
17
Bereitstellung und Installation
2
Ausbringungsoptionen und -Szenarien
23
Auswahl einer Endpoint-Produktoption . . . . . . . . . . . . . . . . . . . . . . . . .
Empfohlene Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen der Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . .
3
Installieren der McAfee DLP Endpoint-Software
23
25
26
29
Installieren und Lizenzieren der McAfee DLP-Erweiterung . . . . . . . . . . . . . . . . . . 29
Einchecken des McAfee DLP Endpoint-Pakets in McAfee ePO . . . . . . . . . . . . . . . .
30
Konvertieren von Richtlinien und Migrieren von Daten . . . . . . . . . . . . . . . . . . . 31
4
Bereitstellen der Software
Bereitstellen von McAfee DLP Endpoint-Clients . . .
Bereitstellen des McAfee DLP Endpoint-Clients
Überprüfen der Installation . . . . . . . .
Bereitstellen von Richtlinien mit McAfee ePO .
33
. .
über
. .
. .
. . . . .
McAfee ePO
. . . . .
. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
33
35
35
Konfiguration und Verwendung
5
Konfigurieren von Systemkomponenten
41
Richtlinienkatalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten der McAfee DLP-Server-Einstellungen . . . . . . . . . . . . . . . . . . . . .
Definieren eines Servers für die Rechteverwaltung . . . . . . . . . . . . . . . . . . . .
Dokumentieren von Ereignissen mit Nachweis . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Nachweisordnern . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Nachweisordnern . . . . . . . . . . . . . . . . . . . . . . .
Benutzer- und Berechtigungssätze . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP-Berechtigungssätze . . . . . . . . . . . . . . . . . . . . . . . . .
41
41
42
43
45
45
46
47
Produkthandbuch
3
Inhaltsverzeichnis
Erstellen eines McAfee DLP-Berechtigungssatzes . . . . . . . . . . . . . . . . . .
Anwendungsbeispiel: DLP-Administratorberechtigungen . . . . . . . . . . . . . . .
Anwendungsbeispiel: Einschränkung der Anzeige im DLP-Vorfalls-Manager anhand von
Berechtigungen zur Unkenntlichmachung . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von McAfee DLP im Richtlinienkatalog . . . . . . . . . . . . . . . . . . . .
Importieren oder Exportieren der McAfee DLP Endpoint-Konfiguration . . . . . . . . .
Client-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
Schutz von Wechselspeichermedien
Klassifizieren vertraulicher Inhalte
56
57
58
58
58
59
60
63
65
66
67
68
69
69
69
69
69
70
71
71
72
73
75
Das Modul Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelle Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anwendungsbeispiel: Manuelle Klassifizierung . . . . . . . . . . . . . . . . . . .
Verwenden von Klassifizierungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Textextrahierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kategorisierung von Anwendungen in McAfee DLP Endpoint . . . . . . . . . . . . . .
Klassifizierungsdefinitionen und -kriterien . . . . . . . . . . . . . . . . . . . . . . . .
Wörterbuchdefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definitionen für erweiterte Muster . . . . . . . . . . . . . . . . . . . . . . . .
Klassifizieren von Inhalten mit Dokumenteigenschaften oder Dateiinformationen . . . . .
Anwendungsvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen und Konfigurieren von Klassifizierungen . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Klassifizierungskriterien . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Kennzeichnungskriterien . . . . . . . . . . . . . . . . . . . . . .
Zuweisen von Berechtigungen für die manuelle Klassifizierung . . . . . . . . . . . .
Registrierte Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Text in der Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hochladen von registrierten Dokumenten . . . . . . . . . . . . . . . . . . . . . . . .
Hochladen von Dateien zur Aufnahme von Text in die Whitelist . . . . . . . . . . . . . . .
Erstellen von Klassifizierungsdefinitionen . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen oder Importieren einer Wörterbuchdefinition . . . . . . . . . . . . . . . .
Erstellen eines erweiterten Musters . . . . . . . . . . . . . . . . . . . . . . .
4
49
51
51
51
55
Schützen von Geräten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Geräteklassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definieren einer Geräteklasse . . . . . . . . . . . . . . . . . . . . . . . . . .
Ermitteln einer GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Geräteklasse . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerätedefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Gerätedefinitionen . . . . . . . . . . . . . . . . . . . . . . . . .
Device properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gerätesteuerungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für Wechselspeichermedien . . . . . . . . . . . . . . . . . . . . . . .
Plug-and-Play-Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Wechselspeicher-Dateizugriff . . . . . . . . . . . . . . . . . . . .
Festplattenregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Citrix XenApp-Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . .
TrueCrypt-Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Regel für Wechselspeichermedien . . . . . . . . . . . . . . . . . .
Erstellen einer Plug-and-Play-Geräteregel . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Geräteregel für Wechselspeicher-Dateizugriff . . . . . . . . . . . . .
Erstellen einer Festplatten-Geräteregel . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer Citrix-Geräteregel . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer TrueCrypt-Geräteregel . . . . . . . . . . . . . . . . . . . . . .
7
48
49
75
76
76
77
78
79
80
81
82
83
83
84
84
85
85
87
88
88
89
89
90
90
91
Produkthandbuch
Inhaltsverzeichnis
Integrieren von Drittanbieter-Tags in Titus Client . . . . . . . . . . . . . . . . . .
Integration von Boldon James Email Classifier in Klassifizierungskriterien . . . . . . . .
Klassifizieren anhand des Dateispeicherorts . . . . . . . . . . . . . . . . . . . . . . .
Definieren von Netzwerkparametern . . . . . . . . . . . . . . . . . . . . . . .
Klassifizieren anhand des Dateiziels . . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit E-Mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Druckern . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Steuern der auf Websites hochgeladenen Daten . . . . . . . . . . . . . . . . . .
8
Verwenden von Regeln zum Schutz vertraulicher Inhalte
99
Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen und Konfigurieren von Regeln und Regelsätzen . . . . . . . . . . . . . .
Für Regeltypen verfügbare Reaktionen . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Schutz des Zugriffs auf Anwendungsdateien . . . . . . . . . . . . . . . .
Anwendungsbeispiel: Verhindern des Brennens vertraulicher Informationen auf einen
Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den E-Mail-Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Schutz der Netzwerkkommunikation . . . . . . . . . . . . . . . . . . .
Regeln für den Netzwerkfreigabe-Schutz . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Druckerschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Wechselspeicherschutz . . . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Bildschirmaufnahmeschutz . . . . . . . . . . . . . . . . . . . . . . .
Regeln für den Web-Veröffentlichungsschutz . . . . . . . . . . . . . . . . . . . . . .
Endgeräterkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schützen von Dateien mithilfe von Erkennungsregeln . . . . . . . . . . . . . . . .
Funktionsweise des Erkennungs-Scans . . . . . . . . . . . . . . . . . . . . .
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler . . . . . . . . . . . . .
Schützen von Dateien mithilfe der Rechteverwaltung . . . . . . . . . . . . . . . . . . .
Zusammenwirken von McAfee DLP mit der Rechteverwaltung . . . . . . . . . . . .
Unterstützte Rechteverwaltungs-Server . . . . . . . . . . . . . . . . . . . . .
9
92
93
94
95
96
96
97
98
Arbeiten mit Richtlinien
99
100
105
108
108
109
110
111
111
112
113
114
115
115
115
116
120
121
121
123
Verwenden mehrerer Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise von Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten einer DLP-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
124
125
Überwachen und Berichten
10
Überwachen und Melden von Ereignissen
129
DLP-Ereignisverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise des Vorfalls-Managers . . . . . . . . . . . . . . . . . . . . . . . . .
Vorfalltypen und -details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sortieren und Filtern von Vorfällen . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Spaltenansichten . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Vorfallsfiltern . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Details zu Vorfällen . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren eines bestimmten Vorfalls . . . . . . . . . . . . . . . . . . . . .
Aktualisieren mehrerer Vorfälle . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Beschriftungen . . . . . . . . . . . . . . . . . . . . . . . . .
Löschen von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
130
130
132
132
132
133
134
135
135
136
136
137
138
138
139
Produkthandbuch
5
Inhaltsverzeichnis
11
Erfassen und Verwalten von Daten
Bearbeiten von Server-Tasks . . . . . . . . . . . . . . . . . . .
Erstellen eines Tasks Ereignisse bereinigen . . . . . . . . . .
Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung
Erstellen eines Tasks Prüfer festlegen . . . . . . . . . . . .
Überwachen der Task-Ergebnisse . . . . . . . . . . . . . . . . .
12
143
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Erstellen von Berichten
149
Berichtstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Berichtsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vordefinierte Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Datenzusammenfassungs-Server-Tasks . . . . . . . . . . . . . . . . . .
Index
6
143
144
145
146
146
149
149
150
151
153
Produkthandbuch
Einleitung
In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem
McAfee-Produkt.
Inhalt
Quellen für Produktinformationen
In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen
Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Zielgruppe
Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe
verfasst.
Die Informationen in diesem Handbuch richten sich in erster Linie an:
•
Administratoren: Personen, die für die Implementierung und Durchsetzung des
Sicherheitsprogramms eines Unternehmens verantwortlich sind.
•
Sicherheitsbeauftragte: Personen, die sensible und vertrauliche Daten bestimmen sowie die
Unternehmensrichtlinie zum Schutz des geistigen Eigentums des Unternehmens festlegen.
Konventionen
In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet.
Buchtitel, Begriff,
Hervorhebung
Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine
Hervorhebung.
Fett
Text, der stark hervorgehoben wird.
Benutzereingabe, Code,
Meldung
Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein
Code-Beispiel; eine angezeigte Meldung.
Benutzeroberflächentext
Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen,
Menüs, Schaltflächen und Dialogfelder.
Hypertext-Blau
Ein Link auf ein Thema oder eine externe Website.
Hinweis: Zusätzliche Informationen, beispielsweise eine alternative
Methode für den Zugriff auf eine Option.
Tipp: Vorschläge und Empfehlungen.
Produkthandbuch
7
Einleitung
Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres
Computersystems, der Software-Installation, des Netzwerks, Ihres
Unternehmens oder Ihrer Daten.
Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der
Nutzung eines Hardware-Produkts zu vermeiden.
Nach der Veröffentlichung eines Produkts werden Informationen zu dem Produkt im Online-Knowledge
Center von McAfee eingegeben.
Vorgehensweise
8
1
Rufen Sie im McAfee ServicePortal unter http://support.mcafee.com die Registerkarte Knowledge
Center auf.
2
Klicken Sie im Bereich Knowledge Base auf eine Inhaltsquelle:
•
Produktdokumentation für die Suche nach Benutzerdokumentation
•
Technische Artikel für die Suche nach KnowledgeBase-Artikeln
3
Wählen Sie Meine Filter nicht löschen aus.
4
Geben Sie ein Produkt ein, und wählen Sie die Version aus. Klicken Sie dann auf Suchen, um eine
Liste der gewünschten Dokumente anzuzeigen.
Produkthandbuch
1
Datenlecks (engl. "Data Loss") entstehen, wenn vertrauliche oder private Informationen infolge nicht
autorisierter Kommunikation über Anwendungen, physische Geräte oder Netzwerkprotokolle aus dem
Unternehmen gelangen. Die Data Loss Prevention-Software erzwingt vordefinierte Richtlinien zur
Informationssicherheit, um solche Datenlecks zu verhindern.
Zu schützende Daten können anhand von drei Vektoren hilfreich kategorisiert werden: verwendete
Daten, bewegte Daten und ruhende Daten.
Tabelle 1-1
Beschreibungen der Datenvektoren
Datenvektor
Beschreibung
Zugehörige Produkte
Verwendete
Daten
"Verwendete Daten" bezieht sich auf Aktionen
der Benutzer auf Endgeräten, beispielsweise
das Kopieren von Daten und Dateien auf
Wechselspeichermedien, das Drucken von
Dateien über einen lokalen Drucker und das
Erstellen von Bildschirmaufnahmen.
McAfee Data Loss Prevention
Endpoint (McAfee DLP Endpoint)
Bewegte Daten
"Bewegte Daten" bezieht sich auf den in
diesem Moment stattfindenden Datenverkehr
in Ihrem Netzwerk. Der Datenverkehr wird
analysiert, kategorisiert und in der McAfee
Data Loss Prevention-Datenbank (McAfee
DLP) gespeichert.
• McAfee Data Loss Prevention
Monitor (McAfee DLP Monitor)
®
Ruhende Daten
®
®
Prevent (McAfee DLP Prevent)
®
"Ruhende Daten" bezieht sich auf Daten in
Datenbanken, Dateifreigaben und Repositorys.
Discover (McAfee DLP Discover)
McAfee DLP kann ruhende Daten scannen,
verfolgen und Behebungsmaßnahmen für
• McAfee DLP
diese durchführen.
Endpoint-Erkennung
®
Inhalt
Übersicht über McAfee DLP Endpoint
Produktkomponenten und deren Zusammenspiel
McAfee DLP Endpoint-Client-Software
McAfee DLP Endpoint ist eine inhaltsbezogene Agent-Software-Lösung, die die Aktionen von Benutzern
in Unternehmen hinsichtlich ihres Umgangs mit vertraulichen Informationen auf ihren
Arbeits-Computern überprüft.
McAfee DLP schützt vertrauliche Unternehmensinformationen durch die Bereitstellung von Richtlinien,
die aus Definitionen, Klassifizierungen, Regelsätzen und Endgerät-Client-Konfigurationen bestehen.
Anschließend werden die Richtlinien überwacht und ggf. definierte Aktionen blockiert, bei denen
vertrauliche Inhalte verarbeitet werden. Vertrauliche Inhalte können auch verschlüsselt werden, ehe
Produkthandbuch
9
1
die weitere Verarbeitung der Aktion gestattet wird. Schließlich erstellt die McAfee DLP-Software
Berichte für die Überprüfung und Kontrolle des Prozesses, und bei Bedarf können vertrauliche Inhalte
als Nachweise gespeichert werden.
Abbildung 1-1 Der McAfee DLP-Schutzprozess
Klassifizierung, Verfolgung und Schutz erfolgen durch den McAfee DLP Endpoint-Client. Die McAfee
DLP-Erweiterung in McAfee ePO ist für die Konfiguration der Klassifizierungsbedingungen,
Überwachungskriterien und Schutzregeln zuständig, die auf kopierte, gesendete, gedruckte oder vom
verwalteten Endgerätesystem übertragene Daten angewendet werden. Die Überwachung des
Gesamtvorgangs erfolgt durch die McAfee DLP-Erweiterung in Kombination mit der McAfee
ePO-Benutzeroberfläche.
Klassifizieren
Der McAfee DLP-Administrator muss für den Schutz vertraulicher Inhalte zunächst eine Definition und
Klassifizierung der zu schützenden Inhalte erstellen.
Die Klassifizierung von Inhalten erfolgt durch das Definieren von Klassifizierungen und
Klassifizierungskriterien. Klassifizierungskriterien definieren die Bedingungen, anhand derer Daten
nach ihrem tatsächlichen Dateityp, komplexen Mustern (reguläre Ausdrücke in Kombination mit
Validierungsalgorithmen), Wörterbüchern, Stichwörtern, Abstand von Textmustern und Stichwörtern
und nach Dateieigenschaften wie Autor oder Titel klassifiziert werden.
10
Produkthandbuch
1
Quell- oder Zielspeicherort
Sie können Quellen anhand der Anwendung (Anwendungsvorlage)
definieren, die zum Erstellen des Inhalts verwendet wird, oder
anhand der Endbenutzergruppe, die den Inhalt erstellt oder erhält.
Speicherorte können anhand der URL oder Netzwerkfreigabe
definiert werden.
Quellspeicherorte, d. h. speicherortbasierte
Kennzeichnungsregeln, werden in McAfee Device Control nicht
unterstützt.
Datendefinitionen Inhaltstyp
Inhalte können anhand der Anwendung, die die Datei erstellt hat,
der Dokumenteigenschaften, der Dateiinformationen oder anhand
der Eigenschaft Tatsächlicher Dateityp definiert werden.
Spezielle
Begriffe
In Wörterbüchern werden Listen mit vertraulichen Begriffen
definiert. Um beispielsweise private medizinische Daten zu
schützen, enthält das HIPAA-Wörterbuch medizinische Begriffe, die
möglicherweise als vertraulich behandelt werden müssen.
Vordefiniert oder benutzerdefiniert.
Erweiterte
Muster
Erweiterte Muster (Textmuster) können Zeichenfolgen sein, z. B.
Vertraulich – Nur zur internen Verwendung, oder reguläre
Ausdrücke, die zur Erkennung von Kreditkartennummern oder
anderen typischen Mustern verwendet werden.
Sie können E-Mails anhand von Boldon James Email Classifier klassifizieren. Sie können E-Mails oder
andere Dateien anhand von Titus-Klassifizierungs-Clients (Titus Message Classification, Titus
Classification for Desktop und Titus Classification Suite) klassifizieren. Zur Implementierung von
Titus-Unterstützung muss das Titus SDK auf den Endgerät-Computern installiert sein.
In McAfee Device Control wird Klassifizierungs-Software von Drittanbietern nicht unterstützt.
In jeder Regel ist mindestens eine anzuwendende Klassifizierung angegeben. Dazu wird der Inhalt
analysiert und mit den Definitionen in den Klassifizierungs- oder Kennzeichnungskriterien abgeglichen.
Produkthandbuch
11
1
Verfolgen
McAfee DLP kann Inhalte anhand ihres Ursprungs mithilfe zweier Methoden klassifizieren:
Registrierung von Dokumenten und Nutzung von Kennzeichnungskriterien.
Mit diesen Methoden können Sie beispielsweise festlegen, dass alle von der
SharePoint-Entwicklungs-Website heruntergeladenen Dateien verfolgt und als geistiges Eigentum
klassifiziert werden.
•
Registrierte Dokumente
Für die Dokumentregistrierung werden alle Dateien in den angegebenen Repositorys (z. B. auf der
SharePoint-Entwicklungs-Website) vorab gescannt, und es werden Signaturen für die Fragmente
jeder einzelnen Datei in diesen Repositorys erstellt. Diese Signaturen werden anschließend an alle
verwalteten Endgeräte verteilt. Der McAfee DLP Endpoint-Client kann nun jeden beliebigen aus
diesen Dokumenten kopierten Abschnitt verfolgen und entsprechend der Klassifizierung der
registrierten Dokumentsignatur klassifizieren.
Für registrierte Dokumente wird viel Speicherplatz benötigt. Dies kann die Systemleistung
beeinträchtigen, da jedes vom McAfee DLP Endpoint-Client zu prüfende Dokument zur
Identifizierung seiner Herkunft mit allen registrierten Dokumentsignaturen verglichen wird. Um die
Anzahl der Signaturen und die Leistungsbeeinträchtigungen durch diese Methode möglichst gering
zu halten, sollten Sie sie nur zum Verfolgen streng vertraulicher Dokumente einsetzen.
•
Kennzeichnung
•
Die Kennzeichnung ist eine nur in McAfee DLP Endpoint verwendete Methode zur
Inhaltsüberwachung. Hierbei erstellt der Administrator einen Satz von Kennzeichnungskriterien
zum Definieren des Dateispeicherorts sowie eine Klassifizierungskennzeichnung, mit der die von
diesem Speicherort stammenden Dateien markiert werden. Der McAfee DLP Endpoint-Client
verfolgt alle Dateien, die von dem Speicherort aus geöffnet werden, der in den
Kennzeichnungskriterien definiert ist, und erstellt in Echtzeit Signaturen von diesen Dateien, sobald
ein Zugriff auf die Dateien erfolgt. Anschließend werden diese Signaturen zum Verfolgen der
Dateien bzw. der Fragmente der Dateien verwendet. Die Kennzeichnungskriterien können anhand
des Speicherorts (UNC-Pfad oder URL) oder der für den Dateizugriff genutzten Anwendung definiert
werden.
Unterstützung von dauerhaften Tag-Informationen
Tags werden in den erweiterten Dateiattributen (EA) bzw. alternativen Datenströmen (ADS)
gespeichert. Bei jeglichem Zugriff auf diese Dateien verfolgt die McAfee DLP Endpoint-Software
Datenveränderungen und behält die Klassifizierung der vertraulichen Inhalte ungeachtet ihrer
Verwendung dauerhaft bei. Wenn ein Benutzer beispielsweise ein mit einem Tag versehenes
(gekennzeichnetes) Word-Dokument öffnet, einige Absätze daraus in eine Textdatei kopiert und diese
Textdatei dann an eine E-Mail-Nachricht anhängt, weist die ausgehende Nachricht das gleiche Tag auf
wie das ursprüngliche Dokument.
Für Dateisysteme, die keine EA oder ADS unterstützen, speichert die McAfee DLP Endpoint-Software
Tag-Informationen als Metadatei auf der Festplatte. Die Metadateien werden im ausgeblendeten
Ordner "ODB$" gespeichert, der automatisch von der McAfee DLP Endpoint-Client-Software erstellt
wird.
Tags und Kennzeichnungskriterien werden in McAfee Device Control nicht unterstützt.
Schutz
Der Schutz wird im DLP-Richtlinien-Manager unter Regelsätze definiert. Jeder Regelsatz kann mehrere
Regeln zum Datenschutz, zur Gerätesteuerung und zur Erkennung enthalten. Verschiedene Parameter
und die booleschen Operatoren UND, ODER sowie NICHT ermöglichen die Einrichtung von
Regelausnahmen und Filterung.
12
Produkthandbuch
1
Ein Regelsatz muss nicht alle drei Regeltypen enthalten. Zum Definieren eines Regelsatzes reicht eine
Regel eines Typs aus.
Datenschutzregeln
Datenschutzregeln verhindern die nicht autorisierte Weitergabe klassifizierter Daten. Wenn ein
Benutzer versucht, klassifizierte Daten zu kopieren oder anzuhängen, unterbricht McAfee DLP Endpoint
diesen Vorgang und ermittelt anhand der Datenschutzregeln die durchzuführende Aktion. Zu diesen
Aktionen gehören das Zulassen (Keine Aktion), Blockieren und Begründung anfordern. Im letzten Fall
unterbricht McAfee DLP Endpoint den Versuch, und dem Endbenutzer wird ein Dialogfeld angezeigt.
Nachdem der Benutzer eine Begründung für den Vorgang angegeben hat, wird die Verarbeitung
fortgesetzt.
In McAfee Device Control sind nur Wechselspeicher-Schutzregeln verfügbar. Für Endgerät-Computer
unter OS X sind in dieser Version keine Datenschutzregeln verfügbar.
Regeln für die Gerätesteuerung
Regeln für die Gerätesteuerung überwachen das System und blockieren gegebenenfalls das Laden von
physischen Geräten, z. B. von Wechselspeichermedien, Bluetooth-, Wi-Fi- und anderen
Plug-and-Play-Geräten. Gerätesteuerungsregeln bestehen aus Gerätedefinitionen und zugehörigen
Reaktionen und können durch das Filtern der jeweiligen Regel anhand von Endbenutzerdefinitionen
bestimmten Endbenutzergruppen zugewiesen werden.
Regeln zur Erkennung von Endgeräten
Die Endgeräterkennung erfolgt durch Crawling (automatisiertes systematisches Durchsuchen) der
verwalteten Computer. Dabei werden das Dateisystem des lokalen Endgeräts sowie der lokale (im
Cache gespeicherte) E-Mail-Posteingang und PST-Dateien gescannt. Erkennungsregeln für das lokale
Dateisystem und den E-Mail-Speicher geben an, ob entsprechende Inhalte isoliert, gekennzeichnet
oder verschlüsselt werden sollen. Diese Regeln können außerdem definieren, ob die klassifizierte Datei
oder E-Mail als Ereignis an die DLP-Ereignisverwaltung gemeldet werden soll und ob die Datei bzw.
E-Mail als Ereignisnachweis gespeichert werden soll.
Erkennungsregeln werden in McAfee Device Control nicht unterstützt.
Scans des Dateisystems werden auf Server-Betriebssystemen nicht unterstützt.
Richtlinien und deren Bereitstellung
Der Schutz wird durch Zuweisung von Regelsätzen zu einer DLP-Richtlinie im McAfee
ePO-Richtlinienkatalog angewendet. Richtlinien enthalten neben Regelsätzen Informationen und
Definitionen zur Richtlinienzuweisung. Richtlinien werden von der McAfee ePO-Software auf den
verwalteten Computern (Computer, auf denen McAfee Agent installiert ist) des Unternehmens
bereitgestellt.
®
Überwachung
Wenn die Anwendung einer Regel blockiert, überwacht oder eine andere Aktion auslöst, wird ein
Ereignis generiert, an die McAfee ePO-Ereignisanalyse gesendet und in einer Datenbank gespeichert.
Das Ereignis kann zudem einen Nachweis für die Regelverletzung enthalten. Außerdem werden durch
Systemereignisse, wie z. B. Richtlinienbereitstellungen oder Erkennungs-Scans, Verwaltungsereignisse
generiert. Die von McAfee DLP Endpoint erzeugten Ereignisse können in der DLP-Ereignisverwaltung
Produkthandbuch
13
1
überwacht und zum Erstellen von Berichten und Diagrammen verwendet werden. Die so erstellten
Elemente können in den McAfee ePO-Dashboards angezeigt werden. Die Funktion zur
Richtlinienüberwachung umfasst Folgendes:
•
Überwachung von Vorfällen: Auf der Seite DLP-Ereignisverwaltung in McAfee ePO können
Administratoren die eingegangenen Agentenereignisse und Nachweise anzeigen.
•
Überwachung von Verwaltungsereignissen: Auf der Seite Operative DLP-Ereignisse in McAfee
ePO können Administratoren Verwaltungsereignisse anzeigen.
•
Nachweiserfassung: Wenn Schutzregeln zur Erfassung von Nachweisen definiert sind, wird eine
Kopie der gekennzeichneten Daten gespeichert und mit dem entsprechenden Ereignis verknüpft.
Diese Informationen können dabei helfen, den Schweregrad bzw. das Ausmaß der Offenlegung des
Ereignisses zu bestimmen. Der Nachweis wird vor dem Speichern mit dem AES-Algorithmus
verschlüsselt.
•
Hervorheben von Übereinstimmungen: Der Nachweis kann so gespeichert werden, dass der
Text, der das Ereignis ausgelöst hat, hervorgehoben wird. Der Nachweis mit Hervorhebungen wird
als separate, verschlüsselte HTML-Datei gespeichert.
Darüber hinaus können Ereignistrends in den McAfee ePO-Dashboards angezeigt werden.
McAfee DLP Endpoint besteht aus fünf Modulen. Darüber hinaus verwendet die Software den
Richtlinienkatalog, die Server-Tasks, die Server-Einstellungen und die Berechtigungssätze von McAfee
ePO.
McAfee DLP Endpoint 9.4 bietet einen neu strukturierten, feiner abgestuften Workflow.
Klassifizierungen
Im Modul Klassifizierung werden Klassifizierungskriterien und Kennzeichnungskriterien sowie die
Definitionen gespeichert, anhand derer sie konfiguriert werden. In diesem Modul werden zudem
Repositorys für registrierte Dokumente, die Benutzerautorisierung für die manuelle Kennzeichnung
und Text in der Whitelist eingerichtet.
Klassifizierungen werden zum Konfigurieren von Datenschutz- und Endgeräteerkennungsregeln
benötigt.
DLP-Richtlinien-Manager
Im Modul DLP-Richtlinien-Manager werden die Regelsätze, Richtlinienzuweisungen und Definitionen
festgelegt, aus denen eine DLP-Richtlinie besteht.
DLP-Regelsätze definieren Datenschutz, Gerätesteuerung und Erkennungsregeln. Jede Regel in einem
Regelsatz kann eine, zwei oder alle drei Arten von Regeln enthalten. Sie können mehrere Regeln in
einen Regelsatz einschließen und einer DLP-Richtlinie mehrere Regelsätze zuordnen.
14
Produkthandbuch
1
Workflow
Verwenden Sie den folgenden Workflow, um Richtlinien zu erstellen und diese für Endgerät-Computer
bereitzustellen.
1
Erstellen Sie Klassifizierungen und Kennzeichnungskriterien sowie die zu deren Einrichtung
erforderlichen Definitionen. (Sie können beim Definieren von Kriterien ggf. auch Definitionen
erstellen.)
2
Erstellen Sie Datenschutz-, Geräte- und Erkennungsregeln sowie die zu deren Einrichtung
erforderlichen Definitionen.
Bei der Definition von Datenschutz- und Erkennungsregeln muss zudem eine Klassifizierung
zugeordnet werden.
3
Weisen Sie DLP-Richtlinien Regelsätze zu. Erstellen Sie Erkennungs-Scan-Definitionen in den
DLP-Richtlinien.
4
Weisen Sie die Richtlinien in der Systemstruktur zu, und stellen Sie die Richtlinien bereit.
Abbildung 1-2 Workflow
Ereignisverwaltung und operative Ereignisse
Im Modul DLP-Ereignisverwaltung werden Sicherheitsereignisse aus Richtlinienverletzungen angezeigt.
Auf der Seite Details der einzelnen Einträge werden sowohl der in der Client-Konfiguration angegebene
Nachweis als auch angewendete Regeln und Klassifizierungen sowie weitere Details angezeigt. Im
Modul Operative DLP-Ereignisse werden Verwaltungsereignisse wie Bereitstellungen oder
Richtlinienaktualisierungen angezeigt.
Produkthandbuch
15
1
Fallverwaltung
Im Modul Fallverwaltung können Administratoren die Lösung zusammengehöriger Vorfälle
koordinieren.
Bei Vorfällen handelt es sich häufig nicht um Einzelereignisse. Entsprechend können in der
DLP-Ereignisverwaltung mehrere Vorfälle angezeigt werden, die zusammenhängen oder gleiche
Eigenschaften haben. Diese zusammenhängenden Vorfälle können Sie dann einem Fall zuweisen. Ein
Fall kann von mehreren Administratoren überwacht und verwaltet werden, je nachdem, welche
Funktion sie im Unternehmen ausüben.
Richtlinienkatalog
Im Richtlinienkatalog von McAfee ePO werden die Richtlinien gespeichert, die für die
Endgerät-Computer bereitgestellt werden. Wählen Sie zum Anzeigen oder Bearbeiten der McAfee
DLP-Richtlinien Richtlinienkatalog | Produkt | Data Loss Prevention 9.4 aus.
McAfee DLP Endpoint-Richtlinien haben drei Komponenten:
•
DLP-Richtlinie: Enthält Regelsätze, Endgeräterkennungs-Scans sowie Einstellungen für privilegierte
Benutzer, Anwendungsstrategie und Außerkraftsetzungen der Geräteklasse
•
Client-Konfiguration: Enthält Informationen für den Endbenutzer-Computer
Tabelle 1-2 Client-Konfiguration
Einstellung
Hinweise
Erweiterte Konfiguration
Einstellungen für Endgeräte und Zugriffsschutz
Anwendungsdateizugriff-Schutz
Wird zum Hinzufügen von in der Whitelist befindlichen
Prozessen verwendet
Zwischenablageschutz
Aktiviert die Microsoft Office-Zwischenablage, wird zum
Hinzufügen von Prozessen in der Whitelist verwendet
Inhaltsüberwachung
Einstellungen zur Textextrahierung
Unternehmenskonnektivität
Wird zur Konfiguration von VPN-Servern für
Datenschutzoptionen verwendet
Debugging und Protokollierung
Einrichtung von Protokollierung und Speicherabbildern zur
Fehlerbehebung
Erkennung (Endgerät)
Festlegen der Scan-Leistungsparameter und des Präfix für
isolierte E-Mails
E-Mail-Schutz
Einstellungen für E-Mail-Schutzregeln und Integration von
Drittanbieter-Software
Nachweiskopierdienst
Einstellungen für die Freigabe der Nachweisspeicherung, die
Dateigröße und das Nachweisalter
Betriebsmodus und Module
Festlegung des Betriebsmodus für Device Control oder McAfee
DLP Endpoint sowie Aktivierung von Add-Ins und Handlern
Druckschutz
Wird zum Hinzufügen von in der Whitelist befindlichen
Prozessen verwendet
Quarantäne
Einstellungen für Quarantäne-Ordner
Wechselspeicherschutz
Festlegung des Löschmodus für Wechselspeichermedien
Bildschirmaufnahmeschutz
Unterstützt die Bildschirmaufnahmeanwendung
Komponenten der Benutzeroberfläche Definition die Endgerät-Benutzeroberfläche
Web-Veröffentlichungsschutz
16
Legt das Verhalten von HTTP-GET-Anfragen, die unterstützten
Google Chrome-Versionen, die Zeitlimit-Strategie und URLs in
der Whitelist fest
Produkthandbuch
1
Die McAfee DLP Endpoint-Client-Software wird als McAfee Agent-Plug-In bereitgestellt und erzwingt
die in der McAfee DLP-Richtlinie definierten Richtlinien. Die McAfee DLP Endpoint-Client-Software
überprüft die zu überwachenden Benutzeraktivitäten, um das Kopieren oder Übertragen vertraulicher
Daten durch nicht autorisierte Benutzer zu überwachen, zu steuern und zu verhindern. Anschließend
erzeugt sie Ereignisse, die von der McAfee ePO-Ereignisanalyse aufgezeichnet werden.
McAfee DLP Endpoint unter OS X
®
Der McAfee Device Control-Client für OS X verhindert die nicht autorisierte Verwendung von
Wechselmedien, die heutzutage in vielen Unternehmen am weitesten verbreitete und teuerste Ursache
für Datenlecks, auf Macintosh-Computern.
McAfee DLP Endpoint unter Microsoft Windows
Windows-Computer können entweder durch McAfee Device Control oder McAfee DLP Endpoint
geschützt werden. Die McAfee DLP Endpoint-Client-Software verwendet ausgereifte
Erkennungstechnologien, Textmustererkennung und vordefinierte Wörterbücher. Sie erkennt
vertrauliche Inhalte und bietet durch Geräteverwaltung und Verschlüsselung zusätzliche
Kontrollebenen.
IRM-Software (Information Rights Management) schützt vertrauliche Dateien durch Verschlüsselung
und Verwaltung der Zugriffsberechtigungen. McAfee DLP Endpoint unterstützt Microsoft Rights
Management Service (RMS) und Seclore FileSecure als zusätzliche Datenschutzmethoden.
Üblicherweise wird das Kopieren von nicht IRM-geschützten Dateien verhindert.
Klassifizierungs-Software überprüft, ob E-Mails und andere Dateien einheitlich klassifiziert und für den
Schutz gekennzeichnet sind. McAfee DLP Endpoint lässt sich in Titus Message Classification und Boldon
James Email Classifier für Microsoft Outlook integrieren, sodass Sie E-Mail-Schutzregeln auf der
Grundlage der angewendeten Klassifizierungen erstellen können. Über das Titus SDK kann es auch in
andere Titus-Klassifizierungs-Clients integriert werden, sodass Sie weitere Schutzregeln erstellen
können, die auf den angewendeten Titus-Klassifizierungen beruhen.
Unterstützung von Sprachausgabe
Das weit verbreitete Sprachausgabeprogramm JAWS (Job Access With Sound) für Computer-Benutzer
mit Sehschwäche wird auf Endgerät-Computern unterstützt. Unterstützt werden folgende McAfee DLP
Endpoint-Funktionen:
•
Pop-Up-Benachrichtigung für Endbenutzer: Wenn für das Pop-Up-Dialogfeld festgelegt ist,
dass es manuell geschlossen werden muss (im DLP-Richtlinien-Manager), wird der Text des
Dialogfelds vorgelesen, damit Personen mit Sehschwäche durch die Schaltflächen und Links
navigieren können.
•
Begründungsdialogfeld für Endbenutzer: Im Kombinationsfeld kann mit der Tabulatortaste
navigiert werden, und die gewünschte Begründung kann mit den Pfeiltasten ausgewählt werden.
•
Registerkarte Benachrichtigungsverlauf der Endbenutzerkonsole: Bei Auswahl dieser
Registerkarte wird von JAWS der Text "Notification history tab selected" gesprochen ("Registerkarte
'Benachrichtigungsverlauf' ausgewählt"; Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein
Inhalt vorhanden, für den Aktionen durchgeführt werden müssen. Alle im rechten Fensterbereich
aufgeführten Informationen werden vorgelesen.
•
Registerkarte Erkennung der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von
JAWS der Text "Discovery tab selected" gesprochen ("Registerkarte 'Erkennung' ausgewählt";
Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen
durchgeführt werden müssen. Alle im rechten Fensterbereich aufgeführten Informationen werden
vorgelesen.
Produkthandbuch
17
1
•
Registerkarte Tasks der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS
der Text "Tasks tab selected" gesprochen ("Registerkarte 'Tasks' ausgewählt"; Sprachausgabe ist
nur auf Englisch verfügbar). Mit der Tabulatortaste kann durch alle Schritte navigiert werden.
Hierbei werden die jeweils erforderlichen Anweisungen vorgelesen.
•
Registerkarte Info der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS
der Text "About tab selected" gesprochen ("Registerkarte 'Info' ausgewählt"; Sprachausgabe ist nur
auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen durchgeführt werden
müssen. Alle im rechten Fensterbereich aufgeführten Informationen werden vorgelesen.
Online-/Offline-Betrieb
Sie können verschiedene Geräte- und Schutzregeln anwenden, je nachdem, ob der verwaltete
Computer online (mit dem Unternehmensnetzwerk verbunden) oder offline (nicht mit dem
Unternehmensnetzwerk verbunden) ist. Bei einigen Regeln können Sie zudem zwischen Computern im
Netzwerk und Computern, die über VPN mit dem Netzwerk verbunden sind, unterscheiden.
Mehrere Benutzersitzungen
Die McAfee DLP Endpoint-Client-Software unterstützt die schnelle Benutzerumschaltung mit mehreren
Benutzersitzungen auf den Windows-Betriebssystemversionen, die diese Funktion unterstützen. Die
Unterstützung von virtuellen Desktops kann auch zu mehreren Benutzersitzungen auf einem
Host-Computer führen.
Ereignisanalyse
Von der McAfee DLP Endpoint-Client-Software generierte Ereignisse werden an die McAfee
ePO-Ereignisanalyse gesendet und in den Tabellen in der McAfee ePO-Datenbank erfasst. Ereignisse
werden zur weiteren Analyse in der Datenbank gespeichert und von anderen Systemkomponenten
verwendet.
Endpoint-Konsole
Die Endpoint-Konsole stellt Benutzern Informationen bereit und erleichtert die Selbsthilfe bei
Problemen. Sie wird auf der Registerkarte Client-Konfiguration | Benutzeroberflächendienst
konfiguriert.
Auf Windows-Computern wird die Konsole über das Taskleistensymbol durch Auswahl von Funktionen
verwalten | DLP Endpoint-Konsole aktiviert. Die vollständig konfigurierte Konsole verfügt über vier
Registerkarten:
18
•
Benachrichtigungsverlauf: Hier werden Ereignisse sowie Details aggregierter Ereignisse
angezeigt.
•
Erkennung: Hier werden Details der Erkennungs-Scans angezeigt.
•
Aufgaben: Hier können ID-Codes generiert und Freigabecodes für die Agentenumgehung und die
Freigabe aus der Quarantäne generiert werden.
•
Info: Hier werden Informationen zum Agentenstatus, zur aktiven Richtlinie, zur Konfiguration
sowie zur Computer-Zuweisungsgruppe (einschließlich Revisions-ID-Nummern) angezeigt.
Produkthandbuch
1
Auf OS X-Endgeräten wird die Konsole über das McAfee-Menulet in der Statusleiste aktiviert. Das
Dashboard ist in andere installierte McAfee-Software wie McAfee VirusScan for Mac integriert und
zeigt eine Übersicht über den Status aller installierten McAfee-Software-Produkte. Auf der Seite
Verlauf werden aktuelle McAfee-Software-Ereignisse angezeigt. Klicken Sie auf einen Eintrag, um die
entsprechenden Details anzuzeigen.
®
®
Abbildung 1-3 Anzeige auf OS X-Endgeräten
Sie aktivieren den Bildschirm für die Agentenumgehung, indem Sie im Menulet Voreinstellungen
auswählen.
Produkthandbuch
19
1
20
Produkthandbuch
Bestimmen Sie die für Ihre Umgebung geeignete Bereitstellungsmethode,
installieren Sie die Software, und stellen Sie die McAfee DLP Endpoint-Clients
dann auf den Unternehmens-Computern bereit.
Kapitel 2
Kapitel 3
Kapitel 4
Produkthandbuch
21
22
Produkthandbuch
2
Das Klassifizieren von Unternehmensinformationen in verschiedene Datenleckpräventions-Kategorien
ist ein essentieller Schritt bei der Bereitstellung und Verwaltung der McAfee Data Loss Prevention
Endpoint-Software. Hierfür gibt es zwar Richtlinien und bewährte Vorgehensweisen, dennoch hängt
das optimale Schema von den Zielen und Erfordernissen Ihres Unternehmens ab und ist daher für jede
Installation individuell. Als erstes müssen Sie zwischen den beiden DLP-Optionen – McAfee Device
Control und die McAfee DLP Endpoint-Vollversion – auswählen.
Da es oft schwierig ist, die Anforderungen im Vorfeld zu bestimmen, wird empfohlen, die Software
zunächst etwa einen Monat lang für eine Testgruppe von 15 bis 20 Benutzern bereitzustellen. Während
dieses Testzeitraums werden keine Daten klassifiziert, und es wird eine Richtlinie erstellt, mit der
Transaktionen überwacht, aber nicht blockiert werden. Anhand der so erfassten Überwachungsdaten
können die Sicherheitsbeauftragten gezielt entscheiden, an welchen Stellen und mit welchen Verfahren
Unternehmensdaten klassifiziert werden sollen. Die auf Grundlage dieser Informationen erstellten
Richtlinien sollten dann mit einer größeren Testgruppe (bzw. in sehr großen Unternehmen mit einer
Reihe von immer größeren Gruppen) getestet werden, bevor sie für das gesamte Unternehmen
bereitgestellt werden.
Die McAfee DLP Endpoint-Software zur Richtlinienerstellung und -überwachung wird in McAfee ePO
installiert. Bei einer einfachen Installation wird ein einzelner McAfee ePO-Server mit Microsoft SQL
Server verwendet, bei größeren Unternehmen sind jedoch auch Installationen mit mehreren Servern
oder in Cluster-Umgebungen möglich.
McAfee DLP Endpoint-Client-Software kann auf Microsoft Windows-Servern, -Workstations
und -Laptops in der Device Control-Version oder der vollständigen McAfee DLP Endpoint-Version
bereitgestellt werden.
Für OS X-Computer ist derzeit eine Device Control-Version verfügbar.
Inhalt
Auswahl einer Endpoint-Produktoption
Empfohlene Installation
Überprüfen der Systemanforderungen
McAfee bietet mehrere McAfee ePO-basierte Data Loss Prevention-Optionen. Die Produkte verwenden
die gleiche installierte Software und unterscheiden sich hinsichtlich der Lizenz.
Erläuterung der McAfee DLP-Optionen
Die McAfee DLP-Software ist in zwei Device Control-Konfigurationen erhältlich, McAfee DLP
Endpoint-Vollversion und McAfee Data Loss Prevention Discover (McAfee DLP Discover).
®
Produkthandbuch
23
2
•
McAfee Device Control für kleine und mittlere Unternehmen: bietet nur Device Control
•
McAfee Device Control für große Unternehmen: Bietet zusätzlich zu Device Control
Wechselspeicher-Schutzregeln (inhaltsbezogene Regeln).
•
Datenschutz und Gerät: McAfee DLP Endpoint-Vollversion, einschließlich Endgeräterkennung.
•
McAfee DLP Discover: Bietet Netzwerkerkennungs-Crawling und kann allein oder zusammen mit
Device Control oder McAfee DLP Endpoint installiert werden.
Die aktuelle Version unterstützt für OS X nur die Device Control-Optionen.
Was ist McAfee Device Control?
Die Device Control-Software verhindert die nicht autorisierte Verwendung von Wechselmedien, die
heutzutage in vielen Unternehmen am weitesten verbreitete und teuerste Ursache für Datenlecks.
Die Device Control-Software bietet folgende Funktionen:
•
Dauerhafter Datenschutz für Geräte: Die Software steuert, welche Daten auf
Wechselspeichermedien kopiert werden können, indem sie nach Benutzer, Dateierweiterung oder
Dateinamen filtert; zudem werden die Geräte selbst gesteuert, indem sie vollständig blockiert oder
mit einem Schreibschutz versehen werden. Sie blockiert Anwendungen, die von
Wechselspeichermedien ausgeführt werden.
•
Mobiler Schutz: Für USB-Laufwerke, iPods, Bluetooth-Geräte, CDs, DVDs und andere
Wechseldatenträger und für externe Festplatten.
Device Control für OS X ist in der aktuellen Version auf Regeln für Wechselspeichermedien beschränkt.
Was ist McAfee Device Control mit inhaltsbezogenen Regeln?
Device Control mit inhaltsbezogenen Regeln bietet folgende Funktionen:
Persistenter inhaltsbezogener Datenschutz für Geräte: Bietet eine zusätzliche
Steuerungsmöglichkeit anhand des Inhalts der Daten, die auf Geräte kopiert werden. Hierfür können
erweiterte Muster, Wörterbücher, Dokumenteigenschaften und Dateiinformationen verwendet werden.
Was ist die McAfee DLP Endpoint-Vollversion?
Die McAfee DLP Endpoint-Software bietet folgende Funktionen:
24
•
Allgemeiner Schutz: Schützt vor Datenlecks über eine breite Auswahl potenzieller Kanäle:
Wechselspeichermedien, externe Festplatten, E-Mails und E-Mail-Anhänge, Web-Veröffentlichungen,
Zwischenablage, Bildschirmaufnahmen, Drucken, Dateisystem usw.
•
Persistenter inhaltsbezogener Datenschutz: Schützt unabhängig von dem Format, in dem
Daten gespeichert oder geändert werden, vor Datenlecks. Erzwingt Richtlinien für den Schutz vor
Datenlecks, ohne Benutzer bei rechtmäßigen Aktivitäten zu stören.
•
Mobiler Schutz: Verhindert die Übertragung vertraulicher Daten von Desktop-Computern und
Laptops, unabhängig davon, ob diese gerade mit dem Unternehmensnetzwerk verbunden sind oder
außerhalb des Netzwerks verwendet werden.
Produkthandbuch
2
Für eine einfache McAfee DLP Endpoint-Implementierung wird die Installation auf einem McAfee
ePO-Server empfohlen.
Bei komplexeren Installationen können Sie sich im McAfee ePolicy Orchestrator Hardware Sizing and
Bandwidth Usage Guide (Handbuch zur Hardware-Dimensionierung und Bandbreitennutzung)
informieren, ob ein separater Server für die McAfee ePO-Datenbank empfohlen wird.
Abbildung 2-1
McAfee DLP Endpoint-Komponenten und deren Beziehungen
Empfohlene Architektur:
•
McAfee ePO-Server: hostet die integrierten Konsolen für McAfee DLP Endpoint, die
Ereignisverwaltung und die operativen Ereignisse und kommuniziert mit der McAfee Agent-Software
auf den Endgerät-Computern
•
McAfee ePO-Ereignisanalyse: kommuniziert mit dem McAfee Agent und speichert
Ereignisinformationen in einer Datenbank
•
DLP-Ereignisanalyse: erfasst McAfee DLP Endpoint-Ereignisse aus der McAfee
ePO-Ereignisanalyse und speichert sie in DLP-Tabellen in der SQL-Datenbank
•
ePO-Datenbank: kommuniziert mit dem McAfee ePO-Richtlinien-Distributor zur Verteilung von
Richtlinien und mit der DLP-Ereignisanalyse zur Erfassung von Ereignissen und Nachweisen
•
Administrator-Workstation: greift über einen Browser auf McAfee ePO und die McAfee DLP
Endpoint-Richtlinienkonsole zu
•
Verwaltetes Endgerät: wendet die Sicherheitsrichtlinien mithilfe der folgenden Software an:
•
McAfee DLP Endpoint-Client: ein McAfee Agent-Plug-In, das die McAfee DLP
Endpoint-Richtlinien und -Prozesse bereitstellt
•
McAfee Agent : stellt den Kommunikationskanal zwischen dem McAfee ePO-Server und der
McAfee DLP Endpoint-Client-Software bereit
Produkthandbuch
25
2
Die folgende Hardware wird zum Ausführen der McAfee DLP Endpoint-Software für Windows und Mac
empfohlen.
Tabelle 2-1 Hardware-Anforderungen
Hardware-Typ
Spezifikationen
Server
• RAM: mindestens 1 GB (2 GB empfohlen)
• Festplatte: mindestens 80 GB
Endgerät-Computer • RAM: mindestens 1 GB (2 GB empfohlen)
• Festplatte: mindestens 300 MB freier Festplattenspeicher (500 MB
empfohlen)
Netzwerk
LAN mit 100 Mbit für alle Workstations und den McAfee ePO-Server
Die folgenden Betriebssysteme werden unterstützt.
Tabelle 2-2 Unterstützte Betriebssysteme
Computer-Typ
Software
Endgerät-Computer Microsoft Windows-Betriebssysteme
• Windows 7 SP1 (32 Bit oder
64 Bit)
• Windows Server 2008 R2 SP1
(64 Bit)
• Windows 8 oder 8.1 (32 Bit oder
64 Bit)
• Windows Server 2012 (64 Bit)
• Windows 10 (32 Bit oder 64 Bit)
• Windows Server 2012 R2
(64 Bit)
• Windows Server 2008 SP2
(32 Bit oder 64 Bit)
Dateisystem-Erkennungsregeln und Regeln zum Schutz der
Netzwerkkommunikation werden auf Servern nicht unterstützt.
Apple OS X-Betriebssysteme (nur Device Control)
• OS X Mountain Lion 10.8.0 oder höher
• OS X Mavericks 10.9.0 oder höher
• OS X Yosemite 10.10.0 oder höher
Für OS X Yosemite 10.10 ist McAfee Agent 4.8 Patch 2 oder höher bzw.
McAfee Agent 5.0 oder höher erforderlich.
• OS X El Capitan 10.11
Für OS X El Capitan 10.11 ist McAfee Agent 4.8.0.1938 (Patch 3)
erforderlich. In den Versionshinweisen zu McAfee Data Loss Prevention
Endpoint 9.4.100 finden Sie wichtige Informationen zur Installation.
Der Benutzer, der die McAfee DLP Endpoint-Software auf den Servern installiert, muss Mitglied der
lokalen Administratorgruppe sein.
Die folgenden virtuellen Betriebssysteme werden unterstützt.
26
Produkthandbuch
2
Tabelle 2-3 Unterstützte virtuelle Betriebssysteme
Systemtyp
Software
VDI-Systeme
• Citrix XenDesktop 5.5, 5.6, 7.0 und 7.5
• VMware View 5.3, 6.0 und 6.2
Remote-Desktops
• Citrix XenApp 6.0, 6.5 Feature Pack 2 und 7.6
• Microsoft Remotedesktop
Die folgende Software ist auf Servern erforderlich, auf denen die McAfee DLP
Endpoint-Richtlinienkonsole ausgeführt wird.
Tabelle 2-4 Anforderungen an die Server-Software
Software
Unterstützte Versionen
McAfee ePO
• 4.6.9 oder höher
• 5.1.1 oder höher
• 5.3
Wenn Sie McAfee ePO in Microsoft Internet Explorer ausführen, müssen Sie
Version 10.0 oder höher verwenden.
McAfee Agent • 4.8.2 oder höher
• 5.0 oder höher
McAfee Agent for Mac
• 4.6 Patch 3 oder höher
• 4.8 Patch 2 oder höher
• 5.0 oder höher
Für OS X Yosemite 10.10 ist McAfee Agent 4.8 Patch 2 oder höher bzw. McAfee
Agent 5.0 oder höher erforderlich. Für OS X El Capitan 10.11 ist McAfee
Agent 4.8.0.1938 (Patch 3) erforderlich.
Das McAfee DLP Endpoint-Paket DLP_Mgmt_9.4_Package.zip enthält die Erweiterungen, die über
McAfee ePO installiert werden.
Der McAfee DLP Endpoint-Client (McAfee Agent-Plug-In) umfasst die Dateien zur Verteilung der
Client-Software an Endgerät-Computer aus dem McAfee ePO-Repository: HDLP_Agent_9_4_0_x.zip für
Microsoft Windows sowie DLPAgentInstaller.zip für Mac OS X.
Produkthandbuch
27
2
28
Produkthandbuch
3
Installieren der McAfee DLP EndpointSoftware
Die McAfee DLP Endpoint-Konsole ist vollständig in McAfee ePO integriert. McAfee DLP
Endpoint-Clients werden durch McAfee ePO für die Computer im Unternehmen bereitgestellt.
Inhalt
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Einchecken des McAfee DLP Endpoint-Pakets in McAfee ePO
Konvertieren von Richtlinien und Migrieren von Daten
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Die Erweiterung stellt die Benutzeroberfläche zum Konfigurieren von McAfee DLP in McAfee ePO bereit.
Bevor Sie beginnen
•
Laden Sie die McAfee DLP-Erweiterung von der McAfee-Download-Website herunter.
Sie können auch in McAfee ePO Menü | Software | Software-Manager aufrufen, um die Software
anzuzeigen, herunterzuladen und zu installieren.
•
Der Name des McAfee ePO-Servers muss in den Sicherheitseinstellungen von Internet
Explorer in der Liste "Vertrauenswürdige Sites" aufgeführt sein.
Vorgehensweise
Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1
Wählen Sie in McAfee ePO Menü | Software | Erweiterungen aus, und klicken Sie dann auf Erweiterung
installieren.
2
Navigieren Sie zur ZIP-Datei mit der Erweiterung, und klicken Sie auf OK.
Daraufhin öffnet sich das Installationsdialogfeld mit den Dateiparametern. Vergewissern Sie sich,
dass Sie die richtige Erweiterung installieren.
3
Klicken Sie auf OK. Die Erweiterung wird nun installiert.
4
Sie können zur individuellen Anpassung Lizenzen und Komponenten installieren.
Durch die Installation der Lizenz werden die zugehörigen McAfee ePO-Komponenten und die
Richtlinien des McAfee ePO-Richtlinienkatalogs aktiviert. Folgende Lizenzoptionen sind verfügbar:
•
McAfee Device Control
•
McAfee DLP Endpoint (umfasst McAfee Device Control)
Produkthandbuch
29
3
•
McAfee DLP Discover
•
McAfee Device Control plus McAfee DLP Discover
•
McAfee DLP Endpoint plus McAfee DLP Discover
a
Wählen Sie Menü | Datenschutz aus.
b
Wählen Sie DLP-Richtlinien-Manager oder McAfee DLP Discover aus, und klicken Sie auf Ja, wenn Sie zur
Eingabe der Lizenz aufgefordert werden.
Daraufhin öffnet sich die Seite Server-Einstellungen | Data Loss Prevention.
5
c
Geben Sie im Feld Schlüssel die Lizenz ein, und klicken Sie anschließend auf Hinzufügen.
d
Fügen Sie ggf. eine weitere Lizenz hinzu.
Geben Sie im Feld Standard-Nachweisspeicherung den entsprechenden Speicherpfad ein.
Beim Pfad für die Nachweisspeicherung muss es sich um einen Netzwerkpfad im Format \\[Server]\
[lokalerPfad] handeln. Dieser Schritt ist zum Speichern der Einstellungen und zum Aktivieren der
Software erforderlich.
6
Klicken Sie auf Speichern.
Die McAfee DLP-Module werden entsprechend der Lizenz unter Menü | Datenschutz angezeigt.
Siehe auch
Erstellen von Nachweisordnern auf Seite 45
Bearbeiten der McAfee DLP-Server-Einstellungen auf Seite 41
Konfigurieren von Nachweisordnern auf Seite 45
Auf allen Computern des Unternehmens mit Daten, die durch McAfee geschützt werden, muss der
McAfee Agent installiert sein. Dadurch wird der Computer zu einem verwalteten Computer. Für den
Schutz vor Datenlecks müssen Sie zudem das McAfee DLP Endpoint-Plug-In für McAfee Agent
bereitstellen. Die Installation kann über die McAfee ePO-Infrastruktur durchgeführt werden.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Software | Master-Repository aus.
2
Wählen Sie im Master-Repository Paket einchecken aus.
3
Wählen Sie als Pakettyp Produkt oder Aktualisierung (.zip) aus. Klicken Sie auf Durchsuchen.
•
Navigieren Sie für Microsoft Windows-Client zu ...\HDLP_Agent_9_4_0_xxx.zip
•
Navigieren Sie für Mac OS X-Clients zu ...\DLPAgentInstaller
4
Klicken Sie auf Weiter.
5
Überprüfen Sie die auf der Seite Paket einchecken angezeigten Details, und klicken Sie dann auf
Speichern.
Das Paket wird nun dem Master-Repository hinzugefügt.
30
Produkthandbuch
3
In McAfee DLP Endpoint 9.4 werden neue Schemas verwendet, die nicht mit den in McAfee DLP
Endpoint 9.3 verwendeten Formaten für Richtlinien und Ereignisse kompatibel sind. Sie können
Richtlinien und Daten mit McAfee ePO-Server-Tasks in das neue Schema migrieren.
Bevor Sie beginnen
Sie müssen auf McAfee DLP Endpoint 9.3 Patch 5 (9.3.500) oder höher aktualisieren, bevor
Sie Richtlinien konvertieren oder Daten zu McAfee DLP Endpoint 9.4.100 migrieren.
Der Richtlinienkonvertierungs-Task konvertiert nur Regeln, die aktiviert sind und auf die
Datenbank angewendet werden. Überprüfen Sie vor der Konvertierung der McAfee
DLP 9.3-Richtlinie den Status der zu konvertierenden Regeln.
Installieren Sie zuerst die McAfee DLP 9.4.100-Erweiterung in McAfee ePO, und führen Sie dann den
DLP-Richtlinienkonvertierungs-Task aus. Da die Migrations-Tasks den Prozessor stark auslasten,
empfiehlt es sich, diese Tasks für das Wochenende oder andere Zeiträume außerhalb der
Geschäftszeiten zu planen.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus.
2
Wählen Sie DLP-Richtlinienkonvertierung aus, und klicken Sie dann auf Aktionen | Ausführen.
Daraufhin öffnet sich die Seite Server-Task-Protokoll, auf der Sie die Ausführung des Tasks
überprüfen können.
Wenn der Task schon einmal ausgeführt wurde, schlägt er nun fehl. Wenn Sie an der McAfee
DLP 9.3-Richtlinie Änderungen vornehmen und die Konvertierung erneut durchführen möchten,
müssen Sie den Server-Task zunächst bearbeiten, indem Sie auf der Seite Aktionen die Option
Richtlinienkonvertierung nicht durchführen, wenn der Regelsatz '[9.3] Policy Conversion Rule Set' vorhanden ist deaktivieren.
Der vorherige Regelsatz wird dann gelöscht und ersetzt.
3
Kehren Sie auf die Seite Server-Tasks zurück, wählen Sie DLP – Migration von Vorfällen aus, und klicken Sie
dann auf Aktionen | Bearbeiten.
Der Migrations-Task für DLP – Migration von operativen Ereignissen kann auf die gleiche Art und Weise
ausgeführt werden.
4
Wählen Sie Planungsstatus | Aktiviert aus, und klicken Sie dann zweimal auf Weiter.
Die Migration ist bereits programmiert, sodass Sie die Seite Aktionen überspringen können.
5
Wählen Sie einen Planungstyp und eine Häufigkeit aus. Es wird die Auswahl von Planungstyp |
Stündlich empfohlen. Legen Sie ein Startdatum und ein Enddatum für einen Zeitraum außerhalb der
Geschäftszeiten bzw. der Zeiten mit hohem Datenverkehrsaufkommen fest, und planen Sie die
stündliche Ausführung des Tasks.
Die Migration von Vorfällen erfolgt in Paketen von jeweils 200.000 Elementen. Planen Sie die
Wiederholungen des Tasks entsprechend der Größe der zu migrierenden Vorfallsdatenbank.
6
Klicken Sie zum Überprüfen der Einstellungen auf Weiter, und klicken Sie dann auf Speichern.
Siehe auch
Bearbeiten von Server-Tasks auf Seite 143
Produkthandbuch
31
3
32
Produkthandbuch
4
Zum Anwenden von Richtlinien und Durchführen von Scans müssen Sie die Software zunächst auf den
Endgerät-Computern und Servern bereitstellen.
Es empfiehlt sich, die Software über McAfee ePO bereitzustellen. Sollte die Bereitstellung mittels
McAfee ePO nicht möglich sein, können Sie die Software jedoch auch manuell bereitstellen.
Bereitstellen von McAfee DLP Endpoint-Clients
McAfee DLP Endpoint-Richtlinien werden vom McAfee Agent auf den Endgerät-Computern erzwungen.
Der erste Schritt besteht im Bereitstellen der McAfee DLP Endpoint-Client-Software, einem McAfee
Agent-Plug-In, auf den Endgeräten.
Bereitstellen des McAfee DLP Endpoint-Clients über McAfee ePO
Vor dem Zuweisen von Richtlinien muss der McAfee DLP Endpoint-Client über McAfee ePO auf den
Endgerät-Computern bereitgestellt werden.
Bevor Sie beginnen
Vor der Bereitstellung von McAfee DLP Endpoint muss eine aktuelle Version von McAfee
Agent in McAfee ePO installiert und auf den Ziel-Computern bereitgestellt werden:
•
Installieren Sie auf Endgerät-Computern unter Microsoft Windows McAfee Agent 4.8
Patch 3 oder 5.0.2.
•
Installieren Sie auf Endgerät-Computern unter Mac OS X McAfee Agent for Mac 4.6
Patch 3 oder höher. Unter OS X 10.10 ist McAfee Agent 4.8 Patch 2 oder höher bzw. 5.0
erforderlich. Unter OS X 10.11 muss McAfee Agent 4.8.0 Patch 3 installiert werden.
In der McAfee ePO-Dokumentation wird beschrieben, wie die Version ermittelt und ggf.
installiert wird.
Produkthandbuch
33
4
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Systemstruktur aus.
2
Wählen Sie in der Systemstruktur die Ebene aus, auf der McAfee DLP Endpoint bereitgestellt werden
soll.
Wenn Sie als Ebene Eigene Organisation eingestellt lassen, erfolgt die Bereitstellung auf allen
Workstations, die durch McAfee ePO verwaltet werden.
Wenn Sie eine Ebene unter Eigene Organisation auswählen, werden im Fenster auf der rechten Seite
die verfügbaren Workstations angezeigt. Sie können McAfee DLP Endpoint auch auf einzelnen
Workstations bereitstellen.
3
Öffnen Sie den Assistenten Generator für Client-Tasks, indem Sie zunächst auf die Registerkarte
Zugewiesene Client-Tasks klicken. Wählen Sie Aktionen | Neue Client-Task-Zuweisung aus.
Daraufhin öffnet sich der Assistent Generator für Client-Tasks.
4
34
Füllen Sie die Felder im Generator für Client-Tasks aus:
•
Wählen Sie im Feld Produkt die Option McAfee Agent aus.
•
Wählen Sie im Feld Task-Typ die Option Produktbereitstellung aus.
5
Klicken Sie auf Neuen Task erstellen.
6
Wählen Sie im Feld Produkte und Komponenten die Option Data Loss Prevention 9.4 aus. Das Feld Aktion wird
automatisch auf Installieren zurückgesetzt. Klicken Sie auf Speichern.
7
Ändern Sie den Planungstyp in Sofort ausführen. Klicken Sie auf Weiter.
8
Überprüfen Sie die Task-Zusammenfassung. Wenn alles korrekt ist, klicken Sie auf Speichern. Der
Task ist nun für die nächste Aktualisierung der Richtlinie durch den McAfee Agent geplant. Führen
Sie zum Erzwingen einer sofortigen Installation einen Aufruf zur Agentenreaktivierung aus.
9
Starten Sie nach der Bereitstellung von McAfee DLP Endpoint die verwalteten Computer neu.
Produkthandbuch
4
Überprüfen der Installation
Nach der Installation der McAfee DLP Endpoint-Software sollten Sie die Installation in der Konsole
Operative DLP-Ereignisse überprüfen.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Operative DLP-Ereignisseaus. Klicken Sie auf ein Ereignis,
um die entsprechenden Details anzuzeigen.
Abbildung 4-1 Operative DLP-Ereignisse – Detailbereich
2
Sie können Details zur installierten McAfee DLP Endpoint-Client-Software aufrufen, indem Sie auf
dem Endgerät-Computer über das McAfee Agent-Taskleistensymbol Info auswählen. Scrollen Sie
durch die Informationen für McAfee DLP Endpoint.
Bereitstellen von Richtlinien mit McAfee ePO
McAfee DLP Endpoint-Richtlinien enthalten Regelsätze, Klassifizierungen, Definitionen sowie Clientund Server-Konfigurationen.
McAfee DLP Endpoint funktioniert mit den folgenden Richtlinien:
•
DLP-Richtlinie
•
Client-Konfiguration
Jeder dieser Richtlinien wird bei der Erstellung die Revisionsnummer 1 zugewiesen. Diese Nummer
wird bei jeder Änderung der Richtlinie erhöht. Die Revisionsnummer ist für die Fehlerbehebung wichtig
und sorgt dafür, dass Richtlinienänderungen tatsächlich auf die Endgerät-Computer angewendet
werden. Sie wird auch bei Anforderung eines Schlüssels für die Umgehung des Clients oder eines
Deinstallationsschlüssels verwendet. In der DLP Endpoint-Konsole auf dem Client-Computer werden
die aktuellen Revisionsnummern der Richtlinien angezeigt.
Vor der Anwendung einer Richtlinie sollten Sie Folgendes überprüfen:
Produkthandbuch
35
4
•
Sind alle Einstellungen ordnungsgemäß konfiguriert?
•
Sind alle Regeln aktiviert?
•
Sind jeder Regel Endbenutzergruppen (sofern erforderlich) zugewiesen?
Aufgaben
•
Zuweisen einer Richtlinie oder Client-Konfiguration auf Seite 36
In McAfee ePO eingerichtete Richtlinien müssen vor der Verwendung den verwalteten
Computern zugewiesen und für diese bereitgestellt werden.
•
Aktualisieren der Richtlinie auf Seite 36
Die Bereitstellung der Systemrichtlinie erfolgt über den McAfee ePO-Server, und die
Richtlinien auf den verwalteten Computern werden entsprechend den McAfee
Agent-Einstellungen aktualisiert. Sie können die Aktualisierung jedoch auch jederzeit in
McAfee ePO durchführen, ohne die geplante Aktualisierung abzuwarten.
Zuweisen einer Richtlinie oder Client-Konfiguration
In McAfee ePO eingerichtete Richtlinien müssen vor der Verwendung den verwalteten Computern
zugewiesen und für diese bereitgestellt werden.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Systemstruktur aus.
2
Navigieren Sie zum Verzeichnis mit den Computern, denen eine Richtlinie zugewiesen werden soll,
und wählen Sie diese aus.
3
Wählen Sie Aktionen | Agent | Agenten reaktivieren aus.
4
Wählen Sie Aufruf zur Agentenreaktivierung aus, und setzen Sie den Zufallsgenerator auf 0 Minuten. Klicken
Sie auf OK.
5
Wenn der Aufruf zur Agentenreaktivierung abgeschlossen ist, kehren Sie automatisch zur
Systemstruktur zurück. Wählen Sie erneut die Computer aus, denen eine Richtlinie zugewiesen
werden soll, und klicken Sie auf Aktionen | Agent | Richtlinie und Vererbung zuweisen.
6
Wählen Sie auf der Seite Richtlinie zuweisen in der Dropdown-Liste Produkt den Eintrag Data Loss
Prevention 9.4 aus.
In der Spalte Kategorie werden zwei Richtlinien angezeigt: DLP-Richtlinie und Client-Konfiguration.
7
Für jede Richtlinie, die Sie zuweisen möchten:
a
Klicken Sie in der Spalte Aktionen für eine der Kategorien auf Zuweisung bearbeiten.
b
Klicken Sie auf die Option Vererbung unterbrechen..., und wählen Sie anschließend in der
Dropdown-Liste die zuzuweisende Richtlinie aus. Klicken Sie auf Speichern.
Aktualisieren der Richtlinie
Die Bereitstellung der Systemrichtlinie erfolgt über den McAfee ePO-Server, und die Richtlinien auf den
verwalteten Computern werden entsprechend den McAfee Agent-Einstellungen aktualisiert. Sie können
die Aktualisierung jedoch auch jederzeit in McAfee ePO durchführen, ohne die geplante Aktualisierung
abzuwarten.
36
Produkthandbuch
4
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Systemstruktur und dann den bzw. die zu aktualisierenden Computer
aus.
2
Klicken Sie auf Weitere Aktionen | Agenten reaktivieren.
3
Wählen Sie den Typ des Aufrufs zur Agentenreaktivierung aus, und setzen Sie den Zufallsgenerator auf
0 Minuten. Klicken Sie auf OK.
Richtlinien werden gemäß dem festlegten Zeitplan vom McAfee ePO-Server aktualisiert. Benutzer
von verwalteten Computern aktualisieren Richtlinien nur bei ausdrücklicher Aufforderung manuell.
Produkthandbuch
37
4
38
Produkthandbuch
Konfigurieren Sie die Software für die optimale Nutzung in der
Unternehmensumgebung. Die Einstellungen richten sich nach den auf
Management-Ebene getroffenen Entscheidungen darüber, welche Inhalte
geschützt werden sollen und wie dieser Schutz bestmöglich umgesetzt
werden kann.
Kapitel
Kapitel
Kapitel
Kapitel
Kapitel
5
6
7
8
9
Produkthandbuch
39
40
Produkthandbuch
5
Die Systemkomponenten können individuell an die Erfordernisse Ihres Unternehmens angepasst
werden. Durch die Konfiguration des Agenten und der Systemoptionen können Sie das System für den
effizienten Schutz vertraulicher Unternehmensinformationen optimieren.
Neben den Einstellungen in den McAfee DLP-Modulen befinden sich in McAfee ePO unter
Server-Einstellungen, Registrierte Server und Server-Tasks weitere Konfigurationseinstellungen, die
sich auf die Administration von McAfee DLP auswirken.
Inhalt
Richtlinienkatalog
Bearbeiten der McAfee DLP-Server-Einstellungen
Definieren eines Servers für die Rechteverwaltung
Dokumentieren von Ereignissen mit Nachweis
Benutzer- und Berechtigungssätze
Konfigurieren von McAfee DLP im Richtlinienkatalog
Richtlinienkatalog
Im Richtlinienkatalog von McAfee ePO werden die folgenden McAfee DLP-Richtlinienkonfigurationen
angezeigt:
•
Client-Konfiguration: Enthält die Konfigurationseinstellungen für die McAfee DLP
Endpoint-Clients. Die Einstellungen legen fest, wie Clients McAfee DLP-Richtlinien auf den
Endgerät-Computern anwenden.
•
DLP-Richtlinie: Enthält die der Richtlinie zugewiesenen Regelsätze, geplante
Endgeräterkennungs-Scans sowie Einstellungen für die Anwendungsstrategie, für das
Außerkraftsetzen der Geräteklasse und für privilegierte Benutzer.
McAfee DLP Endpoint 9.4 unterstützt mehrere Richtlinien und mehrere Client-Konfigurationen. Sie
erstellen Richtlinien und Client-Konfigurationen im Richtlinienkatalog, indem Sie vorhandene Elemente
duplizieren und dann bearbeiten. Weisen Sie Regelsätze zu Richtlinien zu, und wenden Sie sie im
DLP-Richtlinien-Manager auf der Registerkarte Richtlinienzuweisung auf die McAfee ePO-Datenbank an. Weisen
Sie Richtlinien und Client-Konfigurationen zur Bereitstellung auf den Endgerät-Computern in der
Systemstruktur von McAfee ePO zu.
Bearbeiten der McAfee DLP-Server-Einstellungen
McAfee DLP Endpoint fügt Standard-Konfigurationseinstellungen in die McAfee
ePO-Server-Einstellungen ein. Diese Einstellungen können nach Bedarf bearbeitet werden.
Produkthandbuch
41
5
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Konfiguration | Server-Einstellungen | Data Loss Prevention aus.
2
Klicken Sie auf Bearbeiten.
3
Sie können die folgenden Parameter bearbeiten.
Option
Definition
Lizenzschlüssel
Hiermit wird die installierte Version ermittelt: McAfee Device
Control oder McAfee DLP Endpoint-Vollversion. Sie können zu
jeder Version auch eine Lizenz für McAfee DLP Discover
hinzufügen.
Standard-Nachweisspeicherung
Dies ist der UNC-Pfad für die Netzwerkfreigabe. Der Pfad
muss eine Netzwerkfreigabe sein, d. h., er muss den
Server-Namen enthalten.
Freigegebenes Kennwort
Das Kennwort für die Außerkraftsetzung zum Deinstallieren
der Software, zum Freigeben von Dateien aus der
Quarantäne, zum Verschlüsseln von Nachweisen und zum
vorübergehenden Umgehen des Clients.
Länge des Abfrage/
Antwort-Schlüssels
Wird vom Help Desk zum Freigeben isolierter Dateien oder
zum Festlegen des Client-Umgehungsmodus verwendet.
Systemstrukturberechtigungen
erzwingen
Systemstrukturberechtigungen können zum Filtern von
Vorfällen in den Konsolen DLP-Vorfalls-Manager und
Operative DLP-Ereignisse verwendet werden. Verwenden Sie
diese Einstellungen zum Verwenden oder Ignorieren von
Systemstrukturberechtigungen.
Fallverwaltung
Hier wählen Sie aus, ob der Besitzer des Falls, der
Übermittler des Falls oder beide per E Mail benachrichtigt
werden sollen.
Letzte Sicherung
Hier wird die letzte Sicherung angezeigt, und Sie können die
aktuellen Einstellungen in einer Datei speichern.
Letzte Wiederherstellung
Hier wird die letzte wiederhergestellte Version angezeigt, und
Sie können die gespeicherten Einstellungen aus einer Datei
wiederherstellen.
McAfee DLP Endpoint unterstützt zwei Rechteverwaltungssysteme: Microsoft Windows Rights
Management Services (RMS) und Seclore FileSecure™. Zur Verwendung dieser Systeme müssen Sie
den Server konfigurieren, der die Richtlinien für die Rechteverwaltung in McAfee ePO bereitstellt.
Bevor Sie beginnen
42
•
Richten Sie die Rechteverwaltungs-Server ein, und erstellen Sie Benutzer und
Richtlinien. Beschaffen Sie sich die URL und das Kennwort für alle Server
(Richtlinienvorlage, Zertifizierung und Lizenzierung). Für Seclore benötigen Sie die Hot
Folder-ID der CAB-Datei und die Passphrase sowie ggf. Informationen über erweiterte
Lizenzen.
•
Vergewissern Sie sich, dass Sie über die Berechtigung zum Anzeigen, Erstellen und
Bearbeiten der Microsoft RMS- und Seclore-Server besitzen. Wählen Sie in McAfee ePO
Menü | Benutzerverwaltung | Berechtigungssätze aus, und vergewissern Sie sich, dass Sie zu
einer Gruppe gehören, die in Registrierte Server über die erforderlichen Berechtigungen
verfügt.
Produkthandbuch
5
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Registrierte Server aus.
2
Klicken Sie auf Neuer Server.
Daraufhin öffnet sich die Beschreibungsseite Registrierte Server.
3
Wählen Sie in der Dropdown-Liste Server-Typ den zu konfigurierenden Server-Typ aus:
Microsoft RMS-Server oder Seclore-Server.
4
Geben Sie einen Namen für die Server-Konfiguration ein, und klicken Sie dann auf Weiter.
5
Geben Sie die erforderlichen Details ein. Klicken Sie nach dem Ausfüllen aller erforderlichen Felder
auf Verbindung testen, um die eingegebenen Daten zu überprüfen.
6
•
Zu den RMS-Einstellungen gehört auch der Abschnitt DLP-Erzwingungseinstellungen. Das Feld Lokaler
Pfad zur RMS-Vorlage ist optional, die URL-Felder für die Zertifizierung und Lizenzierung müssen
jedoch ausgefüllt werden, sofern die Option zur automatischen Erkennung von Active
Directory-Diensten nicht aktiviert ist.
•
Für Seclore sind nur Angaben zur HotFolder-CAB-Datei erforderlich, zusätzliche Lizenzinformationen
sind optional.
Klicken Sie nach Abschluss der Konfiguration auf Speichern.
Ein Nachweis ist eine Kopie der Datei oder E-Mail, die ein Sicherheitsereignis ausgelöst hat, das an den
DLP-Vorfalls-Manager gesendet wird.
Einige Regeln bieten eine Option zum Speichern von Nachweisen. Bei Aktivierung dieser Option wird
eine verschlüsselte Kopie der blockierten bzw. überwachten Inhalte in einem vordefinierten
Nachweisordner auf dem Endgerät-Computer gespeichert. Wenn McAfee DLP Endpoint Informationen
an den Server weiterleitet, wird der Ordner bereinigt, und der Nachweis wird im Nachweisordner des
Servers gespeichert. Mit den Einstellungen unter Richtlinienkatalog | Client-Konfiguration |
Nachweiskopierdienst | Nachweiskopierdienst werden die maximale Größe und das maximale Alter der
Nachweisspeicherung festgelegt, wenn der Computer offline ist.
Voraussetzungen für die Nachweisspeicherung
Die Nachweisspeicherung ist in McAfee DLP Endpoint standardmäßig aktiviert. Wenn Sie keine
Nachweise benötigen, können Sie den Nachweisdienst zur Leistungsverbesserung deaktivieren.
Folgendes ist bei der Einrichtung der Software entweder erforderlich oder wird als Standardeinstellung
festgelegt:
•
Ordner für Nachweisspeicherung: Zur Anwendung einer Richtlinie für McAfee ePO müssen Sie
einen Ordner für die Nachweisspeicherung erstellen und den UNC-Pfad zu diesem Ordner angeben.
Die Einrichtung der Ordner und die Festlegung der Zugangsberechtigungen (auch als
Nachweisnetzwerkfreigabe bezeichnet) werden unter Erstellen und Konfigurieren von
Repository-Ordnern in diesem Benutzerhandbuch ausführlich beschrieben. Der Pfad muss im
Richtlinienkatalog auf der Seite Nachweiskopierdienst der Client-Konfigurationsrichtlinie angegeben
werden.
•
Nachweiskopierdienst: Der Nachweiskopierdienst wird auf der Seite Betriebsmodus und Module
der Client-Konfigurationsrichtlinie aktiviert. Dies ist ein Untereintrag von Berichterstellungsdienst;
diese Option muss für die Nachweiserfassung ebenfalls aktiviert sein.
Produkthandbuch
43
5
Nachweisspeicherung und Arbeitsspeicher
Die Anzahl der pro Ereignis gespeicherten Nachweisdateien hat Auswirkungen auf das
Speichervolumen, die Leistung der Ereignisanalyse und die Darstellung der Seiten
DLP-Vorfalls-Manager und Operative DLP-Ereignisse auf dem Bildschirm und damit auf die Qualität der
Benutzererfahrung. Die verschiedenen Anforderungen bezüglich der Nachweise werden in der McAfee
DLP Endpoint-Software wie folgt gehandhabt:
•
Die Höchstanzahl der pro Ereignis zu speichernden Nachweisdateien wird auf der Seite
Nachweiskopierdienst der Client-Konfigurationsrichtlinie festgelegt. Der Standardwert ist 1.000.
•
Wenn eine hohe Anzahl von Nachweisdateien mit einem bestimmten Ereignis verknüpft werden,
werden nur die ersten 100 Dateinamen in der Datenbank gespeichert und auf der Detailseite des
DLP-Vorfalls-Managers angezeigt. Die weiteren Nachweisdateien (bis zur festgelegten
Höchstanzahl) werden in der Nachweisspeicherungs-Freigabe gespeichert, jedoch nicht mit dem
Ereignis verknüpft. Berichte und Abfragen, die die Nachweise anhand des Dateinamens filtern,
haben nur Zugriff auf diese ersten 100 Dateinamen.
•
Im Feld Gesamtanzahl von Übereinstimmungen des DLP-Vorfalls-Managers wird die Gesamtzahl der
Nachweise angezeigt.
Hervorheben von Übereinstimmungen
Mithilfe der Option zum Hervorheben von Übereinstimmungen können Administratoren gezielt
überprüfen, welche vertraulichen Inhalte das jeweilige Ereignis ausgelöst haben. Bei Auswahl dieser
Option wird eine verschlüsselte HTML-Datei gespeichert, die den extrahierten Text enthält. Für Tags
und Inhaltskategorien umfasst der Text ein hervorgehobenes Wort bzw. eine hervorgehobene
Wortfolge sowie die vorangehenden und nachfolgenden 100 Zeichen (als Kontext). Die Nachweise
werden anhand des Tags bzw. der Inhaltskategorie sortiert, das bzw. die das Ereignis ausgelöst hat,
und es wird zudem die Anzahl der Ereignisse pro Tag/Inhaltskategorie angegeben. Bei gesicherten
Textmustern und Wörterbüchern wird der genaue Text extrahiert. Für reguläre Ausdrücke und genau
übereinstimmende Stichwörter werden bis zu 100 Treffer pro Ausdruck angezeigt; für Wörterbücher
bis zu 250 Treffer pro Wörterbucheintrag. Anzeigeoptionen werden auf der Seite Nachweiskopierdienst
der Client-Konfigurationsrichtlinie im Feld Klassifizierung entspricht Datei festgelegt:
•
Abgekürzte Ergebnisse erstellen (Standardeinstellung): Es werden 1500 Zeichen (5–7 Treffer) pro
Abschnitt angezeigt.
•
Alle Übereinstimmungen erstellen: Es werden alle Treffer angezeigt, wobei die zuvor genannten
Beschränkungen gelten.
•
Deaktiviert: Deaktiviert die Funktion zur Hervorhebung von Übereinstimmungen.
Regeln, bei denen die Nachweisspeicherung möglich ist
Bei den folgenden Regeln besteht die Möglichkeit zur Nachweisspeicherung.
Tabelle 5-1 Anhand von Regeln gespeicherter Nachweis
44
Regel
Gespeicherter Inhalt
Regel für den Schutz des Zugriffs auf Anwendungsdateien
Kopie der Datei
Zwischenablage-Schutzregel
Kopie der Zwischenablage
Cloud-Schutzregel
Kopie der Datei
E-Mail-Schutzregel
Kopie der E-Mail
Netzwerkfreigabe-Schutzregel
Kopie der Datei
Druckerschutzregel
Kopie der Datei
Wechselspeicher-Schutzregel
Kopie der Datei
Produkthandbuch
5
Tabelle 5-1 Anhand von Regeln gespeicherter Nachweis (Fortsetzung)
Regel
Gespeicherter Inhalt
Bildschirmaufnahme-Schutzregel
JPEG-Bild des Bildschirms
Web-Veröffentlichungsschutzregel
Kopie der Web-Veröffentlichung
Dateisystem-Erkennungsregel
Kopie der Datei
E-Mail-Speicher-Erkennungsregel
Kopie der MSG-Datei
Erstellen von Nachweisordnern
Nachweisordner enthalten Informationen, die von der McAfee DLP-Software zum Erstellen von
Richtlinien und Berichten verwendet werden. Abhängig von Ihrer McAfee DLP-Installation müssen
bestimmte Ordner und Netzwerkfreigaben erstellt und ihre Eigenschaften und Sicherheitseinstellungen
entsprechend konfiguriert werden.
Die Ordner müssen sich nicht auf demselben Computer befinden wie der McAfee
DLP-Datenbank-Server, in der Regel bietet es sich jedoch an.
Nachweisordner: In einigen Regeln kann festgelegt werden, dass Nachweise gespeichert werden
sollen. Hierfür müssen Sie vorher festlegen, wo diese Nachweisdateien gespeichert werden sollen.
Wenn beispielsweise eine Datei blockiert wird, wird eine Kopie dieser Datei im Nachweisordner
abgelegt.
Die folgenden Ordnerpfade, Ordnernamen und Freigabenamen sind Empfehlungen, Sie können jedoch
passend für Ihre Umgebung andere erstellen.
•
C:\DLP_Ressourcen\
•
C:\DLP_Ressourcen\Nachweis
Der Nachweisspeicherpfad muss eine Netzwerkfreigabe sein, d. h., er muss den Namen des McAfee
ePO-Servers enthalten.
Konfigurieren von Nachweisordnern
Für die Konfiguration von Nachweisordnern sind bestimmte Sicherheitseinstellungen erforderlich.
Bevor Sie beginnen
Erstellen Sie den Nachweisordner.
Vorgehensweise
1
Klicken Sie in Windows Explorer mit der rechten Maustaste auf den Nachweisordner, und wählen
Sie dann Eigenschaften aus.
2
Klicken Sie auf die Registerkarte Freigabe und dann auf Erweiterte Freigabe. Wählen Sie die Option Diesen
Ordner freigeben aus.
a
Ändern Sie den Namen im Feld Freigabename zu evidence$. Klicken Sie auf OK.
Das $ gibt an, dass die Freigabe verborgen wird.
b
Klicken Sie auf Berechtigungen, und wählen Sie unter Berechtigungen für "Jeder" Vollzugriff aus.
Klicken Sie zweimal auf OK.
Produkthandbuch
45
5
3
Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.
a
Klicken Sie auf der Registerkarte Berechtigungen auf Berechtigungen ändern, und deaktivieren Sie dann
die Option Vererbbare Berechtigungen des übergeordneten Objektes einschließen.
In einer Bestätigungsmeldung wird erläutert, welche Auswirkungen diese Einstellung auf den
Ordner hat.
b
Klicken Sie auf Entfernen.
Auf der Registerkarte Berechtigungen im Fenster Erweiterte Sicherheitseinstellungen wird nun angezeigt,
dass alle Berechtigungen entfernt wurden.
c
Klicken Sie auf Hinzufügen, um einen Objekttyp auszuwählen.
d
Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Objektnamen Domänen-Computer
ein, und klicken Sie dann auf OK.
Daraufhin öffnet sich das Dialogfeld Berechtigungseintrag.
e
Wählen Sie in der Spalte Zulassen die Optionen Dateien erstellen/Daten schreiben und Ordner erstellen/Daten
anhängen aus.
Vergewissern Sie sich, dass für die Option Übernehmen für die Einstellung Diesen Ordner, Unterordner und
Dateien ausgewählt ist, und klicken Sie anschließend auf OK.
Das Fenster Erweiterte Sicherheitseinstellungen enthält nun den Eintrag Domänen-Computer.
f
Klicken Sie erneut auf Hinzufügen, um einen Objekttyp auszuwählen.
g
Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Objektnamen Administratoren
ein, und klicken Sie auf OK, um das Dialogfeld Berechtigungseintrag anzuzeigen. Legen Sie die
erforderlichen Berechtigungen fest.
Das Hinzufügen der Administratoren ist nicht zwingend erforderlich, bietet jedoch zusätzliche
Sicherheit. Sie können auch nur den Administratoren Berechtigungen zuweisen, die Richtlinien
bereitstellen.
4
Klicken Sie zum Schließen des Dialogfelds zweimal auf OK.
McAfee DLP verwendet die Benutzer und Berechtigungssätze aus McAfee ePO. So können Sie
verschiedene Bereiche der McAfee DLP-Verwaltung unterschiedlichen Benutzern oder Gruppen
zuweisen.
Es wird empfohlen, bestimmte McAfee DLP-Benutzer oder -Gruppen sowie Administrator- und
Prüferberechtigungen in McAfee ePO zu erstellen. Sie können verschiedene Rollen erstellen, indem Sie
Benutzern verschiedene Berechtigungen für McAfee DLP Endpoint und die DLP-Ereignisverwaltung
zuweisen.
Unterstützung von Filterberechtigungen für die Systemstruktur
McAfee DLP Endpoint unterstützt Filterberechtigungen für die McAfee ePO-Systemstruktur in der
DLP-Ereignisverwaltung und in Operative DLP-Ereignisse. Bei aktivierter Filterung in der
Systemstruktur können McAfee ePO-Bediener nur Vorfälle auf Computern in dem Bereich der
Systemstruktur sehen, für den sie über eine Berechtigung verfügen. Gruppenadministratoren haben
standardmäßig keine Berechtigungen in der McAfee ePO-Systemstruktur. Unabhängig von den im
Berechtigungssatz Data Loss Prevention zugewiesenen Berechtigungen werden für sie keine Vorfälle in der
46
Produkthandbuch
5
DLP-Ereignisverwaltung und in Operative DLP-Ereignisse angezeigt. Die Filterung der Systemstruktur
ist standardmäßig deaktiviert; sie kann jedoch unter Menü | Server-Einstellungen | Data Loss Prevention
aktiviert werden.
Kunden, die Gruppenadministratoren in Data Loss Prevention-Berechtigungssätzen verwendet haben,
sollten Gruppenadministratoren die Berechtigung Registerkarte "Systemstruktur" anzeigen (unter Systeme)
sowie die Berechtigungen für Systemstrukturzugriff auf der jeweiligen Ebene zuweisen.
Unkenntlichmachung vertraulicher Daten und McAfee ePO-Berechtigungssätze
Die McAfee DLP Endpoint-Software bietet eine Funktion, mit der Daten unkenntlich gemacht werden
können, um den gesetzlichen Bestimmungen in einigen Märkten gerecht zu werden, die den
vollständigen Schutz vertraulicher Informationen vorschreiben. Felder in den Konsolen für die
DLP-Ereignisverwaltung und Operative DLP-Ereignisse, die vertrauliche Informationen enthalten,
können unkenntlich gemacht werden, um die nicht autorisierte Einsichtnahme zu verhindern, und
Links zu vertraulichen Nachweisen werden ausgeblendet. Die Freigabe dieser Felder ist aus
Sicherheitsgründen zweistufig angelegt. Zur Verwendung dieser Funktion müssen daher zwei
Berechtigungssätze erstellt werden: einer zum Anzeigen der Vorfälle und Ereignisse und ein weiterer
zum Anzeigen der unkenntlich gemachten Felder (Supervisor-Berechtigung). Beide Rollen können
demselben Benutzer zugewiesen werden.
McAfee DLP-Berechtigungssätze
Mit McAfee DLP-Berechtigungssätzen werden Berechtigungen zum Anzeigen und Speichern von
Richtlinien sowie zum Anzeigen unkenntlich gemachter Felder zugewiesen. Darüber hinaus werden sie
zur Zuweisung der rollenbasierten Zugangskontrolle (Role-Based Access Control, RBAC) verwendet.
Bei der Installation der McAfee DLP-Server-Software wird der McAfee ePO-Berechtigungssatz Data
Loss Prevention 9.4 hinzugefügt. Wenn eine Vorversion von McAfee DLP auf demselben McAfee
ePO-Server installiert ist, wird der Data Loss Prevention-Berechtigungssatz ebenfalls angezeigt.
Die Berechtigungen im Berechtigungssatz Data Loss Prevention 9.4 decken alle Bereiche der
Verwaltungskonsole ab, nicht nur den Vorfalls-Manager. Es gibt drei Berechtigungsstufen:
•
Verwenden: Dem Benutzer werden nur Namen der Objekte (Definitionen, Klassifizierungen usw.)
und keine Details angezeigt.
Die Mindestberechtigung für Richtlinien ist Keine Berechtigung.
•
Anzeigen und verwenden: Dem Benutzer werden Detailinformationen über die Objekte
angezeigt, diese können jedoch nicht geändert werden.
•
Vollständige Berechtigung: Der Benutzer kann Objekte erstellen und ändern.
Sie können Berechtigungen für verschiedene Abschnitte der Verwaltungskonsole festlegen und somit
Administratoren und Prüfern nach Bedarf verschiedene Berechtigungen erteilen. Die Abschnitte sind in
einer logischen Hierarchie gruppiert, beispielsweise werden bei der Auswahl von Klassifizierungen
automatisch Definitionen ausgewählt, da zur Konfiguration der Klassifizierungskriterien Definitionen
benötigt werden. Die Berechtigungsgruppen sind:
• Richtlinienkatalog
• DLP-Richtlinien-Manager
• Klassifizierungen
• DLP-Richtlinien-Manager
• Definitionen
• Definitionen
• Definitionen
Produkthandbuch
47
5
Vorfallverwaltung, Operative Ereignisse und Fallverwaltung können separat ausgewählt werden.
Die Berechtigungen für Data Loss Prevention-Aktionen wurden in den Berechtigungssatz
Helpdesk-Aktionen verschoben. Mithilfe dieser Berechtigungen können Administratoren Schlüssel für die
Umgehung von Clients, Deinstallationsschlüssel, Schlüssel für die Freigabe aus der Quarantäne und
Master-Schlüssel generieren.
Zusätzlich zu den Standardberechtigungen für den Abschnitt können Sie für jedes Objekt eine
Außerkraftsetzung festlegen. Die Außerkraftsetzung kann die Berechtigungsstufe entweder erhöhen
oder verringern. So werden beispielsweise in den Berechtigungen des DLP-Richtlinien-Managers alle
bei Erstellung des Berechtigungssatzes vorhandenen Regelsätze aufgelistet. Sie können für jedes
Objekt eine andere Außerkraftsetzung festlegen. Neu erstellten Regelsätzen wird die
Standard-Berechtigungsstufe zugewiesen.
Erstellen eines McAfee DLP-Berechtigungssatzes
Berechtigungssätze werden zum Definieren verschiedener administrativer Rollen und Prüferrollen in
der McAfee DLP-Software verwendet.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Berechtigungssätze aus.
2
Wählen Sie einen vordefinierten Berechtigungssatz aus, oder klicken Sie auf Neu, um einen
Berechtigungssatz zu erstellen.
3
a
Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie Benutzer aus.
b
Wählen Sie einen Berechtigungssatz aus, und klicken Sie dann im Abschnitt Data Loss Prevention 9.4 auf
Bearbeiten.
a
Wählen Sie im linken Bereich ein Datenschutzmodul aus.
Vorfallverwaltung, Operative Ereignisse und Fallverwaltung können separat ausgewählt werden. Mit
anderen Optionen werden automatisch vordefinierte Gruppen erstellt.
48
Produkthandbuch
b
5
Bearbeiten Sie nun die gewünschten Optionen, und setzen Sie die Berechtigungen nach Bedarf
außer Kraft.
Im Richtlinienkatalog sind keine bearbeitbaren Optionen verfügbar. Wenn Sie einem
Berechtigungssatz den Richtlinienkatalog hinzufügen, können Sie jedoch die Untermodule in der
Gruppe Richtlinienkatalog bearbeiten.
c
Anwendungsbeispiel: DLP-Administratorberechtigungen
Sie können die Administratoraufgaben nach Bedarf aufteilen. So könnten Sie beispielsweise einen
Richtlinienadministrator erstellen, der nicht für die Überprüfung von Ereignissen zuständig ist.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Berechtigungssätze aus.
2
Klicken Sie auf Neu, um einen Berechtigungssatz zu erstellen.
a
Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie Benutzer aus.
Um eine Richtlinie bearbeiten zu können, muss der Benutzer entweder der Richtlinienbesitzer
oder ein Mitglied des Berechtigungssatzes der globalen Administratoren sein.
b
3
Wählen Sie im Berechtigungssatz Data Loss Prevention 9.4 die Option Richtlinienkatalog aus.
DLP-Richtlinien-Manager, Klassifizierungen und Definitionen werden automatisch ausgewählt.
4
Vergewissern Sie sich in jedem der drei Submodule, dass der Benutzer über vollständige
Berechtigungen und Vollzugriff verfolgt.
Vollständige Berechtigungen sind die Standardeinstellung.
Der Administrator kann nun Richtlinien, Regeln, Klassifizierungen und Definitionen erstellen und
ändern.
Anwendungsbeispiel: Einschränkung der Anzeige im DLPVorfalls-Manager anhand von Berechtigungen zur
Unkenntlichmachung
McAfee DLP Endpoint bietet eine Funktion zur Unkenntlichmachung von Daten, damit vertrauliche
Daten geschützt und die in einigen Märkten geltenden entsprechenden gesetzlichen Vorgaben erfüllt
werden können.
Bei Einsatz dieser Funktion werden bestimmte Felder im DLP-Vorfalls-Manager und in den Operativen
DLP-Ereignissen, die vertrauliche Informationen enthalten, verschlüsselt, sodass die nicht autorisierte
Anzeige unterbunden wird, und die Links zu den Nachweisdateien werden ausgeblendet.
Die Felder Computer-Name und Benutzername sind als privat vordefiniert.
Dieses Beispiel veranschaulicht, wie die Berechtigungen im DLP-Vorfalls-Manager für einen Prüfer der
unkenntlich gemachten Daten eingerichtet werden. Dies ist ein bestimmter Administrator, der zwar
keine Vorfälle anzeigen, jedoch verschlüsselte Felder sichtbar machen kann, wenn dies für einen
anderen Prüfer, der diesen Vorfall anzeigen muss, erforderlich ist.
Produkthandbuch
49
5
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Benutzerverwaltung | Berechtigungssätze aus.
2
Erstellen Sie für reguläre Prüfer und für den Prüfer der unkenntlich gemachten Daten
entsprechende Berechtigungssätze.
a
Klicken Sie auf Neu (oder auf Aktionen | Neu).
b
Geben Sie einen Namen für die Gruppe ein, beispielsweise DLPE-Vorfallprüfer oder Prüfer
für unkenntlich gemachte Daten.
Sie können verschiedenen Prüfergruppen unterschiedliche Vorfalltypen zuweisen. Die Gruppen
müssen erst unter Berechtigungssätze angelegt werden, bevor Sie ihnen Vorfälle zuweisen können.
c
Weisen Sie der Gruppe nun Benutzer zu, entweder aus den verfügbaren McAfee ePO-Benutzern
oder durch Zuordnen von Active Directory-Benutzern oder -Gruppen zum Berechtigungssatz.
Die Gruppe wird im linken Fensterbereich in der Liste Berechtigungssätze angezeigt.
3
Wählen Sie einen Standardprüfer-Berechtigungssatz aus, und klicken Sie dann im Abschnitt Data
Loss Prevention 9.4 auf Bearbeiten.
a
Wählen Sie im linken Fensterbereich Vorfallverwaltung aus.
b
Wählen Sie im Abschnitt Vorfallprüfer die Option Benutzer kann die den folgenden Berechtigungssätzen
zugewiesenen Vorfälle anzeigen aus, klicken Sie auf das Auswahlsymbol, und wählen Sie die
entsprechenden Berechtigungssätze aus.
c
Heben Sie im Abschnitt Unkenntlichmachung der Vorfalldaten die standardmäßige Auswahl von
Supervisor-Berechtigung auf, und wählen Sie die Option Vertrauliche Vorfalldaten verschleiern aus.
Bei Auswahl dieser Option werden vertrauliche Daten unkenntlich gemacht, andernfalls werden
alle Datenfelder als Klartext angezeigt.
4
d
Aktivieren bzw. deaktivieren Sie im Abschnitt Vorfall-Tasks die erforderlichen Tasks nach Bedarf.
e
Wählen Sie den Berechtigungssatz für Prüfer von unkenntlich gemachten Daten aus, und klicken
Sie dann im Abschnitt Data Loss Prevention 9.4 auf Bearbeiten.
a
Wählen Sie im linken Fensterbereich Vorfallverwaltung aus.
b
Wählen Sie im Abschnitt Vorfallprüfer die Option Benutzer kann alle Vorfälle anzeigen aus.
Für dieses Beispiel wird angenommen, dass ein einziger Prüfer für unkenntlich gemachte Daten
für alle Vorfälle zuständig ist. Sie können verschiedenen Sätzen von Vorfällen jedoch auch
unterschiedliche Prüfer für unkenntlich gemachte Daten zuweisen.
c
Wählen Sie im Abschnitt Unkenntlichmachung der Vorfalldaten sowohl die Option Supervisor-Berechtigung als
auch die Option Vertrauliche Vorfalldaten verschleiern aus.
d
Heben Sie im Abschnitt Vorfall-Tasks die Auswahl aller Tasks auf.
Normalerweise haben Prüfer für unkenntlich gemachte Daten keine anderen Prüfer-Tasks. Dies
ist jedoch nicht vorgeschrieben und kann in Ihrem Unternehmen anders gehandhabt werden.
e
50
Produkthandbuch
5
McAfee DLP verwendet den McAfee ePO-Richtlinienkatalog zum Speichern von Richtlinien und
Client-Konfigurationen.
McAfee DLP erstellt Richtlinien im McAfee ePO-Richtlinienkatalog:
•
•
DLP-Richtlinie
Die Richtlinie Client-Konfiguration enthält Einstellungen, mit denen die Arbeitsweise der
Endgerät-Computer mit Richtlinien festgelegt wird.
Die DLP-Richtlinie umfasst Regelsätze, die Konfiguration der Endgeräteerkennung und Einstellungen.
Importieren oder Exportieren der McAfee DLP EndpointKonfiguration
Richtlinienkonfigurationen können im HTML-Format für Sicherungszwecke oder zum Übertragen von
Richtlinien auf anderen McAfee ePO-Server gespeichert werden. Das Importieren und Exportieren von
Richtlinien erfolgt über den McAfee ePO-Richtlinienkatalog.
Vorgehensweise
1
Wählen Sie in McAfee ePO Richtlinienkatalog | Produkt | Data Loss Prevention 9.4 aus.
2
Führen Sie eine der folgenden Aktionen aus:
•
Klicken Sie zum Exportieren auf Exportieren. Klicken Sie im Fenster Exportieren mit der rechten
Maustaste auf den Datei-Link, und wählen Sie Link speichern unter aus, um die Richtlinie als
XML-Datei zu speichern.
Mit der Schaltfläche Exportieren werden alle Richtlinien exportiert. Sie können eine einzelne
Richtlinie exportieren, indem Sie in der Zeile mit dem Richtliniennamen in der Spalte Aktionen die
Option Exportieren auswählen.
•
Klicken Sie zum Importieren einer gespeicherten Richtlinie auf Importieren. Navigieren Sie im
Fenster Richtlinien importieren zu einer gespeicherten Richtlinie, und klicken Sie auf Öffnen und dann
auf OK.
Daraufhin öffnet sich das Importfenster, in dem die zu importierenden Richtlinien aufgeführt
werden und angegeben wird, ob ein Namenskonflikt besteht. Sie können die Auswahl der
Richtlinien, bei denen ein Konflikt besteht, aufheben und diese nicht importieren. Wenn Sie eine
Richtlinie mit einem Namenskonflikt importieren, überschreibt diese die bestehende Richtlinie und
übernimmt deren Zuweisungen.
Die Client-Software McAfee DLP Endpoint für McAfee Agent ist auf den Unternehmens-Computern
installiert und führt die definierte Richtlinie aus. Außerdem überwacht die Software Benutzeraktivitäten
in Zusammenhang mit vertraulichen Inhalten. Die Client-Konfiguration wird in der Richtlinie
gespeichert, die auf verwalteten Computern bereitgestellt wird.
Der Richtlinienkatalog enthält McAfee-Standard-Richtlinien für die Endgerätkonfiguration und
Endgerätrichtlinien. Klicken Sie auf Duplizieren (in der Spalte Aktionen), um eine bearbeitbare Kopie als
Grundlage für Ihre Richtlinie zu erstellen.
Produkthandbuch
51
5
Die Client-Konfiguration wird in der Richtlinie gespeichert, die über McAfee ePO auf verwalteten
Computern bereitgestellt wird. Wenn die Konfiguration geändert wird, müssen Sie die Richtlinie erneut
bereitstellen.
Client-Dienst-Watchdog
McAfee DLP Endpoint führt einen Schutzdienst namens Client-Dienst-Watchdog aus, um die
ordnungsgemäße Funktion der McAfee DLP Endpoint-Software auch im Fall von Manipulations- oder
Störversuchen aufrechtzuerhalten. Dieser Dienst überwacht die McAfee DLP Endpoint-Software und
startet sie neu, falls sie aus jeglichem Grund beendet wird. Der Dienst ist standardmäßig aktiviert.
Wenn Sie überprüfen möchten, ob dieser Dienst ausgeführt wird, suchen Sie im Microsoft Windows
Task-Manager nach dem Prozess "fcagswd.exe".
OS X-Unterstützung für Client-Konfigurationsparameter
Client-Konfigurationseinstellungen können auf Endgerät-Computer unter Microsoft Windows und OS X
angewendet werden. Unter OS X ignoriert die McAfee DLP Endpoint-Client-Software Parameter, die auf
diesem Betriebssystem nicht unterstützt werden.
Tabelle 5-2 Seite 'Debugging und Protokollierung'
Parameter
Unterstützte Betriebssysteme
Von den Clients gemeldete
Verwaltungsereignisse
Folgende Filtereinstellungen gelten für OS X und Microsoft
Windows:
• Client wechselt in
Umgehungsmodus
• Richtlinienänderung
• Client beendet
Umgehungsmodus
• Freigabecode gesperrt
• Client wurde installiert
Alle anderen Einstellungen gelten nur für Endgeräte unter Microsoft
Windows.
Protokollierung
Wird unter Microsoft Windows und OS X unterstützt.
Tabelle 5-3 Seite 'Komponenten der Benutzeroberfläche'
Abschnitt
Parameter
Unterstützte Betriebssysteme
Client-Benutzeroberfläche
DLP-Konsole anzeigen (alle Optionen)
Nur Microsoft Windows
Benachrichtigungs-Pop-Up für Endbenutzer OS X und Microsoft Windows
aktivieren
Dialogfeld 'Begründung anfordern' anzeigen Nur Microsoft Windows
Abfrage und Antwort
Alle Optionen
OS X und Microsoft Windows
Richtlinie zum Sperren des
Freigabecodes
Alle Optionen
OS X und Microsoft Windows
Bild für Client-Banner
Alle Optionen
Nur Microsoft Windows
Client-Konfigurationseinstellungen
Mit den Client-Konfigurationseinstellungen wird die Arbeitsweise der Endgeräte-Software festgelegt.
Sie sollten beim Konfigurieren der Software überprüfen, ob die Client-Konfigurationseinstellungen
Ihren Anforderungen entsprechen. Die meisten Einstellungen verfügen über geeignete Standardwerte,
die für die Ersteinrichtung und zu Testzwecken übernommen werden können. In der folgenden Liste
werden einige der wichtigen Einstellungen aufgeführt, die Sie überprüfen sollten.
52
Produkthandbuch
5
Tabelle 5-4
Endgerätkonfiguration
Einstellung
Details
Beschreibung
Erweiterte Konfiguration
DLP-Client im
sicheren Modus
ausführen
Diese Option ist standardmäßig deaktiviert. Bei
Aktivierung dieser Option arbeitet McAfee DLP
Endpoint mit vollem Funktionsumfang, wenn der
Computer im sicheren Modus gestartet wird. Es gibt
einen Wiederherstellungsmechanismus, falls der
McAfee DLP Endpoint-Client einen Startfehler
verursacht.
Inhaltsüberwachung
Folgende alternative
ANSI-Codepage
verwenden
Wenn keine Sprache festgelegt ist, ist die Alternative
die Sprache des Endgerät-Computers.
Unternehmenskonnektivität
Server-Adresse
Sie können verschiedene vorbeugende Aktionen für
Endgerät-Computer im Unternehmensnetzwerk,
außerhalb des Netzwerks oder bei Verbindung über
ein VPN anwenden. Zur Verwendung der VPN-Option
müssen Sie die IP-Adresse des Servers angeben.
Nachweiskopierdienst
UNC-Pfad der
Freigabe für die
Nachweisspeicherung
Ersetzen Sie den Beispieltext durch die zur
Nachweisspeicherung verwendete Freigabe.
Betriebsmodus und Module
Zur Verbesserung der Leistung wird empfohlen, die
Auswahl nicht verwendeter Module aufzuheben.
Web-Veröffentlichungsschutz Unterstützte
Chrome-Versionen
Wenn Sie Google Chrome verwenden, klicken Sie auf
Durchsuchen, um die aktuelle Liste der unterstützten
Versionen hinzuzufügen. Die Liste ist eine XML-Datei,
die Sie auf der McAfee-Support-Website
herunterladen können.
Produkthandbuch
53
5
54
Produkthandbuch
6
®
McAfee Device Control schützt Unternehmen vor dem Risiko der nicht autorisierten Übertragung
vertraulicher Inhalte, das mit der Nutzung von Speichermedien einhergeht.
Device Control kann Geräte überwachen bzw. blockieren, die an vom Unternehmen verwaltete
Computer angeschlossen sind, sodass sie deren Verwendung zur Verteilung vertraulicher
Informationen überwachen und steuern können. Steuerbare Geräte sind u. a. Smartphones,
Wechselspeichermedien, Bluetooth-Geräte, MP3-Player und Plug-and-Play-Geräte.
McAfee Device Control ist eine als separates Produkt vertriebene Komponente von McAfee DLP
Endpoint. Dieser Abschnitt bezieht sich zwar auf Device Control, alle Funktionen und Beschreibungen
gelten jedoch auch für McAfee DLP Endpoint.
Tabelle 6-1 Device Control-Fachbegriffe
Begriff
Gilt für
Betriebssysteme:
Definition
Geräteklasse
Windows
Eine Gruppe von Geräten, die ähnliche
Merkmale aufweisen und auf eine
ähnliche Art und Weise verwaltet werden
können. Geräteklassen können den
Status Verwaltet, Nicht verwaltet oder In
der Whitelist haben.
Gerätedefinition
Windows, Mac
Eine Liste von Geräteeigenschaften,
anhand der Geräte identifiziert oder in
Gruppen zusammengefasst werden
können.
Geräteeigenschaft
Windows, Mac
Eine Eigenschaft wie z. B. Bustyp,
Anbieter-ID oder Produkt-ID, die zum
Definieren eines Geräts verwendet
werden kann.
Geräteregel
Windows, Mac
Legt die Aktion fest, die durchgeführt
wird, wenn ein Benutzer versucht, ein
Gerät zu verwenden, das einer in der
Richtlinie enthaltenen Gerätedefinition
entspricht. Die Regel wird entweder auf
Gerätetreiberebene oder auf Ebene des
Dateisystems auf die Hardware
angewendet. Geräteregeln können auch
bestimmten Endbenutzern zugewiesen
werden.
Verwaltetes Gerät
Windows
Dieser Geräteklassenstatus bedeutet,
dass die Geräte dieser Klasse von Device
Control verwaltet werden.
Regel für
Wechselspeichermedien
Windows, Mac
Wird zum Blockieren oder Überwachen
eines Geräts bzw. zum Setzen eines
Schreibschutzes verwendet. Siehe
Geräteregel.
Produkthandbuch
55
6
Schützen von Geräten
Tabelle 6-1 Device Control-Fachbegriffe (Fortsetzung)
Begriff
Gilt für
Betriebssysteme:
Definition
Wechselspeicher-Schutzregel
Windows
Definiert die durchzuführende Aktion
beim Versuch eines Benutzers, als
vertraulich gekennzeichneten Inhalt auf
ein verwaltetes Gerät zu kopieren.
Nicht verwaltetes Gerät
Windows
dass die Geräte dieser Klasse nicht von
Device Control verwaltet werden.
In der Whitelist enthaltenes
Gerät
Windows
dass die Geräte dieser Klasse nicht von
Device Control verwaltet werden
können, da dies den verwalteten
Computer, die Systemqualität oder die
Effizienz beeinträchtigen könnte.
Inhalt
Geräteklassen
Gerätedefinitionen
Gerätesteuerungsregeln
Erstellen von Geräteregeln
USB-Laufwerke sind die kleinste, einfachste, preisgünstigste und am wenigsten nachverfolgbare
Methode zum Herunterladen großer Datenmengen. Sie werden daher bevorzugt für nicht autorisierte
Datenübertragungen verwendet. Die Device Control-Software überwacht und steuert USB-Laufwerke
und andere externe Geräte, z. B. Smartphones, Bluetooth-Geräte, Plug-and-Play-Geräte, Audio-Player
und externe Festplatten. Device Control kann auf den meisten Windows- und OS X-Betriebssystemen,
auch auf Servern, ausgeführt werden. Ausführliche Informationen hierzu finden Sie unter
"Systemanforderungen" in diesem Handbuch.
Der McAfee Device Control-Schutz funktioniert auf drei Ebenen:
•
Geräteklassen: Gruppen von Geräten, die ähnliche Merkmale aufweisen und auf eine ähnliche Art
und Weise verwaltet werden können. Geräteklassen gelten nur für Plug-and-Play-Gerätedefinition
und -regeln und können nicht unter OS X-Betriebssystemen angewendet werden.
•
Gerätedefinitionen: Identifizierung und Gruppierung von Geräten anhand ihrer gemeinsamen
Eigenschaften.
•
Geräteregeln: Steuerung des Geräteverhaltens.
Eine Geräteregel enthält eine Liste der Gerätedefinitionen, die in diese Regel einbezogen oder aus
dieser ausgeschlossen werden sollen, sowie die Aktionen, die ausgeführt werden sollen, wenn diese
Regel durch die Verwendung des Geräts ausgelöst wird. Darüber hinaus können Endbenutzer
angegeben werden, die in die Regel einbezogen bzw. aus dieser ausgeschlossen werden sollen. Sie
können bei Bedarf zudem eine Anwendungsdefinition enthalten, um die Regel entsprechend der Quelle
des vertraulichen Inhalts zu filtern.
56
Produkthandbuch
Geräteklassen
6
Regeln für den Wechselspeicherschutz
Device Control enthält neben Geräteregeln auch einen Typ von Datenschutzregeln. Regeln für den
Wechselspeicherschutz enthalten mindestens eine Klassifizierung zur Definition der vertraulichen
Inhalte, die die Regel auslösen. Sie können zudem eine Anwendungsdefinition oder eine
Web-Browser-URL enthalten, und es können Endbenutzer ein- oder ausgeschlossen werden.
Geräteklassen
Eine Geräteklasse ist eine Gruppe von Geräten, die ähnliche Merkmale aufweisen und auf eine
ähnliche Art und Weise verwaltet werden können.
In Geräteklassen werden die vom System verwendeten Geräte mit ihrem Namen und einer Kennung
angegeben. Jede Geräteklassendefinition enthält einen Namen und mindestens eine GUID (Globally
Unique Identifier, global eindeutige ID). Die Geräte Intel® PRO/1000 PL Network Connection und Dell
wireless 1490 Dual Band WLAN Mini-Card gehören beispielsweise zur Geräteklasse Netzwerkadapter.
Geräteklassen können für OS X-Geräte nicht verwendet werden.
Organisation der Geräteklassen
Der DLP-Richtlinien-Manager listet die vordefinierten (integrierten) Geräteklassen auf der
Registerkarte Definitionen unter Gerätesteuerung auf. Geräteklassen werden anhand ihres Status
kategorisiert:
•
Verwaltete Geräte sind bestimmte Plug-and-Play-Geräte oder Wechselspeichermedien, die von
McAfee DLP Endpoint verwaltet werden.
•
Nicht verwaltete Geräte werden in der Standardkonfiguration nicht von Device Control verwaltet.
•
In der Whitelist enthaltene Geräte sind Geräte, die nicht von Device Control gesteuert werden, wie
z. B. batteriebetriebene Geräte oder Prozessoren.
Zur Vermeidung potenzieller Fehlfunktionen des Systems oder Betriebssystems können die
Geräteklassen nicht bearbeitet werden. Sie können eine Klasse jedoch duplizieren und ändern, um der
Liste eine benutzerdefinierte Geräteklasse hinzuzufügen.
Bevor Sie der Liste eine Geräteklasse hinzufügen, sollten Sie zunächst unbedingt die Auswirkungen
überprüfen. Die DLP-Richtlinie im Richtlinienkatalog verfügt auf der Registerkarte Einstellungen über die
Seite Geräteklassen, auf der Sie Geräteklassenstatus und Filtertypeinstellungen vorübergehend außer
Kraft setzen können. Außerkraftsetzungen können zum Prüfen benutzerdefinierter Änderungen vor dem
dauerhaften Erstellen einer Klasse sowie zur Fehlerbehebung bei Problemen mit der Gerätesteuerung
genutzt werden.
Device Control nutzt Gerätedefinitionen und Plug-and-Play-Gerätesteuerungsregeln zur Steuerung von
verwalteten Geräteklassen und bestimmten Geräten, die zu einer verwalteten Geräteklasse gehören.
Regeln für Wechselspeichermedien erfordern dagegen keine verwaltete Geräteklasse. Dies hängt mit
der unterschiedlichen Verwendung der Geräteklassen durch die beiden Arten von Geräteregeln
zusammen:
•
Plug-and-Play-Geräteregeln werden ausgelöst, wenn das Hardware-Gerät an einen Computer
angeschlossen wird. Da sich die Reaktion auf einen Gerätetreiber bezieht, muss die Geräteklasse
verwaltet sein, damit das Gerät erkannt wird.
•
Regeln für Wechselspeichermedien werden bei der Bereitstellung eines neuen Dateisystems
ausgelöst. Dabei ordnet der Device Control-Client den Laufwerksbuchstaben dem jeweiligen
Hardware-Gerät zu und überprüft die Geräteeigenschaften. Da sich die Reaktion auf einen
Dateisystemvorgang (die Bereitstellung des Dateisystems) bezieht, muss die Geräteklasse nicht
verwaltet sein.
Produkthandbuch
57
6
Geräteklassen
Siehe auch
Erstellen einer Geräteklasse auf Seite 58
Definieren einer Geräteklasse
Falls keine passende Geräteklasse in der vordefinierten Liste vorhanden ist oder automatisch beim
Installieren neuer Hardware erstellt wird, können Sie in der Richtlinien-Manager-Konsole von McAfee
DLP Endpoint eine neue Geräteklasse erstellen.
Ermitteln einer GUID
Für Geräteklassendefinitionen sind ein Name und mindestens eine GUID (Globally Unique Identifier,
globale eindeutige ID) erforderlich.
Einige Hardware-Geräte installieren eine eigene neue Geräteklasse. Um das Verhalten der
Plug-und-Play-Hardware-Geräte zu kontrollieren, die ihre eigenen Geräteklassen definieren, müssen
Sie zunächst dem Status Verwaltet in der Liste Geräteklassen eine neue Geräteklasse hinzufügen.
Eine Geräteklasse wird durch zwei Eigenschaften definiert: den Namen und die GUID. Der Name des
neuen Geräts wird im Geräte-Manager angezeigt, die GUID jedoch nur in der Windows-Registrierung,
und es gibt keine Möglichkeit zum Abrufen dieser Information. Um das Abrufen der neuen
Gerätenamen und GUIDs zu vereinfachen, meldet der Device Control-Client das Ereignis Neue
Geräteklasse gefunden an die DLP-Ereignisverwaltung, wenn ein Hardware-Gerät, das nicht einer
erkannten Geräteklasse angehört, an den Host-Computer angeschlossen wird.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Ereignisverwaltung | Liste der Vorfälle aus.
2
Klicken Sie neben der Dropdown-Liste Filter auf Bearbeiten, um die Filterkriterien zu bearbeiten.
3
Wählen Sie in der Liste Verfügbare Eigenschaften (linker Bereich) Vorfalltyp aus.
4
In der Dropdown-Liste Vergleich muss der Wert Gleich ausgewählt sein.
5
Wählen Sie in der Dropdown-Liste Werte die Option Neue Geräteklasse gefunden aus.
6
Klicken Sie auf Filter aktualisieren.
In der Liste der Vorfälle werden die auf allen Endgerät-Computern gefundenen neuen Geräteklassen
angezeigt.
7
Doppelklicken Sie zur Anzeige des Namens und des GUID auf das Element, um die Vorfallsdetails
anzuzeigen.
Erstellen einer Geräteklasse
Wenn eine benötigte Geräteklasse sich nicht in der Liste der vordefinierten Geräteklassen befindet
bzw. beim Installieren neuer Hardware nicht automatisch erstellt wurde, können Sie eine neue
Geräteklasse erstellen.
Bevor Sie beginnen
Sie benötigen hierfür die Geräte-GUID.
58
Produkthandbuch
Gerätedefinitionen
6
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Fensterbereich Gerätesteuerung | Geräteklasse aus.
3
•
Wählen Sie Aktionen | Neu aus.
•
Suchen Sie in der vordefinierten Liste der Geräteklassen eine ähnliche Geräteklasse, und klicken
Sie dann in der Spalte Aktionen auf Duplizieren. Klicken Sie für die duplizierte Geräteklasse auf
Bearbeiten.
4
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
5
Überprüfen Sie den erforderlichen Status und Filtertyp.
6
Geben Sie die GUID ein, und klicken Sie auf Hinzufügen.
Die GUID muss das korrekte Format aufweisen. Bei einer fehlerhaften Eingabe werden Sie zur
Eingabe im korrekten Format aufgefordert.
7
Siehe auch
Geräteklassen auf Seite 57
Gerätedefinitionen auf Seite 59
Gerätedefinitionen
Eine Gerätedefinition ist eine Liste von Geräteeigenschafte, wie z. B. Bustyp, Geräteklasse,
Anbieter-ID oder Produkt-ID.
Die Aufgabe von Gerätedefinitionen besteht darin, Geräte anhand gemeinsamer Geräteeigenschaften
zu erkennen und in Gruppen zusammenzufassen. Einige Geräteeigenschaften können auf alle
Gerätedefinitionen angewendet werden, andere sind ausschließlich für einen oder mehrere spezielle
Gerätetypen bestimmt.
Die folgenden Gerätedefinitionstypen sind verfügbar:
•
Festplattenlaufwerke sind mit dem Computer verbunden und werden vom Betriebssystem nicht als
Wechselspeicher gekennzeichnet. Device Control kann alle Festplattenlaufwerke bis auf das
Startlaufwerk steuern.
•
Plug-and-Play-Geräte werden ohne Konfiguration oder manuelle Installation von DLL-Dateien bzw.
Treibern an den verwalteten Computer angeschlossen. Bei den meisten Microsoft Windows-Geräten
handelt es sich um Plug-and-Play-Geräte.
Produkthandbuch
59
6
Gerätedefinitionen
•
Wechselspeichermedien sind externe Geräte mit einem Dateisystem, die auf dem verwalteten
Computer als Laufwerk angezeigt werden. Die Definitionen der Wechselspeichermedien
unterstützen entweder Windows- oder OS X-Betriebssysteme.
•
Plug-and-Play-Geräte in der Whitelist verursachen Konflikte bei der Geräteverwaltung und können
dadurch einen Systemabsturz oder andere schwerwiegende Probleme auslösen.
Definitionen für Plug-and-Play-Geräte in der Whitelist werden in jeder
Plug-and-Play-Gerätesteuerungsregel automatisch der Liste der ausgeschlossenen Geräte
hinzugefügt. Diese Geräte werden in keinem Fall verwaltet, auch wenn die übergeordnete
Geräteklasse verwaltet wird.
Die Definitionen der Wechselspeichermedien sind flexibler und beinhalten zusätzliche Eigenschaften
bezüglich der Wechselspeichermedien. Für Geräte wie USB-Massenspeichergeräte, die als beides
eingestuft werden können, empfiehlt McAfee die Verwendung von Definitionen und Regeln für
Wechselspeichermedien.
Siehe auch
Erstellen einer Geräteklasse auf Seite 58
Arbeiten mit Gerätedefinitionen
Mehrere Parameter werden Gerätedefinitionen entweder als logisches ODER (Standardeinstellung)
oder als logisches UND hinzugefügt. Mehrere Parametertypen werden immer als logisches UND
hinzugefügt.
Die folgende Parameterauswahl beispielsweise:
Erstellt diese Definition:
60
•
Der Bustyp ist entweder Firewire (IEEE 1394) ODER USB,
•
UND die Geräte-Klasse ist entweder Speichergeräte ODER tragbare Windows-Geräte.
Produkthandbuch
Gerätedefinitionen
6
Aufgaben
•
Erstellen einer Gerätedefinition auf Seite 61
Gerätedefinitionen geben die Eigenschaften eines Geräts an, um die Regel auszulösen.
•
Erstellen einer Definition für Plug-and-Play-Geräte in der Whitelist auf Seite 61
Plug-and Play-Geräte in der Whitelist werden zur Handhabung von Geräten verwendet, die
Konflikte bei der Geräteverwaltung verursachen und dadurch einen Systemabsturz oder
andere schwerwiegende Probleme auslösen können. Solche Geräte sollten in die Whitelist
aufgenommen werden, um Kompatibilitätsprobleme zu vermeiden.
•
Erstellen einer Definition für ein Wechselspeichermedium auf Seite 62
Ein Wechselspeichermedium ist ein externes Gerät mit einem Dateisystem, das auf dem
verwalteten Computer als Laufwerk angezeigt wird. Definitionen für
Wechselspeichermedien sind flexibler als Definitionen für Plug-and-Play-Geräte und
umfassen zusätzliche spezifische Eigenschaften.
Erstellen einer Gerätedefinition
Gerätedefinitionen geben die Eigenschaften eines Geräts an, um die Regel auszulösen.
Sie können Definitionen für Plug-and-Play-Geräte in der Whitelist erstellen, die Konflikte bei der
Geräteverwaltung verursachen und dadurch einen Systemabsturz oder andere schwerwiegende
Probleme auslösen können. Für diese Geräte werden auch bei Auslösung einer Regel keine Aktionen
ausgeführt.
Vorgehensweise
1
2
Wählen Sie im linken Bereich die Option Gerätesteuerung | Gerätedefinitionen aus.
3
Wählen Sie Aktionen | Neu und dann den Typ der Definition aus.
4
5
Wählen Sie Eigenschaften für das Gerät aus.
Die jeweilige Liste der verfügbaren Eigenschaften hängt vom Typ des Geräts ab.
•
Klicken Sie zum Hinzufügen einer Eigenschaft auf >.
•
Klicken Sie zum Entfernen einer Eigenschaft auf <.
•
Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +.
Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/
Oder-Schaltfläche, um den Operator zu UND zu ändern.
•
6
Klicken Sie zum Entfernen einer Eigenschaft auf -.
Erstellen einer Definition für Plug-and-Play-Geräte in der Whitelist
Plug-and Play-Geräte in der Whitelist werden zur Handhabung von Geräten verwendet, die Konflikte
bei der Geräteverwaltung verursachen und dadurch einen Systemabsturz oder andere schwerwiegende
Produkthandbuch
61
6
Gerätedefinitionen
Probleme auslösen können. Solche Geräte sollten in die Whitelist aufgenommen werden, um
Kompatibilitätsprobleme zu vermeiden.
In der Whitelist befindliche Plug-and-Play-Geräte werden bei Anwendung der Richtlinie in sämtlichen
Plug-and-Play-Geräte-Regeln automatisch der Liste der ausgeschlossenen Geräte hinzugefügt. Diese
Geräte werden in keinem Fall verwaltet, auch wenn die übergeordnete Geräteklasse verwaltet wird.
Vorgehensweise
1
2
Wählen Sie im linken Bereich Gerätesteuerung | Gerätedefinitionen und anschließend Aktionen | Neu |
Plug-and-Play-Gerätedefinition in der Whitelist aus.
3
4
•
•
•
•
5
Erstellen einer Definition für ein Wechselspeichermedium
Ein Wechselspeichermedium ist ein externes Gerät mit einem Dateisystem, das auf dem verwalteten
Computer als Laufwerk angezeigt wird. Definitionen für Wechselspeichermedien sind flexibler als
Definitionen für Plug-and-Play-Geräte und umfassen zusätzliche spezifische Eigenschaften.
Vorgehensweise
1
2
Wählen Sie im linken Bereich Gerätesteuerung | Gerätedefinitionen und anschließend Aktionen | Neu |
Wechselspeichermedium-Definition aus.
3
4
Wählen Sie die Option Gilt für für Microsoft Windows- oder OS X-Geräte aus.
Daraufhin werden in der Liste Verfügbare Eigenschaften die Eigenschaften für das ausgewählte
Betriebssystem angezeigt.
5
62
•
•
Produkthandbuch
Gerätedefinitionen
•
6
•
6
Device properties
Device properties specify device characteristics such as the device name, bus type, or file system
type.
The table provides device property definitions, which definition types use the property, and which
operating system they apply to.
Tabelle 6-2 Types of device properties
Property
name
Device
definition
Applies to
operating systems:
Description
Bus Type
All
• Windows —
Bluetooth, Firewire
(IEEE1394), IDE/
SATA, PCI, PCMIA,
SCSI, USB
Selects the device BUS type from the available list.
• Mac OS X —
Firewire
(IEEE1394), IDE/
SATA, SD,
Thunderbolt, USB
CD/DVD Drives
Removable
storage
• Windows
Content
encrypted by
Endpoint
Encryption
Removable
storage
Windows
Devices protected with Endpoint Encryption.
Device Class
Plug and play
Windows
Selects the device class from the available managed list.
Device
Compatible IDs
All
Windows
A list of physical device descriptions. Effective especially
with device types other than USB and PCI, which are
more easily identified using PCI VendorID/DeviceID or
USB PID/VID.
Device Instance All
ID (Microsoft
Windows XP)
Windows
A Windows-generated string that uniquely identifies the
device in the system.
• Mac OS X
Example:
Device Instance
Path (Windows
Vista and later
Microsoft
Windows
operating
systems,
including
servers)
Device Name
Select to indicate any CD or DVD drive.
USB\VID_0930&PID_6533\5&26450FC&0&6.
All
• Windows
• Mac OS X
The name attached to a hardware device, representing its
physical address.
Produkthandbuch
63
6
Gerätedefinitionen
Tabelle 6-2 Types of device properties (Fortsetzung)
Property
name
Device
definition
Applies to
operating systems:
File System
Type
• Fixed hard
disk
The type of file system.
• Windows — CDFS,
exFAT, FAT16,
• For hard disks, select one of exFAT, FAT16, FAT32, or
FAT32, NTFS, UDFS
NTFS.
• Removable
storage
• Mac OS X — CDFS,
exFAT, FAT16,
FAT32, HFS/HFS+,
NTFS, UDFS
Description
• For removable storage devices, any of the above plus
CDFS or UDFS.
Mac OS X supports
FAT only on disks
other than the boot
disk. Mac OS X
supports NTFS as
read-only.
File System
Access
Removable
storage
• Windows
File System
Volume Label
• Fixed hard
disk
• Windows
The access to the file system: read only or read-write.
• Mac OS X
• Mac OS X
The user-defined volume label, viewable in Windows
Explorer. Partial matching is allowed.
• Removable
storage
File System
Volume Serial
Number
• Fixed hard
disk
PCI VendorID /
DeviceID
All
Windows
A 32-bit number generated automatically when a file
system is created on the device. It can be viewed by
running the command-line command dir x:, where x: is
the drive letter.
Windows
The PCI VendorID and DeviceID are embedded in the PCI
device. These parameters can be obtained from the
Hardware ID string of physical devices.
• Removable
storage
Example:
PCI\VEN_8086&DEV_2580&SUBSYS_00000000 &REV_04
TrueCrypt
devices
Removable
storage
USB Class Code Plug and play
64
Windows
Select to specify a TrueCrypt device.
Windows
Identifies a physical USB device by its general function.
Select the class code from the available list.
Produkthandbuch
6
Tabelle 6-2 Types of device properties (Fortsetzung)
Property
name
Device
definition
Applies to
operating systems:
Description
USB Device
Serial Number
• Plug and play
• Windows
• Removable
storage
• Mac OS X
A unique alphanumeric string assigned by the USB device
manufacturer, typically for removable storage devices. The
serial number is the last part of the instance ID.
Example:
USB\VID_3538&PID_0042\00000000002CD8
A valid serial number must have a minimum of 5
alphanumeric characters and must not contain
ampersands (&). If the last part of the instance ID does
not follow these requirements, it is not a serial number.
USB Vendor
ID / Product ID
• Plug and play
• Windows
• Removable
storage
• Mac OS X
The USB VendorID and ProductID are embedded in the
USB device. These parameters can be obtained from the
Hardware ID string of physical devices.
Example:
USB\Vid_3538&Pid_0042
Gerätesteuerungsegeln definieren die Aktion, die durchgeführt wird, wenn bestimmte Geräte
verwendet werden.
Von den sechs Typen von Gerätesteuerungsregeln unterstützt OS X in dieser Version ausschließlich die
Regeln für Wechselspeichermedien.
•
Regel für Wechselspeichermedien (Microsoft Windows, OS X): Wird zum Blockieren oder
Überwachen von Wechselspeichermedien oder zum Setzen eines Schreibschutzes verwendet. Der
Benutzer kann über die durchgeführte Aktion benachrichtigt werden.
•
Plug-and-Play-Geräteregel (nur Microsoft Windows): Wird zum Blockieren oder Überwachen von
Plug-and-Play-Geräten verwendet. Der Benutzer kann über die durchgeführte Aktion benachrichtigt
werden.
•
Regel zum Wechselspeicher-Dateizugriff (nur Microsoft Windows): Wird zum Blockieren von
ausführbaren Dateien auf Plug-In-Geräten verwendet.
•
Festplattenregel (nur Microsoft Windows): Wird zum Blockieren oder Überwachen von Festplatten
bzw. Setzen eines Schreibschutzes verwendet. Der Benutzer kann über die durchgeführte Aktion
benachrichtigt werden. Geräteregeln für Festplatten schützen nicht die Start- oder Systempartition.
•
Citrix XenApp-Geräteregel (nur Microsoft Windows): Wird zum Blockieren von Citrix-Geräten
verwendet, die freigegebenen Desktop-Sitzungen zugeordnet sind.
•
TrueCrypt-Geräteregel (nur Microsoft Windows): Wird zum Schützen von TrueCrypt-Geräten
verwendet. Kann zum Blockieren, Überwachen oder Setzen eines Schreibschutzes verwendet
werden. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden.
Produkthandbuch
65
6
Regeln für Wechselspeichermedien
Mit Regeln für Wechselspeichermedien können Wechselspeichermedien blockiert, überwacht oder mit
einem Schreibschutz versehen werden. Der Benutzer kann über die durchgeführte Aktion
benachrichtigt werden.
Regeln für Wechselspeichermedien werden sowohl unter Microsoft Windows- als auch unter
OS X-Computern unterstützt. Da die beiden Arten von Geräteregeln Geräteklassen auf
unterschiedliche Art und Weise verwenden, benötigen sie keine verwaltete Geräteklasse.
•
Plug-and-Play-Geräteregeln werden ausgelöst, wenn ein Hardware-Gerät an den Computer
angeschlossen wird. Da sich die Reaktion auf einen Gerätetreiber bezieht, muss die Geräteklasse
verwaltet sein, damit das Gerät erkannt wird.
•
Regeln für Wechselspeichermedien werden bei der Bereitstellung eines neuen Dateisystems
ausgelöst. Dabei ordnet die McAfee DLP Endpoint-Software dem Hardware-Gerät den
Laufwerksbuchstaben zu und überprüft die Eigenschaften des Geräts. Da sich die Reaktion auf
einen Dateisystemvorgang und nicht auf einen Gerätetreiber bezieht, muss die Geräteklasse nicht
verwaltet sein.
Anwendungsbeispiel: Regel für Wechselspeichermedien mit einem in der
Whitelist befindlichen Prozess
Sie können einen Prozess in die Whitelist aufnehmen und diesen als Ausnahme für eine
Wechselspeicher-Blockierungsregel definieren.
Mit Regeln für Wechselspeichermedien wird verhindert, dass Anwendungen Aktionen für das
Speichergerät durchführen. Die Regel lässt jedoch einen in der Whitelist befindlichen Prozess zu. In
diesem Beispiel werden Sandisk-Wechselspeichermedien blockiert, jedoch darf Antiviren-Software das
Gerät scannen, um infizierte Dateien zu entfernen.
Diese Funktion wird nur für Windows-Computer unterstützt.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Navigieren Sie auf der Registerkarte Definitionen zur vordefinierten Gerätedefinition für
Sandisk-Wechselspeichermedien (Windows), und klicken Sie auf Duplizieren.
Es empfiehlt sich, die vordefinierten Definitionen zu duplizieren, damit Sie sie anpassen können. In
einfachen Situationen können sie jedoch auch unverändert verwendet werden. In der Definition
wird die Sandisk-Anbieter-ID 0781 verwendet. Sie können weitere Anbieter-IDs hinzufügen, um
weitere Marken von Wechselspeichermedien in die Definition aufzunehmen.
3
Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, oder erstellen Sie einen Regelsatz.
4
Wählen Sie auf der Registerkarte Gerätesteuerung die Optionen Aktionen | Neue Regel | Regel für
Wechselspeichermedien aus.
5
Geben Sie einen Namen für die Regel ein, und wählen Sie Status | Aktiviert aus. Wählen Sie im
Abschnitt Bedingungen im Feld Wechselspeicher die in Schritt 2 erstellte Gerätedefinition aus.
6
Fügen Sie im Feld Prozessname die vordefinierte Definition McAfee AV hinzu.
Sie können diese Definition, genau wie die Definition des Wechselspeichermediums, duplizieren und
dann anpassen.
66
Produkthandbuch
6
7
Wählen Sie auf der Registerkarte Reaktion die Optionen Vorbeugende Aktion | Blockieren aus. Sie können
bei Bedarf eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen.
8
Klicken Sie auf Speichern und dann auf Schließen.
Anwendungsbeispiel: Festlegen eines Schreibschutzes für ein
Wechselspeichermedium
Im Gegensatz zu Plug-and-Play-Geräteregeln haben Schutzregeln für Wechselspeichermedien eine
Schreibschutzoption.
Durch das Festlegen eines Schreibschutzes für Wechselspeichermedien können Sie zulassen, dass
Benutzer eigene Geräte (z. B. MP3-Player) nutzen, jedoch gleichzeitig die Verwendung dieser Geräte
als Speichermedien verhindern.
Vorgehensweise
1
2
Erstellen Sie auf der Registerkarte Definitionen der Seite Gerätedefinitionen eine
Wechselspeichermedium-Definition.
Wechselspeichermedium-Definitionen müssen als Windows- oder Mac-Definitionen kategorisiert
werden. Beginnen Sie beispielsweise mit dem Duplizieren einer der vordefinierten Definitionen für
Windows oder Mac, und passen Sie die Definition nach Bedarf an. Der Bustyp kann USB, Bluetooth
und alle weiteren Bustypen enthalten, die voraussichtlich verwendet werden. Geräte können anhand
der Anbieter-ID oder des Gerätenamens identifiziert werden.
3
Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, oder erstellen Sie einen Regelsatz.
4
Wählen Sie auf der Registerkarte Gerätesteuerung die Optionen Aktionen | Neue Regel | Regel für
Wechselspeichermedien aus.
5
Geben Sie einen Namen für die Regel ein, und wählen Sie Status | Aktiviert aus. Wählen Sie im
Abschnitt Bedingungen im Feld Wechselspeicher die in Schritt 2 erstellte Gerätedefinition aus.
6
Wählen Sie auf der Registerkarte Reaktion die Optionen Vorbeugende Aktion | Schreibschutz aus. Sie
können bei Bedarf eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden
auswählen.
7
Plug-and-Play-Geräteregeln
Mit Plug-and-Play-Geräteregeln können Plug-und-Play-Geräte blockiert oder überwacht werden. Der
Benutzer kann über die durchgeführte Aktion benachrichtigt werden.
Ein Plug-and-Play-Gerät kann ohne Konfiguration oder manuelle Installation von DLL-Dateien oder
Treibern an einen verwalteten Computer angeschlossen werden. Plug-and-Play-Geräteregeln werden
nur auf Windows-Computern unterstützt. Damit Hardware-Geräte anhand von
Plug-and-Play-Geräteregeln gesteuert werden können, muss der Status für die Geräteklassen, die in
den von der Regel verwendeten Gerätedefinitionen angegeben sind, auf Verwaltet eingestellt werden.
Produkthandbuch
67
6
Anwendungsbeispiel: Blockieren und Aufladen eines iPhones anhand einer
Plug-and-Play-Geräteregel
Sie können festlegen, dass für Apple iPhones während der Aufladung am Computer die Nutzung als
Speichergerät blockiert wird.
In diesem Anwendungsbeispiel wird eine Regel erstellt, die verhindert, dass der Benutzer das iPhone
als Massenspeichergerät verwendet. Hierfür wird eine Plug-and-Play-Geräteschutzregel verwendet, da
diese unabhängig von den weiteren Festlegungen der Regel das Aufladen von iPhones zulässt. Diese
Funktion wird weder für Smartphones anderer Anbieter noch für andere Mobilgeräte von Apple
unterstützt. Die Regel verhindert nicht das Aufladen eines iPhones am Computer.
Zum Definieren einer Plug-and-Play-Geräteregel für bestimmte Geräte müssen Sie eine
Gerätedefinition mit dem Anbieter- und dem Produkt-ID-Code (VID/PID) erstellen. Diese
Informationen werden im Geräte-Manager von Windows angezeigt, wenn das Gerät angeschlossen ist. Da
in diesem Beispiel nur eine VID erforderlich ist, müssen Sie die Informationen nicht nachsehen,
sondern können die vordefinierte Gerätedefinition All Apple devices verwenden.
Vorgehensweise
1
2
Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, bzw. erstellen Sie einen neuen
Regelsatz. Klicken Sie auf die Registerkarte Gerätesteuerung, und erstellen Sie eine
Plug-and-Play-Geräteregel. Verwenden Sie die vordefinierte Gerätedefinition All Apple devices als
eingeschlossene Definition (ist eines von (ODER)).
3
Legen Sie auf der Registerkarte Reaktion die vorbeugende Aktion auf Blockieren fest.
4
Regeln für den Wechselspeicher-Dateizugriff
Mit Regeln für den Wechselspeicher-Dateizugriff wird die Ausführung von ausführbaren Dateien auf
Plug-In-Geräten blockiert.
Regeln für den Wechselspeicher-Dateizugriff werden nur auf Windows-Computern unterstützt. Mit
Regeln für den Wechselspeicher-Dateizugriff wird die Ausführung von Anwendungen auf
Wechselspeichermedien blockiert. In der Regel können ein- und ausgeschlossene Geräte angegeben
werden. Da bei einigen ausführbaren Dateien, z. B. Verschlüsselungsanwendungen auf verschlüsselten
Geräten, die Ausführung gestattet werden muss, beinhaltet die Regel den Parameter Dateiname | ist
keines von, damit darin aufgeführte Dateien von der Blockierungsregel ausgenommen werden können.
Dateizugriffsregeln nutzen für die Bestimmung der zu blockierenden Dateien den tatsächlichen
Dateityp und die tatsächliche Dateierweiterung. Der tatsächliche Dateityp identifiziert die Datei anhand
des intern registrierten Datentyps, der auch dann die korrekte Information liefert, wenn die
Erweiterung geändert wurde. Die Regel blockiert standardmäßig komprimierte Dateien (ZIP, GZ, JAR,
RAR und CAB) und ausführbare Dateien (BAT, BIN, CGI, COM, CMD, DLL, EXE, CLASS, SYS und MSI).
Sie können die Definitionen der Dateierweiterungen beliebig anpassen und weitere benötigte
Dateitypen hinzufügen.
Dateizugriffsregeln blockieren außerdem das Kopieren ausführbarer Dateien auf
Wechselspeichermedien, da der Dateifiltertreiber nicht unterscheiden kann, ob eine ausführbare Datei
geöffnet oder lediglich erstellt wird.
68
Produkthandbuch
6
Festplattenregeln
Mit Festplattenregeln können Festplatten blockiert, überwacht oder mit einem Schreibschutz versehen
werden. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. Geräteregeln für
Festplatten schützen nicht die Start- oder Systempartition.
Festplattenregeln werden nur auf Windows-Computern unterstützt. Festplattenregeln enthalten eine
Laufwerkdefinition mit einer Aktion (blockieren oder mit Schreibschutz versehen), einer
Endbenutzerdefinition und ggf. einer Benutzerbenachrichtigung.
Citrix XenApp-Geräteregeln
Mit Citrix XenApp-Geräteregeln werden Citrix-Geräte blockiert, die freigegebenen Desktop-Sitzungen
zugeordnet sind.
Citrix XenApp-Geräteregeln werden nur auf Windows-Computern unterstützt. Die McAfee DLP
Endpoint-Software kann Citrix-Geräte blockieren, die freigegebenen Desktop-Sitzungen zugeordnet
sind. Dabei können Disketten-, Festplatten-, CD-, Wechselspeicher- und Netzwerklaufwerke sowie
Drucker und Zwischenablageumleitungen blockiert werden. Sie können die Regel bestimmten
Endbenutzern zuweisen.
TrueCrypt-Geräteregeln
TrueCrypt-Geräteregeln können TrueCrypt-Geräte blockieren, überwachen oder mit einem
Schreibschutz versehen. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden.
TrueCrypt-Geräteregeln werden nur auf Windows-Computern unterstützt. TrueCrypt-Regeln sind eine
Untergruppe der Regeln für Wechselspeichermedien.
TrueCrypt wird für OS X derzeit nicht unterstützt.
Mit TrueCrypt verschlüsselte virtuelle Geräte können mit TrueCrypt-Geräteregeln oder mit Regeln für
Wechselspeichermedien geschützt werden.
•
Verwenden Sie eine Geräteregel, wenn ein TrueCrypt-Volume blockiert, überwacht oder mit einem
Schreibschutz versehen werden soll.
•
Wenn Sie jedoch inhaltsbezogenen Schutz für TrueCrypt-Volumes wünschen, verwenden Sie eine
Schutzregel.
Die McAfee DLP Endpoint-Client-Software behandelt alle TrueCrypt-Bereitstellungen als Wechselspeicher,
auch wenn die TrueCrypt-Anwendung auf eine lokale Festplatte schreibt.
Siehe auch
Für Regeltypen verfügbare Reaktionen auf Seite 105
Sie können Geräteregeln erstellen, um die Nutzung von Geräten in Ihrem Unternehmen zu steuern.
Unter Windows werden alle Geräteregeln unterstützt. Unter OS X werden derzeit nur Regeln für
Wechselspeichermedien unterstützt.
Erstellen einer Regel für Wechselspeichermedien
Wechselspeichermedien werden auf verwalteten Computern als Laufwerke angezeigt. Mithilfe von
Regeln für Wechselspeichermedien können Sie Wechselspeichermedien blockieren oder mit einem
Schreibschutz versehen.
Produkthandbuch
69
6
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken
Sie auf die Registerkarte Gerätesteuerung.
4
Wählen Sie Aktionen | Neue Regel | Regel für Wechselspeichermedien aus.
5
Geben Sie einen eindeutigen Regelnamen ein. Bei Bedarf können Sie den Status ändern und einen
Schweregrad auswählen.
6
Wählen Sie im Bereich Bedingung mindestens eine Definition für ein Wechselspeichermedium aus.
Optional: Weisen Sie der Regel Endbenutzergruppen und einen Prozessnamen zu.
In Gerätedefinitionen können Geräte eingeschlossen (ist eines von) oder ausgeschlossen (ist keines von)
werden. Es muss mindestens eine Definition eingeschlossen werden.
7
Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Optional: Sie können eine
Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert.
8
Optional: Wenn der Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet, können Sie eine
andere Vorbeugende Aktion auswählen.
9
Erstellen einer Plug-and-Play-Geräteregel
Plug-and-Play-Geräte können ohne Konfiguration oder manuelle Installation von DLL-Dateien oder
Treibern an den verwalteten Computer angeschlossen werden. Mithilfe von Plug-and-Play-Geräteregeln
können Sie verhindern, dass der Endgerät-Computer diese Geräte lädt.
Vorgehensweise
1
2
3
4
Wählen Sie Aktionen | Neue Regel | Plug-and-Play-Geräteregel aus.
5
Geben Sie einen eindeutigen Regelnamen ein. Optional: Sie können den Status ändern und einen
6
Wählen Sie im Bereich Bedingung mindestens eine Plug-and-Play-Gerätedefinition aus. Optional: Sie
können der Regel Endbenutzergruppen zuweisen.
70
Produkthandbuch
6
7
Benutzerbenachrichtigung hinzufügen und den Vorfall melden.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht in der DLP-Ereignisverwaltung
protokolliert.
8
Optional: Wählen Sie eine andere Vorbeugende Aktion aus, wenn der Endbenutzer außerhalb des
Unternehmensnetzwerks arbeitet oder über VPN verbunden ist.
9
Erstellen einer Geräteregel für Wechselspeicher-Dateizugriff
Mithilfe von Regeln für den Wechselspeicher-Dateizugriff können Sie die Ausführung ausführbarer
Dateien auf Plug-In-Geräten blockieren.
Vorgehensweise
1
2
3
4
Wählen Sie Aktionen | Neue Regel | Regel zum Wechselspeicher-Dateizugriff aus.
5
Geben Sie einen eindeutigen Regelnamen ein. Bei Bedarf können Sie den Status ändern und einen
6
Wählen Sie im Bereich Bedingung mindestens eine Wechselspeichermedium-Definition aus. Weisen
Sie der Regel ggf. Endbenutzergruppen zu.
7
Optional: Sie können die Standarddefinitionen für Tatsächlicher Dateityp bzw. Dateierweiterung
entsprechend Ihren Anforderungen ändern.
8
Optional: Geben Sie einen Dateinamen ein, der von der Regel ausgeschlossen werden soll.
Ausführbare Dateien sind standardmäßig in die Regel mit der Option Dateierweiterung eingeschlossen.
Sie können diese Option bei Bedarf bearbeiten. Der Ausschluss Dateiname eignet sich für
Anwendungen, die unbedingt ausgeführt werden müssen, beispielsweise
Verschlüsselungsanwendungen auf verschlüsselten Laufwerken.
9
Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Bei Bedarf können Sie eine
Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen.
protokolliert.
10 Sie können bei Bedarf eine andere Vorbeugende Aktion auswählen, wenn der Endbenutzer außerhalb
des Unternehmensnetzwerks arbeitet.
11 Klicken Sie auf Speichern.
Erstellen einer Festplatten-Geräteregel
Mit Festplatten-Geräteregeln steuern Sie Festplatten, die mit dem Computer verbunden und vom
Betriebssystem nicht als Wechselspeicher gekennzeichnet sind.
Produkthandbuch
71
6
Vorgehensweise
1
2
3
4
Wählen Sie Aktionen | Neue Regel | Festplattenregel aus.
5
6
Wählen Sie im Bereich Bedingung mindestens eine Festplatten-Gerätedefinition aus. Optional: Sie
können der Regel Endbenutzergruppen zuweisen.
7
protokolliert.
8
9
Erstellen einer Citrix-Geräteregel
Mithilfe von Citrix-Geräte-Regeln können Citrix-Geräte blockiert werden, die gemeinsam verwendeten
Desktop-Sitzungen zugeordnet sind.
Vorgehensweise
1
2
3
4
Wählen Sie Aktionen | Neue Regel | Citrix XenApp-Geräteregel aus.
5
6
Wählen Sie im Bereich Bedingung mindestens eine Ressource aus. Optional: Sie können der Regel
Endbenutzergruppen zuweisen.
7
Die ausgewählten Ressourcen werden blockiert.
Die einzige Vorbeugende Aktion für Citrix-Regeln ist Blockieren. Sie müssen die Aktion nicht im Bereich Reaktion
festlegen.
72
Produkthandbuch
6
Erstellen einer TrueCrypt-Geräteregel
Mithilfe von TrueCrypt-Geräteregeln können virtuelle TrueCrypt-Verschlüsselungsgeräte blockiert oder
überwacht bzw. mit einem Schreibschutz versehen werden.
Vorgehensweise
1
2
3
4
Wählen Sie Aktionen | Neue Regel | TrueCrypt-Geräteregel aus.
5
6
Optional: Sie können der Regel im Bereich Bedingung Endbenutzergruppen zuweisen.
7
protokolliert.
8
9
Produkthandbuch
73
6
74
Produkthandbuch
7
Mithilfe von Klassifizierungen können vertrauliche Inhalte und Dateien erkannt und verfolgt werden.
Inhalt
Das Modul Klassifizierung
Manuelle Klassifizierung
Verwenden von Klassifizierungen
Klassifizierungsdefinitionen und -kriterien
Erstellen und Konfigurieren von Klassifizierungen
Text in der Whitelist
Hochladen von registrierten Dokumenten
Hochladen von Dateien zur Aufnahme von Text in die Whitelist
Erstellen von Klassifizierungsdefinitionen
Klassifizieren anhand des Dateispeicherorts
Klassifizieren anhand des Dateiziels
Das Modul Klassifizierung
Im Modul Klassifizierung in McAfee ePO werden Klassifizierungskriterien und Kennzeichnungskriterien
sowie die zur Konfiguration verwendeten Definitionen gespeichert. In diesem Modul werden zudem
Repositorys für registrierte Dokumente, die Benutzerautorisierung für die manuelle Kennzeichnung
und in der Whitelist befindlicher Text eingerichtet.
Das Modul bietet folgende Funktionen:
•
Manuelle Klassifizierung: Konfiguriert die Endbenutzergruppen, die Inhalte manuell klassifizieren
oder kennzeichnen dürfen
•
Definitionen: Definiert die Inhalte, Eigenschaften und Speicherorte von Dateien für die
Klassifizierung
•
Klassifizierung: Erstellt Klassifizierungen und definiert Klassifizierungs- und
Kennzeichnungskriterien
Produkthandbuch
75
7
•
Dokumente registrieren: Lädt Dateien mit bekannten vertraulichen Inhalten hoch
•
Text in der Whitelist: Lädt Dateien mit Text zur Aufnahme in die Whitelist hoch
Endbenutzer können Klassifizierungen oder Kennzeichnungskriterien manuell auf Dateien anwenden
oder aus diesen entfernen.
Die einfachste Methode zur Klassifizierung von Dateien oder Inhalten ist die manuelle Klassifizierung.
Standardmäßig sind Endbenutzer nicht zum Anzeigen, Hinzufügen oder Entfernen von
Klassifizierungen berechtigt. Sie können jedoch bestimmten Benutzergruppen definierte
Klassifizierungen zuweisen. Diese Benutzer können die Klassifizierungen dann während der Arbeit
anwenden. Die manuelle Klassifizierung kann Ihnen auch die Möglichkeit bieten, die
Klassifizierungsrichtlinien Ihres Unternehmens auch dann durchzusetzen, wenn vertrauliche oder
spezielle Informationen nicht automatisch vom System gekennzeichnet werden.
Anwendungsbeispiel: Manuelle Klassifizierung
Mitarbeitern, zu deren Aufgabenbereich das regelmäßige Erstellen von Dateien mit vertraulichen Daten
gehört, kann die Berechtigung zur manuellen Klassifizierung erteilt werden. Sie können Dateien dann
innerhalb des normalen Arbeitsablaufs während der Erstellung klassifizieren.
Dieses Beispiel veranschaulicht die Abläufe bei einem Gesundheitsdienstleister, bei dem alle
Patientendatensätze gemäß den HIPAA-Regeln vertraulich behandelt werden müssen. Daher wird den
Mitarbeitern, die Patientendatensätze anlegen bzw. bearbeiten, die Berechtigung zur manuellen
Klassifizierung erteilt.
Vorgehensweise
1
2
Erstellen Sie für die Mitarbeiter, die Patientendatensätze anlegen bzw. bearbeiten, eine oder
mehrere Benutzergruppen.
a
Öffnen Sie in McAfee ePO das Modul Klassifizierung (Menü | Datenschutz | Klassifizierung).
b
Wählen Sie auf der Registerkarte Definitionen die Optionen Quelle/Ziel | Endbenutzergruppe aus.
c
Wählen Sie Aktionen | Neu aus, ersetzen Sie den Standardnamen durch eine aussagekräftige
Bezeichnung, wie. z. B. PHI-Benutzergruppe, und fügen Sie der Definition Benutzer oder
Gruppen hinzu.
d
Erstellen Sie eine PHI-Klassifizierung (Protected Health Information, geschützte Gesundheitsdaten).
a
Wählen Sie im Modul Klassifizierung auf der Registerkarte Klassifizierung im linken Fensterbereich
[Sample] PHI [vordefiniert] und dann Aktionen | Klassifizierung duplizieren aus.
Nun wird eine Kopie der Beispielklassifizierung angezeigt, die bearbeitet werden kann.
76
b
Bearbeiten Sie die Felder Name, Beschreibung und Klassifizierungskriterien nach Bedarf.
c
Klicken Sie im Feld Manuelle Klassifizierung auf Bearbeiten.
d
Wählen Sie Aktionen | Endbenutzergruppen auswählen aus.
Produkthandbuch
7
e
Wählen Sie im Fenster Aus vorhandenen Werten auswählen die in einem früheren Schritt angelegten
Gruppen aus, und klicken Sie dann auf OK.
f
Kehren Sie zur Registerkarte Klassifizierung zurück, und wählen Sie Aktionen | Klassifizierung speichern
aus.
Mitarbeiter, die zu den zugewiesenen Gruppen gehören, können die Patientendatensätze nun direkt
beim Anlegen klassifizieren, indem sie mit der rechten Maustaste auf die Datei klicken und zuerst
Manuelle Kennzeichnung und anschließend das entsprechende Tag auswählen.
Klassifizierungen wenden Tags oder Klassifizierungskriterien auf Dateien und Inhalte an, sodass
vertrauliche Inhalte erkannt und verfolgt werden können.
McAfee DLP Endpoint erkennt und verfolgt vertrauliche Inhalte mithilfe von benutzerdefinierten
Klassifizierungen. Hierfür werden zwei grundlegende Typen unterstützt: Tags und
Klassifizierungskriterien. Tags kennzeichnen die vertraulichen Informationen mit einer Beschriftung,
die beim Inhalt verbleibt, auch wenn dieser in ein anderes Dokument kopiert oder in einem anderen
Format gespeichert wird.
Klassifizierungskriterien
Klassifizierungskriterien identifizieren Muster für vertraulichen Text, Wörterbücher, Stichwörter oder
Kombinationen aus diesen Elementen. Bei Kombinationen kann es sich einfach um mehrere benannte
Eigenschaften oder um Eigenschaften mit einer definierten Beziehung handeln, die als Nähe
bezeichnet wird. Sie können auch Dateibedingungen wie Dateityp, Dokumenteigenschaften,
Dateiverschlüsselung oder Position in der Datei (Kopfzeile/Textkörper/Fußzeile) angeben.
Kennzeichnungskriterien
Kennzeichnungskriterien werden entsprechend einer der folgenden Optionen auf Dateien oder Inhalte
angewendet:
Produkthandbuch
77
7
•
Anwendungsbasiert: Die Anwendung, in der die Datei erstellt oder geändert wurde
•
Speicherortbasiert: Die Definition der Netzwerkfreigabe oder des Wechselspeichermediums, auf
denen die Datei gespeichert ist
•
Web-basiert: Die Web-Adressen, an denen die Dateien geöffnet oder heruntergeladen wurden
Alle für Klassifizierungskriterien verfügbaren Daten- und Dateibedingungen sind auch für
Kennzeichnungskriterien verfügbar, sodass Tags die Funktionen beider Kriterientypen verbinden
können.
Kennzeichnungskriterien werden in den erweiterten Dateiattributen (EA) oder in alternativen
Datenströmen (ADS) gespeichert und auf eine Datei angewendet, wenn sie gespeichert wird. Wenn ein
Benutzer gekennzeichnete Inhalte in eine andere Datei kopiert oder verschiebt, werden die
Kennzeichnungskriterien auf die betreffende Datei angewendet. Werden die gekennzeichneten Inhalte
aus der Datei entfernt, werden auch die Kennzeichnungskriterien entfernt.
McAfee DLP Endpoint wendet Kennzeichnungskriterien auf Dateien an, nachdem eine Richtlinie
angewendet wurde, unabhängig davon, ob die Klassifizierung in einer Schutzregel verwendet wird.
Anwenden von Kriterien
Kriterien werden auf eine der folgenden Arten auf eine Datei angewendet:
•
•
McAfee DLP Endpoint wendet Kriterien in folgenden Situationen an:
•
Die Datei entspricht einer konfigurierten Klassifizierung.
•
Die Datei bzw. vertraulicher Inhalt wird an einen anderen Speicherort kopiert oder verschoben.
•
Bei einem Erkennungs-Scans wird eine Übereinstimmung mit der Datei erkannt.
Ein Benutzer mit entsprechender Berechtigung fügt einer Datei manuell Kriterien hinzu.
Siehe auch
Erstellen von Klassifizierungskriterien auf Seite 85
Erstellen von Kennzeichnungskriterien auf Seite 85
Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 87
Textextrahierung
Die Textextrahierung analysiert den Dateiinhalt, wenn Dateien geöffnet oder kopiert werden, und
vergleicht ihn mit Textmustern und Wörterbuchdefinitionen in den Klassifizierungsregeln. Bei einer
Übereinstimmung werden die Kriterien auf den Inhalt angewendet.
Die Textextrahierung kann je nach Anzahl der Prozessorkerne mehrere Prozesse ausführen.
•
Bei Prozessoren mit einem Kern wird nur ein Prozess ausgeführt.
•
Prozessoren mit zwei Kernen können bis zu zwei Prozesse ausführen,
•
während Mehrkernprozessoren bis zu drei Prozesse gleichzeitig ausführen können.
Wenn mehrere Benutzer angemeldet sind, verfügt jeder Benutzer über seine eigenen Prozesse. Die
Anzahl der Textextrahierungen hängt daher von der Anzahl der Kerne sowie von der Anzahl der
Benutzersitzungen ab. Die einzelnen Prozesse werden im Windows Task-Manager aufgeführt. Die
maximale Speichernutzung für die Textextrahierung kann konfiguriert werden. Der Standardwert
beträgt 75 MB.
Die McAfee DLP Endpoint-Software unterstützt Akzentzeichen. Wenn eine Datei mit ASCII-Text
verschiedene Akzentzeichen (wie beispielsweise im Französischen oder Spanischen) sowie reguläre
lateinische Zeichen enthält, kann die Textextrahierung den Zeichensatz unter Umständen nicht korrekt
identifizieren. Dieses Problem tritt in allen Textextrahierungsprogrammen auf. Es gibt keine bekannte
78
Produkthandbuch
7
Methode oder Technik, um die ANSI-Codepage in derartigen Fällen korrekt zu identifizieren. Wenn die
Textextrahierung die Codepage nicht identifizieren kann, werden Textmuster und Tag-Signaturen nicht
erkannt. Das Dokument kann nicht ordnungsgemäß klassifiziert werden, und die vorgesehene
Blockierungs- oder Überwachungsaktion kann nicht ausgeführt werden. Zur Umgehung dieses
Problems wird in der McAfee DLP Endpoint-Client-Software eine alternative Codepage verwendet. Dies
ist entweder die Standardsprache des jeweiligen Computers oder eine andere, vom Administrator
festgelegte Sprache.
Kategorisierung von Anwendungen in McAfee DLP Endpoint
Wenn Sie Klassifizierungen oder Regelsätze erstellen, die Anwendungen nutzen, sollten Sie sich
darüber im Klaren sein, nach welchem Prinzip McAfee DLP Endpoint diese kategorisiert und wie sich
dies auf die Systemleistung auswirkt.
McAfee DLP Endpoint teilt Anwendungen in vier Kategorien ein, die so genannten Strategien. Diese
bestimmen, wie die Software die verschiedenen Anwendungen behandelt. Sie können die Strategie
ändern, um ein ausgewogenes Verhältnis zwischen Sicherheit und effizientem Betrieb des Computers
zu erzielen.
Die Strategien in der Reihenfolge von höchstem zu schwächsten Schutz sind:
•
Editor: Eine Anwendung, die den Dateiinhalt ändern kann. Dazu gehören die "klassischen"
Editoren wie Microsoft Word oder Microsoft Excel sowie Browser, Grafik-Software,
Buchhaltungs-Software usw. Die meisten Anwendungen sind Editoren.
•
Explorer: Eine Anwendung, die Dateien ohne Veränderung kopiert und verschiebt, z. B. Microsoft
Windows Explorer oder bestimmte Shell-Anwendungen.
•
Vertrauenswürdig: Eine Anwendung, die für Scans unbeschränkten Zugriff auf Dateien benötigt.
Beispiele hierfür sind McAfee VirusScan Enterprise, Sicherungs-Software und
Desktop-Such-Software wie Google Desktop.
®
•
®
Archivierungsprogramm: Eine Anwendung, die Dateien erneut verarbeiten kann. Beispiele
hierfür sind Komprimierungs-Software wie WinZip und Verschlüsselungsanwendungen wie die
McAfee Endpoint Encryption-Software oder PGP.
Funktionsweise der DLP-Strategien
Sie können die Strategie ändern, um die Leistung zu optimieren. So ist beispielsweise die intensive
Überwachung einer Editor-Anwendung nicht mit dem Betrieb einer Desktop-Suchanwendung vereinbar,
die fortlaufend indiziert. Die Anwendung würde mit deutlichen Leistungseinbußen arbeiten, gleichzeitig
besteht jedoch nur ein geringes Risiko, dass durch eine solche Anwendung Daten kompromittiert
werden. Daher sollten Sie für solche Anwendungen die Strategie "Vertrauenswürdig" verwenden.
Auf der SeiteDLP-Richtlinie | Einstellungen | Anwendungsstrategie können Sie die Standardstrategie
außer Kraft setzen. Erstellen oder entfernen Sie Außerkraftsetzungen nach Bedarf, um den jeweiligen
Einfluss auf die Wirkungsweise der Richtlinie zu testen.
Sie können für eine Anwendung auch mehrere Vorlagen erstellen und dieser mehrere Strategien
zuweisen. Beim Anwenden der unterschiedlichen Vorlagen in verschiedenen Klassifizierungen und
Regeln erzielen Sie je nach Kontext unterschiedliche Ergebnisse. Beim Zuordnen solcher Vorlagen
innerhalb von Regelsätzen müssen Sie sorgfältig vorgehen, damit keine Konflikte verursacht werden.
Potenzielle Konflikte werden in McAfee DLP Endpoint gemäß der Hierarchie "Archivierungsprogramm >
Vertrauenswürdig > Explorer > Editor" gelöst. Editor hat also die niedrigste Rangstufe. Wenn eine
Anwendung in einer Vorlage als Editor, in einer anderen Vorlage desselben Regelsatzes jedoch als
etwas anderes eingestuft ist, behandelt McAfee DLP Endpoint die Anwendung nicht als Editor.
Produkthandbuch
79
7
Klassifizierungsdefinitionen und -kriterien enthalten eine oder mehrere Bedingungen, die den Inhalt
oder die Dateieigenschaften beschreiben.
Tabelle 7-1 Verfügbare Bedingungen
Eigenschaft
Bezieht sich
auf:
Definition
Erweitertes Muster
Definitionen,
Kriterien
Reguläre Ausdrücke oder Wortfolgen zum Abgleich mit Daten,
z. B. Datumsangaben oder Kreditkartennummern.
Wörterbuch
Definitionen,
Kriterien
Zusammenstellungen zusammengehöriger Stichwörter und
Wortfolgen, wie z. B. anstößige Wörter oder medizinische
Begriffe.
Stichwort
Kriterien
Ein Zeichenfolgenwert.
Einer Tag-Definition können mehrere Stichwörter hinzugefügt
werden. Diese werden standardmäßig mit dem booleschen
Vergleichsoperator ODER verknüpft, der jedoch zu UND
geändert werden kann.
Abstand
Kriterien
Definiert den Zusammenhang zwischen zwei Eigenschaften
ausgehend von ihren Positionen im Verhältnis zueinander.
Für beide Eigenschaften können erweiterte Muster,
Wörterbücher oder Stichwörter verwendet werden.
Der Parameter Nähe ist als "weniger als x Zeichen" definiert,
wobei der Standardwert 1 beträgt. Sie können auch den
Parameter Trefferzahl angeben, der festlegt, wie viele
Übereinstimmungen mindestens zum Auslösen eines Treffers
erforderlich sind.
Dokumenteigenschaften Definitionen,
Kriterien
Hierzu zählen folgende Optionen:
• Beliebige Eigenschaft
• Zuletzt gespeichert von
• Autor
• Name des Vorgesetzten
• Kategorie
• Sicherheit
• Kommentare
• Betreff
• Unternehmen
• Vorlage
• Stichwörter (Tags)
• Titel
Mit Beliebige Eigenschaft ist hier eine benutzerdefinierte
Eigenschaft gemeint.
Dateiverschlüsselung
Kriterien
• Nicht verschlüsselt
• Von McAfee verschlüsseltes selbstextrahierendes Archiv
• McAfee Endpoint Encryption
• Microsoft Rights Management-Verschlüsselung
• Seclore Rights Management-Verschlüsselung
• Nicht unterstützte Verschlüsselungstypen oder
kennwortgeschützte Datei
80
Produkthandbuch
7
Tabelle 7-1 Verfügbare Bedingungen (Fortsetzung)
Eigenschaft
Bezieht sich
auf:
Definition
Dateiinformationen
Definitionen,
Kriterien
• Zugriff am
• Dateiname
• Erstellt am
• Dateibesitzer
• Geändert am
• Dateigröße
• Dateierweiterung
Position in Datei
Kriterien
Der Abschnitt der Datei, in dem sich die Daten befinden.
• Microsoft Word-Dokumente: Das Klassifizierungsmodul kann
Kopfzeile, Textkörper und Fußzeile identifizieren.
• PowerPoint-Dokumente: WordArt wird als Kopfzeile
eingestuft, das restliche Dokument gilt als Textkörper.
• Andere Dokumente: Kopfzeile und Fußzeile sind keine
gültigen Klassifizierungskriterien. Wenn sie ausgewählt sind,
werden die gesuchten Daten nicht erkannt, auch wenn sie im
Dokument vorhanden sind.
Drittanbieter-Tags
Kriterien
Werden zur Angabe von Titus-Feldnamen und -Feldwerten
verwendet.
Tatsächlicher Dateityp
Definitionen,
Kriterien
Gruppen von Dateitypen.
Anwendungsvorlage
Definitionen
Die Anwendung oder ausführbare Datei, die auf die Datei
zugreift.
Endbenutzergruppe
Definitionen
Wird zum Definieren von Berechtigungen für die manuelle
Klassifizierung verwendet.
Netzwerkfreigabe
Definitionen
Die Netzwerkfreigabe, auf der die Datei gespeichert ist.
URL-Liste
Definitionen
Die URL, von der aus auf die Datei zugegriffen wird.
Die vordefinierte Gruppe Microsoft Excel umfasst beispielsweise
u. a. Excel XLS-, XLSX- und XML-Dateien sowie Lotus WK1- und
FM3-Dateien, CSV- und DIF-Dateien und Apple iWork-Dateien.
Siehe auch
Erstellen von Klassifizierungsdefinitionen auf Seite 90
Wörterbuchdefinitionen
Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen
ist.
Klassifizierungs- und Kennzeichnungskriterien verwenden angegebene Wörterbücher zum
Klassifizieren von Dokumenten, wenn ein definierter Schwellenwert (Gesamtfaktor) überschritten wird,
d. h., wenn das Dokument eine ausreichende Anzahl von Wörtern aus dem Wörterbuch enthält.
Wörterbucheinträge und Zeichenfolgen in einem Stichwort unterscheiden sich durch den jeweils
zugewiesenen Faktor.
•
Bei einer Klassifizierung anhand eines Stichworts wird ein Dokument bei Vorhandensein dieser
Wortfolge in jedem Fall gekennzeichnet.
•
Eine Klassifizierung anhand eines Wörterbucheintrags gibt Ihnen mehr Flexibilität, da Sie einen
Schwellenwert festlegen können, der die Klassifizierung relativiert.
Produkthandbuch
81
7
Die zugewiesenen Faktoren können negativ oder positiv sein, sodass Sie nach Wörtern oder
Wortfolgen bei Vorhandensein anderer Wörter oder Begriffe suchen können.
In McAfee DLP sind bereits mehrere Wörterbücher integriert, die häufig verwendete Begriffe der Felder
Gesundheit, Banken- und Finanzwesen und anderer Branchen abdecken. Sie können auch eigene
Wörterbücher erstellen. Wörterbücher können manuell oder durch Kopieren und Einfügen aus anderen
Dokumenten erstellt und bearbeitet werden.
Beschränkungen
Beim Verwenden von Wörterbüchern gibt es einige Einschränkungen. Wörterbücher werden im
Unicode-Format (UTF-8) gespeichert und können daher in jeder Sprache geschrieben werden. Die
folgenden Beschreibungen beziehen sich auf Wörterbücher in englischer Sprache. Sie gelten
grundsätzlich auch für andere Sprachen, bei manchen Sprachen kann es jedoch zu
unvorhergesehenen Problemen kommen.
Der Wörterbuchabgleich weist die folgenden Merkmale auf:
•
Die Groß-/Kleinschreibung wird nur berücksichtigt, wenn Sie dies beim Erstellen des jeweiligen
Wörterbucheintrags festlegen. Bei integrierten Wörterbüchern, die vor Veröffentlichung dieser
Funktion erstellt wurden, wird die Groß-/Kleinschreibung nicht berücksichtigt.
•
Optional kann nach der Übereinstimmung von Teilzeichenfolgen oder ganzen Ausdrücken gesucht
werden.
•
Ausdrücke werden einschließlich der Leerzeichen abgeglichen.
Wenn der Abgleich von Teilzeichenfolgen ausgewählt ist, lassen Sie bei der Eingabe kurzer Wörter
Vorsicht walten, da möglicherweise False-Positives auftreten können. So würden beispielsweise bei
dem Wörterbucheintrag "alt" auch Wörter wie "alternativ" oder "Verwaltung" markiert werden.
Verwenden Sie zur Vermeidung solcher False-Positives die Option zur Übereinstimmung ganzer
Wortfolgen, oder verwenden Sie statistisch unwahrscheinliche Wortfolgen (Statistically Improbable
Phrases, SIPs), um bestmögliche Ergebnisse zu erzielen. Eine weitere Quelle für False-Positives sind
ähnliche Begriffe. Angenommen, in einer Liste von Krankheiten sind sowohl "Zöliakie" als auch
"Zöliakieerkrankung" als separate Einträge aufgeführt. Wenn der zweite Begriff in einem Dokument
enthalten und der Abgleich von Teilzeichenfolgen ausgewählt ist, werden zwei Treffer (einer für jeden
Eintrag) ausgegeben, wodurch der Gesamtfaktor verfälscht wird.
Siehe auch
Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 90
Definitionen für erweiterte Muster
In erweiterten Mustern werden reguläre Ausdrücke verwendet, die einen komplexen Musterabgleich
ermöglichen, um beispielsweise Sozialversicherungs- oder Kreditkartennummern zu erkennen. In
Definitionen wird die Google RE2-Syntax für reguläre Ausdrücke verwendet.
Erweiterte Muster können auch komplexe Wortmuster definieren, wie in den Beispiel-Finanzberichten
oder Beispiel-Anruflisten von Mobilfunkbetreibern in den vordefinierten Mustern.
Im Fall von Wortmustern beginnen und enden Muster für reguläre Ausdrücke standardmäßig mit \b,
der standardmäßigen Notation regulärer Ausdrücke zur Worttrennung. Die
Textmusterübereinstimmung bei Wortfolgen bezieht sich daher standardmäßig auf die
Übereinstimmung ganzer Wörter, um die Anzeige von False-Positives zu verringern.
Wie auch Wörterbuchdefinitionen beinhalten Definitionen erweiterter Muster einen Faktor
(obligatorisch). Sie können außerdem einen optionalen False-Positive-Ausdruck (Stichwort oder
regulärer Ausdruck) und eine Bestätigung (Algorithmus zum Testen regulärer Ausdrücke) enthalten.
82
Produkthandbuch
7
Durch einen geeigneten Validierungsalgorithmus kann die Anzahl von False-Positives ebenfalls
beträchtlich reduziert werden. Sie können für False-Positives auch mehrere Stichwörter auf einmal
importieren.
Erweiterte Muster weisen auf vertraulichen Text hin. Vertrauliche Textmuster sind in angezeigten
Nachweisen mit hervorgehobenen Übereinstimmungen unkenntlich gemacht.
Wenn Sie gleichzeitig Muster festlegen, die Inhalte einschließen und ausschließen, hat das
auszuschließende Muster Priorität. Auf diese Weise können Sie eine allgemeine Regel festlegen und
Ausnahmen hinzufügen, ohne die allgemeine Regel neu schreiben zu müssen.
Siehe auch
Erstellen eines erweiterten Musters auf Seite 91
Klassifizieren von Inhalten mit Dokumenteigenschaften oder
Dateiinformationen
Mit Definitionen für Dokumenteigenschaften werden Inhalte anhand von vordefinierten
Metadatenwerten klassifiziert, während mit Definitionen für Dateiinformationen Inhalte anhand der
Dateimetadaten klassifiziert werden.
Dokumenteigenschaften
Dokumenteigenschaften können aus beliebigen Microsoft Office-Dokumenten oder PDF-Dateien
abgerufen und in Klassifizierungsdefinitionen verwendet werden. Mit dem Vergleichsoperator Enthält ist
auch ein Teilabgleich möglich, bei dem die Daten nicht vollständig übereinstimmen müssen.
Es gibt drei Arten von Dokumenteigenschaften:
•
Vordefinierte Eigenschaften: Standardeigenschaften wie Autor oder Titel.
•
Benutzerdefinierte Eigenschaften: Benutzerdefinierte Eigenschaften, die den
Dokumentmetadaten hinzugefügt werden, sind bei einigen Anwendungen, etwa Microsoft Word,
zulässig. Eine benutzerdefinierte Eigenschaft kann auch auf eine Standard-Dokumenteigenschaft
verweisen, die nicht in der Liste der vordefinierten Eigenschaften enthalten ist. Das Duplizieren
einer in der Liste enthaltenen Eigenschaft ist hingegen nicht möglich.
•
Beliebige Eigenschaft: Ermöglicht die Definition einer Eigenschaft ausschließlich anhand des
Werts. Diese Funktion ist in Fällen hilfreich, in denen das Stichwort im falschen
Eigenschaftsparameter eingegeben wurde bzw. in denen der Eigenschaftsname unbekannt ist.
Wenn beispielsweise dem Parameter Beliebige Eigenschaft der Wert Geheim hinzugefügt wird, werden
alle Dokumente klassifiziert, bei denen mindestens eine Eigenschaft das Wort Geheim enthält.
Dateiinformationen
Dateiinformationsdefinitionen werden in Datenschutz- und Erkennungsregeln sowie in
Klassifizierungen zur Differenzierung verwendet. Zu den Dateiinformationen gehören beispielsweise
das Erstellungsdatum, das Änderungsdatum, der Dateibesitzer und die Dateigröße. Die
Datumseigenschaften verfügen sowohl über exakte (vor, nach, zwischen) als auch über relative (in
den letzten X Tagen, Wochen, Jahren) Datumsoptionen. Dateityp (nur Erweiterungen) ist eine vordefinierte,
erweiterbare Liste der Dateierweiterungen.
Anwendungsvorlagen
Eine Anwendungsvorlage steuert bestimmte Anwendungen mithilfe von Eigenschaften wie Produktoder Anbietername, Name der ausführbaren Datei oder Fenstertitel.
Eine Anwendungsvorlage kann für eine einzelne Anwendung oder für eine Gruppe ähnlicher
Anwendungen definiert werden. Es gibt vordefinierte (integrierte) Vorlagen für gängige Anwendungen
wie Windows Explorer, Web-Browser, Verschlüsselungsanwendungen und E-Mail-Clients.
Produkthandbuch
83
7
Anwendungsvorlagen können folgende Parameter verwenden:
•
Befehlszeile: Ermöglicht die Verwendung von Befehlszeilenargumenten (z. B. java-jar), mit
denen sich Anwendungen steuern lassen, für die dies bisher nicht möglich war.
•
Verzeichnis der ausführbaren Datei: Das Verzeichnis, in dem sich die ausführbare Datei
befindet. Mit diesem Parameter lassen sich beispielsweise U3-Anwendungen steuern.
•
Hash der ausführbaren Datei: Der Anzeigename der Anwendung, mit einem SHA2-Hash zur
Identifizierung.
•
Name der ausführbaren Datei: Dieser entspricht normalerweise dem Anzeigenamen (ohne den
SHA2-Hash), kann jedoch anders lauten, wenn die Datei umbenannt wurde.
•
Ursprünglicher Name der ausführbaren Datei: Identisch mit dem Namen der ausführbaren
Datei, sofern die Datei nicht umbenannt wurde.
•
Produktname: Der generische Name des Produkts, z. B. Microsoft Office 2012, sofern er in den
Eigenschaften der ausführbaren Datei angegeben ist.
•
Name des Anbieters: Der Name des Unternehmens, sofern er in den Eigenschaften der
ausführbaren Datei angegeben ist.
•
Fenstertitel: Ein dynamischer Wert, der zur Laufzeit, d. h. während der Ausführung, den Namen
der aktiven Datei enthält.
Mit Ausnahme des SHA2-Anwendungsnamens und des Verzeichnisses der ausführbaren Datei
akzeptieren alle Parameter Übereinstimmungen von Teilzeichenfolgen.
Sie können Klassifizierungen und Kriterien erstellen sowie Dateien zur Registrierung oder Aufnahme in
die Whitelist hochladen.
Aufgaben
•
Erstellen einer Klassifizierung auf Seite 84
Für die Konfiguration von Datenschutz- und Erkennungsregeln werden
Klassifizierungsdefinitionen benötigt.
•
Erstellen von Klassifizierungskriterien auf Seite 85
Sie können auf Dateien Klassifizierungskriterien anwenden, die auf Dateiinhalten
und -eigenschaften basieren.
•
Erstellen von Kennzeichnungskriterien auf Seite 85
Sie können Kennzeichnungskriterien basierend auf dem Speicherort der Anwendung oder
der Datei auf Dateien anwenden.
•
Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 87
Sie können Benutzer konfigurieren, die zur manuellen Klassifizierung von Dateien
berechtigt sind.
Erstellen einer Klassifizierung
Für die Konfiguration von Datenschutz- und Erkennungsregeln werden Klassifizierungsdefinitionen
benötigt.
84
Produkthandbuch
7
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf Neue Klassifizierung.
3
Geben Sie einen Namen und optional eine Beschreibung ein.
4
Klicken Sie auf OK.
5
Sie fügen Endbenutzergruppen der manuellen Klassifizierung bzw. registrierte Dokumente der
Klassifizierung hinzu, indem Sie für die entsprechende Komponente auf Bearbeiten klicken.
6
Klassifizierungskriterien oder Kennzeichnungskriterien können Sie mit dem Steuerelement Aktionen
hinzufügen.
Erstellen von Klassifizierungskriterien
Sie können auf Dateien Klassifizierungskriterien anwenden, die auf Dateiinhalten und -eigenschaften
basieren.
Klassifizierungskriterien werden aus Definitionen von Daten und Dateien erstellt. Wenn eine benötigte
Definition nicht vorhanden ist, können sie diese beim Definieren der Kriterien erstellen.
Vorgehensweise
1
2
Wählen Sie die Klassifizierung, der die Kriterien hinzugefügt werden sollen, und dann Aktionen | Neue
Klassifizierungskriterien aus.
3
Geben Sie den Namen ein.
4
Wählen Sie eine oder mehrere Eigenschaften aus, und konfigurieren Sie dann den Vergleich und die
Werte der Einträge.
5
•
•
Bei einigen Eigenschaften müssen Sie auf ... klicken, um eine vorhandene Eigenschaft
auszuwählen oder eine neue Eigenschaft zu erstellen.
•
•
Klicken Sie zum Entfernen von Werten auf –.
Siehe auch
Verwenden von Klassifizierungen auf Seite 77
Erstellen von Kennzeichnungskriterien
Sie können Kennzeichnungskriterien basierend auf dem Speicherort der Anwendung oder der Datei auf
Dateien anwenden.
Produkthandbuch
85
7
Vorgehensweise
1
2
Wählen Sie die Klassifizierung aus, der die Kriterien hinzugefügt werden sollen.
3
Wählen SieAktionen | Neue Kennzeichnungskriterien und dann den Typ der Kennzeichnungskriterien aus.
4
Geben Sie den Namen ein, und geben Sie zusätzliche Informationen basierend auf dem Typ der
Kennzeichnungskriterien an.
5
6
•
Anwendung: Klicken Sie auf ..., um eine oder mehrere Anwendungen auszuwählen.
•
Speicherort: Klicken Sie auf ..., um eine oder mehrere Netzwerkfreigaben auszuwählen. Geben Sie
bei Bedarf die Art des Wechselspeichermediums an.
•
Web-Anwendung: Klicken Sie auf ..., um eine oder mehrere URL-Listen auszuwählen.
(Optional) Sie können eine oder mehrere Eigenschaften auswählen und die Vergleichs- und
Werteinträge konfigurieren.
•
•
Bei einigen Eigenschaften müssen Sie auf ... klicken, um eine vorhandene Eigenschaft
auszuwählen oder eine neue Eigenschaft zu erstellen.
•
•
Klicken Sie zum Entfernen von Werten auf –.
Aufgaben
•
Anwendungsbeispiel: Anwendungsbasierte Kennzeichnung auf Seite 86
Sie können Inhalte gemäß der Anwendung, mit der sie erstellt wurden, als vertraulich
klassifizieren.
Siehe auch
Verwenden von Klassifizierungen auf Seite 77
Anwendungsbeispiel: Anwendungsbasierte Kennzeichnung
Sie können Inhalte gemäß der Anwendung, mit der sie erstellt wurden, als vertraulich klassifizieren.
In einigen Fällen können Inhalte aufgrund der Anwendung, von der sie erstellt wurden, als vertraulich
klassifiziert werden. Ein Beispiel hierfür wären streng geheime militärische Landkarten. Hierbei handelt
es sich um JPEG-Dateien, die üblicherweise von einer speziellen GIS-Anwendung der
US-amerikanischen Luftwaffe erstellt werden. Wenn diese Anwendung in der Definition für die
Kennzeichnungskriterien ausgewählt ist, werden alle von dieser Anwendung erstellten JPEG-Dateien
als vertraulich gekennzeichnet. Von anderen Anwendungen erstellte JPEG-Dateien werden nicht
gekennzeichnet.
Vorgehensweise
86
1
2
Wählen Sie auf der Registerkarte Definitionen die Option Anwendungsvorlage und dann Aktionen | Neu aus.
Produkthandbuch
7
3
Geben Sie einen Namen, z. B. GIS-Anwendung, und bei Bedarf eine Beschreibung ein. Definieren
Sie die GIS-Anwendung anhand von mindestens einer der Eigenschaften aus der Liste Verfügbare
Eigenschaften. Klicken Sie auf Speichern.
4
Klicken Sie auf der Registerkarte Klassifizierung auf Neue Klassifizierung, und geben Sie einen Namen
(z. B. GIS-Anwendung) sowie bei Bedarf eine Definition ein. Klicken Sie auf OK.
5
Wählen Sie Aktionen | Neue Kennzeichnungskriterien | Anwendung aus.
Daraufhin öffnet sich die Seite mit den Kennzeichnungskriterien.
6
Geben Sie im Feld Name einen Namen für das Tag ein, z. B. GIS-Tag.
7
Wählen Sie im Feld Anwendungen die in Schritt 1 erstellte GIS-Anwendung aus.
8
Wählen Sie in der Liste Verfügbare Eigenschaften | Dateibedingungen die Option Tatsächlicher Dateityp aus.
Wählen Sie im Feld Wert die Option Graphic files [vordefiniert] aus.
Die vordefinierte Definition umfasst JPEG sowie weitere Grafikdateitypen. Wenn Sie eine
Anwendung und einen Dateityp auswählen, werden nur die von dieser Anwendung generierten
JPEG-Dateien in die Klassifizierung eingeschlossen.
9
Klicken Sie auf Speichern, und wählen Sie dann Aktionen | Klassifizierung speichern aus.
Die Klassifizierung kann nun in Schutzregeln verwendet werden.
Zuweisen von Berechtigungen für die manuelle Klassifizierung
Sie können Benutzer konfigurieren, die zur manuellen Klassifizierung von Dateien berechtigt sind.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Manuelle Klassifizierung.
3
Wählen Sie in der Dropdown-Liste Gruppieren nach die Option Klassifizierungen oder Benutzergruppen aus.
Sie können Klassifizierungen zu Benutzergruppen oder Benutzergruppen zu Klassifizierungen
zuweisen, so wie es für Sie einfacher ist. Über die Liste Gruppieren nach können Sie die Anzeige
steuern.
4
5
Gruppierung anhand von Klassifizierungen:
a
Wählen Sie in der angezeigten Liste eine Klassifizierung aus.
b
Wählen Sie Aktionen | Endbenutzergruppen auswählen aus.
c
Wählen Sie im Fenster Aus vorhandenen Werten auswählen Benutzergruppen aus, oder klicken Sie auf
Neues Element, um eine neue Gruppe zu erstellen. Klicken Sie auf OK.
Gruppierung anhand von Benutzergruppen:
a
Wählen Sie in der angezeigten Liste eine Benutzergruppe aus.
b
Wählen Sie Aktionen | Klassifizierungen auswählen aus.
c
Wählen Sie im Fenster Aus vorhandenen Werten auswählen Klassifizierungen aus. Klicken Sie auf OK.
Produkthandbuch
87
7
Die Funktion für registrierte Dokumente ist eine Erweiterung der speicherortbasierten Kennzeichnung.
Sie gibt Administratoren eine weitere Möglichkeit, vertrauliche Informationen zu definieren und sie vor
der nicht autorisierten Verbreitung zu schützen.
Registrierte Dokumente sind bereits als vertraulich vordefiniert, beispielsweise Tabellen mit
Umsatzprognosen für das kommende Quartal. Die McAfee DLP Endpoint-Software kategorisiert die
Inhalte dieser Dateien und versieht sie mit einem Fingerabdruck. Die erstellten Signaturen sind
sprachunabhängig, der Vorgang funktioniert also in jeder Sprache. Beim Erstellen eines Pakets werden
die Signaturen in die McAfee ePO-Datenbank geladen, um sie an alle Endgerät-Workstations zu
verteilen. Der McAfee DLP Endpoint-Client auf den verwalteten Computern steuert die Verteilung von
Dokumenten mit registrierten Inhaltsfragmenten.
Zum Verwenden von registrierten Dokumenten laden Sie Dateien im Modul "Klassifizierung" auf der
Registerkarte Dokumente registrieren hoch und weisen sie dabei einer Klassifizierung zu. Nicht
zutreffende Klassifizierungen werden hierbei vom Endgerät-Client ignoriert. Beispielsweise werden
beim Analysieren von E-Mails auf vertrauliche Inhalte registrierte Dokumentpakete ignoriert, die
anhand von Dateieigenschaften klassifiziert wurden.
Es gibt zwei Anzeigeoptionen: Statistiken und Klassifizierungen. In der Statistikansicht werden im
linken Fensterbereich Gesamtwerte für die Anzahl der Dateien, Dateigröße, Anzahl der Signaturen
usw. und im rechten Fensterbereich Statistiken für die einzelnen Dateien angezeigt. Diese Daten
können Sie zum Entfernen weniger wichtiger Pakete nutzen, wenn das Signaturlimit fast erreicht ist.
In der Klassifizierungsansicht werden hochgeladene Dateien anhand der Klassifizierung angezeigt.
Oben rechts werden Informationen zur letzten Paketerstellung und Änderungen an der Dateiliste
aufgelistet.
Beim Erstellen eines Pakets verarbeitet die Software alle Dateien in der Liste und lädt die
Fingerabdrücke zur Verteilung in die McAfee ePO-Datenbank. Wenn Sie Dokumente hinzufügen oder
löschen, müssen Sie ein neues Paket erstellen. Die Software berechnet nicht, ob einige der Dateien
bereits mit einem Fingerabdruck versehen wurden. Sie verarbeitet immer die gesamte Liste.
Der Befehl Paket erstellen erfasst gleichzeitig die Liste der registrierten Dokumente und die Liste der
Dokumente in der Whitelist und erstellt ein Gesamtpaket. Die Höchstanzahl der Signaturen pro Paket
beträgt für registrierte Dokumente und Dokumente in der Whitelist jeweils 1 Million.
Siehe auch
Hochladen von registrierten Dokumenten auf Seite 89
Text, der sich in der Whitelist befindet, wird bei der Verarbeitung von Dateiinhalten von McAfee DLP
Endpoint ignoriert.
Sie können Dateien mit Text zu McAfee ePO hochladen, damit dieser Text in die Whitelist
aufgenommen wird. Wenn sich Text in der Whitelist befindet, werden entsprechende Inhalte weder
klassifiziert noch gekennzeichnet, selbst wenn Teile davon mit den Klassifizierungs- oder
Kennzeichnungskriterien übereinstimmen. Sie sollten Text in die Whitelist aufnehmen, der häufig in
Dateien vorkommt, z. B. Textbausteine, Haftungsausschlüsse und Informationen zum Urheberrecht.
88
•
Dateien mit Text, der in die Whitelist aufgenommen werden soll, müssen mindestens 400 Zeichen
enthalten.
•
Wenn eine Datei sowohl gekennzeichnete oder klassifizierte Daten als auch Daten enthält, die sich
in der Whitelist befinden, wird sie vom System nicht ignoriert. Alle dem Inhalt zugewiesenen
relevanten Kennzeichnungs- oder Klassifizierungskriterien bleiben aktiv.
Produkthandbuch
7
Siehe auch
Hochladen von Dateien zur Aufnahme von Text in die Whitelist auf Seite 89
Wählen Sie Dokumente aus, die an die Endgerät-Computer verteilt werden sollen, und klassifizieren
Sie sie.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Dokumente registrieren.
3
Klicken Sie auf Datei-Upload.
4
Navigieren Sie zur Datei, wählen Sie aus, ob eine Datei überschrieben werden soll, wenn bereits
eine gleichnamige Datei vorhanden ist, und wählen Sie eine Klassifizierung aus.
Mit Datei-Upload können Sie nur eine Datei verarbeiten. Wenn Sie mehrere Dokumente gleichzeitig
hochladen möchten, erstellen Sie eine ZIP-Datei.
5
Klicken Sie auf OK.
Die Datei wird dann hochgeladen und verarbeitet, und auf der Seite wird eine Statistik angezeigt.
Klicken Sie nach Abschluss der Dateiliste auf Paket erstellen. Daraufhin wird ein Signaturpaket aller
registrierten Dokumente und aller Dokumente in der Whitelist in die McAfee ePO-Datenbank zur
Verteilung an die Endgerät-Computer geladen.
Sie können ein Paket mit gerade registrierten oder in die Whitelist aufgenommenen Dokumenten
erstellen, indem Sie eine Liste leer lassen. Wenn Dateien gelöscht werden, müssen Sie sie aus der Liste
entfernen und ein neues Paket erstellen, damit die Änderungen wirksam werden.
Siehe auch
Registrierte Dokumente auf Seite 88
Hochladen von Dateien zur Aufnahme von Text in die Whitelist
Sie können Dateien, die häufig verwendeten Text enthalten, zur Aufnahme in die Whitelist hochladen.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Text in der Whitelist.
3
Klicken Sie auf Datei-Upload.
4
Navigieren Sie zur Datei, und wählen Sie aus, ob eine ggf. bereits vorhandene gleichnamige Datei
überschrieben werden soll.
5
Klicken Sie auf OK.
Produkthandbuch
89
7
Siehe auch
Text in der Whitelist auf Seite 88
Vordefinierte Klassifizierungsdefinitionen können weder geändert noch gelöscht werden. Erstellen Sie
im Bedarfsfall neue Definitionen.
Aufgaben
•
Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 90
Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor
zugewiesen ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden.
•
Erstellen eines erweiterten Musters auf Seite 91
Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes
Muster kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken
und False-Positive-Definitionen bestehen.
•
Integrieren von Drittanbieter-Tags in Titus Client auf Seite 92
Klassifizierungs- oder Kennzeichnungskriterien können mehrere Paare aus Titus-Tag-Namen
und -Tag-Werten enthalten.
•
Integration von Boldon James Email Classifier in Klassifizierungskriterien auf Seite 93
Sie können Klassifizierungskriterien für die Integration von Boldon James Email Classifier
erstellen.
Siehe auch
Klassifizierungsdefinitionen und -kriterien auf Seite 80
Erstellen oder Importieren einer Wörterbuchdefinition
Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen
ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Definitionen.
3
Wählen Sie im linken Fensterbereich Wörterbuch aus.
4
5
6
Fügen Sie dem Wörterbuch nun Einträge hinzu.
So importieren Sie Einträge:
a
Klicken Sie auf Einträge importieren.
b
Geben Sie nun Wörter oder Wortfolgen ein, oder kopieren Sie diese aus einem anderen
Dokument, und fügen Sie sie ein.
Das Textfenster ist auf 20.000 Zeilen und 50 Zeichen pro Zeile beschränkt.
90
Produkthandbuch
7
c
Klicken Sie auf OK.
Allen Einträgen wird der Standardfaktor 1 zugeordnet.
d
Sie können diesen Faktor ändern, indem Sie für den jeweiligen Eintrag auf Bearbeiten klicken.
e
Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus.
Beginnen mit und Enden mit ermöglichen den Abgleich von Teilzeichenfolgen.
So erstellen Sie Einträge manuell:
7
a
Geben Sie die Wortfolge und den Faktor ein.
b
Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus.
c
Klicken Sie auf Hinzufügen.
Erstellen eines erweiterten Musters
Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes Muster
kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken und
False-Positive-Definitionen bestehen.
Erweiterte Muster werden mithilfe von regulären Ausdrücken definiert. Eine ausführliche Erläuterung
von regulären Ausdrücken würde in diesem Dokument zu weit führen. Es gibt zahlreiche Tutorials zu
diesem Thema im Internet, in denen Sie sich ausführlich informieren können.
Vorgehensweise
1
2
Wählen Sie die Registerkarte Definitionen und dann im linken Bereich die Option Erweitertes Muster aus.
Die verfügbaren Muster werden auf der rechten Seite angezeigt.
Wenn nur die benutzerdefinierten erweiterten Muster angezeigt werden sollen, deaktivieren Sie das
Kontrollkästchen Integrierte Elemente einschließen. Benutzerdefinierte Muster sind die einzigen Muster, die
bearbeitet werden können.
3
Daraufhin öffnet sich die Definitionsseite für das neue erweiterte Muster.
4
5
Gehen Sie unter Übereinstimmende Ausdrücke wie folgt vor:
a
Geben Sie einen Ausdruck in das Textfeld ein. Fügen Sie bei Bedarf eine Beschreibung hinzu.
b
Wählen Sie in der Dropdown-Liste eine Bestätigung aus.
McAfee empfiehlt, nach Möglichkeit einen Validierungsalgorithmus zu verwenden, um die Anzahl
von False-Positives gering zu halten. Dies ist jedoch nicht obligatorisch. Wenn Sie keinen
Validierungsalgorithmus angeben möchten oder dies für den Ausdruck nicht sinnvoll ist, wählen
Sie Keine Überprüfung aus.
Produkthandbuch
91
7
c
Geben Sie im Feld Faktor eine Zahl ein.
Diese Zahl gibt die Gewichtung des Ausdrucks für den Abgleich mit dem Schwellenwert an.
Dieses Feld ist ein Pflichtfeld.
d
6
Gehen Sie unter False-Positive wie folgt vor:
a
Geben Sie einen Ausdruck in das Textfeld ein.
Wenn Sie Textmuster in einem separaten Dokument gespeichert haben, können Sie sie mit
Einträge importieren in die Definition kopieren.
7
b
Wählen Sie im Feld Typ in der Dropdown-Liste den Wert Regulärer Ausdruck aus, wenn die
Zeichenfolge ein regulärer Ausdruck ist, oder Stichwort, wenn es sich um Text handelt.
c
Integrieren von Drittanbieter-Tags in Titus Client
Klassifizierungs- oder Kennzeichnungskriterien können mehrere Paare aus Titus-Tag-Namen
und -Tag-Werten enthalten.
Bevor Sie beginnen
1
Öffnen Sie im Richtlinienkatalog die aktuelle Client-Konfiguration. Wählen Sie Einstellungen
| Betriebsmodus und Module aus. Vergewissern Sie sich, dass Outlook-Add-Ins | Integration von
Drittanbieter-Add-Ins aktivieren ausgewählt ist.
2
Wählen Sie in Einstellungen | E-Mail-Schutz im Abschnitt Integration von Drittanbieter-Add-Ins für
Outlook in der Dropdown-Liste Name des Anbieters die Option Titus aus.
McAfee DLP Endpoint ruft die Titus-API zur Erkennung gekennzeichneter Dateien und zur Ermittlung
der Tags auf. Klassifizierungen, die Drittanbieter-Tags enthalten, können auf alle Schutz- und
Erkennungsregeln angewendet werden, die Dateien überprüfen.
Zur Implementierung dieser Funktion muss das Titus SDK auf den Endgerät-Computern installiert sein.
Vorgehensweise
92
1
2
Klicken Sie auf Neue Klassifizierung.
3
Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein.
4
Klicken Sie auf Aktionen, und wählen Sie dann entweder Neue Klassifizierungskriterien oder Neue
Kennzeichnungskriterien aus.
5
Wählen Sie die Eigenschaft Drittanbieter-Tags aus.
6
Geben Sie den Namen des Titus-Felds und einen Wert ein. Wählen Sie die Wertdefinition in der
Dropdown-Liste aus.
Produkthandbuch
7
Die eingegebene Wertzeichenfolge kann wie folgt definiert werden:
•
entspricht einem von
•
entspricht allen folgenden
•
enthält eines von
•
enthält alle folgenden
7
(Optional) Klicken Sie auf +, und fügen Sie ein weiteres Name/Wert-Paar hinzu.
8
Integration von Boldon James Email Classifier in
Klassifizierungskriterien
Sie können Klassifizierungskriterien für die Integration von Boldon James Email Classifier erstellen.
Boldon James Email Classifier ist eine E-Mail-Lösung, die E-Mails klassifiziert und ihnen Beschriftungen
zuweist. Die McAfee DLP Endpoint-Software kann in Email Classifier integriert werden und E-Mails
anhand der zugewiesenen Klassifizierungen blockieren. Sie können beim Einrichten der Email
Classifier-Software die Zeichenfolge auswählen, die Email Classifier an McAfee DLP Endpoint sendet.
Verwenden Sie diese Zeichenfolge zum Definieren der Klassifizierungskriterien.
Vorgehensweise
1
2
So richten Sie die Boldon James-Kompatibilität in McAfee DLP Endpoint ein:
a
Öffnen Sie mithilfe der Boldon James Classifier Administration-Konsole Classifier Application Settings |
Outlook Settings (Einstellungen der Klassifizierungsanwendung | Outlook-Einstellungen). Setzen Sie
McAfee Host DLP scan (McAfee-Host-DLP-Scan) auf 'Enabled' (Aktiviert), und legen Sie für McAfee Host
DLP marking (McAfee-Host-DLP-Markierung) ein Markierungsformat fest, das den
Klassifizierungswert sowie statischen Text enthält, der für die DLP-Markierung eindeutig ist. Es
wird eine auf diesem Markierungsformat basierende Zeichenfolge an McAfee DLP Endpoint
übergeben, die die Klassifizierungskriterien enthält.
b
Öffnen Sie im Richtlinienkatalog die aktuelle Client-Konfiguration. Wählen Sie Einstellungen |
Betriebsmodus und Module aus. Vergewissern Sie sich, dass Outlook-Add-Ins | Integration von
Drittanbieter-Add-Ins aktivieren ausgewählt ist.
c
Wählen Sie in Einstellungen | E-Mail-Schutz im Abschnitt Integration von Drittanbieter-Add-Ins für
Outlook in der Dropdown-Liste Name des Anbieters die Option Boldon James aus.
Erstellen Sie eine Boldon James-Klassifizierung.
Führen Sie für jede benötigte Klassifizierung die folgenden Schritte durch:
a
b
Klicken Sie auf die Registerkarte Klassifizierung und dann auf Neue Klassifizierung.
c
Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein.
d
Klicken Sie auf Aktionen | Neue Klassifizierungskriterien.
e
Wählen Sie die Eigenschaft Stichwort aus. Geben Sie im Feld Wert die Zeichenfolge ein, die auf
dem bei der Classifier Administration-Einrichtung ausgewählten Markierungsformat basiert und an
McAfee DLP Endpoint gesendet werden soll.
Die [Boldon James-Klassifizierung] ist die Zeichenfolge, die Sie beim Einrichten von Email
Classifier zum Senden an McAfee DLP Endpoint ausgewählt haben.
Produkthandbuch
93
7
3
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Regelsatz aus.
4
Führen Sie auf der Registerkarte Regelsätze eine der folgenden Aktionen durch.
5
•
Wählen Sie Aktionen | Neuer Regelsatz aus.
•
Wählen Sie einen bestehenden Regelsatz aus.
Wählen Sie Aktionen | Neue Regel | E-Mail-Schutz aus.
Daraufhin wird ein Definitionsformular für den E-Mail-Schutz angezeigt.
6
Geben Sie einen eindeutigen Regelnamen ein.
7
Wählen Sie auf der Registerkarte Bedingung in der Dropdown-Liste Textteil und dann die
entsprechende Klassifizierung für Boldon James aus. Wählen Sie die gewünschten Optionen für
Endbenutzer, E-Mail-Umschlag und Empfänger aus.
Der McAfee DLP Endpoint-Client behandelt die Boldon James-Klassifizierung als Bestandteil des
E-Mail-Textes. Wenn Sie die Definition so eingrenzen, dass nur der Textteil gescannt wird, arbeitet
die Regel effizienter.
8
Wählen Sie auf der Registerkarte Reaktion die entsprechenden Parameter Vorbeugende Aktion,
Benutzerbenachrichtigung, Vorfall melden und Schweregrad aus. Setzen Sie den Status auf Aktiviert, und klicken
Sie dann auf Speichern.
Vertrauliche Inhalte können anhand des Speicherorts oder des Verwendungsorts (Dateierweiterung
oder Anwendung) definiert werden.
McAfee DLP Endpoint verwendet verschiedene Methoden zum Finden und Klassifizieren von
vertraulichen Inhalten. Der Begriff Ruhende Daten beschreibt Dateispeicherorte. Inhalte werden
anhand von Fragen wie "Wo befindet sich der Inhalt im Netzwerk?" oder "In welchem Ordner befindet
sich der Inhalt?" klassifiziert. Mit dem Begriff Verwendete Daten werden Inhalte nach Art und Ort ihrer
Verwendung definiert. Inhalte werden anhand von Fragen wie "Welche Anwendung hat die Inhalte
aufgerufen?" oder "Wie lautet die Dateierweiterung?" klassifiziert.
Die Erkennungsregeln von McAfee DLP Endpoint suchen nach ruhenden Daten. Sie können nach
Inhalten in Endpunkt-Computerdateien oder E-Mail-Speicherdateien (PST, zugeordnete PST und OST)
suchen. Regeln können je nach den in der Regelklassifizierung angegebenen Eigenschaften,
Anwendungen oder Speicherorten die angegebenen Speicherorte durchsuchen und die gefundenen
Elemente verschlüsseln, isolieren oder Richtlinien für Rechteverwaltung anwenden. Die Dateien
können auch gekennzeichnet oder klassifiziert werden, um ihre Nutzung zu steuern.
94
Produkthandbuch
7
Definieren von Netzwerkparametern
Netzwerkdefinitionen werden in Netzwerkschutzregeln als Filterkriterien verwendet.
•
Die Netzwerkadressen überwachen Netzwerkverbindungen zwischen einer externen Quelle und
einem verwalteten Computer. Die Definition kann eine einzelne Adresse, ein Adressbereich oder ein
Subnetz sein. Sie können definierte Netzwerkadressen in Regeln zum Schutz der
Netzwerkkommunikation einbeziehen oder aus diesen ausschließen.
•
Anhand der Netzwerk-Port-Definitionen in den Regeln zum Schutz der Netzwerkkommunikation
können Sie bestimmte Dienste gemäß der Definition ihrer Netzwerk-Ports ausschließen. Eine Liste
gängiger Dienste und der zugehörigen Ports ist vordefiniert. Sie können die Elemente in der Liste
bearbeiten oder eigene Definitionen erstellen.
•
Definitionen für Netzwerkfreigaben geben freigegebene Netzwerkordner in
Netzwerkfreigabe-Schutzregeln an. Sie können definierte Freigaben ein- oder ausschließen.
Erstellen eines neuen Netzwerkadressbereichs
Netzwerkadressbereiche dienen als Filterkriterium für Schutzregeln für die Netzwerkkommunikation.
Vorgehensweise
Führen Sie für jede erforderliche Definition die Schritte 1–4 durch: Beschreibungen der Optionen
erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1
2
Wählen Sie im linken Bereich Netzwerkadresse (IP-Adresse) aus, und klicken Sie dann auf Aktionen | Neu.
3
Geben Sie einen eindeutigen Namen für die Definition und optional eine Beschreibung ein.
4
Geben Sie im Textfeld eine Adresse, einen Adressbereich oder ein Subnetz ein. Klicken Sie auf
Hinzufügen.
Daraufhin werden ordnungsgemäß formatierte Beispiele auf der Seite angezeigt.
5
Klicken Sie nach Eingabe aller erforderlichen Definitionen auf Speichern.
Erstellen eines Netzwerk-Port-Bereichs
Netzwerk-Port-Bereiche fungieren als Filterkriterien für Schutzregeln für die Netzwerkkommunikation.
Vorgehensweise
1
2
Wählen Sie im linken Bereich die Option Netzwerk-Port aus, und klicken Sie anschließend auf Aktionen |
Neu.
Sie können auch die vordefinierten Definitionen bearbeiten.
3
4
Geben Sie die Port-Nummern (getrennt durch Kommas) und optional eine Beschreibung ein.
5
Klicken Sie nach dem Hinzufügen aller erforderlichen Ports auf Speichern.
Produkthandbuch
95
7
Sie können Inhalte nicht nur anhand des ursprünglichen Speicherorts klassifizieren, sondern zudem
klassifizieren und steuern, wohin Inhalte gesendet werden. Im Rahmen der Prävention von Datenlecks
werden diese Daten als bewegte Daten bezeichnet.
Zu den Dateischutzregeln zur Steuerung des Sendungsziels gehören:
•
Regeln für den Cloud-Schutz
•
Regeln für den E-Mail-Schutz
•
Regeln für den Schutz der Netzwerkkommunikation (ausgehend)
•
Regeln für den Druckerschutz
•
•
Regeln für den Web-Veröffentlichungsschutz
Arbeiten mit E-Mails
McAfee DLP Endpoint schützt vertrauliche Daten im Header, Textteil und in den Anhängen von
versendeten E-Mails. Die E-Mail-Speichererkennung findet E-Mails mit vertraulichen Daten in OSToder PST-Dateien und kennzeichnet oder isoliert diese.
McAfee DLP Endpoint schützt vertrauliche Inhalte in E-Mails, indem Inhalte klassifiziert und
gekennzeichnet werden und das Senden von E-Mails mit vertraulichen Inhalten verhindert wird. Die
E-Mail-Schutzrichtlinie kann unterschiedliche Regeln für verschiedene Benutzer und E-Mail-Ziele oder
für durch Verschlüsselung oder Rechteverwaltung geschützte E-Mails enthalten.
Die Einstellungen für das Verhalten der E-Mail-Funktionen in McAfee ePO werden unter Richtlinienkatalog |
Data Loss Prevention 9.4 | Client-Konfiguration | E-Mail-Schutz festgelegt. Auf dieser Seite sind folgende
Einstellungen verfügbar:
•
E-Mail-Caching: Speichert Tag-Signaturen aus E-Mails auf der Festplatte, damit die E-Mails nicht
erneut analysiert werden müssen.
•
E-Mail-Verarbeitungs-API: Ausgehende E-Mails werden entweder über OOM (Outlook Object Model) oder
MAPI (Messaging Application Programming Interface) verarbeitet. OOM ist die Standard-API, für
einige Konfigurationen ist jedoch MAPI erforderlich.
•
Integration von Drittanbieter-Add-Ins für Outlook: Es werden zwei Klassifizierungsanwendungen von
Drittanbietern unterstützt: Titus und Boldon James.
•
Zeitlimit-Strategie für E-Mails: Hiermit legen Sie die zulässige Höchstdauer für die Analyse von E-Mails
und die Aktion fest, die bei Überschreitung des Zeitlimits durchgeführt werden soll.
Erstellen von E-Mail-Zielen
E-Mail-Zieldefinitionen sind vordefinierte E-Mail-Domänen oder bestimmte E-Mail-Adressen, auf die in
E-Mail-Schutzregeln verwiesen werden kann.
Sie können E-Mail-Schutzregeln präzisieren, indem Sie bestimmte E-Mail-Adressen gezielt ein- bzw.
ausschließen. Achten Sie darauf, beide Definitionstypen zu erstellen.
96
Produkthandbuch
7
Vorgehensweise
1
2
Wählen Sie im linken Bereich E-Mail-Adresse und dann Aktionen | Neu aus.
3
4
Wählen Sie in der Dropdown-Liste einen Operator aus.
Folgende Operatoren sind verfügbar:
•
Domänenname ist
•
E-Mail-Adresse ist
•
Anzeigename ist
•
Anzeigename enthält
5
Geben Sie einen Wert ein, und klicken Sie auf Hinzufügen.
6
Klicken Sie nach dem Hinzufügen aller E-Mail-Adressen auf Speichern.
Arbeiten mit Druckern
Druckerschutzregeln werden für die Verwaltung von lokalen und Netzwerkdruckern eingesetzt und
blockieren oder überwachen das Drucken vertraulicher Dokumente.
Druckerschutzregeln in McAfee DLP Endpoint 9.4 unterstützen den erweiterten Modus und V4-Drucker.
Definierte Drucker und Endbenutzer können in Regeln eingeschlossen bzw. aus Regeln ausgeschlossen
werden. Virtuelle Drucker und PDF-Drucker können in eine Regel eingeschlossen werden.
Druckerschutzregeln können Anwendungsdefinitionen enthalten. Sie können Prozesse in der Whitelist
definieren, die in der Einstellung Richtlinienkatalog | Data Loss Prevention 9.4 | Client-Konfiguration |
Druckschutz von Druckerschutzregeln ausgenommen werden.
Erstellen einer Netzwerkdrucker-Definition
Mithilfe von Netzwerkdrucker-Definitionen können Sie differenzierte Druckerschutzregeln erstellen.
Definierte Drucker können in Regeln ein- oder ausgeschlossen werden.
Bevor Sie beginnen
Sie benötigen den UNC-Pfad des Druckers im Netzwerk.
Vorgehensweise
1
2
Wählen Sie im linken Bereich Netzwerkdrucker und anschließend Aktionen | Neu aus.
3
4
Geben Sie den UNC-Pfad ein.
Alle übrigen Felder sind optional.
5
Produkthandbuch
97
7
Steuern der auf Websites hochgeladenen Daten
Web-Adressen werden in Web-Veröffentlichungsschutzregeln verwendet.
Mithilfe von Web-Adressdefinitionen können Sie gekennzeichnete Daten blockieren, damit sie nicht auf
angegebenen Web-Zielen (Websites oder bestimmten Seiten einer Website) oder auf nicht definierten
Websites veröffentlicht werden können. Meist werden bei den Web-Adressdefinitionen alle internen
Websites sowie die externen Websites definiert, auf denen gekennzeichnete Daten veröffentlicht
werden dürfen.
Erstellen einer URL-Listendefinition
Mithilfe von URL-Listendefinitionen können Sie Regeln für den Web-Veröffentlichungsschutz definieren.
Sie werden den Regeln als Bedingungen vom Typ Web-Adresse (URL) hinzugefügt.
Vorgehensweise
Führen Sie für jede erforderliche URL die Schritte 1–4 durch. Beschreibungen der Optionen erhalten
Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1
2
Wählen Sie im linken Bereich "URL-Liste" und dann Aktionen | Neu aus.
3
Geben Sie einen eindeutigen Namen und optional eine Definition ein.
4
•
Geben Sie in den Textfeldern Protokoll, Host, Port und Pfad die entsprechenden Informationen ein,
und klicken Sie dann auf Hinzufügen.
•
Fügen Sie im Textfeld URL einfügen eine URL ein, und klicken Sie auf Analysieren und dann auf
Hinzufügen.
Die URL-Felder werden von der Software ausgefüllt.
5
98
Nachdem der Definition alle erforderlichen URLs hinzugefügt wurden, klicken Sie auf Speichern.
Produkthandbuch
8
Verwenden von Regeln zum Schutz
vertraulicher Inhalte
McAfee DLP Endpoint schützt vertrauliche Inhalte mit einer Kombination aus Datenschutz-,
Gerätesteuerungs- und Erkennungsregeln. Die Regeln werden in Regelsätzen zusammengefasst und in
McAfee DLP-Richtlinien angewendet.
McAfee ePO stellt die McAfee DLP-Richtlinien für die Endgerät-Computer bereit. Die McAfee DLP
Endpoint-Client-Software wendet die Richtlinien dann an, um die vertraulichen Inhalte zu schützen.
Inhalt
Regelsätze
Für Regeltypen verfügbare Reaktionen
Regeln für den Schutz des Zugriffs auf Anwendungsdateien
Regeln für den Schutz der Netzwerkkommunikation
Regeln für den Netzwerkfreigabe-Schutz
Regeln für den Bildschirmaufnahmeschutz
Endgeräterkennung
Schützen von Dateien mithilfe der Rechteverwaltung
Regelsätze
Regelsätze definieren McAfee DLP Endpoint-Richtlinien. Regelsätze können eine Kombination aus
Datenschutz-, Gerätesteuerungs- und Erkennungsregeln enthalten.
Auf der Seite Regelsätze wird eine Liste definierter Regelsätze mit dem jeweiligen Status angezeigt. Die
Anzeige enthält die Anzahl der für die einzelnen Regelsätze protokollierten Vorfälle, die Anzahl der
definierten Regeln sowie die Anzahl der aktivierten Regeln. Farbige Symbole geben die Typen der
aktivierten Regeln an. Die QuickInfo, die beim Halten des Mauszeigers über einem Symbol
eingeblendet wird, gibt den Typ der Regel sowie die Anzahl der aktivierten Regeln an.
Abbildung 8-1 Anzeige von Informationen als QuickInfo auf der Seite 'Regelsätze'
Produkthandbuch
99
8
Regelsätze
In Regelsatz 1 sind sechs Datenschutzregeln, zwei Erkennungsregeln und eine Gerätesteuerungsregel
definiert. Es sind lediglich drei der Datenschutzregeln aktiviert. Die QuickInfo gibt an, dass es sich bei
zwei dieser Regeln um Zwischenablageregeln handelt. Die dritte Regel, die durch ein blaues Symbol
auf der rechten Seite der Spalte dargestellt ist, ist eine Regel für den Schutz des Zugriffs auf
Anwendungsdateien. Wenn Sie wissen möchten, welche Regeln zwar definiert, aber deaktiviert sind,
öffnen Sie die jeweilige Regel zum Bearbeiten.
Siehe auch
Schützen von Dateien mithilfe von Erkennungsregeln auf Seite 115
Erstellen einer Regel auf Seite 100
Erstellen und Konfigurieren von Regeln und Regelsätzen
Sie können Regeln für Ihre McAfee DLP Endpoint-, Device Control- und McAfee DLP
Discover-Richtlinien erstellen und konfigurieren.
Aufgaben
•
Erstellen eines Regelsatzes auf Seite 100
In Regelsätzen sind mehrere Regeln für Geräteschutz, Datenschutz und Erkennungs-Scans
kombiniert.
•
Erstellen einer Regel auf Seite 100
Die Erstellung von Regeln läuft für alle Regeltypen ähnlich ab.
•
Zuweisen von Regelsätzen zu Richtlinien auf Seite 101
Vor der Zuweisung von Regelsätzen zu Endgerät-Computern werden die Regelsätze
zunächst Richtlinien zugewiesen, die wiederum auf die Datenbank von McAfee ePO
angewendet werden.
•
Aktivieren, Deaktivieren oder Löschen von Regeln auf Seite 102
Sie können den Status mehrerer Regeln gleichzeitig löschen oder ändern.
•
Konfigurieren von Spalten für Regeln oder Regelsätze auf Seite 102
Sie können die für Regeln oder Regelsätze angezeigten Spalten verschieben und entfernen
sowie neue Spalten hinzufügen.
•
Erstellen einer Begründungsdefinition auf Seite 103
Mit Definitionen von unternehmensbezogenen Begründungen können Sie Parameter für die
vorbeugende Aktion "Begründung" in Regeln definieren.
•
Erstellen einer Benachrichtigungsdefinition auf Seite 104
Benachrichtigungsdefinitionen werden in Pop-Ups oder in der Endbenutzerkonsole
angezeigt, wenn die Aktionen eines Benutzers Richtlinien verletzen.
Erstellen eines Regelsatzes
In Regelsätzen sind mehrere Regeln für Geräteschutz, Datenschutz und Erkennungs-Scans kombiniert.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Regelsätze.
3
Wählen Sie Aktionen | Neuer Regelsatz aus.
4
Geben Sie den Namen und ggf. eine Anmerkung dazu ein, und klicken Sie dann auf OK.
Erstellen einer Regel
Die Erstellung von Regeln läuft für alle Regeltypen ähnlich ab.
100
Produkthandbuch
8
Regelsätze
Vorgehensweise
1
2
3
Klicken Sie auf den Namen eines Regelsatzes, und wählen Sie ggf. die entsprechende Registerkarte
für die Datenschutz-, Gerätesteuerungs- oder Erkennungsregel aus.
4
Wählen Sie Aktionen | Neue Regel und dann den Regeltyp aus.
5
Geben Sie auf der Registerkarte Bedingung die Informationen ein.
•
Bei einigen Bedingungen, wie z. B. Klassifizierungen oder Gerätedefinitionen, können Sie auf ...
klicken, um ein vorhandenes Element auszuwählen oder ein neues Element zu erstellen.
•
Klicken Sie zum Hinzufügen von weiteren Kriterien auf +.
•
Klicken Sie zum Entfernen eines Kriteriums auf –.
6
Konfigurieren Sie auf der Registerkarte Reaktion die Reaktion.
7
Siehe auch
Regelsätze auf Seite 99
Zuweisen von Regelsätzen zu Richtlinien
Vor der Zuweisung von Regelsätzen zu Endgerät-Computern werden die Regelsätze zunächst
Richtlinien zugewiesen, die wiederum auf die Datenbank von McAfee ePO angewendet werden.
Bevor Sie beginnen
Erstellen Sie auf der Seite DLP-Richtlinien-Manager | Regelsätze mindestens einen Regelsatz, und
fügen Sie diesem die erforderlichen Regeln hinzu.
Vorgehensweise
1
Führen Sie auf der Seite DLP-Richtlinien-Manager | Richtlinienzuweisung eine der folgenden Aktionen aus:
•
Wählen Sie Aktionen | Regelsatz zu Richtlinien zuweisen aus. Wählen Sie im Zuweisungsfenster einen
Regelsatz aus der Dropdown-Liste aus, und wählen Sie dann die Richtlinien aus, denen der
Regelsatz zugewiesen werden soll. Klicken Sie anschließend auf OK.
•
Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus. Wählen Sie im Zuweisungsfenster eine
Richtlinie aus der Dropdown-Liste aus, und wählen Sie dann die Regelsätze aus, die dieser
Richtlinie zugewiesen werden sollen. Klicken Sie anschließend auf OK.
Wenn Sie die Auswahl eines zuvor ausgewählten Regelsatzes oder einer zuvor ausgewählten
Richtlinie aufheben, wird der Regelsatz aus der Richtlinie gelöscht.
2
Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus. Wählen Sie im Zuweisungsfenster die
Richtlinien aus, die auf die McAfee ePO-Datenbank angewendet werden sollen. Klicken Sie auf OK.
Im Auswahlfenster werden nur Richtlinien angezeigt, die noch nicht auf die Datenbank angewendet
wurden. Wenn Sie eine Regelsatzzuweisung oder eine Regel in einem zugewiesenen Regelsatz
ändern, wird die Richtlinie angezeigt, und es wird anstelle der vorherigen Richtlinie die bearbeitete
Richtlinie angewendet.
Produkthandbuch
101
8
Regelsätze
Aktivieren, Deaktivieren oder Löschen von Regeln
Sie können den Status mehrerer Regeln gleichzeitig löschen oder ändern.
Vorgehensweise
1
2
3
Klicken Sie auf den Namen eines Regelsatzes, und klicken Sie dann ggf. auf die entsprechende
Registerkarte für die Datenschutz-, Gerätesteuerungs- oder Erkennungsregel.
4
Wählen Sie mindestens eine Regel aus.
5
Aktualisieren oder löschen Sie die ausgewählten Regeln.
•
Wählen Sie zum Aktivieren der Regeln Aktionen | Status ändern | Aktivieren aus.
•
Wählen Sie zum Deaktivieren der Regeln Aktionen | Status ändern | Deaktivieren aus.
•
Wählen Sie zum Löschen der Regeln Aktionen | Löschen aus.
Konfigurieren von Spalten für Regeln oder Regelsätze
Sie können die für Regeln oder Regelsätze angezeigten Spalten verschieben und entfernen sowie neue
Spalten hinzufügen.
Vorgehensweise
1
2
3
Rufen Sie die Seite Spalten zum Anzeigen auswählen auf.
4
5
•
Regelsätze: Wählen Sie Aktionen | Spalten auswählen aus.
•
Regeln: Wählen Sie zunächst einen Regelsatz und dann Aktionen | Spalten auswählen aus.
Ändern Sie die Spalten.
•
Klicken Sie im Bereich Verfügbare Spalten auf die gewünschten Einträge, um diese Spalten
hinzuzufügen.
•
Klicken Sie im Bereich Ausgewählte Spalten auf die Pfeile oder auf x, um Spalten zu verschieben
bzw. zu löschen.
•
Klicken Sie auf Standardwerte verwenden, um die Standardkonfiguration der Spalten
wiederherzustellen.
Anpassen von Endbenutzernachrichten
Zur Kommunikation mit Endbenutzern werden zwei Arten von Nachrichten verwendet:
Benachrichtigungen und Benutzerbegründungsnachrichten.
In Benachrichtigungs- und Begründungsdefinitionen können Gebietsschemas (Sprachen) angegeben und
Platzhalter hinzugefügt werden, die später durch tatsächliche Werte ersetzt werden. Beim Definieren
von Gebietsschemas werden die Nachrichten und Optionsschaltflächen (für unternehmensbezogene
Begründungen) in der Standardsprache des Endgerät-Computers angezeigt.
102
Produkthandbuch
Regelsätze
8
Benutzerbenachrichtigung
Benutzerbenachrichtigungen sind Pop-Up-Nachrichten, die Benutzer auf eine Richtlinienverletzung
hinweisen.
Wenn mehrere Ereignisse durch eine Regel ausgelöst werden, meldet die Pop-Up-Nachricht anstelle
mehrerer Nachrichten: In Ihrer DLP-Konsole sind neue DLP-Ereignisse vorhanden.
Nachrichten zur Benutzerbenachrichtigung werden unter DLP-Richtlinien-Manager | Definitionen |
Benachrichtigungen definiert.
Unternehmensbezogene Begründung
Eine unternehmensbezogene Begründung ist eine Form der Richtlinienumgehung. Wenn Begründung
anfordern als vorbeugende Aktion in einer Regel angegeben ist, kann der Benutzer die Begründung
eingeben und fortfahren, ohne blockiert zu werden.
Nachrichten zur unternehmensbezogenen Begründung werden unter DLP-Richtlinien-Manager | Definitionen |
Begründung definiert.
Platzhalter
Platzhalter ermöglichen die Eingabe variabler Texte in Nachrichten, die sich nach dem jeweiligen
Auslöser der Endbenutzernachricht richten. Folgende Platzhalter stehen zur Auswahl:
•
%c für eine Klassifizierung
•
%r für einen Regelsatznamen
•
%v für einen Vektor (E-Mail-Schutz, Web-Schutz usw.)
•
%a für eine Aktion
•
%s für einen Zeichenfolgenwert (Dateiname, Gerätename usw.)
Erstellen einer Begründungsdefinition
Mit Definitionen von unternehmensbezogenen Begründungen können Sie Parameter für die
vorbeugende Aktion "Begründung" in Regeln definieren.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Definitionen, und wählen Sie dann Benachrichtigung | Begründung aus.
3
4
5
Für das Erstellen von Begründungsdefinitionen in mehreren Sprachen wählen Sie Aktionen für
Gebietsschemas | Neues Gebietsschema aus. Wählen Sie für jedes erforderliche Gebietsschema jeweils ein
Gebietsschema aus der Dropdown-Liste aus.
Die ausgewählten Gebietsschemas werden der Liste hinzugefügt.
Produkthandbuch
103
8
Regelsätze
6
Führen Sie für jedes Gebietsschema Folgendes durch:
a
Wählen Sie im linken Fensterbereich das zu bearbeitende Gebietsschema aus. Geben Sie in den
Textfeldern Text ein, und aktivieren Sie die entsprechenden Kontrollkästchen.
Bei Auswahl von Übereinstimmende Zeichenfolgen anzeigen wird im Pop-Up ein Link angezeigt, über den
der Inhalt mit hervorgehobenen Übereinstimmungen aufgerufen werden kann. Bei Auswahl von
Weitere Informationen wird ein Link zu einem Dokument oder einer Intranet-Seite mit weiteren
Informationen angezeigt.
Bei Eingabe einer Definition für Gebietsschemas sind keine Kontrollkästchen und Aktionen
verfügbar. Sie können nur Schaltflächenbeschriftungen, die Übersicht und den Titel eingeben. Im
Abschnitt Begründungsoptionen können Sie über die Funktion Bearbeiten in der Spalte Aktionen die
Standarddefinitionen durch die Gebietsschemaversion ersetzen.
b
Geben Sie die Begründung – Übersicht und optional einen Dialogfeldtitel ein.
Die Übersicht gibt allgemeine Anweisungen für den Benutzer an, z. B.: Für diese Aktion ist eine
unternehmensbezogene Begründung erforderlich. Der Text darf bis zu 500 Zeichen enthalten.
c
Geben Sie den Text für die Schaltflächenbeschriftungen ein, und wählen Sie die
Schaltflächenaktionen aus. Aktivieren Sie das Kontrollkästchen Schaltfläche ausblenden, um eine
Definition mit zwei Schaltflächen zu erstellen.
Die Schaltflächenaktionen müssen den vorbeugenden Aktionen für den Regeltyp entsprechen,
der die Definition verwendet. Beispiel: Für Netzwerkfreigabe-Schutzregeln sind nur die
vorbeugenden Aktionen Keine Aktion, Verschlüsseln und Begründung anfordern verfügbar. Wenn Sie für
eine Schaltflächenaktion Blockieren auswählen und dann versuchen, die Definition in einer
Definition für Netzwerkfreigabe-Schutzregeln zu verwenden, wird eine Fehlermeldung angezeigt.
d
Geben Sie im Textfeld Text ein, und klicken Sie auf Hinzufügen, um das Element der Liste der
Begründungsoptionen hinzuzufügen. Aktivieren Sie das Kontrollkästchen Begründungsoptionen anzeigen,
wenn die Liste für Endbenutzer verfügbar sein soll.
Mithilfe von Platzhaltern können Sie den Text anpassen, um beispielsweise anzugeben, aus
welchem Grund das Pop-Up ausgelöst wurde.
7
Wenn alle Gebietsschemas vollständig sind, klicken Sie auf Speichern.
Siehe auch
Anpassen von Endbenutzernachrichten auf Seite 102
Erstellen einer Benachrichtigungsdefinition
Benachrichtigungsdefinitionen werden in Pop-Ups oder in der Endbenutzerkonsole angezeigt, wenn die
Aktionen eines Benutzers Richtlinien verletzen.
Vorgehensweise
104
1
2
Klicken Sie auf die Registerkarte Definitionen, und wählen Sie dann Benachrichtigung |
Benutzerbenachrichtigung aus.
3
4
Produkthandbuch
8
5
Für das Erstellen von Benachrichtigungsdefinitionen in mehreren Sprachen wählen Sie Aktionen für
Gebietsschemas | Neues Gebietsschema aus. Wählen Sie für jedes erforderliche Gebietsschema jeweils ein
Gebietsschema aus der Dropdown-Liste aus.
Die ausgewählten Gebietsschemas werden der Liste hinzugefügt.
6
Führen Sie für jedes Gebietsschema Folgendes durch:
a
Wählen Sie im linken Fensterbereich das zu bearbeitende Gebietsschema aus.
Sie können ein beliebiges Gebietsschema als Standard festlegen, indem Sie das entsprechende
Kontrollkästchen Standard-Gebietsschema aktivieren.
b
Geben Sie Text in das Textfeld ein.
Mithilfe von Platzhaltern können Sie den Text anpassen, um beispielsweise anzugeben, aus
welchem Grund das Pop-Up ausgelöst wurde.
c
Optional: Aktivieren Sie das Kontrollkästchen Link zu weiteren Informationen anzeigen, und geben Sie
eine URL ein, um ausführlichere Informationen bereitzustellen.
Diese Option ist nur im Standard-Gebietsschema verfügbar.
7
Wenn alle Gebietsschemas vollständig sind, klicken Sie auf Speichern.
Siehe auch
Anpassen von Endbenutzernachrichten auf Seite 102
Die für eine Regel verfügbaren Reaktionen hängen vom jeweiligen Regeltyp ab.
•
Datenschutzregeln sind für McAfee DLP Endpoint verfügbar.
•
Gerätesteuerungsregeln sind für McAfee DLP Endpoint und Device Control verfügbar.
•
Erkennungsregeln sind für die McAfee DLP Endpoint-Erkennung verfügbar.
Tabelle 8-1 Verfügbare Reaktionen
Reaktion
Gilt für Regeln:
Ergebnis
Keine Aktion
Alle
Die Aktion wird zugelassen.
Blockieren
• Datenschutz
Die Aktion wird blockiert.
• Gerätesteuerung
Kopieren
Erkennung
Die Datei wird an den angegebenen UNC-Speicherort kopiert.
Verschlüsseln
• Datenschutz
Die Datei wird verschlüsselt. Als Verschlüsselungsoptionen sind
FRP bzw. die Verschlüsselungs-Software StormShield Data
Security verfügbar.
• Erkennung
Verschieben
Erkennung
Die Datei wird an den angegebenen UNC-Speicherort
verschoben. Dabei kann bei Bedarf eine Platzhalterdatei
erstellt werden, mit der der Benutzer darüber benachrichtigt
wird, dass die Datei verschoben wurde.
Schreibschutz
Gerätesteuerung
Es wird Schreibschutz erzwungen.
Produkthandbuch
105
8
Tabelle 8-1 Verfügbare Reaktionen (Fortsetzung)
Reaktion
Gilt für Regeln:
Ergebnis
Begründung anfordern
Datenschutz
Auf dem Endbenutzer-Computer wird ein Pop-Up-Fenster
angezeigt. Der Benutzer wählt eine Begründung (mit
optionaler Benutzereingabe) oder eine optionale Aktion aus.
Richtlinie für Rechteverwaltung
anwenden
• Datenschutz
Eine Richtlinie für Rechteverwaltung wird auf die Datei
angewendet.
Isolieren
Erkennung
Die Datei wird isoliert.
Kennzeichnen
Erkennung
Die Datei wird gekennzeichnet.
Datei in DLP Endpoint-Konsole
anzeigen
Erkennung
Der Dateiname und der Pfad werden in der Endpoint-Konsole
angezeigt. Dateiname ist ein Link, über den die Datei geöffnet
werden kann, sofern sie nicht isoliert wurde. Über Pfad wird der
Ordner geöffnet, in dem sich die Datei befindet.
• Datenschutz
Hiermit wird eine Meldung an den Endgerät-Computer
gesendet, die den Benutzer auf die Richtlinienverletzung
hinweist.
• Erkennung
• Erkennung
Wenn Benutzerbenachrichtigung ausgewählt ist und mehrere
Ereignisse ausgelöst werden, wird in einem Pop-Up-Fenster
anstelle mehrerer Meldungen Folgendes angezeigt: In Ihrer
DLP-Konsole sind neue DLP-Ereignisse vorhanden.
Vorfall melden
Alle
Hiermit wird im DLP-Vorfalls-Manager ein Vorfall aufgrund der
Verletzung generiert.
Ursprüngliche Datei speichern
• Datenschutz
Hiermit wird die Datei für die Anzeige im Vorfalls-Manager
gespeichert.
• Erkennung
Hierfür müssen ein Nachweisordner angegeben und der
Nachweiskopierdienst aktiviert sein.
Tabelle 8-2 Reaktionen für Datenschutzregeln
Reaktionen
Keine Block- Versch- Begründung Richtlinie
Benutzer Vorfall Ursprüngliche
Aktion ieren lüsseln anfordern
für
melden Datei
benachRechteverspeichern
richtigung
waltung
Regeltyp
anwenden
Anwendungsdateizugriff-
X
X
X
X
X
X
X
X
X
X
Cloud-Schutz
X
X
X
X
X
X
E-Mail-Schutz
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Schutz
Zwischenablageschutz
Schutz der Netzwerkkommunikation
NetzwerkfreigabeSchutz
Druckerschutz
106
X
X
X
X
X
Produkthandbuch
8
Tabelle 8-2 Reaktionen für Datenschutzregeln (Fortsetzung)
Reaktionen
Keine Block- Versch- Begründung Richtlinie
Benutzer Vorfall Ursprüngliche
Aktion ieren lüsseln anfordern
für
melden Datei
benachRechteverspeichern
richtigung
waltung
Regeltyp
anwenden
Bildschirmaufnahmeschutz
WebVeröffentlichungsschutz
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Tabelle 8-3 Reaktionen für Gerätesteuerungsregeln
Reaktionen
Regeln
Keine Blockieren Schreibschutz Benutzerbenachrichtigung Vorfall
Aktion
melden
Citrix XenApp-Gerät
X
Festplatte
X
X
Plug-and-Play-Gerät
X
X
Wechselspeichermedium
X
X
Wechselspeicher-Dateizugriff X
X
TrueCrypt-Gerät
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Tabelle 8-4 Reaktionen für Erkennungsregeln
Reaktionen
Richtlinie
Regeln
für
Datei in McAfee
Ursprün
Versch- VerschIsol- Kennze- DLP
Keine
Vorfall
Kopieren
RechteverDatei
Aktion
Endpoint-Konsole melden
ieben
lüsseln
ieren ichnen
speiche
waltung
anzeigen
anwenden
Endgerät-
X
X
X
X
X
X
X
X
X
X
X
X
X
Dateisystem
E-Mail-
X
Speicherschutz
auf Endgerät
Produkthandbuch
107
8
Regeln für den Schutz des Zugriffs auf Anwendungsdateien überwachen Dateien auf Grundlage der
Anwendungen, von denen sie erstellt wurden.
Durch Auswählen einer Anwendungs- oder URL-Definition können Sie die Regel auf bestimmte
Anwendungen beschränken. Regeln für den Schutz des Zugriffs auf Anwendungsdateien
kommunizieren in McAfee Threat Intelligence Exchange (TIE) mit McAfee Data Exchange Layer
(DXL). Anhand der Daten aus TIE können Sie die Regel entsprechend der TIE-Reputation definieren.
Beim Auswählen einer Anwendung können Sie in der Dropdown-Liste anstelle einer Anwendungs- oder
Browser-URL auch eine TIE-Reputation auswählen.
®
®
Wenn TIE-Reputationen in Regeln verwendet werden sollen, muss auf dem Endgerät-Computer ein
DXL-Client installiert sein.
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags oder
Klassifizierungskriterien beschränken. Sie können die Regel auch auf lokale Benutzer oder bestimmte
Benutzergruppen beschränken.
Aktionen
Es sind folgende Aktionen verfügbar: Blockieren, Benutzerbenachrichtigung, Vorfall melden und
Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional.
Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein
Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere
Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden
ist.
Wenn für das Feld Klassifizierung der Wert ist beliebig (ALLE) festgelegt ist, ist die Blockierungsaktion nicht
zulässig. Wenn Sie versuchen, die Regel mit diesen Bedingungen zu speichern, wird eine Warnmeldung
ausgegeben.
Auf der Seite Anwendungsdateizugriff-Schutz können der Client-Konfiguration Prozesse in der Whitelist
und spezifische Erweiterungen hinzugefügt werden.
Anwendungsbeispiel: Verhindern des Brennens vertraulicher
Informationen auf einen Datenträger
Mit Regeln für den Schutz des Zugriffs auf Anwendungsdateien können CD- und DVD-Brenner so
blockiert werden, dass keine vertraulichen Informationen kopiert werden können.
Bevor Sie beginnen
Erstellen Sie eine Klassifizierung, um die vertraulichen Inhalte zu identifizieren. Verwenden
Sie hierbei die für Ihre Umgebung geeigneten Parameter, z. B. Stichwörter, Textmuster,
Dateiinformationen usw.
Vorgehensweise
108
1
2
Wählen Sie auf der Registerkarte Regelsätze einen aktuellen Regelsatz aus, oder wählen Sie Aktionen |
Neuer Regelsatz aus, und definieren Sie einen Regelsatz.
Produkthandbuch
8
3
Wählen Sie auf der Registerkarte Datenschutz die Optionen Aktionen | Neue Regel |
Anwendungsdateizugriff-Schutz aus.
4
(Optional) Geben Sie im Feld Regelname einen Namen ein (obligatorisch). Wählen Sie Optionen für
die Felder Status und Schweregrad aus.
5
Wählen Sie auf der Registerkarte Bedingung im Feld Klassifizierung die für vertrauliche Inhalte erstellte
Klassifizierung aus.
6
Wählen Sie im Feld Endbenutzer Benutzergruppen aus (optional).
Wenn Sie der Regel Benutzer oder Gruppen hinzufügen, wird die Regel auf bestimmte Benutzer
beschränkt.
7
Wählen Sie im Feld Anwendungen die Option Media Burner Application [vordefiniert] in der Liste der
verfügbaren Anwendungsdefinitionen aus.
Durch Bearbeiten der vordefinierten Definition können Sie auch eine eigene
Medienbrennerdefinition erstellen. Beim Bearbeiten einer vordefinierten Definition wird automatisch
eine Kopie der ursprünglichen Definition erstellt.
8
(Optional) Sie können auf der Registerkarte Ausnahmen Ausnahmen von dieser Regel erstellen.
Ausnahmedefinitionen können alle Felder enthalten, die in der jeweiligen Bedingungsdefinition
vorhanden sind. Sie können auch mehrere Ausnahmen erstellen, die in unterschiedlichen
Situationen angewendet werden sollen. So könnten Sie beispielsweise "Privilegierte Benutzer"
definieren, die von der Regel ausgenommen sind.
9
Legen Sie auf der Registerkarte Reaktion die Vorbeugende Aktion auf Blockieren fest. Wählen Sie eine
Benutzerbenachrichtigung aus (optional). Klicken Sie auf Speichern und dann auf Schließen.
Sie können auch die standardmäßige Vorfallberichterstellungs- und vorbeugende Aktion für den Fall
ändern, dass der Computer nicht mit dem Netzwerk verbunden ist.
10 Weisen Sie den Regelsatz auf der Registerkarte Richtlinienzuweisung einer oder mehreren Richtlinien
zu:
a
Wählen Sie Aktionen | Regelsatz zu Richtlinien zuweisen aus.
b
Wählen Sie in der Dropdown-Liste den gewünschten Regelsatz aus.
c
Wählen Sie die Richtlinie(n) aus, die Sie dem Regelsatz zuweisen möchten.
11 Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus. Wählen Sie die Richtlinien aus, die auf die
McAfee ePO-Datenbank angewendet werden sollen, und klicken Sie auf OK.
Mit Regeln für den E-Mail-Schutz werden E-Mails, die an bestimmte Ziele oder Benutzer gesendet
werden, überwacht oder blockiert.
Regeln für den E-Mail-Schutz können E-Mails, die an bestimmte Empfänger gesendet werden,
blockieren. Das Feld E-Mail-Umschlag kann angeben, dass die E-Mail durch RMS-Berechtigungen
geschützt ist. Diese Option wird üblicherweise zum Definieren von Ausnahmen verwendet.
Klassifizierungskriterien beschränken. Klassifizierungen können die gesamte E-Mail oder nur den
Betreff, nur den Textteil bzw. nur die Anhänge definieren. Sie können die Regel auch auf lokale
Benutzer oder bestimmte Benutzergruppen beschränken.
Produkthandbuch
109
8
Aktionen
Es sind folgende Aktionen verfügbar: Blockieren, Begründung anfordern, Benutzerbenachrichtigung,
Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines
Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer
ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere
Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden
ist.
Wenn Sie Lotus Notes verwenden, aktivieren Sie das Lotus Notes-Plug-In auf der Seite Betriebsmodus
und Module. Wenn Sie Microsoft Outlook verwenden, aktivieren Sie die erforderlichen Add-Ins. Nicht
verwendete Handler sollten zur Verbesserung der Leistung deaktiviert werden.
Auf Systemen, auf denen sowohl Microsoft Exchange als auch Lotus Notes verfügbar sind, funktionieren
E-Mail-Regeln nur dann, wenn für beide der Name des E-Mail-Ausgangs-Servers (SMTP) konfiguriert ist.
Wählen Sie zum Verwenden von Drittanbieter-Add-Ins für Microsoft Outlook (Boldon James oder Titus)
auf der Seite E-Mail-Schutz das Add-On aus. Das McAfee DLP-Outlook-Add-In wechselt in den
Umgehungsmodus, wenn das Drittanbieter-Add-In installiert und aktiv ist. Mit den weiteren
Einstellungen auf der Seite E-Mail-Schutz können Zeitlimit-Strategie, Caching, API und
Benutzerbenachrichtigungen konfiguriert werden.
Mit Regeln für den Schutz der Netzwerkkommunikation werden ein- oder ausgehende Daten in Ihrem
Netzwerk überwacht oder blockiert.
Regeln für den Schutz der Netzwerkkommunikation steuern den Netzwerkdatenverkehr auf der
Grundlage von angegebenen Netzwerkadressen (obligatorisch) und Ports (optional). Zudem kann
angegeben werden, ob sich eine Regel auf eingehende, ausgehende oder Verbindungen in beide
Richtungen beziehen soll. Sie können eine Netzwerkadressdefinition und eine Port-Definition
hinzufügen, die Definitionen können jedoch mehrere Adressen oder Ports enthalten.
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags beschränken. Sie
können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken.
Regeln für den Schutz der Netzwerkkommunikation überprüfen keine Klassifizierungskriterien.
Verwenden Sie daher bei der Definition von Klassifizierungen, die in Regeln für den Schutz der
Netzwerkkommunikation verwendet werden sollen, Kennzeichnungskriterien.
Aktionen
In Regeln für den Schutz der Netzwerkkommunikation sind folgende Aktionen verfügbar: Blockieren,
Vorfall melden und Benutzer benachrichtigen. Durch die Auswahl der Benutzerbenachrichtigung wird
auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Wenn
der Computer nicht mit dem Unternehmensnetzwerk verbunden ist oder wenn der Computer über ein
VPN mit dem Unternehmensnetzwerk verbunden ist, können andere Aktionen angewendet werden.
Der Netzwerkkommunikationstreiber wird auf der Seite Betriebsmodus und Module aktiviert (dies ist
die Standardeinstellung).
110
Produkthandbuch
8
Mit Regeln für den Netzwerkfreigabe-Schutz werden auf Netzwerkfreigaben gespeicherte vertrauliche
Inhalte gesteuert.
Regeln für den Netzwerkfreigabe-Schutz können auf alle oder nur auf bestimmte Netzwerkfreigaben
angewendet werden. Eine Regel kann eine Freigabedefinition enthalten, wobei die Definition mehrere
Freigaben enthalten kann. Durch eine enthaltene Klassifizierung (obligatorisch) wird festgelegt, welche
vertraulichen Inhalte geschützt werden.
Aktionen
In Regeln für den Netzwerkfreigabe-Schutz sind folgende Aktionen verfügbar: Verschlüsseln,
Begründung anfordern, Vorfall melden, Ursprüngliche Datei speichern und Benutzer benachrichtigen.
Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der
Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer
Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden,
wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Als
Verschlüsselungsoptionen sind McAfee File and Removable Media Protection (FRP) und die
Verschlüsselungs-Software StormShield Data Security verfügbar.
®
Mit Regeln für den Druckerschutz werden an den Drucker gesendete Dateien überwacht oder blockiert.
Klassifizierungskriterien beschränken. Sie können die Regel auch durch Angabe bestimmter Benutzer,
Drucker oder Anwendungen einschränken. In einer Druckerdefinition können lokale Drucker,
Netzwerkdrucker, benannte Netzwerkdrucker oder virtuelle Drucker angegeben werden.
Für virtuelle Drucker gab es in früheren Versionen eine eigene Regel, sie sind nun jedoch in der
allgemeinen Druckerregel enthalten.
Aktionen
In Regeln für den Druckerschutz sind folgende Aktionen verfügbar: Blockieren, Begründung anfordern,
Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung
ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf
dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Wenn der
Computer nicht mit dem Unternehmensnetzwerk verbunden ist oder wenn der Computer über ein VPN
mit dem Unternehmensnetzwerk verbunden ist, können andere Aktionen angewendet werden.
Die in der Whitelist befindlichen Anwendungen sind auf der Seite Druckerschutz aufgeführt. Regeln für
den Druckerschutz ignorieren Dateien, die aus in der Whitelist befindlichen Anwendungen gedruckt
werden.
Mit Druckeranwendungs-Add-Ins, die auf der Seite Betriebsmodus und Module ausgewählt werden,
kann die Leistung des Druckers bei Verwendung bestimmter gängiger Anwendungen verbessert
werden. Die Add-Ins werden nur installiert, wenn auf dem verwalteten Computer eine Regel für den
Druckerschutz aktiviert ist.
Produkthandbuch
111
8
Mit Regeln für den Wechselspeicherschutz werden Daten, die auf Wechselspeichermedien geschrieben
werden sollen, überwacht oder blockiert.
Regeln für den Wechselspeicherschutz können CD- und DVD-Geräte, Wechselspeichermedien oder
beides steuern. Sie können eine Regel anhand von Tags oder Klassifizierungskriterien in
Klassifizierungen (obligatorisch) einschränken. Sie können die Regel auch anhand von bestimmten
Benutzern, Anwendungen oder Web-URLs definieren.
Aktionen
In Regeln für den Wechselspeicherschutz sind folgende Aktionen verfügbar: Blockieren, Begründung
anfordern, Verschlüsseln, Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern.
wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist.
Legen Sie auf der Seite Wechselspeicherschutz den Löschmodus fest. Im normalen Modus wird die
Datei gelöscht. Im aggressiven Modus wird sie endgültig vernichtet, sodass sie nicht wiederhergestellt
werden kann.
Die erweiterten Optionen werden auf der Seite Betriebsmodus und Module aktiviert. Folgende
Optionen stehen zur Verfügung:
•
Bereitstellung von TrueCrypt-Datenträgern schützen
•
Handler für tragbare Geräte
•
Erweiterter Dateikopierschutz
Handler für tragbare Geräte
MTP (Media Transfer Protocol) wird für die Übertragung von Dateien und zugehörigen Metadaten von
Computern auf Mobilgeräte, wie z. B. Smartphones, verwendet. Ein MTP-Gerät ist kein herkömmlicher
Wechseldatenträger, da es (und nicht der Computer, an den es angeschlossen ist) das Dateisystem
bereitstellt. Wenn der Client für MTP-Geräte konfiguriert ist, lässt die Regel für Wechselspeicherschutz
es zu, dass dieser Client MTP-Übertragungen abfängt und darauf Sicherheitsrichtlinien anwendet.
Derzeit werden nur USB-Verbindungen unterstützt.
Der Handler kann mit allen von Windows Explorer vorgenommenen Dateiübertragungen arbeiten. Er
funktioniert jedoch nicht bei iOS-Geräten, da die Dateiübertragung hier mittels iTunes durchgeführt
wird. Alternativ können Sie iOS-Geräte anhand einer Regel für Wechselspeichermedien mit einem
Schreibschutz versehen.
Schützen von TrueCrypt-Geräten anhand von Regeln für den Wechselspeicherschutz
112
Produkthandbuch
8
Mit TrueCrypt verschlüsselte virtuelle Geräte können mit TrueCrypt-Geräteregeln oder mit Regeln für
Wechselspeichermedien geschützt werden.
•
Verwenden Sie eine Geräteregel, wenn ein TrueCrypt-Volume blockiert, überwacht oder mit einem
Schreibschutz versehen werden soll.
•
Wenn Sie jedoch inhaltsbezogenen Schutz für TrueCrypt-Volumes wünschen, verwenden Sie eine
Schutzregel.
Wenn mit Tags gekennzeichnete Inhalte auf TrueCrypt-Volumes kopiert werden, gehen die Tags
verloren, da diese Volumes keine erweiterten Dateiattribute unterstützen. Verwenden Sie zur
Identifizierung des Inhalts Dokumenteigenschaften, Dateiverschlüsselung oder Definitionen von
Dateitypgruppen in der Klassifizierungsdefinition.
Erweiterter Dateikopierschutz
Der erweiterte Dateikopierschutz fängt Kopiervorgänge von Windows Explorer ab und ermöglicht es
dem McAfee DLP Endpoint-Client, die Datei an ihrem Quellort zu untersuchen, bevor sie auf den
Wechseldatenträger kopiert wird. Dieser Schutz ist standardmäßig aktiviert und sollte ausschließlich
zur Fehlerbehebung deaktiviert werden.
Es gibt jedoch auch Fälle, in denen der erweiterte Kopierschutz keine Anwendung findet. Wenn
beispielsweise eine Datei von einer Anwendung geöffnet und mittels Speichern unter auf ein
Wechselspeichermedium gespeichert wird, greift hier der normale Kopierschutz. Die Datei wird erst auf
das Gerät kopiert und anschließend untersucht. Wenn hierbei vertrauliche Inhalte identifiziert werden,
wird die Datei sofort gelöscht.
Regeln für den Bildschirmaufnahmeschutz steuern die Handhabung der von einem Bildschirm
kopierten und eingefügten Daten.
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags beschränken. Sie
können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken.
Regeln für den Bildschirmaufnahmeschutz überprüfen keine Klassifizierungskriterien. Verwenden Sie
daher bei der Definition von Klassifizierungen, die mit Regeln für den Bildschirmaufnahmeschutz
verwendet werden sollen, Kennzeichnungskriterien.
Aktionen
In Regeln für den Bildschirmaufnahmeschutz sind folgende Aktionen verfügbar: Blockieren, Benutzer
benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei
der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem
Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können
festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem
Unternehmensnetzwerk verbunden ist.
Anwendungen, die durch Regeln für den Bildschirmaufnahmeschutz geschützt sind, werden auf der
Seite Bildschirmaufnahmeschutz aufgeführt. Die Liste ist bereits vorab mit gängigen
Bildschirmaufnahmeanwendungen ausgefüllt, und Sie können Anwendungen hinzufügen, bearbeiten
und löschen.
Produkthandbuch
113
8
Der Bildschirmaufnahmedienst wird auf der Seite Betriebsmodus und Module aktiviert. Sie können den
Anwendungs-Handler und den Bildschirmaufnahmeschlüssel-Handler getrennt aktivieren.
Standardmäßig sind beide aktiviert. Wenn Sie den Anwendungs-Handler oder den
Bildschirmaufnahmedienst deaktivieren, werden alle auf der Seite Bildschirmaufnahmeschutz
aufgeführten Anwendungen deaktiviert.
Mit Regeln für den Web-Veröffentlichungsschutz wird das Veröffentlichen von Daten auf Websites,
beispielsweise auf Web-E-Mail-Sites, überwacht oder blockiert.
Sie definieren eine Regel für den Web-Veröffentlichungsschutz, indem Sie der Regel Web-Adressen
hinzufügen.
Aktionen
In Regeln für den Web-Veröffentlichungsschutz sind folgende Aktionen verfügbar: Blockieren,
Begründung anfordern, Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern.
wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist.
Aktivieren Sie auf der Seite Betriebsmodus und Module Browser für den Web-Schutz. Es werden die
Browser Microsoft Internet Explorer, Microsoft Edge, Mozilla Firefox und Google Chrome unterstützt.
Seite Web-Veröffentlichungsschutz
Auf der Seite Web-Veröffentlichungsschutz sind die in der Whitelist enthaltenen URLs aufgeführt, die
aus Regeln für den Web-Veröffentlichungsschutz ausgeschlossen sind. Dort befindet sich auch eine
Option zum Aktivieren der Verarbeitung von HTTP GET-Anfragen. GET-Anfragen sind standardmäßig
deaktiviert, da sie die Ressourcen stark belasten. Verwenden Sie diese Option zurückhaltend.
Mit der Zeitlimit-Strategie für Web-Veröffentlichungen legen Sie die zulässige Höchstdauer für die
Analyse von Web-Veröffentlichungen und die Aktion fest, die bei Überschreitung des Zeitlimits
durchgeführt werden soll. Für die Aktion können Sie zwischen 'Blockieren' und 'Zulassen' wählen. Sie
können auch auswählen, dass der Benutzer benachrichtigt wird.
Die Seite enthält außerdem eine Liste der unterstützten Versionen von Google Chrome. Diese Liste ist
aufgrund der häufigen Chrome-Aktualisierungen erforderlich. Die Liste wird gefüllt, indem Sie eine
aktuelle Liste vom McAfee-Support herunterladen und die XML-Datei dann anhand der Option
Durchsuchen auswählen und installieren.
114
Produkthandbuch
8
Endgeräterkennung
Endgeräterkennung
Die Erkennung erfolgt durch Crawling (automatisiertes systematisches Durchsuchen) der
Endgerät-Computer. Dabei werden das lokale Dateisystem und die E-Mail-Speicherdateien durchsucht
und die entsprechenden Regeln zum Schutz vertraulicher Inhalte angewendet.
Inhalt
Schützen von Dateien mithilfe von Erkennungsregeln
Funktionsweise des Erkennungs-Scans
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
Schützen von Dateien mithilfe von Erkennungsregeln
Erkennungsregeln definieren, nach welchen Inhalten McAfee DLP beim Scannen von Repositorys sucht,
und geben an, welche Aktionen bei einer Übereinstimmung durchgeführt werden sollen.
Je nach Regeltyp können gescannte Dateien mit Übereinstimmungen kopiert, verschoben,
verschlüsselt, isoliert bzw. gekennzeichnet werden, oder es kann eine Rechteverwaltungsrichtlinie auf
sie angewendet werden. Alle Bedingungen von Erkennungsregeln beinhalten eine Klassifizierung.
Wenn Sie Erkennungsregeln für die E-Mail-Speicherung mit der vorbeugenden Aktion Isolieren
verwenden, muss das Outlook-Add-In aktiviert sein (Richtlinienkatalog | Data Loss Prevention 9.4 |
Client-Konfiguration | Betriebsmodus und Module). Wenn das Outlook-Add-In deaktiviert ist, können Sie
keine E-Mails aus der Quarantäne freigeben.
Tabelle 8-5 Verfügbare Erkennungsregeln
Regeltyp
Produkt
Herkunft der zu kontrollierenden erkannten
Dateien
Lokales Dateisystem
McAfee DLP Endpoint Scans des lokalen Dateisystems.
Lokale E-Mail (OST, PST) McAfee DLP Endpoint Scans des E-Mail-Speichersystems.
Funktionsweise des Erkennungs-Scans
Mit Endgeräterkennungs-Scans können Dateien mit vertraulichem Inhalt im lokalen Dateisystem oder
E-Mail-Speicher gesucht und gekennzeichnet bzw. isoliert werden.
Für die McAfee DLP Endpoint-Erkennung wird Crawling (automatisiertes systematisches Durchsuchen)
auf den Client-Computern durchgeführt. Wenn vordefinierte Inhalte gefunden werden, können die
entsprechenden Dateien überwacht, isoliert, gekennzeichnet oder verschlüsselt werden, oder es kann
eine Richtlinie für Rechteverwaltung auf diese Dateien angewendet werden. Die Endgeräteerkennung
kann Computer-Dateien oder E-Mail-Speicherdateien (PST, zugeordnete PST und OST) scannen.
E-Mail-Speicherdateien werden für jeden Benutzer separat zwischengespeichert.
Zur Verwendung der Endgeräteerkennung müssen Sie auf der Seite Richtlinienkatalog |
Client-Konfiguration | Betriebsmodus und Module die Module für die Erkennung aktivieren.
Nach jedem Erkennungs-Scan sendet der McAfee DLP Endpoint-Client ein
Erkennungsübersichtsereignis an die Konsole DLP-Vorfalls-Manager in McAfee ePO, um die
Scan-Details zu protokollieren. Das Ereignis beinhaltet eine Nachweisdatei, die die Dateien auflistet,
die nicht gescannt werden konnten, sowie die Gründe angibt, aus denen Dateien nicht gescannt
werden konnten. Es gibt auch eine Nachweisdatei mit Dateien, die mit der Klassifizierung und der
ausgeführten Aktion übereinstimmen.
In McAfee DLP Endpoint 9.4.0 war das Übersichtsereignis ein operatives Ereignis. Verwenden Sie zum
Aktualisieren alter Übersichtsereignisse für den DLP-Vorfalls-Manager den McAfee ePO-Server-Task DLP
– Migration von Vorfällen von 9.4 zu 9.4.1.
Produkthandbuch
115
8
Endgeräterkennung
Wann können Scans durchgeführt werden?
Die Erkennungs-Scans werden auf der Seite Richtlinienkatalog | DLP-Richtlinie | Endgeräterkennung
geplant. Sie können einen Scan täglich zu einer bestimmten Uhrzeit oder an bestimmten Tagen der
Woche oder des Monats ausführen. Sie können Start- und Enddatum angeben oder einen Scan bei der
Erzwingung der McAfee DLP Endpoint-Konfiguration ausführen. Der Scan kann angehalten werden,
wenn die CPU- oder RAM-Auslastung des Computers einen bestimmten Grenzwert überschreitet.
Wenn Sie die Erkennungsrichtlinie während eines laufenden Endgerät-Scans ändern, ändern sich die
Regeln und Planparameter sofort. Änderungen bezüglich der aktivierten bzw. deaktivierten Parameter
werden beim nächsten Scan wirksam. Wenn der Computer während eines laufenden Scans neu
gestartet wird, wird der Scan anschließend an der Stelle fortgesetzt, an der er abgebrochen wurde.
Welche Inhalte können erkannt werden?
Erkennungsregeln werden mit einer Klassifizierung definiert. Zur Erkennung von Inhalten können
beliebige Dateieigenschaften oder Datenbedingungen verwendet werden, die sich den
Klassifizierungskriterien hinzufügen lassen.
Was geschieht mit erkannten Dateien, die vertraulichen Inhalt enthalten?
E-Mail-Dateien können isoliert oder gekennzeichnet werden. Dateien des lokalen Dateisystems können
verschlüsselt, isoliert oder gekennzeichnet werden oder es kann eine Richtlinie für Rechteverwaltung
auf sie angewendet werden. Für beide Dateitypen können Nachweise gespeichert werden.
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
Zum Ausführen des Erkennungs-Crawlers sind vier Schritte erforderlich.
1
Erstellen und Definieren von Klassifizierungen, um vertrauliche Inhalte zu identifizieren.
2
Erstellen und Definieren einer Erkennungsregel. Die Klassifizierung ist in der Definition der
Erkennungsregel enthalten.
3
Erstellen einer Plandefinition.
4
Einrichten der Scan-Parameter. Die Scan-Definition enthält den Plan als Parameter.
Aufgaben
116
•
Erstellen und Definieren einer Erkennungsregel auf Seite 117
Erkennungsregeln geben an, nach welchen Inhalten der Crawler suchen soll und welche
Aktionen für gefundene Inhalte durchgeführt werden sollen.
•
Erstellen einer Planerdefinition auf Seite 117
Der Planer bestimmt, wann und wie häufig ein Erkennungs-Scan ausgeführt wird.
•
Einrichten eines Scans auf Seite 118
Erkennungs-Scans durchsuchen das lokale Dateisystem oder Postfächer systematisch auf
vertrauliche Inhalte (Crawling).
•
Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder E-Mail-Elemente auf Seite
118
Wenn bei der McAfee DLP Endpoint-Erkennung vertrauliche Inhalte gefunden werden,
werden die entsprechenden Dateien oder E-Mail-Elemente in einen Quarantäne-Ordner
verschoben und durch Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre
Dateien oder E-Mails isoliert wurden. Die isolierten Dateien und E-Mail-Elemente werden
außerdem verschlüsselt, um die nicht autorisierte Nutzung zu verhindern.
Produkthandbuch
8
Endgeräterkennung
Erstellen und Definieren einer Erkennungsregel
Erkennungsregeln geben an, nach welchen Inhalten der Crawler suchen soll und welche Aktionen für
gefundene Inhalte durchgeführt werden sollen.
Änderungen an einer Erkennungsregel werden wirksam, sobald die Richtlinie bereitgestellt wird. Neue
Regeln werden auch bei einem laufenden Scan sofort wirksam.
Bei E-Mail-Speicher-Scans (PST, zugeordnete PST und OST) scannt der Crawler E-Mail-Elemente (Text
und Anhänge), Kalendereinträge und Aufgaben. Öffentliche Ordner und dauerhafte Notizen werden
nicht gescannt.
Vorgehensweise
1
2
Wählen Sie auf der Seite Regelsätze die Option Aktionen | Neuer Regelsatz aus. Geben Sie einen Namen
ein, und klicken Sie dann auf OK.
Sie können auch vorhandenen Regelsätzen Erkennungsregeln hinzufügen.
3
Wählen Sie auf der Registerkarte Erkennung die Option Aktionen | Neue Endgeräteerkennungsregel und dann
entweder Lokale E-Mail oder Lokales Dateisystem aus.
Daraufhin wird die entsprechende Seite angezeigt.
4
Geben Sie einen Regelnamen ein, und wählen Sie eine Klassifizierung aus.
5
Klicken Sie auf Reaktion. Wählen Sie in der Dropdown-Liste eine vorbeugende Aktion aus.
6
Optional: Sie können Optionen für Vorfall melden auswählen, den Status auf Aktiviert setzen und in der
Dropdown-Liste einen Schweregrad auswählen.
7
Erstellen einer Planerdefinition
Der Planer bestimmt, wann und wie häufig ein Erkennungs-Scan ausgeführt wird.
Die folgenden fünf Planungstypen sind verfügbar:
•
Sofort ausführen
•
Wöchentlich
•
Einmal
•
Monatlich
•
Täglich
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte Definitionen.
3
Klicken Sie im linken Bereich auf Planer.
Wenn McAfee DLP Discover und McAfee DLP Endpoint installiert sind, werden in der Liste der
vorhandenen Pläne die Pläne für beide Anwendungen angezeigt.
4
Daraufhin öffnet sich die Seite Neuer Planer.
Produkthandbuch
117
8
Endgeräterkennung
5
Geben Sie einen eindeutigen Namen ein, und wählen Sie in der Dropdown-Liste den Planungstyp aus.
Nach der Auswahl des Planungstyps werden die für den jeweiligen Typ erforderlichen Felder
angezeigt.
6
Geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf Speichern.
Einrichten eines Scans
Erkennungs-Scans durchsuchen das lokale Dateisystem oder Postfächer systematisch auf vertrauliche
Inhalte (Crawling).
Bevor Sie beginnen
Vergewissern Sie sich, dass die Regelsätze, die Sie für die Scans anwenden möchten, für
die DLP-Richtlinie angewendet wurden. Diese Informationen werden auf der Registerkarte
DLP-Richtlinie | Regelsätze angezeigt.
Änderungen an Parametern für Erkennungseinstellungen treten beim nächsten Scan in Kraft. Sie
werden nicht auf bereits laufende Scans angewendet.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie Produkt Data Loss Prevention 9.4 und dann die aktive DLP-Richtlinie aus.
3
Wählen Sie auf der Registerkarte Endgeräteerkennung die Option Aktionen | Neuer Endgeräte-Scan und dann
entweder Lokale E-Mail oder Lokales Dateisystem aus.
4
Geben Sie einen Namen für den Scan ein, und wählen Sie dann einen Plan aus der Dropdown-Liste
aus.
5
Optional: Ändern Sie die Voreinstellungen für Behandlung von Vorfällen und Fehlerbehandlung. Setzen Sie
den Status auf Aktiviert.
Die Fehlerbehandlung bezieht sich auf Situationen, in denen kein Text extrahiert werden kann.
6
7
Führen Sie auf der Registerkarte Ordner eine der folgenden Aktionen aus:
•
Wählen Sie für Dateisystem-Scans die Option Aktionen | Ordner auswählen aus. Wählen Sie eine
definierte Ordnerdefinition aus, oder klicken Sie auf Neues Element, um eine Definition zu erstellen.
Definieren Sie den Ordner als Einschließen oder Ausschließen.
•
Wählen Sie für E-Mail-Scans die zu scannenden Dateitypen (OST, PST) und Postfächer aus.
Optional: Wählen Sie auf der Registerkarte Filter (nur bei Dateisystem-Scans) die Option Aktionen |
Filter auswählen aus. Wählen Sie eine Dateiinformationsdefinition aus, oder klicken Sie auf Neues
Element, um eine Definition zu erstellen. Legen Sie für den Filter Einschließen oder Ausschließen fest.
Klicken Sie auf OK.
Die Standardeinstellung ist Alle Dateien. Durch das Definieren eines Filters wird der Scan effizienter.
8
Überprüfen Sie auf der Registerkarte Regeln die geltenden Regeln.
Es werden alle Erkennungsregeln der Regelsätze ausgeführt, die für die Richtlinie angewendet
werden.
Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder E-MailElemente
Wenn bei der McAfee DLP Endpoint-Erkennung vertrauliche Inhalte gefunden werden, werden die
entsprechenden Dateien oder E-Mail-Elemente in einen Quarantäne-Ordner verschoben und durch
118
Produkthandbuch
8
Endgeräterkennung
Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien oder E-Mails isoliert wurden.
Die isolierten Dateien und E-Mail-Elemente werden außerdem verschlüsselt, um die nicht autorisierte
Nutzung zu verhindern.
Bevor Sie beginnen
Um das McAfee DLP-Symbol in Microsoft Outlook anzuzeigen, muss unter Richtlinienkatalog |
Client-Richtlinie | Betriebsmodus und Module die Option Steuerelemente für Freigabe aus Quarantäne in Outlook
anzeigen aktiviert sein. Wenn diese Option deaktiviert ist, sind sowohl das Symbol als auch
die Rechtsklick-Option zum Anzeigen isolierter E-Mails blockiert, und E-Mails können nicht
aus der Quarantäne freigegeben werden.
Wenn Sie eine Dateisystem-Erkennungsregel auf Isolieren gesetzt haben und der Crawler vertrauliche
Inhalte findet, werden die entsprechenden Dateien in einen Quarantäne-Ordner verschoben und durch
Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien isoliert wurden. Die isolierten
Dateien werden verschlüsselt, um die nicht autorisierte Nutzung zu verhindern.
Bei isolierten E-Mail-Elementen fügt McAfee DLP Endpoint dem Outlook-Betreff ein Präfix hinzu, das
Benutzer darauf hinweist, dass ihre E-Mails isoliert wurden. Sowohl der E-Mail-Text als auch ggf.
vorhandene Anhänge werden isoliert.
Der Mechanismus wurde gegenüber früheren McAfee DLP Endpoint-Versionen geändert, die entweder
den Text oder die Anhänge verschlüsseln konnten, um eine Signaturbeschädigung beim Arbeiten mit
dem E-Mail-Signatursystem zu verhindern.
Microsoft Outlook-Kalenderelemente und Tasks können ebenfalls isoliert werden.
Abbildung 8-2 Beispiel einer isolierten E-Mail
Vorgehensweise
1
So stellen Sie isolierte Dateien wieder her:
a
Klicken Sie in der Taskleiste des verwalteten Computers auf das Symbol McAfee Agent, und wählen
Sie Funktionen verwalten | DLP Endpoint-Konsole aus.
Daraufhin öffnet sich die DLP Endpoint-Konsole.
b
Wählen Sie auf der Registerkarte Tasks die Option Quarantäne-Ordner öffnen aus.
Daraufhin öffnet sich der Quarantäne-Ordner.
c
Wählen Sie die wiederherzustellenden Dateien aus. Klicken Sie mit der rechten Maustaste, und
wählen Sie Aus Quarantäne freigeben aus.
Das Kontextmenüelement 'Aus Quarantäne freigeben' wird nur angezeigt, wenn Sie Dateien des
Typs '*.dlpenc' (DLP-verschlüsselt) auswählen.
Nun öffnet sich das Pop-Up-Fenster für den Freigabecode.
Produkthandbuch
119
8
2
So stellen Sie isolierte E-Mail-Elemente wieder her: Klicken Sie auf das Symbol McAfee DLP, oder
klicken Sie mit der rechten Maustaste, und wählen Sie Aus Quarantäne freigeben aus.
a
Wählen Sie in Microsoft Outlook die E-Mails oder sonstigen Elemente aus, die wiederhergestellt
werden sollen.
b
Klicken Sie auf das Symbol für McAfee DLP.
Nun öffnet sich das Pop-Up-Fenster für den Freigabecode.
3
Kopieren Sie den Abfrage-ID-Code aus dem Pop-Up-Fenster, und senden Sie ihn an den
DLP-Administrator.
4
Der Administrator erzeugt einen Antwortcode und sendet diesen an den Benutzer. (Dabei wird auch
ein Ereignis an 'Operative DLP-Ereignisse' gesendet, in dem alle Details erfasst werden.)
5
Der Benutzer gibt den Freigabecode in das Pop-Up-Fenster Freigabecode ein, und klickt auf OK.
Die entschlüsselten Dateien werden dann am ursprünglichen Speicherort wiederhergestellt. Wenn
die Sperrrichtlinie für den Freigabecode aktiviert ist (Registerkarte Agentenkonfiguration |
Benachrichtigungsdienst) und Sie den Code dreimal falsch eingeben, wird das Pop-Up-Fenster für
30 Minuten gesperrt (Standardeinstellung).
Wenn für Dateien der Pfad geändert oder gelöscht wurde, wird der ursprüngliche Pfad
wiederhergestellt. Sollte sich am Speicherort bereits eine gleichnamige Datei befinden, wird die
Datei als xxx-copy.abc wiederhergestellt.
McAfee DLP Endpoint kann in Rechteverwaltungs-Server integriert werden, sodass Dateien geschützt
werden können, die Regelklassifizierungen entsprechen.
Sie können eine Reaktion der Richtlinie für Rechteverwaltung auf die folgenden Datenschutz- und
Erkennungsregeln anwenden:
•
Cloud-Schutz
•
Endgerät-Dateisystem
Richtlinien für Rechteverwaltung können nicht mit Gerätesteuerungsregeln verwendet werden.
McAfee DLP Endpoint kann durch die Rechteverwaltung geschützte Dateien erkennen, indem
Klassifizierungs- oder Kennzeichnungskriterien eine Dateiverschlüsselungseigenschaft hinzugefügt
wird. Diese Dateien können in die Klassifizierung ein- bzw. aus ihr ausgeschlossen werden.
Siehe auch
Definieren eines Servers für die Rechteverwaltung auf Seite 42
120
Produkthandbuch
8
Zusammenwirken von McAfee DLP mit der Rechteverwaltung
Die Anwendung von Richtlinien für Rechteverwaltung auf Dateien in McAfee DLP folgt einem Workflow.
Workflow für die Rechteverwaltung
1
Zur Anwendung einer Richtlinie für Rechteverwaltung müssen Sie eine Datenschutz- oder
Erkennungsregel mit einer Reaktion erstellen und anwenden. Für die Reaktion ist ein
Rechteverwaltungs-Server und ein Eintrag in einer Richtlinie für Rechteverwaltung erforderlich. Sie
können auch eine Kennzeichnungsregel erstellen, damit durch Rechteverwaltung geschützten
Dateien ein Tag hinzugefügt wird.
2
Wenn eine Datei die Regel auslöst, sendet McAfee DLP diese Datei an den
Rechteverwaltungs-Server.
3
Der Rechteverwaltungs-Server wendet gemäß der angegebenen Richtlinie Schutzmaßnahmen an,
indem beispielsweise die Datei verschlüsselt wird, der Kreis der Benutzer mit Berechtigung zum
Aufrufen oder Entschlüsseln der Datei eingeschränkt wird oder die Bedingungen begrenzt werden,
unter denen auf die Datei zugegriffen werden kann.
4
Anschließend sendet der Rechteverwaltungs-Server die Datei mit den angewendeten
Schutzmaßnahmen zurück an die Quelle.
5
Wenn Sie ein Tag für die Datei konfiguriert haben, kann sie von McAfee DLP überwacht werden.
Wenn die McAfee DLP-Software, die die Dateisystem-Erkennungsregel anwendet, eine zu schützende
Datei findet, sucht sie anhand der eindeutigen Vorlagen-GUID die Vorlage und wendet die
Schutzmaßnahme an.
Beschränkungen
McAfee DLP Endpoint überprüft durch Rechteverwaltung geschützte Dateien nicht auf Inhalte. Wenn
eine gekennzeichnete (mit Tags versehene) Datei durch Rechteverwaltung geschützt ist, bleiben nur
statische Tags (Speicherort und Anwendung) erhalten. Wenn ein Benutzer die Datei ändert, gehen
beim Speichern der Datei sämtliche Tags verloren.
Unterstützte Rechteverwaltungs-Server
McAfee DLP Endpoint unterstützt Microsoft Windows Rights Management Services (Microsoft RMS) und
Seclore FileSecure™ Information Rights Management (IRM).
Microsoft RMS
McAfee DLP Endpoint unterstützt Microsoft RMS unter Windows Server 2003 und Active Directory RMS
(AD-RMS) unter Windows Server 2008 und 2012. Sie können Windows Rights Management
Services-Schutz auf Folgendes anwenden:
•
Microsoft Word 2007-, Word 2010- und Word 2013-Dokumente
•
Microsoft Excel 2007-, Excel 2010- und Excel 2013-Dokumente
•
Microsoft PowerPoint 2007-, PowerPoint 2010- und PowerPoint 2013-Dokumente
•
SharePoint 2007-Dokumente
•
Exchange Server 2007-Dokumente
Bei Microsoft RMS kann die McAfee DLP Endpoint-Software den Inhalt geschützter Dateien
untersuchen, wenn der aktuelle Benutzer über Anzeigeberechtigungen verfügt.
Weitere Informationen zu Microsoft RMS finden Sie unter http://technet.microsoft.com/en-us/library/
cc772403.aspx.
Produkthandbuch
121
8
Seclore IRM
McAfee DLP Endpoint unterstützt Seclore FileSecure RM, das über 140 Dateiformate unterstützt,
darunter einige der am häufigsten verwendeten Dokumentformate:
•
Microsoft Office-Dokumente
•
Open Office-Dokumente
•
PDF
•
Text- und textbasierte Formate, darunter CSV, XML und HTML
•
Bildformate, darunter JPEG, BMP, GIF usw.
•
Technische Entwurfsformate wie DWG, DXF und DWF
Der McAfee DLP Endpoint-Client arbeitet mit dem FileSecure-Desktop-Client zusammen und
ermöglicht sowohl Online- als auch Offline-Integration.
Weitere Informationen zu Seclore IRM finden Sie unter http://seclore.com/
seclorefilesecure_overview.html.
122
Produkthandbuch
9
McAfee DLP Endpoint speichert Richtlinien und Konfigurationen im McAfee ePO-Richtlinienkatalog.
DLP-Richtlinien im McAfee ePO-Richtlinienkatalog bestehen aus Regelsätzen (Schutzregeln) und deren
zugeordneten Klassifizierungen und Definitionen. Sie können zudem auch Konfigurationen für
Endgeräterkennungs-Scans und Server-Einstellungen enthalten.
Regeln und Regelsätze werden im DLP-Richtlinien-Manager erstellt. Regelsätze können mehrere
Datenschutz-, Gerätesteuerungs- und Erkennungsregeln enthalten. Die Regeln im Regelsatz sind mit
einem logischen ODER verknüpft, d. h., der Regelsatz wird angewendet, wenn der untersuchte Inhalt
mindestens einer der Regeln entspricht. Innerhalb einer Regel sind einige Parameter durch logisches
UND oder NICHT bzw. durch UND, ODER bzw. NICHT verknüpft; dies wird vom Administrator
festgelegt.
Workflow
Die Richtlinienverwaltung umfasst folgende Schritte:
1
Erstellen und Speichern der Regelsätze auf der Seite DLP-Richtlinien-Manager | Regelsätze.
2
Für die meisten Regeln sind Klassifizierungen erforderlich. Klassifizierungen werden im Modul
Klassifizierung definiert.
3
Zuweisen des Regelsatzes zu einer DLP-Richtlinie auf der Seite DLP-Richtlinien-Manager |
Richtlinienzuweisung.
4
Erstellen oder Bearbeiten von Definitionen.
5
Anwenden der Richtlinien auf McAfee ePO im Richtlinienkatalog.
Im Richtlinienkatalog können Sie zudem neue Richtlinien erstellen, indem Sie eine Standardrichtlinie
oder eine sonstige vorhandene Richtlinie duplizieren.
Inhalt
Verwenden mehrerer Richtlinien
Funktionsweise von Definitionen
Bearbeiten einer DLP-Richtlinie
Produkthandbuch
123
9
Sie können durch das Verwenden mehrerer Richtlinien allgemeine Einstellungen und Definitionen
außer Kraft setzen.
McAfee DLP-Richtlinien können Endgerät-Computern über McAfee ePO aus der Systemstruktur heraus
als globale Richtlinien oder mittels Richtlinienzuweisungsregeln zugewiesen werden. In McAfee DLP 9.3
war eine einzelne Richtlinie vorhanden, die allgemeine Einstellungen und Definitionen enthielt. Diese
Einstellungen und Definitionen wurden unabhängig von der verwendeten Methode an alle
Endgerät-Computer gesendet. In den Einstellungen waren folgende Informationsarten enthalten:
•
Kennzeichnungsregeln
•
Klassifizierungsregeln
•
Namen von Kennzeichnungs- und Klassifizierungskriterien
•
•
Anwendungsdefinitionen
•
Geräteklassen
Manche Einstellungen und Definitionen können sich auf das Systemverhalten des Endgeräts
auswirken. Wird beispielsweise der Status einer Geräteklasse von 'nicht verwaltet' in 'verwaltet'
geändert, beginnt der McAfee DLP Endpoint-Client, die zu dieser Klasse gehörenden Geräte zu
überwachen und versucht, sie zu steuern. Wenn Endgerät-Computer Geräte nutzen, die
Kompatibilitätsprobleme mit dem McAfee DLP Endpoint-Gerätetreiber haben, kann dies deren Leistung
erheblich beeinträchtigen.
Dieses Problem wurde in McAfee DLP 9.4 behoben, da dort mehrere Richtlinien zur Verfügung stehen.
Administratoren können nun für jede Richtlinie unterschiedliche Einstellungen für Geräteklassen und
Anwendungsvorlagen außer Kraft setzen und so für unterschiedliche Systeme innerhalb des
Unternehmens jeweils andere Einstellungen festlegen. Sie können mit Richtlinienzuweisungsregeln und
Benutzerzuweisungsgruppen jeweils unterschiedliche Richtlinien zuweisen. Die Standardrichtlinie My
Default DLP Policy ist standardmäßig dem Stammverzeichnis der Systemstruktur zugewiesen.
Funktionsweise von Definitionen
Mit Definitionen können Sie Regeln, Klassifizierungskriterien und Erkennungs-Scans konfigurieren.
McAfee DLP-Definitionen werden in einem Definitionskatalog gespeichert. Die eingerichteten
Definitionen sind für alle McAfee DLP-Funktionen verfügbar. Alle Definitionen können vom Benutzer
konfiguriert werden, es sind jedoch auch einige vordefinierte Definitionen vorhanden.
Vordefinierte Definitionen können Sie anzeigen, indem Sie das entsprechende Kontrollkästchen aktivieren.
Tabelle 9-1 Verfügbare Definitionen nach McAfee DLP-Funktion
Daten
Klassifizierungen
Regelsätze
Erweitertes Muster*
Dateierweiterung*
Wörterbuch*
Dokumenteigenschaften
Dateierweiterung*
Dateiinformationen
Tatsächlicher Dateityp*
124
Produkthandbuch
9
Tabelle 9-1 Verfügbare Definitionen nach McAfee DLP-Funktion (Fortsetzung)
Klassifizierungen
Gerätesteuerung
Regelsätze
Geräteklasse
Gerätedefinitionen
Benachrichtigung
Begründung
Andere
Planer
Quelle/Ziel
Anwendungsvorlage
E-Mail-Adresse
Endbenutzergruppe
Lokaler Ordner
Netzwerkadresse (IP-Adresse)
Netzwerk-Port
Netzwerkdrucker
Netzwerkfreigabe
Prozessname
URL-Liste
Fenstertitel
* Gibt an, dass vordefinierte (integrierte) Definitionen verfügbar sind.
Die DLP-Richtlinienkonfiguration besteht aus Regelsätzen, Richtlinienzuweisungen und Definitionen.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | DLP-Richtlinien-Manager aus. Erstellen Sie mindestens einen Regelsatz,
der der DLP-Richtlinie zugewiesen wird.
Weitere Informationen hierzu finden Sie unter Erstellen eines Regelsatzes in diesem Handbuch.
2
Wählen Sie in McAfee ePO Menü | Richtlinienkatalog | Produkt: Data Loss Prevention 9.4 aus. Öffnen Sie eine
DLP-Richtlinienkonfiguration.
Wählen Sie eine DLP-Richtlinienbeschriftung in der Spalte Kategorie aus, und klicken Sie in die Spalte
Name.
3
Wählen Sie die Registerkarte Aktive Regelsätze aus.
Hier werden alle der Richtlinie zugewiesenen Regelsätze aufgeführt.
Produkthandbuch
125
9
4
So weisen Sie der Richtlinie neue Regelsätze zu:
a
Wählen Sie Menü | DLP-Richtlinien-Manager | Richtlinienzuweisung aus.
b
Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus.
Sie können im Menü Aktionen einen Regelsatz auch mehreren Richtlinien zuweisen.
c
Wählen Sie in der Dropdown-Liste im Auswahlfenster eine Richtlinie aus, und wählen Sie mit
den Kontrollkästchen die Regelsätze aus, die dieser Richtlinie zugewiesen werden sollen. Klicken
Sie auf OK.
Die ausgewählten Regelsätze werden nun für die Richtlinie verwendet.
5
So entfernen Sie Regelsätze aus der Richtlinie:
a
Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus.
b
Deaktivieren Sie im Auswahlfenster die Kontrollkästchen für die Regelsätze, die aus der
Richtlinie entfernt werden sollen. Klicken Sie auf OK.
Die ausgewählten Regelsätze werden nun aus der Richtlinie entfernt.
6
Wählen Sie die Registerkarte Endgeräteerkennung aus.
7
Wählen Sie Aktionen | Neuer Endgeräte-Scan und dann die Art des durchzuführenden Scans aus: Lokale
E-Mail oder Lokales Dateisystem.
Daraufhin öffnet sich eine Seite für die Einrichtung des Scans. Wählen Sie hier eine Definition für
den Plan und die anzuwendenden Regeln sowie weitere Scan-Details aus. Klicken Sie nach Angabe
aller erforderlichen Details auf Speichern.
8
9
Wählen Sie die Registerkarte Einstellungen aus. Auf dieser Seite können Sie die folgenden Optionen
festlegen:
•
die Standardanwendungsstrategie und die Strategie zur Außerkraftsetzung einer Anwendung für
ausgewählte Anwendungen,
•
Außerkraftsetzungen der Geräteklasse und Filtertypen,
•
Hinzufügen von privilegierten Benutzern oder Benutzergruppen.
Klicken Sie nach Abschluss der Bearbeitung auf Richtlinie anwenden.
Die Änderungen werden nun für die McAfee ePO-Datenbank übernommen.
126
Produkthandbuch
Mit den McAfee DLP Endpoint-Software-Komponenten können Sie
Richtlinienverletzungen verfolgen und überprüfen sowie administrative
(operative) Ereignisse verfolgen.
Kapitel 10
Kapitel 11
Kapitel 12
Produkthandbuch
127
128
Produkthandbuch
10
In McAfee DLP werden Ereignisse in zwei Klassen unterteilt: Vorfälle (d. h. Richtlinienverletzungen)
und Verwaltungsereignisse. Diese Ereignisse werden in den beiden Konsolen DLP-Ereignisverwaltung
und Operative DLP-Ereignisse angezeigt.
Wenn McAfee DLP eine Richtlinienverletzung erkennt, wird ein Ereignis generiert und an die McAfee
ePO-Ereignisanalyse gesendet. Diese Ereignisse lassen sich in der Konsole DLP-Ereignisverwaltung
anzeigen, filtern und sortieren. So können Sicherheitsbeauftragte und Administratoren Ereignisse
schnell anzeigen und umgehend reagieren. Verdächtiger Inhalt wird ggf. als Nachweis an das Ereignis
angefügt.
Da McAfee DLP eine zentrale Rolle bei der Einhaltung von Vorschriften und Datenschutzgesetzen im
Unternehmen spielt, werden die Informationen zur Übertragung vertraulicher Daten in der
DLP-Ereignisverwaltung exakt und mit flexiblen Anpassungsmöglichkeiten dargestellt. Systemprüfer,
Zeichnungsberechtigte, Datenschutzbeauftragte und sonstige leitende Mitarbeiter können mit der
DLP-Ereignisverwaltung verdächtige und nicht autorisierte Aktivitäten überwachen und entsprechend
den Datenschutzrichtlinien des eigenen Unternehmens sowie relevanten rechtlichen Vorschriften und
Gesetzen handeln.
Systemadministratoren und Sicherheitsbeauftragte können Verwaltungsereignisse wie den Status der
Agenten und der Richtlinienverteilung überwachen.
In der Konsole Operative DLP-Ereignisse werden Details über Client-Bereitstellungen,
Richtlinienänderungen, Richtlinienbereitstellungen, Anmeldungen im abgesicherten Modus,
Außerkraftsetzungen von Agenten und andere Verwaltungsereignisse angezeigt.
Inhalt
DLP-Ereignisverwaltung
Funktionsweise des Vorfalls-Managers
Vorfalltypen und -details
Verwalten von Vorfällen
Arbeiten mit Fällen
Produkthandbuch
129
10
Auf der Seite DLP-Ereignisverwaltung in McAfee ePO können Sie die durch Richtlinienverletzungen
ausgelösten Sicherheitsereignisse anzeigen.
Die Ereignisverwaltung verfügt über drei Registerkarten:
•
Liste der Vorfälle: Die aktuelle Liste der durch Richtlinienverletzungen verursachten Ereignisse.
•
Vorfall-Tasks: Eine Liste der Aktionen, die Sie für die gesamte Liste oder Teile davon durchführen
können, beispielsweise das Zuweisen von Prüfern zu Vorfällen, das Einrichten automatischer
E-Mail-Benachrichtigungen sowie das Bereinigen der gesamten Liste oder eines Teils der Liste.
•
Vorfälle – Verlauf: Eine Liste mit allen zurückliegenden Vorfällen. Die Bereinigung der Liste der Vorfälle
hat keine Auswirkung auf den Verlauf.
Im Modul Operative DLP-Ereignisse können Sie Verwaltungsereignisse (beispielsweise
Agentenbereitstellungen) anzeigen. Das Modul enthält ebenfalls drei Registerkarten: Liste der
operativen Ereignisse, Tasks für operative Ereignisse und Operative Ereignisse – Verlauf.
Die Registerkarte Liste der Vorfälle im DLP-Vorfalls-Manager bietet alle Funktionen, die zur
Überprüfung von Vorfällen im Zusammenhang mit Richtlinienverletzungen benötigt werden. Sie
können Ereignisdetails aufrufen, indem Sie auf ein bestimmtes Ereignis klicken. Sie können Filter
anlegen und speichern, um die Ansicht zu ändern, oder die im Bereich Gruppieren nach befindlichen
vordefinierten Filter verwenden. Sie können die Ansicht auch ändern, indem Sie Spalten auswählen
und sortieren. Anhand der farbigen Symbole und der Zahlen, die den Schweregrad angeben, können
Sie sich schnell einen Überblick über die Ereignisse verschaffen.
Die Registerkarte Liste der Vorfälle interagiert mit der McAfee ePO-Funktion Abfragen und Berichte,
um Berichte zu erstellen und Daten in den McAfee ePO-Dashboards anzuzeigen.
Sie können beispielsweise folgende Aktionen für Ereignisse ausführen:
130
•
Fallverwaltung. Sie können Fälle erstellen und einem Fall ausgewählte Vorfälle hinzufügen.
•
Kommentare: Sie können ausgewählten Vorfällen Kommentare hinzufügen.
•
Ereignisse per E-Mail senden: Sie können ausgewählte Ereignisse per E-Mail senden.
•
Geräteparameter exportieren: Sie können Geräteparameter in eine CSV-Datei exportieren (nur
für die Liste 'Verwendete/bewegte Daten')
•
Beschriftungen: Sie können eine Beschriftung zum Filtern anhand der Beschriftung festlegen.
•
Offenlegung unkenntlich gemachter Daten: Sie können die Unkenntlichmachung entfernen,
um geschützte Felder anzuzeigen (hierfür ist die entsprechende Berechtigung erforderlich).
•
Eigenschaften festlegen: Sie können den Schweregrad, den Status oder die Lösung bearbeiten
sowie einen Benutzer oder eine Gruppe zur Vorfallprüfung zuweisen.
Produkthandbuch
10
Die Seite Operative DLP-Ereignisse funktioniert auf die gleiche Weise für Verwaltungsereignisse.
Abbildung 10-1
DLP-Vorfalls-Manager
Vorfall-Tasks/Tasks für operative Ereignisse
Auf der Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse können Sie Kriterien für
geplante Tasks festlegen. Die Tasks werden auf diesen Seiten mithilfe der McAfee
ePO-Server-Tasks-Funktion zum Planen von Tasks eingerichtet.
Beide Task-Registerkarten sind nach Task-Typ angeordnet (linker Bereich). Die ebenfalls nach
Vorfalltyp angeordnete Registerkarte Vorfall-Tasks ist im Prinzip eine 4 x 3-Tabelle, wobei die
angezeigten Informationen von den jeweils ausgewählten beiden Parametern abhängen.
Verwendete/
bewegte Daten
Ruhende Daten
(Endgerät)
Prüfer festlegen
x
x
Automatische
E-Mail-Benachrichtigung
x
x
Ereignisse bereinigen
x
x
Verwendete/
bewegte Daten
(Verlauf)
x
Anwendungsbeispiel – Einrichten von Eigenschaften
Eigenschaften sind Daten, die einem Vorfall hinzugefügt wurden, für den weitere
Maßnahmen erforderlich sind. Sie können Eigenschaften über Aktionen | Eigenschaften festlegen
oder über den Detailbereich des Vorfalls hinzufügen. Die Eigenschaften sind:
•
Schweregrad
•
Prüfende Gruppe
•
Status
•
Prüfender Benutzer
•
Lösung
Der Prüfer kann ein beliebiger McAfee ePO-Benutzer sein. Der Grund für die Änderung
eines Schweregrades kann darin bestehen, dass der Administrator den Status auf
False-Positive setzt und der ursprüngliche Schweregrad damit irrelevant ist.
Produkthandbuch
131
10
Anwendungsbeispiel – Ändern der Ansicht
Sie können die Ansicht mithilfe von Filtern ändern und zudem die Felder und die
Reihenfolge der Anzeige anpassen. Benutzerdefinierte Ansichten können gespeichert und
später erneut verwendet werden.
Sie erstellen einen Filter wie folgt:
1
Klicken Sie auf Aktionen | Ansicht | Spalten auswählen, um das Ansichts-/Bearbeitungsfenster
zu öffnen.
2
Sie können Spalten mit dem x-Symbol löschen und mit den Pfeilsymbolen nach links
oder rechts verschieben.
3
Klicken Sie auf Ansicht aktualisieren, um die angepasste Ansicht anzuwenden, und auf
Aktionen | Ansicht | Ansicht speichern, um sie für eine spätere Verwendung zu speichern.
Beim Speichern der Ansicht können Sie auch die Zeit- und Anpassungsfilter speichern.
Gespeicherte Ansichten können im oben auf der Seite befindlichen Dropdown-Menü
ausgewählt werden.
Vorfälle werden anhand der Art der aufgetretenen Verletzung kategorisiert.
In der Ereignisverwaltung werden Vorfälle angezeigt, die von allen McAfee DLP-Software-Produkten
generiert wurden. Auf der Detailseite der DLP-Ereignisverwaltung werden alle Details zu einem
bestimmten Vorfall angezeigt.
Die jeweils angezeigten Informationen und Optionen hängen von der Art des Vorfalls ab. So enthalten
die Details der Vorfälle im Zusammenhang mit dem Netzwerkfreigabe-Schutz Angaben zum Ziel,
während Vorfälle im Zusammenhang mit der Gerätesteuerung Angaben zum Gerät enthalten.
Für alle Vorfälle sind die Registerkarten Regeln, Audit-Protokoll und Kommentare verfügbar, und für
einige Vorfalltypen wie Netzwerkfreigabe-Schutz werden zudem die Registerkarten Nachweis und
Klassifizierungen angezeigt.
Anzeigen von Vorfällen
Im Vorfalls-Manager werden alle von McAfee DLP-Geräten gemeldeten Vorfälle angezeigt. Sie können
die Darstellung von Vorfällen ändern, sodass Sie wichtige Verletzungen schneller auffinden können.
Wenn McAfee DLP ein Objekt (z. B. eine E-Mail-Nachricht) verarbeitet, das mehrere Regeln auslöst,
werden die Verletzungen im Vorfalls-Manager zu einem Vorfall zusammengefasst und nicht als
mehrere verschiedene Vorfälle angezeigt.
Sortieren und Filtern von Vorfällen
Sie können die Anzeigereihenfolge der Vorfälle anhand von Attributen, wie z. B. Zeit, Ort, Benutzer
oder Schweregrad, ordnen.
132
Produkthandbuch
10
Vorgehensweise
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Führen Sie eine der folgenden Aufgaben durch.
•
Klicken Sie zum Sortieren nach einer Spalte auf die entsprechende Spaltenüberschrift.
•
Wählen Sie zum Ändern der Spaltenreihenfolge in der Dropdown-Liste Anzeigen eine
benutzerdefinierte Ansicht aus.
•
Wählen Sie zum Filtern nach der Zeit in der Dropdown-Liste Zeit einen Zeitraum aus.
•
Wählen Sie zum Anwenden eines benutzerdefinierten Filters in der Dropdown-Liste Filter einen
benutzerdefinierten Filter aus.
•
So gruppieren Sie anhand des Attributs:
1
Wählen Sie in der Dropdown-Liste Gruppieren nach ein Attribut aus.
Daraufhin wird eine Liste der verfügbaren Optionen angezeigt. Die Liste enthält bis zu 250
der am häufigsten auftretenden Optionen.
2
Wählen Sie eine Option in der Liste aus. Daraufhin werden alle Vorfälle angezeigt, die mit der
ausgewählten Option übereinstimmen.
Beispiel
Wählen Sie Benutzer-ID aus, um die Namen der Benutzer anzuzeigen, die Verletzungen
ausgelöst haben. Wählen Sie einen Benutzernamen aus, um alle Vorfälle für diesen Benutzer
anzuzeigen.
Konfigurieren von Spaltenansichten
In einer Ansicht können Sie die Art und Reihenfolge der Spalten festlegen, die in der
Ereignisverwaltung angezeigt werden.
Vorgehensweise
1
2
Wählen Sie in der Dropdown-Liste Ansicht die Option Standard aus, und klicken Sie dann auf Bearbeiten.
3
Konfigurieren Sie die Spalten.
a
Klicken Sie in der Liste Verfügbare Spalten auf einen Eintrag, um ihn in den Bereich Ausgewählte Spalten
zu verschieben.
b
Im Bereich Ausgewählte Spalten können Sie die Spalten nach Bedarf neu anordnen oder löschen.
c
•
Klicken Sie zum Entfernen einer Spalte auf x.
•
Klicken Sie zum Verschieben einer Spalte auf die Pfeiltasten, oder ziehen Sie die Spalte an
die gewünschte Position.
Klicken Sie auf Ansicht aktualisieren.
Produkthandbuch
133
10
4
Konfigurieren Sie die Ansichtseinstellungen.
a
Klicken Sie neben der Dropdown-Liste Ansicht auf Speichern.
b
Wählen Sie eine der folgenden Optionen aus.
c
•
Als neue Ansicht speichern: Legen Sie einen Namen für die Ansicht fest.
•
Vorhandene Ansicht überschreiben: Wählen Sie die zu speichernde Ansicht aus.
Wählen Sie aus, wer die Ansicht verwenden kann.
•
Öffentlich: Die Ansicht kann von allen Benutzern verwendet werden.
•
Privat: Die Ansicht kann nur von dem Benutzer verwendet werden, der sie erstellt hat.
d
Legen Sie fest, ob die aktuellen Filter oder Gruppierungen auf die Ansicht angewendet werden
sollen.
e
Klicken Sie auf OK.
Sie können Ansichten auch in der Ereignisverwaltung verwalten, indem Sie Aktionen | Ansicht auswählen.
Konfigurieren von Vorfallsfiltern
Mithilfe dieser Filter können Sie Vorfälle anzeigen, die mit bestimmten Kriterien übereinstimmen.
Beispiel: Sie vermuten, dass ein bestimmter Benutzer Kommunikation, die vertrauliche Daten enthält,
an mehrere IP-Adressen außerhalb des Unternehmens gesendet hat. Nun können Sie einen Filter
erstellen, um alle Vorfälle anzuzeigen, die mit dem Benutzernamen und den IP-Adressen
übereinstimmen.
Vorgehensweise
1
2
Wählen Sie in der Dropdown-Liste Filter die Option (kein benutzerdefinierter Filter) aus, und klicken Sie auf
Bearbeiten.
3
Konfigurieren Sie die Filterparameter.
a
Wählen Sie in der Liste Verfügbare Eigenschaften eine Eigenschaft aus.
b
Geben Sie einen Wert für die Eigenschaft ein.
Klicken Sie zum Hinzufügen weiterer Werte für dieselbe Eigenschaft auf +.
c
Wählen Sie bei Bedarf weitere Eigenschaften aus.
Klicken Sie zum Entfernen eines Eigenschaftseintrags auf <.
d
4
134
Klicken Sie auf Filter aktualisieren.
Konfigurieren Sie die Filtereinstellungen.
a
Klicken Sie neben der Dropdown-Liste Filter auf Speichern.
b
Wählen Sie eine der folgenden Optionen aus.
•
Als neuen Filter speichern: Geben Sie einen Namen für den Filter an.
•
Vorhandenen Filter überschreiben: Wählen Sie den zu speichernden Filter aus.
Produkthandbuch
c
d
10
Wählen Sie aus, wer den Filter verwenden kann.
•
Öffentlich: Der Filter kann von allen Benutzern verwendet werden.
•
Privat: Der Filter kann nur von dem Benutzer verwendet werden, der ihn erstellt hat.
Klicken Sie auf OK.
Sie können Filter auch in der Ereignisverwaltung verwalten, indem Sie Aktionen | Filter auswählen.
Anzeigen von Details zu Vorfällen
Sie können die zu einem Vorfall gehörigen Informationen anzeigen.
Vorgehensweise
1
2
Klicken Sie auf eine Vorfall-ID.
Auf der Seite werden nun allgemeine Details und Informationen zur Quelle angezeigt. Je nach
Vorfalltyp werden Informationen zum Ziel oder zum Gerät angezeigt.
3
Führen Sie eine der folgenden Aktionen durch, um weitere Informationen anzuzeigen.
•
Klicken Sie zum Anzeigen der Benutzerinformationen im Bereich Quelle auf den Benutzernamen.
•
So zeigen Sie Nachweisdateien an:
1
Klicken Sie auf die Registerkarte Nachweis.
2
Klicken Sie auf einen Dateinamen, um die Datei mit dem entsprechenden Programm zu
öffnen.
•
Klicken Sie auf die Registerkarte Regeln, um die Regeln anzuzeigen, die den Vorfall ausgelöst
haben.
•
Klicken Sie auf die Registerkarte Klassifizierungen, um die Klassifizierungen anzuzeigen.
Die Registerkarte Klassifizierungen wird bei einigen Vorfalltypen nicht angezeigt.
•
Klicken Sie auf die Registerkarte Audit-Protokoll, um den Vorfallsverlauf anzuzeigen.
•
Klicken Sie auf die Registerkarte Kommentare, um die Kommentare zum Vorfall anzuzeigen.
•
Klicken Sie auf OK, um zur Ereignisverwaltung zurückzukehren.
In der Ereignisverwaltung können Sie Vorfälle aktualisieren und verwalten.
Konfigurieren Sie zum Löschen von Vorfällen einen Task zum Bereinigen von Ereignissen.
Produkthandbuch
135
10
Aufgaben
•
Aktualisieren eines bestimmten Vorfalls auf Seite 136
Sie können die zu einem Vorfall gehörigen Informationen, wie z. B. Schweregrad, Status
und Prüfer, aktualisieren.
•
Aktualisieren mehrerer Vorfälle auf Seite 136
Sie können mehrere Vorfälle auf einmal mit den gleichen Informationen aktualisieren.
•
Verwalten von Beschriftungen auf Seite 137
Eine Beschriftung ist ein benutzerdefiniertes Attribut, das zum Erkennen von Vorfällen
dient, die ähnliche Eigenschaften aufweisen.
•
Löschen von Vorfällen auf Seite 138
Irrelevante Vorfälle können Sie löschen.
Aktualisieren eines bestimmten Vorfalls
Sie können die zu einem Vorfall gehörigen Informationen, wie z. B. Schweregrad, Status und Prüfer,
aktualisieren.
Auf der Registerkarte Audit-Protokoll werden alle an einem Vorfall vorgenommenen Aktualisierungen und
Modifizierungen aufgeführt.
Vorgehensweise
1
2
Klicken Sie auf einen Vorfall.
3
•
•
•
So aktualisieren Sie den Schweregrad, den Status oder die Auflösung:
1
Wählen Sie in der Dropdown-Liste Schweregrad, Status oder Lösung eine Option aus.
2
So aktualisieren Sie den Prüfer:
1
Klicken Sie neben dem Feld Prüfer auf ...
2
Wählen Sie die Gruppe oder den Benutzer aus, und klicken Sie dann auf OK.
3
So fügen Sie einen Kommentar hinzu:
1
Wählen Sie Aktionen | Kommentar hinzufügen aus.
2
Geben Sie einen Kommentar ein, und klicken Sie dann auf OK.
Aktualisieren mehrerer Vorfälle
Sie können mehrere Vorfälle auf einmal mit den gleichen Informationen aktualisieren.
Beispiel: Sie haben einen Filter gesetzt, um alle Vorfälle eines bestimmten Benutzers anzuzeigen, und
möchten nun den Schweregrad dieser Vorfälle zu Hoch ändern.
136
Produkthandbuch
10
Vorgehensweise
1
2
Aktivieren Sie die Kontrollkästchen der zu aktualisierenden Vorfälle.
Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten
Vorfälle zu aktualisieren.
3
•
Wählen Sie zum Hinzufügen eines Kommentars Aktionen | Kommentar hinzufügen aus, geben Sie
einen Kommentar ein, und klicken Sie dann auf OK.
•
Wählen Sie zum Senden der Vorfälle per E-Mail Aktionen | Ausgewählte Ereignisse per E-Mail senden aus,
geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf OK.
•
Wählen Sie zum Modifizieren der Eigenschaften Aktionen | Eigenschaften festlegen aus, modifizieren
Sie die Optionen, und klicken Sie dann auf OK.
Verwalten von Beschriftungen
Eine Beschriftung ist ein benutzerdefiniertes Attribut, das zum Erkennen von Vorfällen dient, die
ähnliche Eigenschaften aufweisen.
Sie können einem Vorfall mehrere Beschriftungen zuweisen und eine Beschriftung für mehrere Vorfälle
wiederverwenden.
Beispiel: Es gibt Vorfälle, die sich auf mehrere Projekte beziehen, an denen Ihr Unternehmen arbeitet.
Sie können Beschriftungen mit den Namen des jeweiligen Projekts erstellen und die Beschriftungen
den entsprechenden Vorfällen zuweisen.
Vorgehensweise
1
2
Aktivieren Sie das Kontrollkästchen für mindestens einen Vorfall.
3
•
So fügen Sie Beschriftungen hinzu:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Anhängen aus.
2
Geben Sie zum Hinzufügen einer neuen Beschriftung einen Namen ein, und klicken Sie auf
Hinzufügen.
3
Wählen Sie mindestens eine Beschriftung aus.
4
Klicken Sie auf OK.
Produkthandbuch
137
10
•
•
So entfernen Sie Beschriftungen von einem Vorfall:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Trennen aus.
2
Wählen Sie die aus dem Vorfall zu entfernenden Beschriftungen aus.
3
Klicken Sie auf OK.
So löschen Sie Beschriftungen:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Beschriftungen löschen aus.
2
Wählen Sie die zu löschenden Beschriftungen aus.
3
Klicken Sie auf OK.
Löschen von Vorfällen
Irrelevante Vorfälle können Sie löschen.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Ereignisverwaltung | Vorfall-Tasks aus.
2
Wählen Sie im linken Fensterbereich Task-Typ die Option Ereignisse bereinigen aus. Wenn mehrere
Vorfalltypen verfügbar sind, wählen Sie in der Dropdown-Liste den gewünschten Typ aus
(Verwendete/bewegte Daten, Ruhende Daten usw.).
Je nach ausgewähltem Typ können Sie Vorfälle aus der Liste der Vorfälle oder aus Vorfälle – Verlauf löschen.
3
Wählen Sie Aktionen | Neuer Task aus.
Daraufhin öffnet sich die Seite Bereinigungsregel.
4
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. Klicken Sie auf Weiter.
Der Status ist standardmäßig Aktiviert. Wenn die Regel nicht sofort ausgeführt werden soll, können Sie
den Status in Deaktiviert ändern.
5
Klicken Sie zur Auswahl von Kriterien auf >, wählen Sie den Vergleich aus, und geben Sie dann den
Wert ein, bzw. wählen Sie ihn aus. Klicken Sie auf <, um Kriterien zu entfernen. Klicken Sie auf
Speichern.
Bereinigungs-Tasks werden standardmäßig täglich ausgeführt.
Fälle ermöglichen es Administratoren, gemeinsam an der Lösung zugehöriger Vorfälle zu arbeiten.
Bei Vorfällen handelt es sich häufig nicht um Einzelereignisse. Entsprechend können in der
DLP-Ereignisverwaltung mehrere Vorfälle angezeigt werden, die zusammenhängen oder gleiche
Eigenschaften haben. Diese zusammenhängenden Vorfälle können Sie dann einem Fall zuweisen. Ein
Fall kann von mehreren Administratoren überwacht und verwaltet werden, je nachdem, welche
Funktion sie im Unternehmen ausüben.
Szenario: Sie bemerken, dass ein bestimmter Benutzer nach Dienstschluss häufig eine Reihe von
Vorfällen verursacht. Dies könnte darauf hindeuten, dass der Benutzer entweder verdächtige
Aktivitäten ausführt oder dass das System des Benutzers kompromittiert ist. Diese Vorfälle können Sie
nun einem Fall zuweisen, damit nachvollzogen werden kann, wann und wie häufig diese Verletzungen
auftreten.
138
Produkthandbuch
10
Je nach Art dieser Verletzungen sollten Sie möglicherweise die Personal- oder die Rechtsabteilung des
Unternehmens über diese Vorfälle informieren. Sie können es Angehörigen dieser Abteilungen
ermöglichen, an diesem Fall zu arbeiten, z. B. Kommentare einzufügen, Prioritäten zu ändern oder
wichtige Beteiligte zu benachrichtigen.
Verwalten von Fällen
Sie können zum Lösen von Vorfällen Fälle erstellen und verwalten.
Erstellen von Fällen
Sie können Fälle erstellen, um zusammengehörige Vorfälle in Gruppen zusammenfassen und anzeigen
zu können.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
3
Geben Sie einen Titel ein, und konfigurieren Sie die Optionen.
4
Klicken Sie auf OK.
Zuweisen von Vorfällen zu einem Fall
Sie können zugehörige Vorfälle einem neuen oder bestehenden Fall hinzufügen.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden einen Vorfallstyp aus. Klicken Sie bei Bedarf für Ruhende
Daten (Netzwerk) auf den Link Scannen, um einen Scan festzulegen.
3
Aktivieren Sie das Kontrollkästchen für mindestens einen Vorfall.
Verwenden Sie zum Anzeigen zusammengehöriger Vorfälle Optionen wie Filter oder Gruppieren nach.
4
5
Weisen Sie die Vorfälle nun einem Fall zu.
•
Um Vorfälle einem neuen Fall hinzuzufügen, wählen Sie Aktionen | Fallverwaltung | Zu neuem Fall
hinzufügen aus, geben Sie einen Titel ein, und konfigurieren Sie die entsprechenden Optionen.
•
Um Vorfälle einem vorhandenen Fall hinzuzufügen, wählen Sie Aktionen | Fallverwaltung | Zu
vorhandenem Fall hinzufügen, filtern Sie die Fälle nach Fall-ID oder Titel, und wählen Sie den
gewünschten Fall aus.
Klicken Sie auf OK.
Anzeigen der Fallinformationen
Sie können die einem Fall zugewiesenen Audit-Protokolle, Benutzerkommentare und Vorfälle anzeigen.
Produkthandbuch
139
10
Vorgehensweise
1
2
Klicken Sie auf eine Fall-ID.
3
4
•
Klicken Sie auf die Registerkarte Vorfälle, um die dem Fall zugewiesenen Vorfälle anzuzeigen.
•
Klicken Sie auf die Registerkarte Kommentare, um die Benutzerkommentare anzuzeigen.
•
Klicken Sie auf die Registerkarte Audit-Protokoll, um die Audit-Protokolle anzuzeigen.
Klicken Sie auf OK.
Aktualisieren von Fällen
Sie können die Falldaten aktualisieren, beispielsweise den Besitzer ändern, Benachrichtigungen senden
oder Kommentare hinzufügen.
In folgenden Fällen werden Benachrichtigungen an den Ersteller des Falls, den Besitzer des Falls und
an ausgewählte Benutzer gesendet:
•
Eine E-Mail wird hinzugefügt oder geändert.
•
Vorfälle werden dem Fall hinzugefügt oder aus dem Fall gelöscht.
•
Der Titel des Falls wird geändert.
•
Die Informationen zum Besitzer werden geändert.
•
Die Priorität wird geändert.
•
Die Lösung wird geändert.
•
Es werden Kommentare hinzugefügt.
Sie können die automatischen E-Mail-Benachrichtigungen an den Ersteller und den Besitzer des Falls
unter Menü | Konfiguration | Server-Einstellungen | Data Loss Prevention deaktivieren.
Vorgehensweise
140
1
2
Klicken Sie auf eine Fall-ID.
3
•
Zum Ändern des Fallnamens geben Sie im Feld Titel einen neuen Namen ein und klicken dann auf
Speichern.
•
So ändern Sie den Besitzer:
1
Klicken Sie neben dem Feld Besitzer auf ...
2
Wählen Sie die Gruppe oder den Benutzer aus.
3
Klicken Sie auf OK.
4
Produkthandbuch
10
•
Zum Aktualisieren der Optionen Priorität, Status bzw. Lösung wählen Sie die jeweilige Option in den
Dropdown-Listen aus und klicken dann auf Speichern.
•
So senden Sie E-Mail-Benachrichtigungen:
1
Klicken Sie neben dem Feld Benachrichtigungen senden an auf ...
2
Wählen Sie die Benutzer aus, an die eine Benachrichtigung gesendet werden soll.
Wenn keine Kontakte aufgelistet sind, müssen Sie für McAfee ePO einen E-Mail-Server
festlegen und anschließend E-Mail-Adressen für Benutzer hinzufügen. Zur Konfiguration des
E-Mail-Servers rufen Sie Menü | Konfiguration | Server-Einstellungen | E-Mail-Server auf. Benutzer
konfigurieren Sie unter Menü | Benutzerverwaltung | Benutzer.
3
•
•
4
So fügen Sie dem Fall einen Kommentar hinzu:
1
Klicken Sie auf die Registerkarte Kommentare.
2
Geben Sie den Kommentar in das Textfeld ein.
3
Klicken Sie auf Kommentar hinzufügen.
So entfernen Sie einen Vorfall aus dem Fall:
1
Klicken Sie auf die Registerkarte Vorfälle, und suchen Sie den entsprechenden Vorfall.
2
Klicken Sie in der Spalte Aktionen auf Löschen.
Klicken Sie auf OK.
Hinzufügen/Entfernen von Beschriftungen zu/von Fällen
Mithilfe von Beschriftungen können Sie Fälle anhand von benutzerdefinierten Attributen unterscheiden.
Vorgehensweise
1
2
Aktivieren Sie das Kontrollkästchen für mindestens einen Fall.
3
Führen Sie eins der folgenden Verfahren durch.
•
So fügen Sie den ausgewählten Fällen Beschriftungen hinzu:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Anhängen aus.
2
Geben Sie zum Hinzufügen einer neuen Beschriftung einen Namen ein, und klicken Sie auf
Hinzufügen.
3
Wählen Sie mindestens eine Beschriftung aus.
4
Klicken Sie auf OK.
Produkthandbuch
141
10
•
So entfernen Sie Beschriftungen von den ausgewählten Fällen:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Trennen aus.
2
Wählen Sie die zu entfernenden Beschriftungen aus.
3
Klicken Sie auf OK.
Löschen von Fällen
Sie können Fälle löschen, die nicht mehr benötigt werden.
Vorgehensweise
1
2
Aktivieren Sie das Kontrollkästchen für mindestens einen Fall.
Fälle zu löschen.
3
142
Wählen Sie Aktionen | Löschen aus, und klicken Sie dann auf Ja.
Produkthandbuch
11
Die Überwachung des Systems beinhaltet die Erfassung und Überprüfung von Nachweisen und
Ereignissen sowie die Erstellung von Berichten. Daten zu Vorfällen und Ereignissen aus den
DLP-Tabellen in der McAfee ePO -Datenbank werden auf den Seiten DLP-Ereignisverwaltung und
Operative DLP-Ereignisse angezeigt oder in Berichten und Dashboards zusammengefasst.
Bei der Überprüfung der erfassten Ereignisse und Nachweise kann der Administrator erkennen, ob
Regeln zu restriktiv sind und unnötige Arbeitsverzögerungen verursachen oder – wenn sie zu locker
sind – die unerlaubte Preisgabe von Daten ermöglichen.
Inhalt
Bearbeiten von Server-Tasks
Überwachen der Task-Ergebnisse
McAfee DLP verwendet die Server-Tasks von McAfee ePO zum Ausführen der Tasks für den
DLP-Vorfalls-Manager und für Operative DLP-Ereignisse.
Alle Vorfall-Tasks und Tasks für operative Ereignisse sind in der Server-Task-Liste vordefiniert. Die
einzigen verfügbaren Optionen sind das Aktivieren bzw. Deaktivieren der Tasks sowie das Ändern der
Zeitplanung. Für McAfee DLP 9.4 sind folgende Server-Tasks für Vorfälle und operative Ereignisse
verfügbar:
•
DLP – Migration von Vorfällen von 9.4 zu 9.4.1
•
DLP – Migration von Vorfällen
•
DLP – Migration von operativen Ereignissen
•
DLP – Verlauf der operativen Ereignisse und Vorfälle bereinigen
•
DLP – Operative Ereignisse und Vorfälle bereinigen
•
DLP – E-Mail für operative Ereignisse und Vorfälle senden
•
DLP – Prüfer für operative Ereignisse und Vorfälle festlegen
Das Startmodul für DLP-Vorfalls-Tasks ist ein McAfee DLP 9.3-Task. Es wird nur aktiv, wenn beide
Versionen von McAfee DLP installiert sind.
Produkthandbuch
143
11
Vorgehensweise
1
2
Wählen Sie den zu bearbeitenden Task aus.
Sie können die Liste anhand des Felds Schnellsuche filtern.
3
Wählen Sie Aktionen | Bearbeiten aus, und klicken Sie dann auf Plan.
4
Bearbeiten Sie den Plan nach Bedarf, und klicken Sie dann auf Speichern.
Aufgaben
•
Erstellen eines Tasks Ereignisse bereinigen auf Seite 144
Sie können Tasks zum Bereinigen von Vorfällen und Ereignissen erstellen, um nicht mehr
benötigte Daten aus der Datenbank zu löschen.
•
Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung auf Seite 145
Sie können festlegen, dass Administratoren, Vorgesetzte oder Benutzer automatisch per
E-Mail über Vorfälle und operative Ereignisse benachrichtigt werden.
•
Erstellen eines Tasks Prüfer festlegen auf Seite 146
Sie können Prüfer für verschiedene Vorfall-Tasks und Tasks für operative Ereignisse
zuweisen, um die Arbeitslast in großen Unternehmen aufzuteilen.
Siehe auch
Konvertieren von Richtlinien und Migrieren von Daten auf Seite 31
Erstellen eines Tasks Prüfer festlegen auf Seite 146
Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung auf Seite 145
Erstellen eines Tasks Ereignisse bereinigen auf Seite 144
Erstellen eines Tasks Ereignisse bereinigen
Sie können Tasks zum Bereinigen von Vorfällen und Ereignissen erstellen, um nicht mehr benötigte
Daten aus der Datenbank zu löschen.
Bereinigungs-Tasks können für die Liste der Vorfälle, für Vorfälle bei verwendeten Daten in der Liste
Verlauf und für die Liste der operativen Ereignisse erstellt werden.
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | Operative
DLP-Ereignisse aus.
2
Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse.
3
Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich
Task-Typ die Option Ereignisse bereinigen aus, und klicken Sie dann auf Aktionen | Neue Regel.
Verwendete/bewegte Daten (Archiv) bereinigt Ereignisse aus dem Verlauf.
4
Geben Sie einen Namen und optional eine Beschreibung ein, und klicken Sie dann auf Weiter.
Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der
Regel zu verzögern.
5
144
Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die
Parameter Vergleich und Wert ein. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern.
Produkthandbuch
11
Der Task wird täglich für aktuelle Daten und jeden Freitag um 22:00 Uhr für Verlaufsdaten ausgeführt.
Siehe auch
Erstellen eines Tasks für die Automatische E-MailBenachrichtigung
Sie können festlegen, dass Administratoren, Vorgesetzte oder Benutzer automatisch per E-Mail über
Vorfälle und operative Ereignisse benachrichtigt werden.
Vorgehensweise
1
DLP-Ereignisse aus.
2
3
Task-Typ die Option Automatische E-Mail-Benachrichtigung aus, und klicken Sie dann auf Aktionen | Neue Regel.
4
5
6
Wählen Sie die zu verarbeitenden Ereignisse aus.
•
Alle Vorfälle bzw. Ereignisse (des ausgewählten Vorfall-Typs) verarbeiten.
•
Alle Vorfälle bzw. Ereignisse seit Ausführung der letzten E-Mail-Benachrichtigung verarbeiten.
Wählen Sie Empfänger aus.
Dieses Feld ist ein Pflichtfeld. Es muss mindestens ein Empfänger ausgewählt werden.
7
Geben Sie einen Betreff für die E-Mail ein.
Dieses Feld ist ein Pflichtfeld.
Bei Bedarf können Sie Variablen aus der Dropdown-Liste einfügen.
8
Geben Sie den Nachrichtentext der E-Mail ein.
Bei Bedarf können Sie Variablen aus der Dropdown-Liste einfügen.
9
(Optional) Aktivieren Sie das Kontrollkästchen, um Nachweisinformationen als E-Mail-Anhang zu
senden. Klicken Sie auf Weiter.
10 Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die
Der Task wird stündlich ausgeführt.
Siehe auch
Produkthandbuch
145
11
Erstellen eines Tasks Prüfer festlegen
Sie können Prüfer für verschiedene Vorfall-Tasks und Tasks für operative Ereignisse zuweisen, um die
Arbeitslast in großen Unternehmen aufzuteilen.
Bevor Sie beginnen
Erstellen Sie in McAfee ePO unter Benutzerverwaltung | Berechtigungssätze einen Prüfer mit der
Berechtigung Prüfer festlegen für den DLP-Vorfalls-Manager und Operative DLP-Ereignisse,
oder bestimmen Sie einen Gruppenprüfer.
Der Task Prüfer festlegen weist Vorfällen bzw. Ereignissen entsprechend den Regelkriterien einen
Prüfer zu. Der Task wird nur für Vorfälle ausgeführt, denen kein Prüfer zugewiesen ist. Sie können
damit keine Vorfälle einem anderen Prüfer zuweisen.
Vorgehensweise
1
DLP-Ereignisse aus.
2
3
Task-Typ die Option Prüfer festlegen aus, und klicken Sie dann auf Aktionen | Neue Regel.
4
Geben Sie einen Namen und optional eine Beschreibung ein. Wählen Sie einen Prüfer oder eine
Gruppe aus, und klicken Sie dann auf Weiter.
5
Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die
Wenn mehrere Regeln für Prüfer festlegen vorhanden sind, können Sie die Reihenfolge der Regeln in
der Liste ändern.
Der Task wird stündlich ausgeführt.
Ein festgelegter Prüfer kann er nicht anhand des Tasks Prüfer festlegen außer Kraft gesetzt werden.
Siehe auch
Sie können die Ergebnisse von Tasks für Vorfälle und operative Ereignisse überwachen.
146
Produkthandbuch
11
Vorgehensweise
1
Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Task-Protokoll aus.
2
Suchen Sie die abgeschlossenen McAfee DLP-Tasks.
Geben Sie hierfür DLP in das Feld Schnellsuche ein, oder setzen Sie einen benutzerdefinierten Filter.
3
Klicken Sie auf den Task-Namen.
Nun werden Informationen zum Task angezeigt, einschließlich ggf. aufgetretener Fehler, falls der
Task fehlgeschlagen war.
Produkthandbuch
147
11
148
Produkthandbuch
12
McAfee DLP Endpoint verwendet Berichtsfunktionen von McAfee ePO. Es sind verschiedene
vorprogrammierte Berichte sowie eine Option zum Erstellen benutzerdefinierter Berichte verfügbar.
Einzelheiten hierzu finden Sie im Kapitel zum Abfragen der Datenbank im McAfee ePolicy
Orchestrator-Produkthandbuch.
Inhalt
Berichtstypen
Berichtsoptionen
Erstellen eines Datenzusammenfassungs-Server-Tasks
Berichtstypen
Verwenden Sie die McAfee ePO-Berichtsfunktionen zum Überwachen der McAfee DLP
Endpoint-Leistung.
Es werden zwei Typen von Berichten unterstützt:
•
DLP-Eigenschaftenberichte
•
DLP-Ereignisberichte
Unter DLP: Statuszusammenfassungs-Dashboards werden sechs Host-DLP-Eigenschaftenberichte
angezeigt. Es sind zwölf vordefinierte Ereignisabfragen verfügbar. Alle 28 Abfragen, einschließlich der
Zusammenfassungsabfragen, befinden sich in der McAfee ePO-Konsole unter Menü | Berichterstellung
| Abfragen und Berichte | Freigegebene Gruppen.
McAfee ePO bietet eine Zusammenfassungsfunktion, mit der ein Bericht mit einer Zusammenfassung
von Daten aus mehreren McAfee ePO-Datenbanken erstellt wird. Alle McAfee DLP Endpoint-Berichte
unterstützen Zusammenfassungsabfragen.
Berichtsoptionen
Die McAfee DLP-Software verwendet McAfee ePO-Berichte zum Überprüfen von Ereignissen. Darüber
hinaus können Sie Informationen zu Produkteigenschaften im McAfee ePO-Dashboard anzeigen.
McAfee ePO-Berichte
Die Berichterstellung der McAfee DLP Endpoint-Software ist in den McAfee
ePO-Berichterstellungsdienst integriert. Informationen zur Verwendung des McAfee
ePO-Berichtsdienstes finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch .
McAfee ePO-Zusammenfassungsabfragen und zusammengefasste Berichte, die Daten aus mehreren
McAfee ePO-Datenbanken zusammenfassen, werden unterstützt.
Produkthandbuch
149
12
Berichtsoptionen
McAfee ePO-Benachrichtigungen werden unterstützt. Einzelheiten hierzu finden Sie im Kapitel Senden
von Benachrichtigungen im McAfee ePolicy Orchestrator-Produkthandbuch.
ePO-Dashboards
Sie können Informationen zu McAfee DLP-Produkteigenschaften in McAfee ePO auf der Seite Menü |
Dashboards anzeigen. Es gibt drei vordefinierte Dashboards:
•
DLP: Vorfallübersicht
•
DLP: Vorgangsübersicht
•
DLP: Richtlinienübersicht
Die Dashboards können bearbeitet und angepasst werden, und es können neue Überwachungen
erstellt werden. Entsprechende Anleitungen finden Sie in der McAfee ePO-Dokumentation.
Die in den Dashboards zusammengefassten vordefinierten Berichte sind unter Menü | Abfragen und Berichte
verfügbar. Sie werden unter Freigegebene Gruppen (McAfee ePO 4.6) oder McAfee-Gruppen (McAfee ePO 5.1)
aufgeführt. Zusätzlich gibt es den DLP-Zusammenfassungsbericht Ereignisse nach Typ.
Vordefinierte Dashboards
In der folgenden Tabelle werden die vordefinierten McAfee DLP-Dashboards beschrieben.
Tabelle 12-1 Vordefinierte DLP-Dashboards
Kategorie
Vorfallübersicht
Option
Beschreibung
Anzahl der Vorfälle pro Tag
Diese Diagramme zeigen die Gesamtanzahl der Vorfälle
und bieten verschiedene Aufschlüsselungen, die bei der
Analyse bestimmter Probleme helfen.
Anzahl der Vorfälle pro
Schweregrad
Anzahl der Vorfälle pro Typ
Anzahl der Vorfälle pro
Regelsatz
Vorgangsübersicht
Anzahl operativer Ereignisse pro Zeigt alle administrativen Ereignisse an.
Tag
Agentenstatus
Zeigt alle Agenten und deren Status an.
Agentenversion
Zeigt die Verteilung von Endgeräten im Unternehmen an.
Diese Option wird verwendet, um den Fortschritt bei der
Agentenbereitstellung zu überwachen.
Agentenbetriebsmodus
Zeigt die nach DLP-Betriebsmodi aufgeschlüsselten
Agenten als Kreisdiagramm an. Die Betriebsmodi sind:
• Nur Gerätesteuerung
• Gerätesteuerung und vollständiger Inhaltsschutz
• Gerätesteuerung und inhaltsbezogener
• Unbekannt
Erkennung (Endgerät) Status der Zeigt ein Kreisdiagramm mit der Anzahl der
Scans des lokalen Dateisystems Eigenschaften des Erkennungs-Scans für das lokale
Dateisystem sowie deren Status (abgeschlossen, wird
ausgeführt, nicht definiert) an.
Erkennung (Endgerät) Status
des Scans des lokalen
E-Mail-Speichers
150
Zeigt ein Kreisdiagramm mit der Anzahl der
Eigenschaften des Erkennungs-Scans für den lokalen
E-Mail-Speicher sowie deren Status (abgeschlossen, wird
ausgeführt, nicht definiert) an.
Produkthandbuch
12
Tabelle 12-1 Vordefinierte DLP-Dashboards (Fortsetzung)
Kategorie
Option
Richtlinienübersicht Richtlinienverteilung
Beschreibung
Zeigt die nach Version aufgeschlüsselte
DLP-Richtlinienverteilung im gesamten Unternehmen an.
Diese Option wird verwendet, um den Fortschritt bei der
Bereitstellung einer neuen Richtlinie zu überwachen.
Erzwungene Regelsätze pro
Endgerät-Computer
Zeigt ein Balkendiagramm mit dem Namen des
Regelsatzes und der Anzahl der erzwungenen Richtlinien
an.
Umgangene Benutzer
Zeigt den Systemnamen/Benutzernamen und die Anzahl
der Benutzersitzungseigenschaften an.
Nicht definierte Geräteklassen
Zeigt die nicht definierten Geräteklassen für
Windows-Geräte an.
Privilegierte Benutzer
Zeigt den Systemnamen/Benutzernamen und die Anzahl
der Benutzersitzungseigenschaften an.
Verteilung der
Richtlinienrevision
Ähnelt der Richtlinienverteilung, zeigt jedoch Revisionen
an, d. h. Aktualisierungen bestehender Versionen.
McAfee ePO-Datenzusammenfassungs-Tasks rufen Daten von mehreren Servern ab und generieren
hierfür einen Bericht. Sie können Datenzusammenfassungsberichte für operative Ereignisse und
Vorfälle von McAfee DLP erstellen.
Vorgehensweise
1
2
Klicken Sie auf Neuer Task.
3
Geben Sie im Generator für Server-Tasks einen Namen und optional eine Anmerkung ein, und klicken Sie
dann auf Weiter.
4
Wählen Sie in der Dropdown-Liste Aktionen die Option Daten zusammenfassen aus.
Daraufhin wird das Formular für die Datenzusammenfassung angezeigt.
5
(Optional) Wählen Sie im Feld Daten zusammenfassen von Server aus.
6
Wählen Sie in der Dropdown-Liste Datentyp nach Bedarf DLP-Vorfälle oder Operative DLP-Ereignisse aus.
7
(Optional) Konfigurieren Sie die Optionen Bereinigen, Filter oder Zusammenfassungsmethode. Klicken Sie
auf Weiter.
8
Geben Sie den Planungstyp, das Startdatum, das Enddatum und die Planzeit ein. Klicken Sie auf Weiter.
9
Überprüfen Sie die Informationen in der Übersicht, und klicken Sie dann auf Speichern.
Produkthandbuch
151
12
152
Produkthandbuch
Index
A
Abfrage/Antwort 118
Abfrage/Antwort-Schlüssel, Länge 41
Agentenkonfiguration
Mac OS-Unterstützung 52
all_evidences.csv (Datei) 43
Anwendungsdefinitionen
Strategie 79
Anwendungsvorlagen
Informationen 83
B
Benachrichtigungen, ePolicy Orchestrator 149
Benutzerbenachrichtigung anpassen 102
Benutzersitzungen 65
Berechtigungssätze 47
Berechtigungssätze definieren 48
Berechtigungssätze, Filterung der Systemstruktur 46
Bewegte Daten 9
Boldon James 93
C
Chrome, unterstützte Versionen 52, 114
Citrix XenApp-Geräteregeln 65
Client-Konfiguration 51
Systemstruktur 41
Zuweisen mit ePolicy Orchestrator 36
D
Dashboards, Berichtsoptionen 150
Data Loss Prevention-Software, Beschreibung 23
Dateierweiterungen
Definitionen 83
Dateizugriff
Regeln, Informationen 65
Daten
Bewegte Daten 98
Klassifizieren 81
Datenzusammenfassung 151
Definitionen 124
Dateierweiterung 83
Dokumenteigenschaften 83
Definitionen 124 (Fortsetzung)
Netzwerk 95
Registrierte Dokumente 88
Textmuster 82
Web-Ziel 98
Wörterbücher 81
devices properties 63
DLP Discover 115
DLP Endpoint
Bereitstellen 33
Bereitstellung überprüfen 35
Einchecken in ePolicy Orchestrator 30
Reaktivierungsaufruf 36
DLP-Daten klassifizieren 82
DLP-Ereignisverwaltung 130
Reaktion auf Ereignisse 129
DLP-Regeln
Gerät 12
Kennzeichnung 12
Klassifizierung 10
DLP-Richtlinie 125
DLP-Richtlinienkonsole installieren 29
DLP-Richtlinienregeln
Schutz 12
Dokumentation
Produktspezifisch, suchen 8
Typografische Konventionen und Symbole 7
Zielgruppe dieses Handbuchs 7
Dokumenteigenschaften, Definitionen 83
E
E-Mail 96
E-Mail-Klassifizierung 93
E-Mail-Ziele
Erstellen 96
Endpoint-Konsole 17
ePO-Benachrichtigungen 149
ePO-Berichte 149
Ereignisse
Überwachung 129
Ereignisverwaltung 130
Erkennung
Beschreibung 115
Einrichtung 118
Produkthandbuch
153
Index
Erkennung (Fortsetzung)
Erstellen einer Dateisystem-Erkennungsregel 117
Erkennungsregeln 12
Erweiterte Muster
Erstellen 91
F
Fälle
Aktualisieren 140
Audit-Protokolle 139
Benachrichtigungen senden 140
Beschriftungen 141
Erstellen 139
Informationen 138
Kommentare hinzufügen 140
Löschen 142
Vorfälle zuweisen 139
Filter
Netzwerkdefinitionen 95
Klassifizierung 75
E-Mail 93
Kriterien 77, 85
Manuell 76
Klassifizierung, manuell 87
Klassifizierungen 84
Beschreibung 75
Klassifizierungsregeln 10
Komponenten, Data Loss Prevention (Diagramm) 25
Konventionen und Symbole in diesem Handbuch 7
Konvertierung 31
L
Lizenzschlüssel 41
M
Manuelle Klassifizierung 87
McAfee ServicePortal, Zugriff 8
Migration 31
G
N
Geräte
Listen, Plug-and-Play-Definitionen hinzufügen 61
Nachweis
Ereignisse auf Endgeräten 129
Speicher für verschlüsselten Inhalt 43
Nachweisordner 45
Nachweisordner konfigurieren 45
Nachweisspeicherung 52
Geräte-GUID 58
Geräte-Regeln
Info 65
Gerätedefinitionen 59
Wechselspeicher 62
Geräteklassen 57
Geräteregeln
Definition 12
Netzwerkdefinitionen
Adressbereich 95
Beschreibung 95
Port-Bereich 95
Google Chrome, unterstützte Versionen 52, 114
GUID, Siehe Geräte-GUID
O
H
Handbuch, Informationen 7
Hardware-Anforderungen 26
Hervorheben von Übereinstimmungen, Ereignisse 43
I
Inhaltsüberwachung 52
J
JAWS-Unterstützung 17
K
Kennzeichnung 75
Informationen 77
Kriterien 77
Kennzeichnungskriterien 85
Kennzeichnungsregeln
Definition 12
154
Operative Ereignisse 130
OS X-Unterstützung 17
OST-Dateien 96
P
Platzhalter 102
Plug-and-Play-Geräte
Whitelist-Definition erstellen 61
PST-Dateien 96
Q
Quarantäne
Freigeben aus 43
Wiederherstellen von Dateien oder E-Mail-Elementen 118
R
Reaktionen 105
Reaktivierungsaufruf 36
Rechteverwaltung 42, 120
Produkthandbuch
Index
Regeln
Citrix XenApp 65
Kennzeichnung 12
Reaktionen 105
Regelsätze
Beschreibung 99
Erstellen 100
Regelsätze zu Richtlinien hinzufügen 125
Registrierte Dokumente 88
Richtlinien 14, 41
Aktualisieren 36
Definition 12
Zuweisen mit 36
Richtlinienkatalog 51
Richtliniensicherung 41
Richtlinienzuweisung 125
Rollen und Berechtigungen 45
Rollenbasierte Zugriffskontrolle 48
Rollup-Berichte 149
Ruhende Daten 9, 115
S
Schutzregeln
Definition 12
Server-Einstellungen 41
Server-Tasks 31, 143
Server-Tasks, Zusammenfassung 151
Server, Software-Anforderungen 26
ServicePortal, Quellen für Produktinformationen 8
Sicherer Modus, Betrieb 52
Speicherort, Klassifizierung anhand 94
Strategie, Siehe Anwendungsdefinitionen
Systemanforderungen 26
T
Tasks für operative Ereignisse 143
Technischer Support, Produktdokumentation finden 8
Text in der Whitelist 89
Textextrahierung 78
Textmuster
Beschreibung 82
Titus, Integration 92
TrueCrypt-Geräteregeln 65
Überwachung 130
Unkenntlichmachung 46
Unternehmensbezogene Begründung anpassen 102
Unterstützte Betriebssysteme 26
Upgrade von Device Control auf DLPE-Vollversion, Siehe
Lizenzschlüssel
URL-Listen
Erstellen 98
V
Validierungsalgorithmen 82
Verwendete Daten 9
Vorfall-Tasks 130, 143
Vorfälle
Aktualisieren 136
Ansichten 133
Beschriftungen 137
Details 132, 135
Filtern 132, 134
Löschen 138
Sortieren 132
Typen 132
Vorfalls-Manager 130
VPN-Verbindung 52
W
Web-Veröffentlichungsschutz, Regeln 114
Web-Ziele
Beschreibung 98
Whitelists 12
Plug-and-Play-Definitionen erstellen 61
Wiederherstellen einer Richtlinie 41
Wörterbücher
Beschreibung 81
Einträge importieren 90
Erstellen 90
Z
Zeitlimit-Strategie, Web-Veröffentlichungen 114
Zuweisungsgruppen
Definition 12
U
Überprüfen der Installation 35
Produkthandbuch
155
0A15

McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch

Transcrição

Documentos relacionados

Einladung zum McAfee Partner Summit 2011

Deinstallation von McAfee (Windows XP) - ZIMT

McAfee SpamKiller

McAfee All Access 2013—Individual

McAfee Perpetual Plus

McAfee Endpoint Encryption

GE DATA WEB - chiliGREEN

Datenblatt herunterladen

SPAM-Experiment - Torsten Fechner

McAfee® VirusScan® USB