McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch
Transcrição
McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch
Produkthandbuch Revision A McAfee Data Loss Prevention Endpoint 9.4.100 Zur Verwendung mit McAfee ePolicy Orchestrator COPYRIGHT Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com MARKEN Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Inhaltsverzeichnis Einleitung Informationen zu diesem Handbuch Zielgruppe . . . . . . . Konventionen . . . . . . Quellen für Produktinformationen . 1 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung in McAfee DLP Endpoint . . . . 7 7 7 8 9 Übersicht über McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . . Klassifizieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Produktkomponenten und deren Zusammenspiel . . . . . . . . . . . . . . . . . . . . . McAfee DLP Endpoint-Client-Software . . . . . . . . . . . . . . . . . . . . . . . . . 9 10 12 12 13 14 17 Bereitstellung und Installation 2 Ausbringungsoptionen und -Szenarien 23 Auswahl einer Endpoint-Produktoption . . . . . . . . . . . . . . . . . . . . . . . . . Empfohlene Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . 3 Installieren der McAfee DLP Endpoint-Software 23 25 26 29 Installieren und Lizenzieren der McAfee DLP-Erweiterung . . . . . . . . . . . . . . . . . . 29 Einchecken des McAfee DLP Endpoint-Pakets in McAfee ePO . . . . . . . . . . . . . . . . 30 Konvertieren von Richtlinien und Migrieren von Daten . . . . . . . . . . . . . . . . . . . 31 4 Bereitstellen der Software Bereitstellen von McAfee DLP Endpoint-Clients . . . Bereitstellen des McAfee DLP Endpoint-Clients Überprüfen der Installation . . . . . . . . Bereitstellen von Richtlinien mit McAfee ePO . 33 . . über . . . . . . . . . McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 33 35 35 Konfiguration und Verwendung 5 Konfigurieren von Systemkomponenten 41 Richtlinienkatalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bearbeiten der McAfee DLP-Server-Einstellungen . . . . . . . . . . . . . . . . . . . . . Definieren eines Servers für die Rechteverwaltung . . . . . . . . . . . . . . . . . . . . Dokumentieren von Ereignissen mit Nachweis . . . . . . . . . . . . . . . . . . . . . . Erstellen von Nachweisordnern . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Nachweisordnern . . . . . . . . . . . . . . . . . . . . . . . Benutzer- und Berechtigungssätze . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee DLP-Berechtigungssätze . . . . . . . . . . . . . . . . . . . . . . . . . McAfee Data Loss Prevention Endpoint 9.4.100 41 41 42 43 45 45 46 47 Produkthandbuch 3 Inhaltsverzeichnis Erstellen eines McAfee DLP-Berechtigungssatzes . . . . . . . . . . . . . . . . . . Anwendungsbeispiel: DLP-Administratorberechtigungen . . . . . . . . . . . . . . . Anwendungsbeispiel: Einschränkung der Anzeige im DLP-Vorfalls-Manager anhand von Berechtigungen zur Unkenntlichmachung . . . . . . . . . . . . . . . . . . . . . Konfigurieren von McAfee DLP im Richtlinienkatalog . . . . . . . . . . . . . . . . . . . . Importieren oder Exportieren der McAfee DLP Endpoint-Konfiguration . . . . . . . . . Client-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Schutz von Wechselspeichermedien Klassifizieren vertraulicher Inhalte McAfee Data Loss Prevention Endpoint 9.4.100 56 57 58 58 58 59 60 63 65 66 67 68 69 69 69 69 69 70 71 71 72 73 75 Das Modul Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuelle Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anwendungsbeispiel: Manuelle Klassifizierung . . . . . . . . . . . . . . . . . . . Verwenden von Klassifizierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . Textextrahierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kategorisierung von Anwendungen in McAfee DLP Endpoint . . . . . . . . . . . . . . Klassifizierungsdefinitionen und -kriterien . . . . . . . . . . . . . . . . . . . . . . . . Wörterbuchdefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definitionen für erweiterte Muster . . . . . . . . . . . . . . . . . . . . . . . . Klassifizieren von Inhalten mit Dokumenteigenschaften oder Dateiinformationen . . . . . Anwendungsvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Konfigurieren von Klassifizierungen . . . . . . . . . . . . . . . . . . . . . Erstellen einer Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Klassifizierungskriterien . . . . . . . . . . . . . . . . . . . . . . Erstellen von Kennzeichnungskriterien . . . . . . . . . . . . . . . . . . . . . . Zuweisen von Berechtigungen für die manuelle Klassifizierung . . . . . . . . . . . . Registrierte Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Text in der Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hochladen von registrierten Dokumenten . . . . . . . . . . . . . . . . . . . . . . . . Hochladen von Dateien zur Aufnahme von Text in die Whitelist . . . . . . . . . . . . . . . Erstellen von Klassifizierungsdefinitionen . . . . . . . . . . . . . . . . . . . . . . . . Erstellen oder Importieren einer Wörterbuchdefinition . . . . . . . . . . . . . . . . Erstellen eines erweiterten Musters . . . . . . . . . . . . . . . . . . . . . . . 4 49 51 51 51 55 Schützen von Geräten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Geräteklassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definieren einer Geräteklasse . . . . . . . . . . . . . . . . . . . . . . . . . . Ermitteln einer GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer Geräteklasse . . . . . . . . . . . . . . . . . . . . . . . . . . Gerätedefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Gerätedefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . Device properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerätesteuerungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für Wechselspeichermedien . . . . . . . . . . . . . . . . . . . . . . . Plug-and-Play-Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Wechselspeicher-Dateizugriff . . . . . . . . . . . . . . . . . . . . Festplattenregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Citrix XenApp-Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . . TrueCrypt-Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Geräteregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer Regel für Wechselspeichermedien . . . . . . . . . . . . . . . . . . Erstellen einer Plug-and-Play-Geräteregel . . . . . . . . . . . . . . . . . . . . . Erstellen einer Geräteregel für Wechselspeicher-Dateizugriff . . . . . . . . . . . . . Erstellen einer Festplatten-Geräteregel . . . . . . . . . . . . . . . . . . . . . . Erstellen einer Citrix-Geräteregel . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer TrueCrypt-Geräteregel . . . . . . . . . . . . . . . . . . . . . . 7 48 49 75 76 76 77 78 79 80 81 82 83 83 84 84 85 85 87 88 88 89 89 90 90 91 Produkthandbuch Inhaltsverzeichnis Integrieren von Drittanbieter-Tags in Titus Client . . . . . . . . . . . . . . . . . . Integration von Boldon James Email Classifier in Klassifizierungskriterien . . . . . . . . Klassifizieren anhand des Dateispeicherorts . . . . . . . . . . . . . . . . . . . . . . . Definieren von Netzwerkparametern . . . . . . . . . . . . . . . . . . . . . . . Klassifizieren anhand des Dateiziels . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit E-Mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Druckern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Steuern der auf Websites hochgeladenen Daten . . . . . . . . . . . . . . . . . . 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte 99 Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Konfigurieren von Regeln und Regelsätzen . . . . . . . . . . . . . . Für Regeltypen verfügbare Reaktionen . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Schutz des Zugriffs auf Anwendungsdateien . . . . . . . . . . . . . . . . Anwendungsbeispiel: Verhindern des Brennens vertraulicher Informationen auf einen Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den E-Mail-Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Schutz der Netzwerkkommunikation . . . . . . . . . . . . . . . . . . . Regeln für den Netzwerkfreigabe-Schutz . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Druckerschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Wechselspeicherschutz . . . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Bildschirmaufnahmeschutz . . . . . . . . . . . . . . . . . . . . . . . Regeln für den Web-Veröffentlichungsschutz . . . . . . . . . . . . . . . . . . . . . . Endgeräterkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schützen von Dateien mithilfe von Erkennungsregeln . . . . . . . . . . . . . . . . Funktionsweise des Erkennungs-Scans . . . . . . . . . . . . . . . . . . . . . Suchen von Inhalten mit dem Endgeräterkennungs-Crawler . . . . . . . . . . . . . Schützen von Dateien mithilfe der Rechteverwaltung . . . . . . . . . . . . . . . . . . . Zusammenwirken von McAfee DLP mit der Rechteverwaltung . . . . . . . . . . . . Unterstützte Rechteverwaltungs-Server . . . . . . . . . . . . . . . . . . . . . 9 92 93 94 95 96 96 97 98 Arbeiten mit Richtlinien 99 100 105 108 108 109 110 111 111 112 113 114 115 115 115 116 120 121 121 123 Verwenden mehrerer Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise von Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . Bearbeiten einer DLP-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 124 125 Überwachen und Berichten 10 Überwachen und Melden von Ereignissen 129 DLP-Ereignisverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise des Vorfalls-Managers . . . . . . . . . . . . . . . . . . . . . . . . . Vorfalltypen und -details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sortieren und Filtern von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Spaltenansichten . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Vorfallsfiltern . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Details zu Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren eines bestimmten Vorfalls . . . . . . . . . . . . . . . . . . . . . Aktualisieren mehrerer Vorfälle . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Beschriftungen . . . . . . . . . . . . . . . . . . . . . . . . . Löschen von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee Data Loss Prevention Endpoint 9.4.100 130 130 132 132 132 133 134 135 135 136 136 137 138 138 139 Produkthandbuch 5 Inhaltsverzeichnis 11 Erfassen und Verwalten von Daten Bearbeiten von Server-Tasks . . . . . . . . . . . . . . . . . . . Erstellen eines Tasks Ereignisse bereinigen . . . . . . . . . . Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung Erstellen eines Tasks Prüfer festlegen . . . . . . . . . . . . Überwachen der Task-Ergebnisse . . . . . . . . . . . . . . . . . 12 143 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Berichten 149 Berichtstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berichtsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vordefinierte Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Datenzusammenfassungs-Server-Tasks . . . . . . . . . . . . . . . . . . Index 6 McAfee Data Loss Prevention Endpoint 9.4.100 143 144 145 146 146 149 149 150 151 153 Produkthandbuch Einleitung In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem McAfee-Produkt. Inhalt Informationen zu diesem Handbuch Quellen für Produktinformationen Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben. Zielgruppe Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe verfasst. Die Informationen in diesem Handbuch richten sich in erster Linie an: • Administratoren: Personen, die für die Implementierung und Durchsetzung des Sicherheitsprogramms eines Unternehmens verantwortlich sind. • Sicherheitsbeauftragte: Personen, die sensible und vertrauliche Daten bestimmen sowie die Unternehmensrichtlinie zum Schutz des geistigen Eigentums des Unternehmens festlegen. Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet. Buchtitel, Begriff, Hervorhebung Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine Hervorhebung. Fett Text, der stark hervorgehoben wird. Benutzereingabe, Code, Meldung Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein Code-Beispiel; eine angezeigte Meldung. Benutzeroberflächentext Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen, Menüs, Schaltflächen und Dialogfelder. Hypertext-Blau Ein Link auf ein Thema oder eine externe Website. Hinweis: Zusätzliche Informationen, beispielsweise eine alternative Methode für den Zugriff auf eine Option. Tipp: Vorschläge und Empfehlungen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Einleitung Quellen für Produktinformationen Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres Computersystems, der Software-Installation, des Netzwerks, Ihres Unternehmens oder Ihrer Daten. Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der Nutzung eines Hardware-Produkts zu vermeiden. Quellen für Produktinformationen Nach der Veröffentlichung eines Produkts werden Informationen zu dem Produkt im Online-Knowledge Center von McAfee eingegeben. Vorgehensweise 8 1 Rufen Sie im McAfee ServicePortal unter http://support.mcafee.com die Registerkarte Knowledge Center auf. 2 Klicken Sie im Bereich Knowledge Base auf eine Inhaltsquelle: • Produktdokumentation für die Suche nach Benutzerdokumentation • Technische Artikel für die Suche nach KnowledgeBase-Artikeln 3 Wählen Sie Meine Filter nicht löschen aus. 4 Geben Sie ein Produkt ein, und wählen Sie die Version aus. Klicken Sie dann auf Suchen, um eine Liste der gewünschten Dokumente anzuzeigen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 1 Einführung in McAfee DLP Endpoint Datenlecks (engl. "Data Loss") entstehen, wenn vertrauliche oder private Informationen infolge nicht autorisierter Kommunikation über Anwendungen, physische Geräte oder Netzwerkprotokolle aus dem Unternehmen gelangen. Die Data Loss Prevention-Software erzwingt vordefinierte Richtlinien zur Informationssicherheit, um solche Datenlecks zu verhindern. Zu schützende Daten können anhand von drei Vektoren hilfreich kategorisiert werden: verwendete Daten, bewegte Daten und ruhende Daten. Tabelle 1-1 Beschreibungen der Datenvektoren Datenvektor Beschreibung Zugehörige Produkte Verwendete Daten "Verwendete Daten" bezieht sich auf Aktionen der Benutzer auf Endgeräten, beispielsweise das Kopieren von Daten und Dateien auf Wechselspeichermedien, das Drucken von Dateien über einen lokalen Drucker und das Erstellen von Bildschirmaufnahmen. McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint) Bewegte Daten "Bewegte Daten" bezieht sich auf den in diesem Moment stattfindenden Datenverkehr in Ihrem Netzwerk. Der Datenverkehr wird analysiert, kategorisiert und in der McAfee Data Loss Prevention-Datenbank (McAfee DLP) gespeichert. • McAfee Data Loss Prevention Monitor (McAfee DLP Monitor) ® Ruhende Daten ® ® • McAfee Data Loss Prevention Prevent (McAfee DLP Prevent) ® "Ruhende Daten" bezieht sich auf Daten in • McAfee Data Loss Prevention Datenbanken, Dateifreigaben und Repositorys. Discover (McAfee DLP Discover) McAfee DLP kann ruhende Daten scannen, verfolgen und Behebungsmaßnahmen für • McAfee DLP diese durchführen. Endpoint-Erkennung ® Inhalt Übersicht über McAfee DLP Endpoint Produktkomponenten und deren Zusammenspiel McAfee DLP Endpoint-Client-Software Übersicht über McAfee DLP Endpoint McAfee DLP Endpoint ist eine inhaltsbezogene Agent-Software-Lösung, die die Aktionen von Benutzern in Unternehmen hinsichtlich ihres Umgangs mit vertraulichen Informationen auf ihren Arbeits-Computern überprüft. McAfee DLP schützt vertrauliche Unternehmensinformationen durch die Bereitstellung von Richtlinien, die aus Definitionen, Klassifizierungen, Regelsätzen und Endgerät-Client-Konfigurationen bestehen. Anschließend werden die Richtlinien überwacht und ggf. definierte Aktionen blockiert, bei denen vertrauliche Inhalte verarbeitet werden. Vertrauliche Inhalte können auch verschlüsselt werden, ehe McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 9 1 Einführung in McAfee DLP Endpoint Übersicht über McAfee DLP Endpoint die weitere Verarbeitung der Aktion gestattet wird. Schließlich erstellt die McAfee DLP-Software Berichte für die Überprüfung und Kontrolle des Prozesses, und bei Bedarf können vertrauliche Inhalte als Nachweise gespeichert werden. Abbildung 1-1 Der McAfee DLP-Schutzprozess Klassifizierung, Verfolgung und Schutz erfolgen durch den McAfee DLP Endpoint-Client. Die McAfee DLP-Erweiterung in McAfee ePO ist für die Konfiguration der Klassifizierungsbedingungen, Überwachungskriterien und Schutzregeln zuständig, die auf kopierte, gesendete, gedruckte oder vom verwalteten Endgerätesystem übertragene Daten angewendet werden. Die Überwachung des Gesamtvorgangs erfolgt durch die McAfee DLP-Erweiterung in Kombination mit der McAfee ePO-Benutzeroberfläche. Klassifizieren Der McAfee DLP-Administrator muss für den Schutz vertraulicher Inhalte zunächst eine Definition und Klassifizierung der zu schützenden Inhalte erstellen. Die Klassifizierung von Inhalten erfolgt durch das Definieren von Klassifizierungen und Klassifizierungskriterien. Klassifizierungskriterien definieren die Bedingungen, anhand derer Daten nach ihrem tatsächlichen Dateityp, komplexen Mustern (reguläre Ausdrücke in Kombination mit Validierungsalgorithmen), Wörterbüchern, Stichwörtern, Abstand von Textmustern und Stichwörtern und nach Dateieigenschaften wie Autor oder Titel klassifiziert werden. 10 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 1 Einführung in McAfee DLP Endpoint Übersicht über McAfee DLP Endpoint Quell- oder Zielspeicherort Sie können Quellen anhand der Anwendung (Anwendungsvorlage) definieren, die zum Erstellen des Inhalts verwendet wird, oder anhand der Endbenutzergruppe, die den Inhalt erstellt oder erhält. Speicherorte können anhand der URL oder Netzwerkfreigabe definiert werden. Quellspeicherorte, d. h. speicherortbasierte Kennzeichnungsregeln, werden in McAfee Device Control nicht unterstützt. Datendefinitionen Inhaltstyp Inhalte können anhand der Anwendung, die die Datei erstellt hat, der Dokumenteigenschaften, der Dateiinformationen oder anhand der Eigenschaft Tatsächlicher Dateityp definiert werden. Spezielle Begriffe In Wörterbüchern werden Listen mit vertraulichen Begriffen definiert. Um beispielsweise private medizinische Daten zu schützen, enthält das HIPAA-Wörterbuch medizinische Begriffe, die möglicherweise als vertraulich behandelt werden müssen. Vordefiniert oder benutzerdefiniert. Erweiterte Muster Erweiterte Muster (Textmuster) können Zeichenfolgen sein, z. B. Vertraulich – Nur zur internen Verwendung, oder reguläre Ausdrücke, die zur Erkennung von Kreditkartennummern oder anderen typischen Mustern verwendet werden. Sie können E-Mails anhand von Boldon James Email Classifier klassifizieren. Sie können E-Mails oder andere Dateien anhand von Titus-Klassifizierungs-Clients (Titus Message Classification, Titus Classification for Desktop und Titus Classification Suite) klassifizieren. Zur Implementierung von Titus-Unterstützung muss das Titus SDK auf den Endgerät-Computern installiert sein. In McAfee Device Control wird Klassifizierungs-Software von Drittanbietern nicht unterstützt. In jeder Regel ist mindestens eine anzuwendende Klassifizierung angegeben. Dazu wird der Inhalt analysiert und mit den Definitionen in den Klassifizierungs- oder Kennzeichnungskriterien abgeglichen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 11 1 Einführung in McAfee DLP Endpoint Übersicht über McAfee DLP Endpoint Verfolgen McAfee DLP kann Inhalte anhand ihres Ursprungs mithilfe zweier Methoden klassifizieren: Registrierung von Dokumenten und Nutzung von Kennzeichnungskriterien. Mit diesen Methoden können Sie beispielsweise festlegen, dass alle von der SharePoint-Entwicklungs-Website heruntergeladenen Dateien verfolgt und als geistiges Eigentum klassifiziert werden. • Registrierte Dokumente Für die Dokumentregistrierung werden alle Dateien in den angegebenen Repositorys (z. B. auf der SharePoint-Entwicklungs-Website) vorab gescannt, und es werden Signaturen für die Fragmente jeder einzelnen Datei in diesen Repositorys erstellt. Diese Signaturen werden anschließend an alle verwalteten Endgeräte verteilt. Der McAfee DLP Endpoint-Client kann nun jeden beliebigen aus diesen Dokumenten kopierten Abschnitt verfolgen und entsprechend der Klassifizierung der registrierten Dokumentsignatur klassifizieren. Für registrierte Dokumente wird viel Speicherplatz benötigt. Dies kann die Systemleistung beeinträchtigen, da jedes vom McAfee DLP Endpoint-Client zu prüfende Dokument zur Identifizierung seiner Herkunft mit allen registrierten Dokumentsignaturen verglichen wird. Um die Anzahl der Signaturen und die Leistungsbeeinträchtigungen durch diese Methode möglichst gering zu halten, sollten Sie sie nur zum Verfolgen streng vertraulicher Dokumente einsetzen. • Kennzeichnung • Die Kennzeichnung ist eine nur in McAfee DLP Endpoint verwendete Methode zur Inhaltsüberwachung. Hierbei erstellt der Administrator einen Satz von Kennzeichnungskriterien zum Definieren des Dateispeicherorts sowie eine Klassifizierungskennzeichnung, mit der die von diesem Speicherort stammenden Dateien markiert werden. Der McAfee DLP Endpoint-Client verfolgt alle Dateien, die von dem Speicherort aus geöffnet werden, der in den Kennzeichnungskriterien definiert ist, und erstellt in Echtzeit Signaturen von diesen Dateien, sobald ein Zugriff auf die Dateien erfolgt. Anschließend werden diese Signaturen zum Verfolgen der Dateien bzw. der Fragmente der Dateien verwendet. Die Kennzeichnungskriterien können anhand des Speicherorts (UNC-Pfad oder URL) oder der für den Dateizugriff genutzten Anwendung definiert werden. Unterstützung von dauerhaften Tag-Informationen Tags werden in den erweiterten Dateiattributen (EA) bzw. alternativen Datenströmen (ADS) gespeichert. Bei jeglichem Zugriff auf diese Dateien verfolgt die McAfee DLP Endpoint-Software Datenveränderungen und behält die Klassifizierung der vertraulichen Inhalte ungeachtet ihrer Verwendung dauerhaft bei. Wenn ein Benutzer beispielsweise ein mit einem Tag versehenes (gekennzeichnetes) Word-Dokument öffnet, einige Absätze daraus in eine Textdatei kopiert und diese Textdatei dann an eine E-Mail-Nachricht anhängt, weist die ausgehende Nachricht das gleiche Tag auf wie das ursprüngliche Dokument. Für Dateisysteme, die keine EA oder ADS unterstützen, speichert die McAfee DLP Endpoint-Software Tag-Informationen als Metadatei auf der Festplatte. Die Metadateien werden im ausgeblendeten Ordner "ODB$" gespeichert, der automatisch von der McAfee DLP Endpoint-Client-Software erstellt wird. Tags und Kennzeichnungskriterien werden in McAfee Device Control nicht unterstützt. Schutz Der Schutz wird im DLP-Richtlinien-Manager unter Regelsätze definiert. Jeder Regelsatz kann mehrere Regeln zum Datenschutz, zur Gerätesteuerung und zur Erkennung enthalten. Verschiedene Parameter und die booleschen Operatoren UND, ODER sowie NICHT ermöglichen die Einrichtung von Regelausnahmen und Filterung. 12 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Einführung in McAfee DLP Endpoint Übersicht über McAfee DLP Endpoint 1 Ein Regelsatz muss nicht alle drei Regeltypen enthalten. Zum Definieren eines Regelsatzes reicht eine Regel eines Typs aus. Datenschutzregeln Datenschutzregeln verhindern die nicht autorisierte Weitergabe klassifizierter Daten. Wenn ein Benutzer versucht, klassifizierte Daten zu kopieren oder anzuhängen, unterbricht McAfee DLP Endpoint diesen Vorgang und ermittelt anhand der Datenschutzregeln die durchzuführende Aktion. Zu diesen Aktionen gehören das Zulassen (Keine Aktion), Blockieren und Begründung anfordern. Im letzten Fall unterbricht McAfee DLP Endpoint den Versuch, und dem Endbenutzer wird ein Dialogfeld angezeigt. Nachdem der Benutzer eine Begründung für den Vorgang angegeben hat, wird die Verarbeitung fortgesetzt. In McAfee Device Control sind nur Wechselspeicher-Schutzregeln verfügbar. Für Endgerät-Computer unter OS X sind in dieser Version keine Datenschutzregeln verfügbar. Regeln für die Gerätesteuerung Regeln für die Gerätesteuerung überwachen das System und blockieren gegebenenfalls das Laden von physischen Geräten, z. B. von Wechselspeichermedien, Bluetooth-, Wi-Fi- und anderen Plug-and-Play-Geräten. Gerätesteuerungsregeln bestehen aus Gerätedefinitionen und zugehörigen Reaktionen und können durch das Filtern der jeweiligen Regel anhand von Endbenutzerdefinitionen bestimmten Endbenutzergruppen zugewiesen werden. Regeln zur Erkennung von Endgeräten Die Endgeräterkennung erfolgt durch Crawling (automatisiertes systematisches Durchsuchen) der verwalteten Computer. Dabei werden das Dateisystem des lokalen Endgeräts sowie der lokale (im Cache gespeicherte) E-Mail-Posteingang und PST-Dateien gescannt. Erkennungsregeln für das lokale Dateisystem und den E-Mail-Speicher geben an, ob entsprechende Inhalte isoliert, gekennzeichnet oder verschlüsselt werden sollen. Diese Regeln können außerdem definieren, ob die klassifizierte Datei oder E-Mail als Ereignis an die DLP-Ereignisverwaltung gemeldet werden soll und ob die Datei bzw. E-Mail als Ereignisnachweis gespeichert werden soll. Erkennungsregeln werden in McAfee Device Control nicht unterstützt. Scans des Dateisystems werden auf Server-Betriebssystemen nicht unterstützt. Richtlinien und deren Bereitstellung Der Schutz wird durch Zuweisung von Regelsätzen zu einer DLP-Richtlinie im McAfee ePO-Richtlinienkatalog angewendet. Richtlinien enthalten neben Regelsätzen Informationen und Definitionen zur Richtlinienzuweisung. Richtlinien werden von der McAfee ePO-Software auf den verwalteten Computern (Computer, auf denen McAfee Agent installiert ist) des Unternehmens bereitgestellt. ® Überwachung Wenn die Anwendung einer Regel blockiert, überwacht oder eine andere Aktion auslöst, wird ein Ereignis generiert, an die McAfee ePO-Ereignisanalyse gesendet und in einer Datenbank gespeichert. Das Ereignis kann zudem einen Nachweis für die Regelverletzung enthalten. Außerdem werden durch Systemereignisse, wie z. B. Richtlinienbereitstellungen oder Erkennungs-Scans, Verwaltungsereignisse generiert. Die von McAfee DLP Endpoint erzeugten Ereignisse können in der DLP-Ereignisverwaltung McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 13 1 Einführung in McAfee DLP Endpoint Produktkomponenten und deren Zusammenspiel überwacht und zum Erstellen von Berichten und Diagrammen verwendet werden. Die so erstellten Elemente können in den McAfee ePO-Dashboards angezeigt werden. Die Funktion zur Richtlinienüberwachung umfasst Folgendes: • Überwachung von Vorfällen: Auf der Seite DLP-Ereignisverwaltung in McAfee ePO können Administratoren die eingegangenen Agentenereignisse und Nachweise anzeigen. • Überwachung von Verwaltungsereignissen: Auf der Seite Operative DLP-Ereignisse in McAfee ePO können Administratoren Verwaltungsereignisse anzeigen. • Nachweiserfassung: Wenn Schutzregeln zur Erfassung von Nachweisen definiert sind, wird eine Kopie der gekennzeichneten Daten gespeichert und mit dem entsprechenden Ereignis verknüpft. Diese Informationen können dabei helfen, den Schweregrad bzw. das Ausmaß der Offenlegung des Ereignisses zu bestimmen. Der Nachweis wird vor dem Speichern mit dem AES-Algorithmus verschlüsselt. • Hervorheben von Übereinstimmungen: Der Nachweis kann so gespeichert werden, dass der Text, der das Ereignis ausgelöst hat, hervorgehoben wird. Der Nachweis mit Hervorhebungen wird als separate, verschlüsselte HTML-Datei gespeichert. Darüber hinaus können Ereignistrends in den McAfee ePO-Dashboards angezeigt werden. Produktkomponenten und deren Zusammenspiel McAfee DLP Endpoint besteht aus fünf Modulen. Darüber hinaus verwendet die Software den Richtlinienkatalog, die Server-Tasks, die Server-Einstellungen und die Berechtigungssätze von McAfee ePO. McAfee DLP Endpoint 9.4 bietet einen neu strukturierten, feiner abgestuften Workflow. Klassifizierungen Im Modul Klassifizierung werden Klassifizierungskriterien und Kennzeichnungskriterien sowie die Definitionen gespeichert, anhand derer sie konfiguriert werden. In diesem Modul werden zudem Repositorys für registrierte Dokumente, die Benutzerautorisierung für die manuelle Kennzeichnung und Text in der Whitelist eingerichtet. Klassifizierungen werden zum Konfigurieren von Datenschutz- und Endgeräteerkennungsregeln benötigt. DLP-Richtlinien-Manager Im Modul DLP-Richtlinien-Manager werden die Regelsätze, Richtlinienzuweisungen und Definitionen festgelegt, aus denen eine DLP-Richtlinie besteht. DLP-Regelsätze definieren Datenschutz, Gerätesteuerung und Erkennungsregeln. Jede Regel in einem Regelsatz kann eine, zwei oder alle drei Arten von Regeln enthalten. Sie können mehrere Regeln in einen Regelsatz einschließen und einer DLP-Richtlinie mehrere Regelsätze zuordnen. 14 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Einführung in McAfee DLP Endpoint Produktkomponenten und deren Zusammenspiel 1 Workflow Verwenden Sie den folgenden Workflow, um Richtlinien zu erstellen und diese für Endgerät-Computer bereitzustellen. 1 Erstellen Sie Klassifizierungen und Kennzeichnungskriterien sowie die zu deren Einrichtung erforderlichen Definitionen. (Sie können beim Definieren von Kriterien ggf. auch Definitionen erstellen.) 2 Erstellen Sie Datenschutz-, Geräte- und Erkennungsregeln sowie die zu deren Einrichtung erforderlichen Definitionen. Bei der Definition von Datenschutz- und Erkennungsregeln muss zudem eine Klassifizierung zugeordnet werden. 3 Weisen Sie DLP-Richtlinien Regelsätze zu. Erstellen Sie Erkennungs-Scan-Definitionen in den DLP-Richtlinien. 4 Weisen Sie die Richtlinien in der Systemstruktur zu, und stellen Sie die Richtlinien bereit. Abbildung 1-2 Workflow Ereignisverwaltung und operative Ereignisse Im Modul DLP-Ereignisverwaltung werden Sicherheitsereignisse aus Richtlinienverletzungen angezeigt. Auf der Seite Details der einzelnen Einträge werden sowohl der in der Client-Konfiguration angegebene Nachweis als auch angewendete Regeln und Klassifizierungen sowie weitere Details angezeigt. Im Modul Operative DLP-Ereignisse werden Verwaltungsereignisse wie Bereitstellungen oder Richtlinienaktualisierungen angezeigt. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 15 1 Einführung in McAfee DLP Endpoint Produktkomponenten und deren Zusammenspiel Fallverwaltung Im Modul Fallverwaltung können Administratoren die Lösung zusammengehöriger Vorfälle koordinieren. Bei Vorfällen handelt es sich häufig nicht um Einzelereignisse. Entsprechend können in der DLP-Ereignisverwaltung mehrere Vorfälle angezeigt werden, die zusammenhängen oder gleiche Eigenschaften haben. Diese zusammenhängenden Vorfälle können Sie dann einem Fall zuweisen. Ein Fall kann von mehreren Administratoren überwacht und verwaltet werden, je nachdem, welche Funktion sie im Unternehmen ausüben. Richtlinienkatalog Im Richtlinienkatalog von McAfee ePO werden die Richtlinien gespeichert, die für die Endgerät-Computer bereitgestellt werden. Wählen Sie zum Anzeigen oder Bearbeiten der McAfee DLP-Richtlinien Richtlinienkatalog | Produkt | Data Loss Prevention 9.4 aus. McAfee DLP Endpoint-Richtlinien haben drei Komponenten: • DLP-Richtlinie: Enthält Regelsätze, Endgeräterkennungs-Scans sowie Einstellungen für privilegierte Benutzer, Anwendungsstrategie und Außerkraftsetzungen der Geräteklasse • Client-Konfiguration: Enthält Informationen für den Endbenutzer-Computer Tabelle 1-2 Client-Konfiguration Einstellung Hinweise Erweiterte Konfiguration Einstellungen für Endgeräte und Zugriffsschutz Anwendungsdateizugriff-Schutz Wird zum Hinzufügen von in der Whitelist befindlichen Prozessen verwendet Zwischenablageschutz Aktiviert die Microsoft Office-Zwischenablage, wird zum Hinzufügen von Prozessen in der Whitelist verwendet Inhaltsüberwachung Einstellungen zur Textextrahierung Unternehmenskonnektivität Wird zur Konfiguration von VPN-Servern für Datenschutzoptionen verwendet Debugging und Protokollierung Einrichtung von Protokollierung und Speicherabbildern zur Fehlerbehebung Erkennung (Endgerät) Festlegen der Scan-Leistungsparameter und des Präfix für isolierte E-Mails E-Mail-Schutz Einstellungen für E-Mail-Schutzregeln und Integration von Drittanbieter-Software Nachweiskopierdienst Einstellungen für die Freigabe der Nachweisspeicherung, die Dateigröße und das Nachweisalter Betriebsmodus und Module Festlegung des Betriebsmodus für Device Control oder McAfee DLP Endpoint sowie Aktivierung von Add-Ins und Handlern Druckschutz Wird zum Hinzufügen von in der Whitelist befindlichen Prozessen verwendet Quarantäne Einstellungen für Quarantäne-Ordner Wechselspeicherschutz Festlegung des Löschmodus für Wechselspeichermedien Bildschirmaufnahmeschutz Unterstützt die Bildschirmaufnahmeanwendung Komponenten der Benutzeroberfläche Definition die Endgerät-Benutzeroberfläche Web-Veröffentlichungsschutz 16 McAfee Data Loss Prevention Endpoint 9.4.100 Legt das Verhalten von HTTP-GET-Anfragen, die unterstützten Google Chrome-Versionen, die Zeitlimit-Strategie und URLs in der Whitelist fest Produkthandbuch Einführung in McAfee DLP Endpoint McAfee DLP Endpoint-Client-Software 1 McAfee DLP Endpoint-Client-Software Die McAfee DLP Endpoint-Client-Software wird als McAfee Agent-Plug-In bereitgestellt und erzwingt die in der McAfee DLP-Richtlinie definierten Richtlinien. Die McAfee DLP Endpoint-Client-Software überprüft die zu überwachenden Benutzeraktivitäten, um das Kopieren oder Übertragen vertraulicher Daten durch nicht autorisierte Benutzer zu überwachen, zu steuern und zu verhindern. Anschließend erzeugt sie Ereignisse, die von der McAfee ePO-Ereignisanalyse aufgezeichnet werden. McAfee DLP Endpoint unter OS X ® Der McAfee Device Control-Client für OS X verhindert die nicht autorisierte Verwendung von Wechselmedien, die heutzutage in vielen Unternehmen am weitesten verbreitete und teuerste Ursache für Datenlecks, auf Macintosh-Computern. McAfee DLP Endpoint unter Microsoft Windows Windows-Computer können entweder durch McAfee Device Control oder McAfee DLP Endpoint geschützt werden. Die McAfee DLP Endpoint-Client-Software verwendet ausgereifte Erkennungstechnologien, Textmustererkennung und vordefinierte Wörterbücher. Sie erkennt vertrauliche Inhalte und bietet durch Geräteverwaltung und Verschlüsselung zusätzliche Kontrollebenen. IRM-Software (Information Rights Management) schützt vertrauliche Dateien durch Verschlüsselung und Verwaltung der Zugriffsberechtigungen. McAfee DLP Endpoint unterstützt Microsoft Rights Management Service (RMS) und Seclore FileSecure als zusätzliche Datenschutzmethoden. Üblicherweise wird das Kopieren von nicht IRM-geschützten Dateien verhindert. Klassifizierungs-Software überprüft, ob E-Mails und andere Dateien einheitlich klassifiziert und für den Schutz gekennzeichnet sind. McAfee DLP Endpoint lässt sich in Titus Message Classification und Boldon James Email Classifier für Microsoft Outlook integrieren, sodass Sie E-Mail-Schutzregeln auf der Grundlage der angewendeten Klassifizierungen erstellen können. Über das Titus SDK kann es auch in andere Titus-Klassifizierungs-Clients integriert werden, sodass Sie weitere Schutzregeln erstellen können, die auf den angewendeten Titus-Klassifizierungen beruhen. Unterstützung von Sprachausgabe Das weit verbreitete Sprachausgabeprogramm JAWS (Job Access With Sound) für Computer-Benutzer mit Sehschwäche wird auf Endgerät-Computern unterstützt. Unterstützt werden folgende McAfee DLP Endpoint-Funktionen: • Pop-Up-Benachrichtigung für Endbenutzer: Wenn für das Pop-Up-Dialogfeld festgelegt ist, dass es manuell geschlossen werden muss (im DLP-Richtlinien-Manager), wird der Text des Dialogfelds vorgelesen, damit Personen mit Sehschwäche durch die Schaltflächen und Links navigieren können. • Begründungsdialogfeld für Endbenutzer: Im Kombinationsfeld kann mit der Tabulatortaste navigiert werden, und die gewünschte Begründung kann mit den Pfeiltasten ausgewählt werden. • Registerkarte Benachrichtigungsverlauf der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS der Text "Notification history tab selected" gesprochen ("Registerkarte 'Benachrichtigungsverlauf' ausgewählt"; Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen durchgeführt werden müssen. Alle im rechten Fensterbereich aufgeführten Informationen werden vorgelesen. • Registerkarte Erkennung der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS der Text "Discovery tab selected" gesprochen ("Registerkarte 'Erkennung' ausgewählt"; Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen durchgeführt werden müssen. Alle im rechten Fensterbereich aufgeführten Informationen werden vorgelesen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 17 1 Einführung in McAfee DLP Endpoint McAfee DLP Endpoint-Client-Software • Registerkarte Tasks der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS der Text "Tasks tab selected" gesprochen ("Registerkarte 'Tasks' ausgewählt"; Sprachausgabe ist nur auf Englisch verfügbar). Mit der Tabulatortaste kann durch alle Schritte navigiert werden. Hierbei werden die jeweils erforderlichen Anweisungen vorgelesen. • Registerkarte Info der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS der Text "About tab selected" gesprochen ("Registerkarte 'Info' ausgewählt"; Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen durchgeführt werden müssen. Alle im rechten Fensterbereich aufgeführten Informationen werden vorgelesen. Online-/Offline-Betrieb Sie können verschiedene Geräte- und Schutzregeln anwenden, je nachdem, ob der verwaltete Computer online (mit dem Unternehmensnetzwerk verbunden) oder offline (nicht mit dem Unternehmensnetzwerk verbunden) ist. Bei einigen Regeln können Sie zudem zwischen Computern im Netzwerk und Computern, die über VPN mit dem Netzwerk verbunden sind, unterscheiden. Mehrere Benutzersitzungen Die McAfee DLP Endpoint-Client-Software unterstützt die schnelle Benutzerumschaltung mit mehreren Benutzersitzungen auf den Windows-Betriebssystemversionen, die diese Funktion unterstützen. Die Unterstützung von virtuellen Desktops kann auch zu mehreren Benutzersitzungen auf einem Host-Computer führen. Ereignisanalyse Von der McAfee DLP Endpoint-Client-Software generierte Ereignisse werden an die McAfee ePO-Ereignisanalyse gesendet und in den Tabellen in der McAfee ePO-Datenbank erfasst. Ereignisse werden zur weiteren Analyse in der Datenbank gespeichert und von anderen Systemkomponenten verwendet. Endpoint-Konsole Die Endpoint-Konsole stellt Benutzern Informationen bereit und erleichtert die Selbsthilfe bei Problemen. Sie wird auf der Registerkarte Client-Konfiguration | Benutzeroberflächendienst konfiguriert. Auf Windows-Computern wird die Konsole über das Taskleistensymbol durch Auswahl von Funktionen verwalten | DLP Endpoint-Konsole aktiviert. Die vollständig konfigurierte Konsole verfügt über vier Registerkarten: 18 • Benachrichtigungsverlauf: Hier werden Ereignisse sowie Details aggregierter Ereignisse angezeigt. • Erkennung: Hier werden Details der Erkennungs-Scans angezeigt. • Aufgaben: Hier können ID-Codes generiert und Freigabecodes für die Agentenumgehung und die Freigabe aus der Quarantäne generiert werden. • Info: Hier werden Informationen zum Agentenstatus, zur aktiven Richtlinie, zur Konfiguration sowie zur Computer-Zuweisungsgruppe (einschließlich Revisions-ID-Nummern) angezeigt. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 1 Einführung in McAfee DLP Endpoint McAfee DLP Endpoint-Client-Software Auf OS X-Endgeräten wird die Konsole über das McAfee-Menulet in der Statusleiste aktiviert. Das Dashboard ist in andere installierte McAfee-Software wie McAfee VirusScan for Mac integriert und zeigt eine Übersicht über den Status aller installierten McAfee-Software-Produkte. Auf der Seite Verlauf werden aktuelle McAfee-Software-Ereignisse angezeigt. Klicken Sie auf einen Eintrag, um die entsprechenden Details anzuzeigen. ® ® Abbildung 1-3 Anzeige auf OS X-Endgeräten Sie aktivieren den Bildschirm für die Agentenumgehung, indem Sie im Menulet Voreinstellungen auswählen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 19 1 Einführung in McAfee DLP Endpoint McAfee DLP Endpoint-Client-Software 20 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Bereitstellung und Installation Bestimmen Sie die für Ihre Umgebung geeignete Bereitstellungsmethode, installieren Sie die Software, und stellen Sie die McAfee DLP Endpoint-Clients dann auf den Unternehmens-Computern bereit. Kapitel 2 Kapitel 3 Kapitel 4 Ausbringungsoptionen und -Szenarien Installieren der McAfee DLP Endpoint-Software Bereitstellen der Software McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 21 Bereitstellung und Installation 22 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 2 Ausbringungsoptionen und -Szenarien Das Klassifizieren von Unternehmensinformationen in verschiedene Datenleckpräventions-Kategorien ist ein essentieller Schritt bei der Bereitstellung und Verwaltung der McAfee Data Loss Prevention Endpoint-Software. Hierfür gibt es zwar Richtlinien und bewährte Vorgehensweisen, dennoch hängt das optimale Schema von den Zielen und Erfordernissen Ihres Unternehmens ab und ist daher für jede Installation individuell. Als erstes müssen Sie zwischen den beiden DLP-Optionen – McAfee Device Control und die McAfee DLP Endpoint-Vollversion – auswählen. Da es oft schwierig ist, die Anforderungen im Vorfeld zu bestimmen, wird empfohlen, die Software zunächst etwa einen Monat lang für eine Testgruppe von 15 bis 20 Benutzern bereitzustellen. Während dieses Testzeitraums werden keine Daten klassifiziert, und es wird eine Richtlinie erstellt, mit der Transaktionen überwacht, aber nicht blockiert werden. Anhand der so erfassten Überwachungsdaten können die Sicherheitsbeauftragten gezielt entscheiden, an welchen Stellen und mit welchen Verfahren Unternehmensdaten klassifiziert werden sollen. Die auf Grundlage dieser Informationen erstellten Richtlinien sollten dann mit einer größeren Testgruppe (bzw. in sehr großen Unternehmen mit einer Reihe von immer größeren Gruppen) getestet werden, bevor sie für das gesamte Unternehmen bereitgestellt werden. Die McAfee DLP Endpoint-Software zur Richtlinienerstellung und -überwachung wird in McAfee ePO installiert. Bei einer einfachen Installation wird ein einzelner McAfee ePO-Server mit Microsoft SQL Server verwendet, bei größeren Unternehmen sind jedoch auch Installationen mit mehreren Servern oder in Cluster-Umgebungen möglich. McAfee DLP Endpoint-Client-Software kann auf Microsoft Windows-Servern, -Workstations und -Laptops in der Device Control-Version oder der vollständigen McAfee DLP Endpoint-Version bereitgestellt werden. Für OS X-Computer ist derzeit eine Device Control-Version verfügbar. Inhalt Auswahl einer Endpoint-Produktoption Empfohlene Installation Überprüfen der Systemanforderungen Auswahl einer Endpoint-Produktoption McAfee bietet mehrere McAfee ePO-basierte Data Loss Prevention-Optionen. Die Produkte verwenden die gleiche installierte Software und unterscheiden sich hinsichtlich der Lizenz. Erläuterung der McAfee DLP-Optionen Die McAfee DLP-Software ist in zwei Device Control-Konfigurationen erhältlich, McAfee DLP Endpoint-Vollversion und McAfee Data Loss Prevention Discover (McAfee DLP Discover). ® McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 23 2 Ausbringungsoptionen und -Szenarien Auswahl einer Endpoint-Produktoption • McAfee Device Control für kleine und mittlere Unternehmen: bietet nur Device Control • McAfee Device Control für große Unternehmen: Bietet zusätzlich zu Device Control Wechselspeicher-Schutzregeln (inhaltsbezogene Regeln). • Datenschutz und Gerät: McAfee DLP Endpoint-Vollversion, einschließlich Endgeräterkennung. • McAfee DLP Discover: Bietet Netzwerkerkennungs-Crawling und kann allein oder zusammen mit Device Control oder McAfee DLP Endpoint installiert werden. Die aktuelle Version unterstützt für OS X nur die Device Control-Optionen. Was ist McAfee Device Control? Die Device Control-Software verhindert die nicht autorisierte Verwendung von Wechselmedien, die heutzutage in vielen Unternehmen am weitesten verbreitete und teuerste Ursache für Datenlecks. Die Device Control-Software bietet folgende Funktionen: • Dauerhafter Datenschutz für Geräte: Die Software steuert, welche Daten auf Wechselspeichermedien kopiert werden können, indem sie nach Benutzer, Dateierweiterung oder Dateinamen filtert; zudem werden die Geräte selbst gesteuert, indem sie vollständig blockiert oder mit einem Schreibschutz versehen werden. Sie blockiert Anwendungen, die von Wechselspeichermedien ausgeführt werden. • Mobiler Schutz: Für USB-Laufwerke, iPods, Bluetooth-Geräte, CDs, DVDs und andere Wechseldatenträger und für externe Festplatten. Device Control für OS X ist in der aktuellen Version auf Regeln für Wechselspeichermedien beschränkt. Was ist McAfee Device Control mit inhaltsbezogenen Regeln? Device Control mit inhaltsbezogenen Regeln bietet folgende Funktionen: Persistenter inhaltsbezogener Datenschutz für Geräte: Bietet eine zusätzliche Steuerungsmöglichkeit anhand des Inhalts der Daten, die auf Geräte kopiert werden. Hierfür können erweiterte Muster, Wörterbücher, Dokumenteigenschaften und Dateiinformationen verwendet werden. Was ist die McAfee DLP Endpoint-Vollversion? Die McAfee DLP Endpoint-Software bietet folgende Funktionen: 24 • Allgemeiner Schutz: Schützt vor Datenlecks über eine breite Auswahl potenzieller Kanäle: Wechselspeichermedien, externe Festplatten, E-Mails und E-Mail-Anhänge, Web-Veröffentlichungen, Zwischenablage, Bildschirmaufnahmen, Drucken, Dateisystem usw. • Persistenter inhaltsbezogener Datenschutz: Schützt unabhängig von dem Format, in dem Daten gespeichert oder geändert werden, vor Datenlecks. Erzwingt Richtlinien für den Schutz vor Datenlecks, ohne Benutzer bei rechtmäßigen Aktivitäten zu stören. • Mobiler Schutz: Verhindert die Übertragung vertraulicher Daten von Desktop-Computern und Laptops, unabhängig davon, ob diese gerade mit dem Unternehmensnetzwerk verbunden sind oder außerhalb des Netzwerks verwendet werden. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Ausbringungsoptionen und -Szenarien Empfohlene Installation 2 Empfohlene Installation Für eine einfache McAfee DLP Endpoint-Implementierung wird die Installation auf einem McAfee ePO-Server empfohlen. Bei komplexeren Installationen können Sie sich im McAfee ePolicy Orchestrator Hardware Sizing and Bandwidth Usage Guide (Handbuch zur Hardware-Dimensionierung und Bandbreitennutzung) informieren, ob ein separater Server für die McAfee ePO-Datenbank empfohlen wird. Abbildung 2-1 McAfee DLP Endpoint-Komponenten und deren Beziehungen Empfohlene Architektur: • McAfee ePO-Server: hostet die integrierten Konsolen für McAfee DLP Endpoint, die Ereignisverwaltung und die operativen Ereignisse und kommuniziert mit der McAfee Agent-Software auf den Endgerät-Computern • McAfee ePO-Ereignisanalyse: kommuniziert mit dem McAfee Agent und speichert Ereignisinformationen in einer Datenbank • DLP-Ereignisanalyse: erfasst McAfee DLP Endpoint-Ereignisse aus der McAfee ePO-Ereignisanalyse und speichert sie in DLP-Tabellen in der SQL-Datenbank • ePO-Datenbank: kommuniziert mit dem McAfee ePO-Richtlinien-Distributor zur Verteilung von Richtlinien und mit der DLP-Ereignisanalyse zur Erfassung von Ereignissen und Nachweisen • Administrator-Workstation: greift über einen Browser auf McAfee ePO und die McAfee DLP Endpoint-Richtlinienkonsole zu • Verwaltetes Endgerät: wendet die Sicherheitsrichtlinien mithilfe der folgenden Software an: • McAfee DLP Endpoint-Client: ein McAfee Agent-Plug-In, das die McAfee DLP Endpoint-Richtlinien und -Prozesse bereitstellt • McAfee Agent : stellt den Kommunikationskanal zwischen dem McAfee ePO-Server und der McAfee DLP Endpoint-Client-Software bereit McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 25 2 Ausbringungsoptionen und -Szenarien Überprüfen der Systemanforderungen Überprüfen der Systemanforderungen Die folgende Hardware wird zum Ausführen der McAfee DLP Endpoint-Software für Windows und Mac empfohlen. Tabelle 2-1 Hardware-Anforderungen Hardware-Typ Spezifikationen Server • RAM: mindestens 1 GB (2 GB empfohlen) • Festplatte: mindestens 80 GB Endgerät-Computer • RAM: mindestens 1 GB (2 GB empfohlen) • Festplatte: mindestens 300 MB freier Festplattenspeicher (500 MB empfohlen) Netzwerk LAN mit 100 Mbit für alle Workstations und den McAfee ePO-Server Die folgenden Betriebssysteme werden unterstützt. Tabelle 2-2 Unterstützte Betriebssysteme Computer-Typ Software Endgerät-Computer Microsoft Windows-Betriebssysteme • Windows 7 SP1 (32 Bit oder 64 Bit) • Windows Server 2008 R2 SP1 (64 Bit) • Windows 8 oder 8.1 (32 Bit oder 64 Bit) • Windows Server 2012 (64 Bit) • Windows 10 (32 Bit oder 64 Bit) • Windows Server 2012 R2 (64 Bit) • Windows Server 2008 SP2 (32 Bit oder 64 Bit) Dateisystem-Erkennungsregeln und Regeln zum Schutz der Netzwerkkommunikation werden auf Servern nicht unterstützt. Apple OS X-Betriebssysteme (nur Device Control) • OS X Mountain Lion 10.8.0 oder höher • OS X Mavericks 10.9.0 oder höher • OS X Yosemite 10.10.0 oder höher Für OS X Yosemite 10.10 ist McAfee Agent 4.8 Patch 2 oder höher bzw. McAfee Agent 5.0 oder höher erforderlich. • OS X El Capitan 10.11 Für OS X El Capitan 10.11 ist McAfee Agent 4.8.0.1938 (Patch 3) erforderlich. In den Versionshinweisen zu McAfee Data Loss Prevention Endpoint 9.4.100 finden Sie wichtige Informationen zur Installation. Der Benutzer, der die McAfee DLP Endpoint-Software auf den Servern installiert, muss Mitglied der lokalen Administratorgruppe sein. Die folgenden virtuellen Betriebssysteme werden unterstützt. 26 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Ausbringungsoptionen und -Szenarien Überprüfen der Systemanforderungen 2 Tabelle 2-3 Unterstützte virtuelle Betriebssysteme Systemtyp Software VDI-Systeme • Citrix XenDesktop 5.5, 5.6, 7.0 und 7.5 • VMware View 5.3, 6.0 und 6.2 Remote-Desktops • Citrix XenApp 6.0, 6.5 Feature Pack 2 und 7.6 • Microsoft Remotedesktop Die folgende Software ist auf Servern erforderlich, auf denen die McAfee DLP Endpoint-Richtlinienkonsole ausgeführt wird. Tabelle 2-4 Anforderungen an die Server-Software Software Unterstützte Versionen McAfee ePO • 4.6.9 oder höher • 5.1.1 oder höher • 5.3 Wenn Sie McAfee ePO in Microsoft Internet Explorer ausführen, müssen Sie Version 10.0 oder höher verwenden. McAfee Agent • 4.8.2 oder höher • 5.0 oder höher McAfee Agent for Mac • 4.6 Patch 3 oder höher • 4.8 Patch 2 oder höher • 5.0 oder höher Für OS X Yosemite 10.10 ist McAfee Agent 4.8 Patch 2 oder höher bzw. McAfee Agent 5.0 oder höher erforderlich. Für OS X El Capitan 10.11 ist McAfee Agent 4.8.0.1938 (Patch 3) erforderlich. Das McAfee DLP Endpoint-Paket DLP_Mgmt_9.4_Package.zip enthält die Erweiterungen, die über McAfee ePO installiert werden. Der McAfee DLP Endpoint-Client (McAfee Agent-Plug-In) umfasst die Dateien zur Verteilung der Client-Software an Endgerät-Computer aus dem McAfee ePO-Repository: HDLP_Agent_9_4_0_x.zip für Microsoft Windows sowie DLPAgentInstaller.zip für Mac OS X. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 27 2 Ausbringungsoptionen und -Szenarien Überprüfen der Systemanforderungen 28 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 3 Installieren der McAfee DLP EndpointSoftware Die McAfee DLP Endpoint-Konsole ist vollständig in McAfee ePO integriert. McAfee DLP Endpoint-Clients werden durch McAfee ePO für die Computer im Unternehmen bereitgestellt. Inhalt Installieren und Lizenzieren der McAfee DLP-Erweiterung Einchecken des McAfee DLP Endpoint-Pakets in McAfee ePO Konvertieren von Richtlinien und Migrieren von Daten Installieren und Lizenzieren der McAfee DLP-Erweiterung Die Erweiterung stellt die Benutzeroberfläche zum Konfigurieren von McAfee DLP in McAfee ePO bereit. Bevor Sie beginnen • Laden Sie die McAfee DLP-Erweiterung von der McAfee-Download-Website herunter. Sie können auch in McAfee ePO Menü | Software | Software-Manager aufrufen, um die Software anzuzeigen, herunterzuladen und zu installieren. • Der Name des McAfee ePO-Servers muss in den Sicherheitseinstellungen von Internet Explorer in der Liste "Vertrauenswürdige Sites" aufgeführt sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Software | Erweiterungen aus, und klicken Sie dann auf Erweiterung installieren. 2 Navigieren Sie zur ZIP-Datei mit der Erweiterung, und klicken Sie auf OK. Daraufhin öffnet sich das Installationsdialogfeld mit den Dateiparametern. Vergewissern Sie sich, dass Sie die richtige Erweiterung installieren. 3 Klicken Sie auf OK. Die Erweiterung wird nun installiert. 4 Sie können zur individuellen Anpassung Lizenzen und Komponenten installieren. Durch die Installation der Lizenz werden die zugehörigen McAfee ePO-Komponenten und die Richtlinien des McAfee ePO-Richtlinienkatalogs aktiviert. Folgende Lizenzoptionen sind verfügbar: • McAfee Device Control • McAfee DLP Endpoint (umfasst McAfee Device Control) McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 29 3 Installieren der McAfee DLP Endpoint-Software Einchecken des McAfee DLP Endpoint-Pakets in McAfee ePO • McAfee DLP Discover • McAfee Device Control plus McAfee DLP Discover • McAfee DLP Endpoint plus McAfee DLP Discover a Wählen Sie Menü | Datenschutz aus. b Wählen Sie DLP-Richtlinien-Manager oder McAfee DLP Discover aus, und klicken Sie auf Ja, wenn Sie zur Eingabe der Lizenz aufgefordert werden. Daraufhin öffnet sich die Seite Server-Einstellungen | Data Loss Prevention. 5 c Geben Sie im Feld Schlüssel die Lizenz ein, und klicken Sie anschließend auf Hinzufügen. d Fügen Sie ggf. eine weitere Lizenz hinzu. Geben Sie im Feld Standard-Nachweisspeicherung den entsprechenden Speicherpfad ein. Beim Pfad für die Nachweisspeicherung muss es sich um einen Netzwerkpfad im Format \\[Server]\ [lokalerPfad] handeln. Dieser Schritt ist zum Speichern der Einstellungen und zum Aktivieren der Software erforderlich. 6 Klicken Sie auf Speichern. Die McAfee DLP-Module werden entsprechend der Lizenz unter Menü | Datenschutz angezeigt. Siehe auch Erstellen von Nachweisordnern auf Seite 45 Bearbeiten der McAfee DLP-Server-Einstellungen auf Seite 41 Konfigurieren von Nachweisordnern auf Seite 45 Einchecken des McAfee DLP Endpoint-Pakets in McAfee ePO Auf allen Computern des Unternehmens mit Daten, die durch McAfee geschützt werden, muss der McAfee Agent installiert sein. Dadurch wird der Computer zu einem verwalteten Computer. Für den Schutz vor Datenlecks müssen Sie zudem das McAfee DLP Endpoint-Plug-In für McAfee Agent bereitstellen. Die Installation kann über die McAfee ePO-Infrastruktur durchgeführt werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Software | Master-Repository aus. 2 Wählen Sie im Master-Repository Paket einchecken aus. 3 Wählen Sie als Pakettyp Produkt oder Aktualisierung (.zip) aus. Klicken Sie auf Durchsuchen. • Navigieren Sie für Microsoft Windows-Client zu ...\HDLP_Agent_9_4_0_xxx.zip • Navigieren Sie für Mac OS X-Clients zu ...\DLPAgentInstaller 4 Klicken Sie auf Weiter. 5 Überprüfen Sie die auf der Seite Paket einchecken angezeigten Details, und klicken Sie dann auf Speichern. Das Paket wird nun dem Master-Repository hinzugefügt. 30 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Installieren der McAfee DLP Endpoint-Software Konvertieren von Richtlinien und Migrieren von Daten 3 Konvertieren von Richtlinien und Migrieren von Daten In McAfee DLP Endpoint 9.4 werden neue Schemas verwendet, die nicht mit den in McAfee DLP Endpoint 9.3 verwendeten Formaten für Richtlinien und Ereignisse kompatibel sind. Sie können Richtlinien und Daten mit McAfee ePO-Server-Tasks in das neue Schema migrieren. Bevor Sie beginnen Sie müssen auf McAfee DLP Endpoint 9.3 Patch 5 (9.3.500) oder höher aktualisieren, bevor Sie Richtlinien konvertieren oder Daten zu McAfee DLP Endpoint 9.4.100 migrieren. Der Richtlinienkonvertierungs-Task konvertiert nur Regeln, die aktiviert sind und auf die Datenbank angewendet werden. Überprüfen Sie vor der Konvertierung der McAfee DLP 9.3-Richtlinie den Status der zu konvertierenden Regeln. Installieren Sie zuerst die McAfee DLP 9.4.100-Erweiterung in McAfee ePO, und führen Sie dann den DLP-Richtlinienkonvertierungs-Task aus. Da die Migrations-Tasks den Prozessor stark auslasten, empfiehlt es sich, diese Tasks für das Wochenende oder andere Zeiträume außerhalb der Geschäftszeiten zu planen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus. 2 Wählen Sie DLP-Richtlinienkonvertierung aus, und klicken Sie dann auf Aktionen | Ausführen. Daraufhin öffnet sich die Seite Server-Task-Protokoll, auf der Sie die Ausführung des Tasks überprüfen können. Wenn der Task schon einmal ausgeführt wurde, schlägt er nun fehl. Wenn Sie an der McAfee DLP 9.3-Richtlinie Änderungen vornehmen und die Konvertierung erneut durchführen möchten, müssen Sie den Server-Task zunächst bearbeiten, indem Sie auf der Seite Aktionen die Option Richtlinienkonvertierung nicht durchführen, wenn der Regelsatz '[9.3] Policy Conversion Rule Set' vorhanden ist deaktivieren. Der vorherige Regelsatz wird dann gelöscht und ersetzt. 3 Kehren Sie auf die Seite Server-Tasks zurück, wählen Sie DLP – Migration von Vorfällen aus, und klicken Sie dann auf Aktionen | Bearbeiten. Der Migrations-Task für DLP – Migration von operativen Ereignissen kann auf die gleiche Art und Weise ausgeführt werden. 4 Wählen Sie Planungsstatus | Aktiviert aus, und klicken Sie dann zweimal auf Weiter. Die Migration ist bereits programmiert, sodass Sie die Seite Aktionen überspringen können. 5 Wählen Sie einen Planungstyp und eine Häufigkeit aus. Es wird die Auswahl von Planungstyp | Stündlich empfohlen. Legen Sie ein Startdatum und ein Enddatum für einen Zeitraum außerhalb der Geschäftszeiten bzw. der Zeiten mit hohem Datenverkehrsaufkommen fest, und planen Sie die stündliche Ausführung des Tasks. Die Migration von Vorfällen erfolgt in Paketen von jeweils 200.000 Elementen. Planen Sie die Wiederholungen des Tasks entsprechend der Größe der zu migrierenden Vorfallsdatenbank. 6 Klicken Sie zum Überprüfen der Einstellungen auf Weiter, und klicken Sie dann auf Speichern. Siehe auch Bearbeiten von Server-Tasks auf Seite 143 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 31 3 Installieren der McAfee DLP Endpoint-Software Konvertieren von Richtlinien und Migrieren von Daten 32 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 4 Bereitstellen der Software Zum Anwenden von Richtlinien und Durchführen von Scans müssen Sie die Software zunächst auf den Endgerät-Computern und Servern bereitstellen. Es empfiehlt sich, die Software über McAfee ePO bereitzustellen. Sollte die Bereitstellung mittels McAfee ePO nicht möglich sein, können Sie die Software jedoch auch manuell bereitstellen. Bereitstellen von McAfee DLP Endpoint-Clients McAfee DLP Endpoint-Richtlinien werden vom McAfee Agent auf den Endgerät-Computern erzwungen. Der erste Schritt besteht im Bereitstellen der McAfee DLP Endpoint-Client-Software, einem McAfee Agent-Plug-In, auf den Endgeräten. Bereitstellen des McAfee DLP Endpoint-Clients über McAfee ePO Vor dem Zuweisen von Richtlinien muss der McAfee DLP Endpoint-Client über McAfee ePO auf den Endgerät-Computern bereitgestellt werden. Bevor Sie beginnen Vor der Bereitstellung von McAfee DLP Endpoint muss eine aktuelle Version von McAfee Agent in McAfee ePO installiert und auf den Ziel-Computern bereitgestellt werden: • Installieren Sie auf Endgerät-Computern unter Microsoft Windows McAfee Agent 4.8 Patch 3 oder 5.0.2. • Installieren Sie auf Endgerät-Computern unter Mac OS X McAfee Agent for Mac 4.6 Patch 3 oder höher. Unter OS X 10.10 ist McAfee Agent 4.8 Patch 2 oder höher bzw. 5.0 erforderlich. Unter OS X 10.11 muss McAfee Agent 4.8.0 Patch 3 installiert werden. In der McAfee ePO-Dokumentation wird beschrieben, wie die Version ermittelt und ggf. installiert wird. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 33 4 Bereitstellen der Software Bereitstellen von McAfee DLP Endpoint-Clients Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Systemstruktur aus. 2 Wählen Sie in der Systemstruktur die Ebene aus, auf der McAfee DLP Endpoint bereitgestellt werden soll. Wenn Sie als Ebene Eigene Organisation eingestellt lassen, erfolgt die Bereitstellung auf allen Workstations, die durch McAfee ePO verwaltet werden. Wenn Sie eine Ebene unter Eigene Organisation auswählen, werden im Fenster auf der rechten Seite die verfügbaren Workstations angezeigt. Sie können McAfee DLP Endpoint auch auf einzelnen Workstations bereitstellen. 3 Öffnen Sie den Assistenten Generator für Client-Tasks, indem Sie zunächst auf die Registerkarte Zugewiesene Client-Tasks klicken. Wählen Sie Aktionen | Neue Client-Task-Zuweisung aus. Daraufhin öffnet sich der Assistent Generator für Client-Tasks. 4 34 Füllen Sie die Felder im Generator für Client-Tasks aus: • Wählen Sie im Feld Produkt die Option McAfee Agent aus. • Wählen Sie im Feld Task-Typ die Option Produktbereitstellung aus. 5 Klicken Sie auf Neuen Task erstellen. 6 Wählen Sie im Feld Produkte und Komponenten die Option Data Loss Prevention 9.4 aus. Das Feld Aktion wird automatisch auf Installieren zurückgesetzt. Klicken Sie auf Speichern. 7 Ändern Sie den Planungstyp in Sofort ausführen. Klicken Sie auf Weiter. 8 Überprüfen Sie die Task-Zusammenfassung. Wenn alles korrekt ist, klicken Sie auf Speichern. Der Task ist nun für die nächste Aktualisierung der Richtlinie durch den McAfee Agent geplant. Führen Sie zum Erzwingen einer sofortigen Installation einen Aufruf zur Agentenreaktivierung aus. 9 Starten Sie nach der Bereitstellung von McAfee DLP Endpoint die verwalteten Computer neu. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Bereitstellen der Software Bereitstellen von McAfee DLP Endpoint-Clients 4 Überprüfen der Installation Nach der Installation der McAfee DLP Endpoint-Software sollten Sie die Installation in der Konsole Operative DLP-Ereignisse überprüfen. Vorgehensweise 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Operative DLP-Ereignisseaus. Klicken Sie auf ein Ereignis, um die entsprechenden Details anzuzeigen. Abbildung 4-1 Operative DLP-Ereignisse – Detailbereich 2 Sie können Details zur installierten McAfee DLP Endpoint-Client-Software aufrufen, indem Sie auf dem Endgerät-Computer über das McAfee Agent-Taskleistensymbol Info auswählen. Scrollen Sie durch die Informationen für McAfee DLP Endpoint. Bereitstellen von Richtlinien mit McAfee ePO McAfee DLP Endpoint-Richtlinien enthalten Regelsätze, Klassifizierungen, Definitionen sowie Clientund Server-Konfigurationen. McAfee DLP Endpoint funktioniert mit den folgenden Richtlinien: • DLP-Richtlinie • Client-Konfiguration Jeder dieser Richtlinien wird bei der Erstellung die Revisionsnummer 1 zugewiesen. Diese Nummer wird bei jeder Änderung der Richtlinie erhöht. Die Revisionsnummer ist für die Fehlerbehebung wichtig und sorgt dafür, dass Richtlinienänderungen tatsächlich auf die Endgerät-Computer angewendet werden. Sie wird auch bei Anforderung eines Schlüssels für die Umgehung des Clients oder eines Deinstallationsschlüssels verwendet. In der DLP Endpoint-Konsole auf dem Client-Computer werden die aktuellen Revisionsnummern der Richtlinien angezeigt. Vor der Anwendung einer Richtlinie sollten Sie Folgendes überprüfen: McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 35 4 Bereitstellen der Software Bereitstellen von McAfee DLP Endpoint-Clients • Sind alle Einstellungen ordnungsgemäß konfiguriert? • Sind alle Regeln aktiviert? • Sind jeder Regel Endbenutzergruppen (sofern erforderlich) zugewiesen? Aufgaben • Zuweisen einer Richtlinie oder Client-Konfiguration auf Seite 36 In McAfee ePO eingerichtete Richtlinien müssen vor der Verwendung den verwalteten Computern zugewiesen und für diese bereitgestellt werden. • Aktualisieren der Richtlinie auf Seite 36 Die Bereitstellung der Systemrichtlinie erfolgt über den McAfee ePO-Server, und die Richtlinien auf den verwalteten Computern werden entsprechend den McAfee Agent-Einstellungen aktualisiert. Sie können die Aktualisierung jedoch auch jederzeit in McAfee ePO durchführen, ohne die geplante Aktualisierung abzuwarten. Zuweisen einer Richtlinie oder Client-Konfiguration In McAfee ePO eingerichtete Richtlinien müssen vor der Verwendung den verwalteten Computern zugewiesen und für diese bereitgestellt werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Systemstruktur aus. 2 Navigieren Sie zum Verzeichnis mit den Computern, denen eine Richtlinie zugewiesen werden soll, und wählen Sie diese aus. 3 Wählen Sie Aktionen | Agent | Agenten reaktivieren aus. 4 Wählen Sie Aufruf zur Agentenreaktivierung aus, und setzen Sie den Zufallsgenerator auf 0 Minuten. Klicken Sie auf OK. 5 Wenn der Aufruf zur Agentenreaktivierung abgeschlossen ist, kehren Sie automatisch zur Systemstruktur zurück. Wählen Sie erneut die Computer aus, denen eine Richtlinie zugewiesen werden soll, und klicken Sie auf Aktionen | Agent | Richtlinie und Vererbung zuweisen. 6 Wählen Sie auf der Seite Richtlinie zuweisen in der Dropdown-Liste Produkt den Eintrag Data Loss Prevention 9.4 aus. In der Spalte Kategorie werden zwei Richtlinien angezeigt: DLP-Richtlinie und Client-Konfiguration. 7 Für jede Richtlinie, die Sie zuweisen möchten: a Klicken Sie in der Spalte Aktionen für eine der Kategorien auf Zuweisung bearbeiten. b Klicken Sie auf die Option Vererbung unterbrechen..., und wählen Sie anschließend in der Dropdown-Liste die zuzuweisende Richtlinie aus. Klicken Sie auf Speichern. Aktualisieren der Richtlinie Die Bereitstellung der Systemrichtlinie erfolgt über den McAfee ePO-Server, und die Richtlinien auf den verwalteten Computern werden entsprechend den McAfee Agent-Einstellungen aktualisiert. Sie können die Aktualisierung jedoch auch jederzeit in McAfee ePO durchführen, ohne die geplante Aktualisierung abzuwarten. 36 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Bereitstellen der Software Bereitstellen von McAfee DLP Endpoint-Clients 4 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Systemstruktur und dann den bzw. die zu aktualisierenden Computer aus. 2 Klicken Sie auf Weitere Aktionen | Agenten reaktivieren. 3 Wählen Sie den Typ des Aufrufs zur Agentenreaktivierung aus, und setzen Sie den Zufallsgenerator auf 0 Minuten. Klicken Sie auf OK. Richtlinien werden gemäß dem festlegten Zeitplan vom McAfee ePO-Server aktualisiert. Benutzer von verwalteten Computern aktualisieren Richtlinien nur bei ausdrücklicher Aufforderung manuell. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 37 4 Bereitstellen der Software Bereitstellen von McAfee DLP Endpoint-Clients 38 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Konfiguration und Verwendung Konfigurieren Sie die Software für die optimale Nutzung in der Unternehmensumgebung. Die Einstellungen richten sich nach den auf Management-Ebene getroffenen Entscheidungen darüber, welche Inhalte geschützt werden sollen und wie dieser Schutz bestmöglich umgesetzt werden kann. Kapitel Kapitel Kapitel Kapitel Kapitel 5 6 7 8 9 Konfigurieren von Systemkomponenten Schutz von Wechselspeichermedien Klassifizieren vertraulicher Inhalte Verwenden von Regeln zum Schutz vertraulicher Inhalte Arbeiten mit Richtlinien McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 39 Konfiguration und Verwendung 40 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 5 Konfigurieren von Systemkomponenten Die Systemkomponenten können individuell an die Erfordernisse Ihres Unternehmens angepasst werden. Durch die Konfiguration des Agenten und der Systemoptionen können Sie das System für den effizienten Schutz vertraulicher Unternehmensinformationen optimieren. Neben den Einstellungen in den McAfee DLP-Modulen befinden sich in McAfee ePO unter Server-Einstellungen, Registrierte Server und Server-Tasks weitere Konfigurationseinstellungen, die sich auf die Administration von McAfee DLP auswirken. Inhalt Richtlinienkatalog Bearbeiten der McAfee DLP-Server-Einstellungen Definieren eines Servers für die Rechteverwaltung Dokumentieren von Ereignissen mit Nachweis Benutzer- und Berechtigungssätze Konfigurieren von McAfee DLP im Richtlinienkatalog Richtlinienkatalog Im Richtlinienkatalog von McAfee ePO werden die folgenden McAfee DLP-Richtlinienkonfigurationen angezeigt: • Client-Konfiguration: Enthält die Konfigurationseinstellungen für die McAfee DLP Endpoint-Clients. Die Einstellungen legen fest, wie Clients McAfee DLP-Richtlinien auf den Endgerät-Computern anwenden. • DLP-Richtlinie: Enthält die der Richtlinie zugewiesenen Regelsätze, geplante Endgeräterkennungs-Scans sowie Einstellungen für die Anwendungsstrategie, für das Außerkraftsetzen der Geräteklasse und für privilegierte Benutzer. McAfee DLP Endpoint 9.4 unterstützt mehrere Richtlinien und mehrere Client-Konfigurationen. Sie erstellen Richtlinien und Client-Konfigurationen im Richtlinienkatalog, indem Sie vorhandene Elemente duplizieren und dann bearbeiten. Weisen Sie Regelsätze zu Richtlinien zu, und wenden Sie sie im DLP-Richtlinien-Manager auf der Registerkarte Richtlinienzuweisung auf die McAfee ePO-Datenbank an. Weisen Sie Richtlinien und Client-Konfigurationen zur Bereitstellung auf den Endgerät-Computern in der Systemstruktur von McAfee ePO zu. Bearbeiten der McAfee DLP-Server-Einstellungen McAfee DLP Endpoint fügt Standard-Konfigurationseinstellungen in die McAfee ePO-Server-Einstellungen ein. Diese Einstellungen können nach Bedarf bearbeitet werden. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 41 5 Konfigurieren von Systemkomponenten Definieren eines Servers für die Rechteverwaltung Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Konfiguration | Server-Einstellungen | Data Loss Prevention aus. 2 Klicken Sie auf Bearbeiten. 3 Sie können die folgenden Parameter bearbeiten. Option Definition Lizenzschlüssel Hiermit wird die installierte Version ermittelt: McAfee Device Control oder McAfee DLP Endpoint-Vollversion. Sie können zu jeder Version auch eine Lizenz für McAfee DLP Discover hinzufügen. Standard-Nachweisspeicherung Dies ist der UNC-Pfad für die Netzwerkfreigabe. Der Pfad muss eine Netzwerkfreigabe sein, d. h., er muss den Server-Namen enthalten. Freigegebenes Kennwort Das Kennwort für die Außerkraftsetzung zum Deinstallieren der Software, zum Freigeben von Dateien aus der Quarantäne, zum Verschlüsseln von Nachweisen und zum vorübergehenden Umgehen des Clients. Länge des Abfrage/ Antwort-Schlüssels Wird vom Help Desk zum Freigeben isolierter Dateien oder zum Festlegen des Client-Umgehungsmodus verwendet. Systemstrukturberechtigungen erzwingen Systemstrukturberechtigungen können zum Filtern von Vorfällen in den Konsolen DLP-Vorfalls-Manager und Operative DLP-Ereignisse verwendet werden. Verwenden Sie diese Einstellungen zum Verwenden oder Ignorieren von Systemstrukturberechtigungen. Fallverwaltung Hier wählen Sie aus, ob der Besitzer des Falls, der Übermittler des Falls oder beide per E Mail benachrichtigt werden sollen. Letzte Sicherung Hier wird die letzte Sicherung angezeigt, und Sie können die aktuellen Einstellungen in einer Datei speichern. Letzte Wiederherstellung Hier wird die letzte wiederhergestellte Version angezeigt, und Sie können die gespeicherten Einstellungen aus einer Datei wiederherstellen. Definieren eines Servers für die Rechteverwaltung McAfee DLP Endpoint unterstützt zwei Rechteverwaltungssysteme: Microsoft Windows Rights Management Services (RMS) und Seclore FileSecure™. Zur Verwendung dieser Systeme müssen Sie den Server konfigurieren, der die Richtlinien für die Rechteverwaltung in McAfee ePO bereitstellt. Bevor Sie beginnen 42 • Richten Sie die Rechteverwaltungs-Server ein, und erstellen Sie Benutzer und Richtlinien. Beschaffen Sie sich die URL und das Kennwort für alle Server (Richtlinienvorlage, Zertifizierung und Lizenzierung). Für Seclore benötigen Sie die Hot Folder-ID der CAB-Datei und die Passphrase sowie ggf. Informationen über erweiterte Lizenzen. • Vergewissern Sie sich, dass Sie über die Berechtigung zum Anzeigen, Erstellen und Bearbeiten der Microsoft RMS- und Seclore-Server besitzen. Wählen Sie in McAfee ePO Menü | Benutzerverwaltung | Berechtigungssätze aus, und vergewissern Sie sich, dass Sie zu einer Gruppe gehören, die in Registrierte Server über die erforderlichen Berechtigungen verfügt. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 5 Konfigurieren von Systemkomponenten Dokumentieren von Ereignissen mit Nachweis Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Registrierte Server aus. 2 Klicken Sie auf Neuer Server. Daraufhin öffnet sich die Beschreibungsseite Registrierte Server. 3 Wählen Sie in der Dropdown-Liste Server-Typ den zu konfigurierenden Server-Typ aus: Microsoft RMS-Server oder Seclore-Server. 4 Geben Sie einen Namen für die Server-Konfiguration ein, und klicken Sie dann auf Weiter. 5 Geben Sie die erforderlichen Details ein. Klicken Sie nach dem Ausfüllen aller erforderlichen Felder auf Verbindung testen, um die eingegebenen Daten zu überprüfen. 6 • Zu den RMS-Einstellungen gehört auch der Abschnitt DLP-Erzwingungseinstellungen. Das Feld Lokaler Pfad zur RMS-Vorlage ist optional, die URL-Felder für die Zertifizierung und Lizenzierung müssen jedoch ausgefüllt werden, sofern die Option zur automatischen Erkennung von Active Directory-Diensten nicht aktiviert ist. • Für Seclore sind nur Angaben zur HotFolder-CAB-Datei erforderlich, zusätzliche Lizenzinformationen sind optional. Klicken Sie nach Abschluss der Konfiguration auf Speichern. Dokumentieren von Ereignissen mit Nachweis Ein Nachweis ist eine Kopie der Datei oder E-Mail, die ein Sicherheitsereignis ausgelöst hat, das an den DLP-Vorfalls-Manager gesendet wird. Einige Regeln bieten eine Option zum Speichern von Nachweisen. Bei Aktivierung dieser Option wird eine verschlüsselte Kopie der blockierten bzw. überwachten Inhalte in einem vordefinierten Nachweisordner auf dem Endgerät-Computer gespeichert. Wenn McAfee DLP Endpoint Informationen an den Server weiterleitet, wird der Ordner bereinigt, und der Nachweis wird im Nachweisordner des Servers gespeichert. Mit den Einstellungen unter Richtlinienkatalog | Client-Konfiguration | Nachweiskopierdienst | Nachweiskopierdienst werden die maximale Größe und das maximale Alter der Nachweisspeicherung festgelegt, wenn der Computer offline ist. Voraussetzungen für die Nachweisspeicherung Die Nachweisspeicherung ist in McAfee DLP Endpoint standardmäßig aktiviert. Wenn Sie keine Nachweise benötigen, können Sie den Nachweisdienst zur Leistungsverbesserung deaktivieren. Folgendes ist bei der Einrichtung der Software entweder erforderlich oder wird als Standardeinstellung festgelegt: • Ordner für Nachweisspeicherung: Zur Anwendung einer Richtlinie für McAfee ePO müssen Sie einen Ordner für die Nachweisspeicherung erstellen und den UNC-Pfad zu diesem Ordner angeben. Die Einrichtung der Ordner und die Festlegung der Zugangsberechtigungen (auch als Nachweisnetzwerkfreigabe bezeichnet) werden unter Erstellen und Konfigurieren von Repository-Ordnern in diesem Benutzerhandbuch ausführlich beschrieben. Der Pfad muss im Richtlinienkatalog auf der Seite Nachweiskopierdienst der Client-Konfigurationsrichtlinie angegeben werden. • Nachweiskopierdienst: Der Nachweiskopierdienst wird auf der Seite Betriebsmodus und Module der Client-Konfigurationsrichtlinie aktiviert. Dies ist ein Untereintrag von Berichterstellungsdienst; diese Option muss für die Nachweiserfassung ebenfalls aktiviert sein. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 43 5 Konfigurieren von Systemkomponenten Dokumentieren von Ereignissen mit Nachweis Nachweisspeicherung und Arbeitsspeicher Die Anzahl der pro Ereignis gespeicherten Nachweisdateien hat Auswirkungen auf das Speichervolumen, die Leistung der Ereignisanalyse und die Darstellung der Seiten DLP-Vorfalls-Manager und Operative DLP-Ereignisse auf dem Bildschirm und damit auf die Qualität der Benutzererfahrung. Die verschiedenen Anforderungen bezüglich der Nachweise werden in der McAfee DLP Endpoint-Software wie folgt gehandhabt: • Die Höchstanzahl der pro Ereignis zu speichernden Nachweisdateien wird auf der Seite Nachweiskopierdienst der Client-Konfigurationsrichtlinie festgelegt. Der Standardwert ist 1.000. • Wenn eine hohe Anzahl von Nachweisdateien mit einem bestimmten Ereignis verknüpft werden, werden nur die ersten 100 Dateinamen in der Datenbank gespeichert und auf der Detailseite des DLP-Vorfalls-Managers angezeigt. Die weiteren Nachweisdateien (bis zur festgelegten Höchstanzahl) werden in der Nachweisspeicherungs-Freigabe gespeichert, jedoch nicht mit dem Ereignis verknüpft. Berichte und Abfragen, die die Nachweise anhand des Dateinamens filtern, haben nur Zugriff auf diese ersten 100 Dateinamen. • Im Feld Gesamtanzahl von Übereinstimmungen des DLP-Vorfalls-Managers wird die Gesamtzahl der Nachweise angezeigt. Hervorheben von Übereinstimmungen Mithilfe der Option zum Hervorheben von Übereinstimmungen können Administratoren gezielt überprüfen, welche vertraulichen Inhalte das jeweilige Ereignis ausgelöst haben. Bei Auswahl dieser Option wird eine verschlüsselte HTML-Datei gespeichert, die den extrahierten Text enthält. Für Tags und Inhaltskategorien umfasst der Text ein hervorgehobenes Wort bzw. eine hervorgehobene Wortfolge sowie die vorangehenden und nachfolgenden 100 Zeichen (als Kontext). Die Nachweise werden anhand des Tags bzw. der Inhaltskategorie sortiert, das bzw. die das Ereignis ausgelöst hat, und es wird zudem die Anzahl der Ereignisse pro Tag/Inhaltskategorie angegeben. Bei gesicherten Textmustern und Wörterbüchern wird der genaue Text extrahiert. Für reguläre Ausdrücke und genau übereinstimmende Stichwörter werden bis zu 100 Treffer pro Ausdruck angezeigt; für Wörterbücher bis zu 250 Treffer pro Wörterbucheintrag. Anzeigeoptionen werden auf der Seite Nachweiskopierdienst der Client-Konfigurationsrichtlinie im Feld Klassifizierung entspricht Datei festgelegt: • Abgekürzte Ergebnisse erstellen (Standardeinstellung): Es werden 1500 Zeichen (5–7 Treffer) pro Abschnitt angezeigt. • Alle Übereinstimmungen erstellen: Es werden alle Treffer angezeigt, wobei die zuvor genannten Beschränkungen gelten. • Deaktiviert: Deaktiviert die Funktion zur Hervorhebung von Übereinstimmungen. Regeln, bei denen die Nachweisspeicherung möglich ist Bei den folgenden Regeln besteht die Möglichkeit zur Nachweisspeicherung. Tabelle 5-1 Anhand von Regeln gespeicherter Nachweis 44 Regel Gespeicherter Inhalt Regel für den Schutz des Zugriffs auf Anwendungsdateien Kopie der Datei Zwischenablage-Schutzregel Kopie der Zwischenablage Cloud-Schutzregel Kopie der Datei E-Mail-Schutzregel Kopie der E-Mail Netzwerkfreigabe-Schutzregel Kopie der Datei Druckerschutzregel Kopie der Datei Wechselspeicher-Schutzregel Kopie der Datei McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Konfigurieren von Systemkomponenten Dokumentieren von Ereignissen mit Nachweis 5 Tabelle 5-1 Anhand von Regeln gespeicherter Nachweis (Fortsetzung) Regel Gespeicherter Inhalt Bildschirmaufnahme-Schutzregel JPEG-Bild des Bildschirms Web-Veröffentlichungsschutzregel Kopie der Web-Veröffentlichung Dateisystem-Erkennungsregel Kopie der Datei E-Mail-Speicher-Erkennungsregel Kopie der MSG-Datei Erstellen von Nachweisordnern Nachweisordner enthalten Informationen, die von der McAfee DLP-Software zum Erstellen von Richtlinien und Berichten verwendet werden. Abhängig von Ihrer McAfee DLP-Installation müssen bestimmte Ordner und Netzwerkfreigaben erstellt und ihre Eigenschaften und Sicherheitseinstellungen entsprechend konfiguriert werden. Die Ordner müssen sich nicht auf demselben Computer befinden wie der McAfee DLP-Datenbank-Server, in der Regel bietet es sich jedoch an. Nachweisordner: In einigen Regeln kann festgelegt werden, dass Nachweise gespeichert werden sollen. Hierfür müssen Sie vorher festlegen, wo diese Nachweisdateien gespeichert werden sollen. Wenn beispielsweise eine Datei blockiert wird, wird eine Kopie dieser Datei im Nachweisordner abgelegt. Die folgenden Ordnerpfade, Ordnernamen und Freigabenamen sind Empfehlungen, Sie können jedoch passend für Ihre Umgebung andere erstellen. • C:\DLP_Ressourcen\ • C:\DLP_Ressourcen\Nachweis Der Nachweisspeicherpfad muss eine Netzwerkfreigabe sein, d. h., er muss den Namen des McAfee ePO-Servers enthalten. Konfigurieren von Nachweisordnern Für die Konfiguration von Nachweisordnern sind bestimmte Sicherheitseinstellungen erforderlich. Bevor Sie beginnen Erstellen Sie den Nachweisordner. Vorgehensweise 1 Klicken Sie in Windows Explorer mit der rechten Maustaste auf den Nachweisordner, und wählen Sie dann Eigenschaften aus. 2 Klicken Sie auf die Registerkarte Freigabe und dann auf Erweiterte Freigabe. Wählen Sie die Option Diesen Ordner freigeben aus. a Ändern Sie den Namen im Feld Freigabename zu evidence$. Klicken Sie auf OK. Das $ gibt an, dass die Freigabe verborgen wird. b Klicken Sie auf Berechtigungen, und wählen Sie unter Berechtigungen für "Jeder" Vollzugriff aus. Klicken Sie zweimal auf OK. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 45 5 Konfigurieren von Systemkomponenten Benutzer- und Berechtigungssätze 3 Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert. a Klicken Sie auf der Registerkarte Berechtigungen auf Berechtigungen ändern, und deaktivieren Sie dann die Option Vererbbare Berechtigungen des übergeordneten Objektes einschließen. In einer Bestätigungsmeldung wird erläutert, welche Auswirkungen diese Einstellung auf den Ordner hat. b Klicken Sie auf Entfernen. Auf der Registerkarte Berechtigungen im Fenster Erweiterte Sicherheitseinstellungen wird nun angezeigt, dass alle Berechtigungen entfernt wurden. c Klicken Sie auf Hinzufügen, um einen Objekttyp auszuwählen. d Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Objektnamen Domänen-Computer ein, und klicken Sie dann auf OK. Daraufhin öffnet sich das Dialogfeld Berechtigungseintrag. e Wählen Sie in der Spalte Zulassen die Optionen Dateien erstellen/Daten schreiben und Ordner erstellen/Daten anhängen aus. Vergewissern Sie sich, dass für die Option Übernehmen für die Einstellung Diesen Ordner, Unterordner und Dateien ausgewählt ist, und klicken Sie anschließend auf OK. Das Fenster Erweiterte Sicherheitseinstellungen enthält nun den Eintrag Domänen-Computer. f Klicken Sie erneut auf Hinzufügen, um einen Objekttyp auszuwählen. g Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Objektnamen Administratoren ein, und klicken Sie auf OK, um das Dialogfeld Berechtigungseintrag anzuzeigen. Legen Sie die erforderlichen Berechtigungen fest. Das Hinzufügen der Administratoren ist nicht zwingend erforderlich, bietet jedoch zusätzliche Sicherheit. Sie können auch nur den Administratoren Berechtigungen zuweisen, die Richtlinien bereitstellen. 4 Klicken Sie zum Schließen des Dialogfelds zweimal auf OK. Benutzer- und Berechtigungssätze McAfee DLP verwendet die Benutzer und Berechtigungssätze aus McAfee ePO. So können Sie verschiedene Bereiche der McAfee DLP-Verwaltung unterschiedlichen Benutzern oder Gruppen zuweisen. Es wird empfohlen, bestimmte McAfee DLP-Benutzer oder -Gruppen sowie Administrator- und Prüferberechtigungen in McAfee ePO zu erstellen. Sie können verschiedene Rollen erstellen, indem Sie Benutzern verschiedene Berechtigungen für McAfee DLP Endpoint und die DLP-Ereignisverwaltung zuweisen. Unterstützung von Filterberechtigungen für die Systemstruktur McAfee DLP Endpoint unterstützt Filterberechtigungen für die McAfee ePO-Systemstruktur in der DLP-Ereignisverwaltung und in Operative DLP-Ereignisse. Bei aktivierter Filterung in der Systemstruktur können McAfee ePO-Bediener nur Vorfälle auf Computern in dem Bereich der Systemstruktur sehen, für den sie über eine Berechtigung verfügen. Gruppenadministratoren haben standardmäßig keine Berechtigungen in der McAfee ePO-Systemstruktur. Unabhängig von den im Berechtigungssatz Data Loss Prevention zugewiesenen Berechtigungen werden für sie keine Vorfälle in der 46 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 5 Konfigurieren von Systemkomponenten Benutzer- und Berechtigungssätze DLP-Ereignisverwaltung und in Operative DLP-Ereignisse angezeigt. Die Filterung der Systemstruktur ist standardmäßig deaktiviert; sie kann jedoch unter Menü | Server-Einstellungen | Data Loss Prevention aktiviert werden. Kunden, die Gruppenadministratoren in Data Loss Prevention-Berechtigungssätzen verwendet haben, sollten Gruppenadministratoren die Berechtigung Registerkarte "Systemstruktur" anzeigen (unter Systeme) sowie die Berechtigungen für Systemstrukturzugriff auf der jeweiligen Ebene zuweisen. Unkenntlichmachung vertraulicher Daten und McAfee ePO-Berechtigungssätze Die McAfee DLP Endpoint-Software bietet eine Funktion, mit der Daten unkenntlich gemacht werden können, um den gesetzlichen Bestimmungen in einigen Märkten gerecht zu werden, die den vollständigen Schutz vertraulicher Informationen vorschreiben. Felder in den Konsolen für die DLP-Ereignisverwaltung und Operative DLP-Ereignisse, die vertrauliche Informationen enthalten, können unkenntlich gemacht werden, um die nicht autorisierte Einsichtnahme zu verhindern, und Links zu vertraulichen Nachweisen werden ausgeblendet. Die Freigabe dieser Felder ist aus Sicherheitsgründen zweistufig angelegt. Zur Verwendung dieser Funktion müssen daher zwei Berechtigungssätze erstellt werden: einer zum Anzeigen der Vorfälle und Ereignisse und ein weiterer zum Anzeigen der unkenntlich gemachten Felder (Supervisor-Berechtigung). Beide Rollen können demselben Benutzer zugewiesen werden. McAfee DLP-Berechtigungssätze Mit McAfee DLP-Berechtigungssätzen werden Berechtigungen zum Anzeigen und Speichern von Richtlinien sowie zum Anzeigen unkenntlich gemachter Felder zugewiesen. Darüber hinaus werden sie zur Zuweisung der rollenbasierten Zugangskontrolle (Role-Based Access Control, RBAC) verwendet. Bei der Installation der McAfee DLP-Server-Software wird der McAfee ePO-Berechtigungssatz Data Loss Prevention 9.4 hinzugefügt. Wenn eine Vorversion von McAfee DLP auf demselben McAfee ePO-Server installiert ist, wird der Data Loss Prevention-Berechtigungssatz ebenfalls angezeigt. Die Berechtigungen im Berechtigungssatz Data Loss Prevention 9.4 decken alle Bereiche der Verwaltungskonsole ab, nicht nur den Vorfalls-Manager. Es gibt drei Berechtigungsstufen: • Verwenden: Dem Benutzer werden nur Namen der Objekte (Definitionen, Klassifizierungen usw.) und keine Details angezeigt. Die Mindestberechtigung für Richtlinien ist Keine Berechtigung. • Anzeigen und verwenden: Dem Benutzer werden Detailinformationen über die Objekte angezeigt, diese können jedoch nicht geändert werden. • Vollständige Berechtigung: Der Benutzer kann Objekte erstellen und ändern. Sie können Berechtigungen für verschiedene Abschnitte der Verwaltungskonsole festlegen und somit Administratoren und Prüfern nach Bedarf verschiedene Berechtigungen erteilen. Die Abschnitte sind in einer logischen Hierarchie gruppiert, beispielsweise werden bei der Auswahl von Klassifizierungen automatisch Definitionen ausgewählt, da zur Konfiguration der Klassifizierungskriterien Definitionen benötigt werden. Die Berechtigungsgruppen sind: • Richtlinienkatalog • DLP-Richtlinien-Manager • Klassifizierungen • DLP-Richtlinien-Manager • Klassifizierungen • Definitionen • Klassifizierungen • Definitionen • Definitionen McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 47 5 Konfigurieren von Systemkomponenten Benutzer- und Berechtigungssätze Vorfallverwaltung, Operative Ereignisse und Fallverwaltung können separat ausgewählt werden. Die Berechtigungen für Data Loss Prevention-Aktionen wurden in den Berechtigungssatz Helpdesk-Aktionen verschoben. Mithilfe dieser Berechtigungen können Administratoren Schlüssel für die Umgehung von Clients, Deinstallationsschlüssel, Schlüssel für die Freigabe aus der Quarantäne und Master-Schlüssel generieren. Zusätzlich zu den Standardberechtigungen für den Abschnitt können Sie für jedes Objekt eine Außerkraftsetzung festlegen. Die Außerkraftsetzung kann die Berechtigungsstufe entweder erhöhen oder verringern. So werden beispielsweise in den Berechtigungen des DLP-Richtlinien-Managers alle bei Erstellung des Berechtigungssatzes vorhandenen Regelsätze aufgelistet. Sie können für jedes Objekt eine andere Außerkraftsetzung festlegen. Neu erstellten Regelsätzen wird die Standard-Berechtigungsstufe zugewiesen. Erstellen eines McAfee DLP-Berechtigungssatzes Berechtigungssätze werden zum Definieren verschiedener administrativer Rollen und Prüferrollen in der McAfee DLP-Software verwendet. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Berechtigungssätze aus. 2 Wählen Sie einen vordefinierten Berechtigungssatz aus, oder klicken Sie auf Neu, um einen Berechtigungssatz zu erstellen. 3 a Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie Benutzer aus. b Klicken Sie auf Speichern. Wählen Sie einen Berechtigungssatz aus, und klicken Sie dann im Abschnitt Data Loss Prevention 9.4 auf Bearbeiten. a Wählen Sie im linken Bereich ein Datenschutzmodul aus. Vorfallverwaltung, Operative Ereignisse und Fallverwaltung können separat ausgewählt werden. Mit anderen Optionen werden automatisch vordefinierte Gruppen erstellt. 48 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Konfigurieren von Systemkomponenten Benutzer- und Berechtigungssätze b 5 Bearbeiten Sie nun die gewünschten Optionen, und setzen Sie die Berechtigungen nach Bedarf außer Kraft. Im Richtlinienkatalog sind keine bearbeitbaren Optionen verfügbar. Wenn Sie einem Berechtigungssatz den Richtlinienkatalog hinzufügen, können Sie jedoch die Untermodule in der Gruppe Richtlinienkatalog bearbeiten. c Klicken Sie auf Speichern. Anwendungsbeispiel: DLP-Administratorberechtigungen Sie können die Administratoraufgaben nach Bedarf aufteilen. So könnten Sie beispielsweise einen Richtlinienadministrator erstellen, der nicht für die Überprüfung von Ereignissen zuständig ist. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Berechtigungssätze aus. 2 Klicken Sie auf Neu, um einen Berechtigungssatz zu erstellen. a Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie Benutzer aus. Um eine Richtlinie bearbeiten zu können, muss der Benutzer entweder der Richtlinienbesitzer oder ein Mitglied des Berechtigungssatzes der globalen Administratoren sein. b 3 Klicken Sie auf Speichern. Wählen Sie im Berechtigungssatz Data Loss Prevention 9.4 die Option Richtlinienkatalog aus. DLP-Richtlinien-Manager, Klassifizierungen und Definitionen werden automatisch ausgewählt. 4 Vergewissern Sie sich in jedem der drei Submodule, dass der Benutzer über vollständige Berechtigungen und Vollzugriff verfolgt. Vollständige Berechtigungen sind die Standardeinstellung. Der Administrator kann nun Richtlinien, Regeln, Klassifizierungen und Definitionen erstellen und ändern. Anwendungsbeispiel: Einschränkung der Anzeige im DLPVorfalls-Manager anhand von Berechtigungen zur Unkenntlichmachung McAfee DLP Endpoint bietet eine Funktion zur Unkenntlichmachung von Daten, damit vertrauliche Daten geschützt und die in einigen Märkten geltenden entsprechenden gesetzlichen Vorgaben erfüllt werden können. Bei Einsatz dieser Funktion werden bestimmte Felder im DLP-Vorfalls-Manager und in den Operativen DLP-Ereignissen, die vertrauliche Informationen enthalten, verschlüsselt, sodass die nicht autorisierte Anzeige unterbunden wird, und die Links zu den Nachweisdateien werden ausgeblendet. Die Felder Computer-Name und Benutzername sind als privat vordefiniert. Dieses Beispiel veranschaulicht, wie die Berechtigungen im DLP-Vorfalls-Manager für einen Prüfer der unkenntlich gemachten Daten eingerichtet werden. Dies ist ein bestimmter Administrator, der zwar keine Vorfälle anzeigen, jedoch verschlüsselte Felder sichtbar machen kann, wenn dies für einen anderen Prüfer, der diesen Vorfall anzeigen muss, erforderlich ist. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 49 5 Konfigurieren von Systemkomponenten Benutzer- und Berechtigungssätze Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Benutzerverwaltung | Berechtigungssätze aus. 2 Erstellen Sie für reguläre Prüfer und für den Prüfer der unkenntlich gemachten Daten entsprechende Berechtigungssätze. a Klicken Sie auf Neu (oder auf Aktionen | Neu). b Geben Sie einen Namen für die Gruppe ein, beispielsweise DLPE-Vorfallprüfer oder Prüfer für unkenntlich gemachte Daten. Sie können verschiedenen Prüfergruppen unterschiedliche Vorfalltypen zuweisen. Die Gruppen müssen erst unter Berechtigungssätze angelegt werden, bevor Sie ihnen Vorfälle zuweisen können. c Weisen Sie der Gruppe nun Benutzer zu, entweder aus den verfügbaren McAfee ePO-Benutzern oder durch Zuordnen von Active Directory-Benutzern oder -Gruppen zum Berechtigungssatz. Klicken Sie auf Speichern. Die Gruppe wird im linken Fensterbereich in der Liste Berechtigungssätze angezeigt. 3 Wählen Sie einen Standardprüfer-Berechtigungssatz aus, und klicken Sie dann im Abschnitt Data Loss Prevention 9.4 auf Bearbeiten. a Wählen Sie im linken Fensterbereich Vorfallverwaltung aus. b Wählen Sie im Abschnitt Vorfallprüfer die Option Benutzer kann die den folgenden Berechtigungssätzen zugewiesenen Vorfälle anzeigen aus, klicken Sie auf das Auswahlsymbol, und wählen Sie die entsprechenden Berechtigungssätze aus. c Heben Sie im Abschnitt Unkenntlichmachung der Vorfalldaten die standardmäßige Auswahl von Supervisor-Berechtigung auf, und wählen Sie die Option Vertrauliche Vorfalldaten verschleiern aus. Bei Auswahl dieser Option werden vertrauliche Daten unkenntlich gemacht, andernfalls werden alle Datenfelder als Klartext angezeigt. 4 d Aktivieren bzw. deaktivieren Sie im Abschnitt Vorfall-Tasks die erforderlichen Tasks nach Bedarf. e Klicken Sie auf Speichern. Wählen Sie den Berechtigungssatz für Prüfer von unkenntlich gemachten Daten aus, und klicken Sie dann im Abschnitt Data Loss Prevention 9.4 auf Bearbeiten. a Wählen Sie im linken Fensterbereich Vorfallverwaltung aus. b Wählen Sie im Abschnitt Vorfallprüfer die Option Benutzer kann alle Vorfälle anzeigen aus. Für dieses Beispiel wird angenommen, dass ein einziger Prüfer für unkenntlich gemachte Daten für alle Vorfälle zuständig ist. Sie können verschiedenen Sätzen von Vorfällen jedoch auch unterschiedliche Prüfer für unkenntlich gemachte Daten zuweisen. c Wählen Sie im Abschnitt Unkenntlichmachung der Vorfalldaten sowohl die Option Supervisor-Berechtigung als auch die Option Vertrauliche Vorfalldaten verschleiern aus. d Heben Sie im Abschnitt Vorfall-Tasks die Auswahl aller Tasks auf. Normalerweise haben Prüfer für unkenntlich gemachte Daten keine anderen Prüfer-Tasks. Dies ist jedoch nicht vorgeschrieben und kann in Ihrem Unternehmen anders gehandhabt werden. e 50 Klicken Sie auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 5 Konfigurieren von Systemkomponenten Konfigurieren von McAfee DLP im Richtlinienkatalog Konfigurieren von McAfee DLP im Richtlinienkatalog McAfee DLP verwendet den McAfee ePO-Richtlinienkatalog zum Speichern von Richtlinien und Client-Konfigurationen. McAfee DLP erstellt Richtlinien im McAfee ePO-Richtlinienkatalog: • Client-Konfiguration • DLP-Richtlinie Die Richtlinie Client-Konfiguration enthält Einstellungen, mit denen die Arbeitsweise der Endgerät-Computer mit Richtlinien festgelegt wird. Die DLP-Richtlinie umfasst Regelsätze, die Konfiguration der Endgeräteerkennung und Einstellungen. Importieren oder Exportieren der McAfee DLP EndpointKonfiguration Richtlinienkonfigurationen können im HTML-Format für Sicherungszwecke oder zum Übertragen von Richtlinien auf anderen McAfee ePO-Server gespeichert werden. Das Importieren und Exportieren von Richtlinien erfolgt über den McAfee ePO-Richtlinienkatalog. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Richtlinienkatalog | Produkt | Data Loss Prevention 9.4 aus. 2 Führen Sie eine der folgenden Aktionen aus: • Klicken Sie zum Exportieren auf Exportieren. Klicken Sie im Fenster Exportieren mit der rechten Maustaste auf den Datei-Link, und wählen Sie Link speichern unter aus, um die Richtlinie als XML-Datei zu speichern. Mit der Schaltfläche Exportieren werden alle Richtlinien exportiert. Sie können eine einzelne Richtlinie exportieren, indem Sie in der Zeile mit dem Richtliniennamen in der Spalte Aktionen die Option Exportieren auswählen. • Klicken Sie zum Importieren einer gespeicherten Richtlinie auf Importieren. Navigieren Sie im Fenster Richtlinien importieren zu einer gespeicherten Richtlinie, und klicken Sie auf Öffnen und dann auf OK. Daraufhin öffnet sich das Importfenster, in dem die zu importierenden Richtlinien aufgeführt werden und angegeben wird, ob ein Namenskonflikt besteht. Sie können die Auswahl der Richtlinien, bei denen ein Konflikt besteht, aufheben und diese nicht importieren. Wenn Sie eine Richtlinie mit einem Namenskonflikt importieren, überschreibt diese die bestehende Richtlinie und übernimmt deren Zuweisungen. Client-Konfiguration Die Client-Software McAfee DLP Endpoint für McAfee Agent ist auf den Unternehmens-Computern installiert und führt die definierte Richtlinie aus. Außerdem überwacht die Software Benutzeraktivitäten in Zusammenhang mit vertraulichen Inhalten. Die Client-Konfiguration wird in der Richtlinie gespeichert, die auf verwalteten Computern bereitgestellt wird. Der Richtlinienkatalog enthält McAfee-Standard-Richtlinien für die Endgerätkonfiguration und Endgerätrichtlinien. Klicken Sie auf Duplizieren (in der Spalte Aktionen), um eine bearbeitbare Kopie als Grundlage für Ihre Richtlinie zu erstellen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 51 5 Konfigurieren von Systemkomponenten Konfigurieren von McAfee DLP im Richtlinienkatalog Die Client-Konfiguration wird in der Richtlinie gespeichert, die über McAfee ePO auf verwalteten Computern bereitgestellt wird. Wenn die Konfiguration geändert wird, müssen Sie die Richtlinie erneut bereitstellen. Client-Dienst-Watchdog McAfee DLP Endpoint führt einen Schutzdienst namens Client-Dienst-Watchdog aus, um die ordnungsgemäße Funktion der McAfee DLP Endpoint-Software auch im Fall von Manipulations- oder Störversuchen aufrechtzuerhalten. Dieser Dienst überwacht die McAfee DLP Endpoint-Software und startet sie neu, falls sie aus jeglichem Grund beendet wird. Der Dienst ist standardmäßig aktiviert. Wenn Sie überprüfen möchten, ob dieser Dienst ausgeführt wird, suchen Sie im Microsoft Windows Task-Manager nach dem Prozess "fcagswd.exe". OS X-Unterstützung für Client-Konfigurationsparameter Client-Konfigurationseinstellungen können auf Endgerät-Computer unter Microsoft Windows und OS X angewendet werden. Unter OS X ignoriert die McAfee DLP Endpoint-Client-Software Parameter, die auf diesem Betriebssystem nicht unterstützt werden. Tabelle 5-2 Seite 'Debugging und Protokollierung' Parameter Unterstützte Betriebssysteme Von den Clients gemeldete Verwaltungsereignisse Folgende Filtereinstellungen gelten für OS X und Microsoft Windows: • Client wechselt in Umgehungsmodus • Richtlinienänderung • Client beendet Umgehungsmodus • Freigabecode gesperrt • Client wurde installiert Alle anderen Einstellungen gelten nur für Endgeräte unter Microsoft Windows. Protokollierung Wird unter Microsoft Windows und OS X unterstützt. Tabelle 5-3 Seite 'Komponenten der Benutzeroberfläche' Abschnitt Parameter Unterstützte Betriebssysteme Client-Benutzeroberfläche DLP-Konsole anzeigen (alle Optionen) Nur Microsoft Windows Benachrichtigungs-Pop-Up für Endbenutzer OS X und Microsoft Windows aktivieren Dialogfeld 'Begründung anfordern' anzeigen Nur Microsoft Windows Abfrage und Antwort Alle Optionen OS X und Microsoft Windows Richtlinie zum Sperren des Freigabecodes Alle Optionen OS X und Microsoft Windows Bild für Client-Banner Alle Optionen Nur Microsoft Windows Client-Konfigurationseinstellungen Mit den Client-Konfigurationseinstellungen wird die Arbeitsweise der Endgeräte-Software festgelegt. Sie sollten beim Konfigurieren der Software überprüfen, ob die Client-Konfigurationseinstellungen Ihren Anforderungen entsprechen. Die meisten Einstellungen verfügen über geeignete Standardwerte, die für die Ersteinrichtung und zu Testzwecken übernommen werden können. In der folgenden Liste werden einige der wichtigen Einstellungen aufgeführt, die Sie überprüfen sollten. 52 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 5 Konfigurieren von Systemkomponenten Konfigurieren von McAfee DLP im Richtlinienkatalog Tabelle 5-4 Endgerätkonfiguration Einstellung Details Beschreibung Erweiterte Konfiguration DLP-Client im sicheren Modus ausführen Diese Option ist standardmäßig deaktiviert. Bei Aktivierung dieser Option arbeitet McAfee DLP Endpoint mit vollem Funktionsumfang, wenn der Computer im sicheren Modus gestartet wird. Es gibt einen Wiederherstellungsmechanismus, falls der McAfee DLP Endpoint-Client einen Startfehler verursacht. Inhaltsüberwachung Folgende alternative ANSI-Codepage verwenden Wenn keine Sprache festgelegt ist, ist die Alternative die Sprache des Endgerät-Computers. Unternehmenskonnektivität Server-Adresse Sie können verschiedene vorbeugende Aktionen für Endgerät-Computer im Unternehmensnetzwerk, außerhalb des Netzwerks oder bei Verbindung über ein VPN anwenden. Zur Verwendung der VPN-Option müssen Sie die IP-Adresse des Servers angeben. Nachweiskopierdienst UNC-Pfad der Freigabe für die Nachweisspeicherung Ersetzen Sie den Beispieltext durch die zur Nachweisspeicherung verwendete Freigabe. Betriebsmodus und Module Zur Verbesserung der Leistung wird empfohlen, die Auswahl nicht verwendeter Module aufzuheben. Web-Veröffentlichungsschutz Unterstützte Chrome-Versionen Wenn Sie Google Chrome verwenden, klicken Sie auf Durchsuchen, um die aktuelle Liste der unterstützten Versionen hinzuzufügen. Die Liste ist eine XML-Datei, die Sie auf der McAfee-Support-Website herunterladen können. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 53 5 Konfigurieren von Systemkomponenten Konfigurieren von McAfee DLP im Richtlinienkatalog 54 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 6 Schutz von Wechselspeichermedien ® McAfee Device Control schützt Unternehmen vor dem Risiko der nicht autorisierten Übertragung vertraulicher Inhalte, das mit der Nutzung von Speichermedien einhergeht. Device Control kann Geräte überwachen bzw. blockieren, die an vom Unternehmen verwaltete Computer angeschlossen sind, sodass sie deren Verwendung zur Verteilung vertraulicher Informationen überwachen und steuern können. Steuerbare Geräte sind u. a. Smartphones, Wechselspeichermedien, Bluetooth-Geräte, MP3-Player und Plug-and-Play-Geräte. McAfee Device Control ist eine als separates Produkt vertriebene Komponente von McAfee DLP Endpoint. Dieser Abschnitt bezieht sich zwar auf Device Control, alle Funktionen und Beschreibungen gelten jedoch auch für McAfee DLP Endpoint. Tabelle 6-1 Device Control-Fachbegriffe Begriff Gilt für Betriebssysteme: Definition Geräteklasse Windows Eine Gruppe von Geräten, die ähnliche Merkmale aufweisen und auf eine ähnliche Art und Weise verwaltet werden können. Geräteklassen können den Status Verwaltet, Nicht verwaltet oder In der Whitelist haben. Gerätedefinition Windows, Mac Eine Liste von Geräteeigenschaften, anhand der Geräte identifiziert oder in Gruppen zusammengefasst werden können. Geräteeigenschaft Windows, Mac Eine Eigenschaft wie z. B. Bustyp, Anbieter-ID oder Produkt-ID, die zum Definieren eines Geräts verwendet werden kann. Geräteregel Windows, Mac Legt die Aktion fest, die durchgeführt wird, wenn ein Benutzer versucht, ein Gerät zu verwenden, das einer in der Richtlinie enthaltenen Gerätedefinition entspricht. Die Regel wird entweder auf Gerätetreiberebene oder auf Ebene des Dateisystems auf die Hardware angewendet. Geräteregeln können auch bestimmten Endbenutzern zugewiesen werden. Verwaltetes Gerät Windows Dieser Geräteklassenstatus bedeutet, dass die Geräte dieser Klasse von Device Control verwaltet werden. Regel für Wechselspeichermedien Windows, Mac Wird zum Blockieren oder Überwachen eines Geräts bzw. zum Setzen eines Schreibschutzes verwendet. Siehe Geräteregel. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 55 6 Schutz von Wechselspeichermedien Schützen von Geräten Tabelle 6-1 Device Control-Fachbegriffe (Fortsetzung) Begriff Gilt für Betriebssysteme: Definition Wechselspeicher-Schutzregel Windows Definiert die durchzuführende Aktion beim Versuch eines Benutzers, als vertraulich gekennzeichneten Inhalt auf ein verwaltetes Gerät zu kopieren. Nicht verwaltetes Gerät Windows Dieser Geräteklassenstatus bedeutet, dass die Geräte dieser Klasse nicht von Device Control verwaltet werden. In der Whitelist enthaltenes Gerät Windows Dieser Geräteklassenstatus bedeutet, dass die Geräte dieser Klasse nicht von Device Control verwaltet werden können, da dies den verwalteten Computer, die Systemqualität oder die Effizienz beeinträchtigen könnte. Inhalt Schützen von Geräten Geräteklassen Gerätedefinitionen Gerätesteuerungsregeln Erstellen von Geräteregeln Schützen von Geräten USB-Laufwerke sind die kleinste, einfachste, preisgünstigste und am wenigsten nachverfolgbare Methode zum Herunterladen großer Datenmengen. Sie werden daher bevorzugt für nicht autorisierte Datenübertragungen verwendet. Die Device Control-Software überwacht und steuert USB-Laufwerke und andere externe Geräte, z. B. Smartphones, Bluetooth-Geräte, Plug-and-Play-Geräte, Audio-Player und externe Festplatten. Device Control kann auf den meisten Windows- und OS X-Betriebssystemen, auch auf Servern, ausgeführt werden. Ausführliche Informationen hierzu finden Sie unter "Systemanforderungen" in diesem Handbuch. Der McAfee Device Control-Schutz funktioniert auf drei Ebenen: • Geräteklassen: Gruppen von Geräten, die ähnliche Merkmale aufweisen und auf eine ähnliche Art und Weise verwaltet werden können. Geräteklassen gelten nur für Plug-and-Play-Gerätedefinition und -regeln und können nicht unter OS X-Betriebssystemen angewendet werden. • Gerätedefinitionen: Identifizierung und Gruppierung von Geräten anhand ihrer gemeinsamen Eigenschaften. • Geräteregeln: Steuerung des Geräteverhaltens. Eine Geräteregel enthält eine Liste der Gerätedefinitionen, die in diese Regel einbezogen oder aus dieser ausgeschlossen werden sollen, sowie die Aktionen, die ausgeführt werden sollen, wenn diese Regel durch die Verwendung des Geräts ausgelöst wird. Darüber hinaus können Endbenutzer angegeben werden, die in die Regel einbezogen bzw. aus dieser ausgeschlossen werden sollen. Sie können bei Bedarf zudem eine Anwendungsdefinition enthalten, um die Regel entsprechend der Quelle des vertraulichen Inhalts zu filtern. 56 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Schutz von Wechselspeichermedien Geräteklassen 6 Regeln für den Wechselspeicherschutz Device Control enthält neben Geräteregeln auch einen Typ von Datenschutzregeln. Regeln für den Wechselspeicherschutz enthalten mindestens eine Klassifizierung zur Definition der vertraulichen Inhalte, die die Regel auslösen. Sie können zudem eine Anwendungsdefinition oder eine Web-Browser-URL enthalten, und es können Endbenutzer ein- oder ausgeschlossen werden. Geräteklassen Eine Geräteklasse ist eine Gruppe von Geräten, die ähnliche Merkmale aufweisen und auf eine ähnliche Art und Weise verwaltet werden können. In Geräteklassen werden die vom System verwendeten Geräte mit ihrem Namen und einer Kennung angegeben. Jede Geräteklassendefinition enthält einen Namen und mindestens eine GUID (Globally Unique Identifier, global eindeutige ID). Die Geräte Intel® PRO/1000 PL Network Connection und Dell wireless 1490 Dual Band WLAN Mini-Card gehören beispielsweise zur Geräteklasse Netzwerkadapter. Geräteklassen können für OS X-Geräte nicht verwendet werden. Organisation der Geräteklassen Der DLP-Richtlinien-Manager listet die vordefinierten (integrierten) Geräteklassen auf der Registerkarte Definitionen unter Gerätesteuerung auf. Geräteklassen werden anhand ihres Status kategorisiert: • Verwaltete Geräte sind bestimmte Plug-and-Play-Geräte oder Wechselspeichermedien, die von McAfee DLP Endpoint verwaltet werden. • Nicht verwaltete Geräte werden in der Standardkonfiguration nicht von Device Control verwaltet. • In der Whitelist enthaltene Geräte sind Geräte, die nicht von Device Control gesteuert werden, wie z. B. batteriebetriebene Geräte oder Prozessoren. Zur Vermeidung potenzieller Fehlfunktionen des Systems oder Betriebssystems können die Geräteklassen nicht bearbeitet werden. Sie können eine Klasse jedoch duplizieren und ändern, um der Liste eine benutzerdefinierte Geräteklasse hinzuzufügen. Bevor Sie der Liste eine Geräteklasse hinzufügen, sollten Sie zunächst unbedingt die Auswirkungen überprüfen. Die DLP-Richtlinie im Richtlinienkatalog verfügt auf der Registerkarte Einstellungen über die Seite Geräteklassen, auf der Sie Geräteklassenstatus und Filtertypeinstellungen vorübergehend außer Kraft setzen können. Außerkraftsetzungen können zum Prüfen benutzerdefinierter Änderungen vor dem dauerhaften Erstellen einer Klasse sowie zur Fehlerbehebung bei Problemen mit der Gerätesteuerung genutzt werden. Device Control nutzt Gerätedefinitionen und Plug-and-Play-Gerätesteuerungsregeln zur Steuerung von verwalteten Geräteklassen und bestimmten Geräten, die zu einer verwalteten Geräteklasse gehören. Regeln für Wechselspeichermedien erfordern dagegen keine verwaltete Geräteklasse. Dies hängt mit der unterschiedlichen Verwendung der Geräteklassen durch die beiden Arten von Geräteregeln zusammen: • Plug-and-Play-Geräteregeln werden ausgelöst, wenn das Hardware-Gerät an einen Computer angeschlossen wird. Da sich die Reaktion auf einen Gerätetreiber bezieht, muss die Geräteklasse verwaltet sein, damit das Gerät erkannt wird. • Regeln für Wechselspeichermedien werden bei der Bereitstellung eines neuen Dateisystems ausgelöst. Dabei ordnet der Device Control-Client den Laufwerksbuchstaben dem jeweiligen Hardware-Gerät zu und überprüft die Geräteeigenschaften. Da sich die Reaktion auf einen Dateisystemvorgang (die Bereitstellung des Dateisystems) bezieht, muss die Geräteklasse nicht verwaltet sein. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 57 6 Schutz von Wechselspeichermedien Geräteklassen Siehe auch Erstellen einer Geräteklasse auf Seite 58 Definieren einer Geräteklasse Falls keine passende Geräteklasse in der vordefinierten Liste vorhanden ist oder automatisch beim Installieren neuer Hardware erstellt wird, können Sie in der Richtlinien-Manager-Konsole von McAfee DLP Endpoint eine neue Geräteklasse erstellen. Ermitteln einer GUID Für Geräteklassendefinitionen sind ein Name und mindestens eine GUID (Globally Unique Identifier, globale eindeutige ID) erforderlich. Einige Hardware-Geräte installieren eine eigene neue Geräteklasse. Um das Verhalten der Plug-und-Play-Hardware-Geräte zu kontrollieren, die ihre eigenen Geräteklassen definieren, müssen Sie zunächst dem Status Verwaltet in der Liste Geräteklassen eine neue Geräteklasse hinzufügen. Eine Geräteklasse wird durch zwei Eigenschaften definiert: den Namen und die GUID. Der Name des neuen Geräts wird im Geräte-Manager angezeigt, die GUID jedoch nur in der Windows-Registrierung, und es gibt keine Möglichkeit zum Abrufen dieser Information. Um das Abrufen der neuen Gerätenamen und GUIDs zu vereinfachen, meldet der Device Control-Client das Ereignis Neue Geräteklasse gefunden an die DLP-Ereignisverwaltung, wenn ein Hardware-Gerät, das nicht einer erkannten Geräteklasse angehört, an den Host-Computer angeschlossen wird. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Ereignisverwaltung | Liste der Vorfälle aus. 2 Klicken Sie neben der Dropdown-Liste Filter auf Bearbeiten, um die Filterkriterien zu bearbeiten. 3 Wählen Sie in der Liste Verfügbare Eigenschaften (linker Bereich) Vorfalltyp aus. 4 In der Dropdown-Liste Vergleich muss der Wert Gleich ausgewählt sein. 5 Wählen Sie in der Dropdown-Liste Werte die Option Neue Geräteklasse gefunden aus. 6 Klicken Sie auf Filter aktualisieren. In der Liste der Vorfälle werden die auf allen Endgerät-Computern gefundenen neuen Geräteklassen angezeigt. 7 Doppelklicken Sie zur Anzeige des Namens und des GUID auf das Element, um die Vorfallsdetails anzuzeigen. Erstellen einer Geräteklasse Wenn eine benötigte Geräteklasse sich nicht in der Liste der vordefinierten Geräteklassen befindet bzw. beim Installieren neuer Hardware nicht automatisch erstellt wurde, können Sie eine neue Geräteklasse erstellen. Bevor Sie beginnen Sie benötigen hierfür die Geräte-GUID. 58 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Schutz von Wechselspeichermedien Gerätedefinitionen 6 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Fensterbereich Gerätesteuerung | Geräteklasse aus. 3 Führen Sie eine der folgenden Aktionen aus: • Wählen Sie Aktionen | Neu aus. • Suchen Sie in der vordefinierten Liste der Geräteklassen eine ähnliche Geräteklasse, und klicken Sie dann in der Spalte Aktionen auf Duplizieren. Klicken Sie für die duplizierte Geräteklasse auf Bearbeiten. 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 5 Überprüfen Sie den erforderlichen Status und Filtertyp. 6 Geben Sie die GUID ein, und klicken Sie auf Hinzufügen. Die GUID muss das korrekte Format aufweisen. Bei einer fehlerhaften Eingabe werden Sie zur Eingabe im korrekten Format aufgefordert. 7 Klicken Sie auf Speichern. Siehe auch Geräteklassen auf Seite 57 Gerätedefinitionen auf Seite 59 Gerätedefinitionen Eine Gerätedefinition ist eine Liste von Geräteeigenschafte, wie z. B. Bustyp, Geräteklasse, Anbieter-ID oder Produkt-ID. Die Aufgabe von Gerätedefinitionen besteht darin, Geräte anhand gemeinsamer Geräteeigenschaften zu erkennen und in Gruppen zusammenzufassen. Einige Geräteeigenschaften können auf alle Gerätedefinitionen angewendet werden, andere sind ausschließlich für einen oder mehrere spezielle Gerätetypen bestimmt. Die folgenden Gerätedefinitionstypen sind verfügbar: • Festplattenlaufwerke sind mit dem Computer verbunden und werden vom Betriebssystem nicht als Wechselspeicher gekennzeichnet. Device Control kann alle Festplattenlaufwerke bis auf das Startlaufwerk steuern. • Plug-and-Play-Geräte werden ohne Konfiguration oder manuelle Installation von DLL-Dateien bzw. Treibern an den verwalteten Computer angeschlossen. Bei den meisten Microsoft Windows-Geräten handelt es sich um Plug-and-Play-Geräte. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 59 6 Schutz von Wechselspeichermedien Gerätedefinitionen • Wechselspeichermedien sind externe Geräte mit einem Dateisystem, die auf dem verwalteten Computer als Laufwerk angezeigt werden. Die Definitionen der Wechselspeichermedien unterstützen entweder Windows- oder OS X-Betriebssysteme. • Plug-and-Play-Geräte in der Whitelist verursachen Konflikte bei der Geräteverwaltung und können dadurch einen Systemabsturz oder andere schwerwiegende Probleme auslösen. Definitionen für Plug-and-Play-Geräte in der Whitelist werden in jeder Plug-and-Play-Gerätesteuerungsregel automatisch der Liste der ausgeschlossenen Geräte hinzugefügt. Diese Geräte werden in keinem Fall verwaltet, auch wenn die übergeordnete Geräteklasse verwaltet wird. Die Definitionen der Wechselspeichermedien sind flexibler und beinhalten zusätzliche Eigenschaften bezüglich der Wechselspeichermedien. Für Geräte wie USB-Massenspeichergeräte, die als beides eingestuft werden können, empfiehlt McAfee die Verwendung von Definitionen und Regeln für Wechselspeichermedien. Siehe auch Erstellen einer Geräteklasse auf Seite 58 Arbeiten mit Gerätedefinitionen Mehrere Parameter werden Gerätedefinitionen entweder als logisches ODER (Standardeinstellung) oder als logisches UND hinzugefügt. Mehrere Parametertypen werden immer als logisches UND hinzugefügt. Die folgende Parameterauswahl beispielsweise: Erstellt diese Definition: 60 • Der Bustyp ist entweder Firewire (IEEE 1394) ODER USB, • UND die Geräte-Klasse ist entweder Speichergeräte ODER tragbare Windows-Geräte. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Schutz von Wechselspeichermedien Gerätedefinitionen 6 Aufgaben • Erstellen einer Gerätedefinition auf Seite 61 Gerätedefinitionen geben die Eigenschaften eines Geräts an, um die Regel auszulösen. • Erstellen einer Definition für Plug-and-Play-Geräte in der Whitelist auf Seite 61 Plug-and Play-Geräte in der Whitelist werden zur Handhabung von Geräten verwendet, die Konflikte bei der Geräteverwaltung verursachen und dadurch einen Systemabsturz oder andere schwerwiegende Probleme auslösen können. Solche Geräte sollten in die Whitelist aufgenommen werden, um Kompatibilitätsprobleme zu vermeiden. • Erstellen einer Definition für ein Wechselspeichermedium auf Seite 62 Ein Wechselspeichermedium ist ein externes Gerät mit einem Dateisystem, das auf dem verwalteten Computer als Laufwerk angezeigt wird. Definitionen für Wechselspeichermedien sind flexibler als Definitionen für Plug-and-Play-Geräte und umfassen zusätzliche spezifische Eigenschaften. Erstellen einer Gerätedefinition Gerätedefinitionen geben die Eigenschaften eines Geräts an, um die Regel auszulösen. Sie können Definitionen für Plug-and-Play-Geräte in der Whitelist erstellen, die Konflikte bei der Geräteverwaltung verursachen und dadurch einen Systemabsturz oder andere schwerwiegende Probleme auslösen können. Für diese Geräte werden auch bei Auslösung einer Regel keine Aktionen ausgeführt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich die Option Gerätesteuerung | Gerätedefinitionen aus. 3 Wählen Sie Aktionen | Neu und dann den Typ der Definition aus. 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 5 Wählen Sie Eigenschaften für das Gerät aus. Die jeweilige Liste der verfügbaren Eigenschaften hängt vom Typ des Geräts ab. • Klicken Sie zum Hinzufügen einer Eigenschaft auf >. • Klicken Sie zum Entfernen einer Eigenschaft auf <. • Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +. Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/ Oder-Schaltfläche, um den Operator zu UND zu ändern. • 6 Klicken Sie zum Entfernen einer Eigenschaft auf -. Klicken Sie auf Speichern. Erstellen einer Definition für Plug-and-Play-Geräte in der Whitelist Plug-and Play-Geräte in der Whitelist werden zur Handhabung von Geräten verwendet, die Konflikte bei der Geräteverwaltung verursachen und dadurch einen Systemabsturz oder andere schwerwiegende McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 61 6 Schutz von Wechselspeichermedien Gerätedefinitionen Probleme auslösen können. Solche Geräte sollten in die Whitelist aufgenommen werden, um Kompatibilitätsprobleme zu vermeiden. In der Whitelist befindliche Plug-and-Play-Geräte werden bei Anwendung der Richtlinie in sämtlichen Plug-and-Play-Geräte-Regeln automatisch der Liste der ausgeschlossenen Geräte hinzugefügt. Diese Geräte werden in keinem Fall verwaltet, auch wenn die übergeordnete Geräteklasse verwaltet wird. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich Gerätesteuerung | Gerätedefinitionen und anschließend Aktionen | Neu | Plug-and-Play-Gerätedefinition in der Whitelist aus. 3 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 4 Wählen Sie Eigenschaften für das Gerät aus. • Klicken Sie zum Hinzufügen einer Eigenschaft auf >. • Klicken Sie zum Entfernen einer Eigenschaft auf <. • Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +. Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/ Oder-Schaltfläche, um den Operator zu UND zu ändern. • 5 Klicken Sie zum Entfernen einer Eigenschaft auf -. Klicken Sie auf Speichern. Erstellen einer Definition für ein Wechselspeichermedium Ein Wechselspeichermedium ist ein externes Gerät mit einem Dateisystem, das auf dem verwalteten Computer als Laufwerk angezeigt wird. Definitionen für Wechselspeichermedien sind flexibler als Definitionen für Plug-and-Play-Geräte und umfassen zusätzliche spezifische Eigenschaften. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich Gerätesteuerung | Gerätedefinitionen und anschließend Aktionen | Neu | Wechselspeichermedium-Definition aus. 3 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 4 Wählen Sie die Option Gilt für für Microsoft Windows- oder OS X-Geräte aus. Daraufhin werden in der Liste Verfügbare Eigenschaften die Eigenschaften für das ausgewählte Betriebssystem angezeigt. 5 62 Wählen Sie Eigenschaften für das Gerät aus. • Klicken Sie zum Hinzufügen einer Eigenschaft auf >. • Klicken Sie zum Entfernen einer Eigenschaft auf <. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Schutz von Wechselspeichermedien Gerätedefinitionen • 6 Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +. Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/ Oder-Schaltfläche, um den Operator zu UND zu ändern. • 6 Klicken Sie zum Entfernen einer Eigenschaft auf -. Klicken Sie auf Speichern. Device properties Device properties specify device characteristics such as the device name, bus type, or file system type. The table provides device property definitions, which definition types use the property, and which operating system they apply to. Tabelle 6-2 Types of device properties Property name Device definition Applies to operating systems: Description Bus Type All • Windows — Bluetooth, Firewire (IEEE1394), IDE/ SATA, PCI, PCMIA, SCSI, USB Selects the device BUS type from the available list. • Mac OS X — Firewire (IEEE1394), IDE/ SATA, SD, Thunderbolt, USB CD/DVD Drives Removable storage • Windows Content encrypted by Endpoint Encryption Removable storage Windows Devices protected with Endpoint Encryption. Device Class Plug and play Windows Selects the device class from the available managed list. Device Compatible IDs All Windows A list of physical device descriptions. Effective especially with device types other than USB and PCI, which are more easily identified using PCI VendorID/DeviceID or USB PID/VID. Device Instance All ID (Microsoft Windows XP) Windows A Windows-generated string that uniquely identifies the device in the system. • Mac OS X Example: Device Instance Path (Windows Vista and later Microsoft Windows operating systems, including servers) Device Name Select to indicate any CD or DVD drive. USB\VID_0930&PID_6533\5&26450FC&0&6. All • Windows • Mac OS X McAfee Data Loss Prevention Endpoint 9.4.100 The name attached to a hardware device, representing its physical address. Produkthandbuch 63 6 Schutz von Wechselspeichermedien Gerätedefinitionen Tabelle 6-2 Types of device properties (Fortsetzung) Property name Device definition Applies to operating systems: File System Type • Fixed hard disk The type of file system. • Windows — CDFS, exFAT, FAT16, • For hard disks, select one of exFAT, FAT16, FAT32, or FAT32, NTFS, UDFS NTFS. • Removable storage • Mac OS X — CDFS, exFAT, FAT16, FAT32, HFS/HFS+, NTFS, UDFS Description • For removable storage devices, any of the above plus CDFS or UDFS. Mac OS X supports FAT only on disks other than the boot disk. Mac OS X supports NTFS as read-only. File System Access Removable storage • Windows File System Volume Label • Fixed hard disk • Windows The access to the file system: read only or read-write. • Mac OS X • Mac OS X The user-defined volume label, viewable in Windows Explorer. Partial matching is allowed. • Removable storage File System Volume Serial Number • Fixed hard disk PCI VendorID / DeviceID All Windows A 32-bit number generated automatically when a file system is created on the device. It can be viewed by running the command-line command dir x:, where x: is the drive letter. Windows The PCI VendorID and DeviceID are embedded in the PCI device. These parameters can be obtained from the Hardware ID string of physical devices. • Removable storage Example: PCI\VEN_8086&DEV_2580&SUBSYS_00000000 &REV_04 TrueCrypt devices Removable storage USB Class Code Plug and play 64 Windows Select to specify a TrueCrypt device. Windows Identifies a physical USB device by its general function. Select the class code from the available list. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Schutz von Wechselspeichermedien Gerätesteuerungsregeln 6 Tabelle 6-2 Types of device properties (Fortsetzung) Property name Device definition Applies to operating systems: Description USB Device Serial Number • Plug and play • Windows • Removable storage • Mac OS X A unique alphanumeric string assigned by the USB device manufacturer, typically for removable storage devices. The serial number is the last part of the instance ID. Example: USB\VID_3538&PID_0042\00000000002CD8 A valid serial number must have a minimum of 5 alphanumeric characters and must not contain ampersands (&). If the last part of the instance ID does not follow these requirements, it is not a serial number. USB Vendor ID / Product ID • Plug and play • Windows • Removable storage • Mac OS X The USB VendorID and ProductID are embedded in the USB device. These parameters can be obtained from the Hardware ID string of physical devices. Example: USB\Vid_3538&Pid_0042 Gerätesteuerungsregeln Gerätesteuerungsegeln definieren die Aktion, die durchgeführt wird, wenn bestimmte Geräte verwendet werden. Von den sechs Typen von Gerätesteuerungsregeln unterstützt OS X in dieser Version ausschließlich die Regeln für Wechselspeichermedien. • Regel für Wechselspeichermedien (Microsoft Windows, OS X): Wird zum Blockieren oder Überwachen von Wechselspeichermedien oder zum Setzen eines Schreibschutzes verwendet. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. • Plug-and-Play-Geräteregel (nur Microsoft Windows): Wird zum Blockieren oder Überwachen von Plug-and-Play-Geräten verwendet. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. • Regel zum Wechselspeicher-Dateizugriff (nur Microsoft Windows): Wird zum Blockieren von ausführbaren Dateien auf Plug-In-Geräten verwendet. • Festplattenregel (nur Microsoft Windows): Wird zum Blockieren oder Überwachen von Festplatten bzw. Setzen eines Schreibschutzes verwendet. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. Geräteregeln für Festplatten schützen nicht die Start- oder Systempartition. • Citrix XenApp-Geräteregel (nur Microsoft Windows): Wird zum Blockieren von Citrix-Geräten verwendet, die freigegebenen Desktop-Sitzungen zugeordnet sind. • TrueCrypt-Geräteregel (nur Microsoft Windows): Wird zum Schützen von TrueCrypt-Geräten verwendet. Kann zum Blockieren, Überwachen oder Setzen eines Schreibschutzes verwendet werden. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 65 6 Schutz von Wechselspeichermedien Gerätesteuerungsregeln Regeln für Wechselspeichermedien Mit Regeln für Wechselspeichermedien können Wechselspeichermedien blockiert, überwacht oder mit einem Schreibschutz versehen werden. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. Regeln für Wechselspeichermedien werden sowohl unter Microsoft Windows- als auch unter OS X-Computern unterstützt. Da die beiden Arten von Geräteregeln Geräteklassen auf unterschiedliche Art und Weise verwenden, benötigen sie keine verwaltete Geräteklasse. • Plug-and-Play-Geräteregeln werden ausgelöst, wenn ein Hardware-Gerät an den Computer angeschlossen wird. Da sich die Reaktion auf einen Gerätetreiber bezieht, muss die Geräteklasse verwaltet sein, damit das Gerät erkannt wird. • Regeln für Wechselspeichermedien werden bei der Bereitstellung eines neuen Dateisystems ausgelöst. Dabei ordnet die McAfee DLP Endpoint-Software dem Hardware-Gerät den Laufwerksbuchstaben zu und überprüft die Eigenschaften des Geräts. Da sich die Reaktion auf einen Dateisystemvorgang und nicht auf einen Gerätetreiber bezieht, muss die Geräteklasse nicht verwaltet sein. Anwendungsbeispiel: Regel für Wechselspeichermedien mit einem in der Whitelist befindlichen Prozess Sie können einen Prozess in die Whitelist aufnehmen und diesen als Ausnahme für eine Wechselspeicher-Blockierungsregel definieren. Mit Regeln für Wechselspeichermedien wird verhindert, dass Anwendungen Aktionen für das Speichergerät durchführen. Die Regel lässt jedoch einen in der Whitelist befindlichen Prozess zu. In diesem Beispiel werden Sandisk-Wechselspeichermedien blockiert, jedoch darf Antiviren-Software das Gerät scannen, um infizierte Dateien zu entfernen. Diese Funktion wird nur für Windows-Computer unterstützt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Navigieren Sie auf der Registerkarte Definitionen zur vordefinierten Gerätedefinition für Sandisk-Wechselspeichermedien (Windows), und klicken Sie auf Duplizieren. Es empfiehlt sich, die vordefinierten Definitionen zu duplizieren, damit Sie sie anpassen können. In einfachen Situationen können sie jedoch auch unverändert verwendet werden. In der Definition wird die Sandisk-Anbieter-ID 0781 verwendet. Sie können weitere Anbieter-IDs hinzufügen, um weitere Marken von Wechselspeichermedien in die Definition aufzunehmen. 3 Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, oder erstellen Sie einen Regelsatz. 4 Wählen Sie auf der Registerkarte Gerätesteuerung die Optionen Aktionen | Neue Regel | Regel für Wechselspeichermedien aus. 5 Geben Sie einen Namen für die Regel ein, und wählen Sie Status | Aktiviert aus. Wählen Sie im Abschnitt Bedingungen im Feld Wechselspeicher die in Schritt 2 erstellte Gerätedefinition aus. 6 Fügen Sie im Feld Prozessname die vordefinierte Definition McAfee AV hinzu. Sie können diese Definition, genau wie die Definition des Wechselspeichermediums, duplizieren und dann anpassen. 66 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 6 Schutz von Wechselspeichermedien Gerätesteuerungsregeln 7 Wählen Sie auf der Registerkarte Reaktion die Optionen Vorbeugende Aktion | Blockieren aus. Sie können bei Bedarf eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen. 8 Klicken Sie auf Speichern und dann auf Schließen. Anwendungsbeispiel: Festlegen eines Schreibschutzes für ein Wechselspeichermedium Im Gegensatz zu Plug-and-Play-Geräteregeln haben Schutzregeln für Wechselspeichermedien eine Schreibschutzoption. Durch das Festlegen eines Schreibschutzes für Wechselspeichermedien können Sie zulassen, dass Benutzer eigene Geräte (z. B. MP3-Player) nutzen, jedoch gleichzeitig die Verwendung dieser Geräte als Speichermedien verhindern. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Erstellen Sie auf der Registerkarte Definitionen der Seite Gerätedefinitionen eine Wechselspeichermedium-Definition. Wechselspeichermedium-Definitionen müssen als Windows- oder Mac-Definitionen kategorisiert werden. Beginnen Sie beispielsweise mit dem Duplizieren einer der vordefinierten Definitionen für Windows oder Mac, und passen Sie die Definition nach Bedarf an. Der Bustyp kann USB, Bluetooth und alle weiteren Bustypen enthalten, die voraussichtlich verwendet werden. Geräte können anhand der Anbieter-ID oder des Gerätenamens identifiziert werden. 3 Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, oder erstellen Sie einen Regelsatz. 4 Wählen Sie auf der Registerkarte Gerätesteuerung die Optionen Aktionen | Neue Regel | Regel für Wechselspeichermedien aus. 5 Geben Sie einen Namen für die Regel ein, und wählen Sie Status | Aktiviert aus. Wählen Sie im Abschnitt Bedingungen im Feld Wechselspeicher die in Schritt 2 erstellte Gerätedefinition aus. 6 Wählen Sie auf der Registerkarte Reaktion die Optionen Vorbeugende Aktion | Schreibschutz aus. Sie können bei Bedarf eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen. 7 Klicken Sie auf Speichern und dann auf Schließen. Plug-and-Play-Geräteregeln Mit Plug-and-Play-Geräteregeln können Plug-und-Play-Geräte blockiert oder überwacht werden. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. Ein Plug-and-Play-Gerät kann ohne Konfiguration oder manuelle Installation von DLL-Dateien oder Treibern an einen verwalteten Computer angeschlossen werden. Plug-and-Play-Geräteregeln werden nur auf Windows-Computern unterstützt. Damit Hardware-Geräte anhand von Plug-and-Play-Geräteregeln gesteuert werden können, muss der Status für die Geräteklassen, die in den von der Regel verwendeten Gerätedefinitionen angegeben sind, auf Verwaltet eingestellt werden. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 67 6 Schutz von Wechselspeichermedien Gerätesteuerungsregeln Anwendungsbeispiel: Blockieren und Aufladen eines iPhones anhand einer Plug-and-Play-Geräteregel Sie können festlegen, dass für Apple iPhones während der Aufladung am Computer die Nutzung als Speichergerät blockiert wird. In diesem Anwendungsbeispiel wird eine Regel erstellt, die verhindert, dass der Benutzer das iPhone als Massenspeichergerät verwendet. Hierfür wird eine Plug-and-Play-Geräteschutzregel verwendet, da diese unabhängig von den weiteren Festlegungen der Regel das Aufladen von iPhones zulässt. Diese Funktion wird weder für Smartphones anderer Anbieter noch für andere Mobilgeräte von Apple unterstützt. Die Regel verhindert nicht das Aufladen eines iPhones am Computer. Zum Definieren einer Plug-and-Play-Geräteregel für bestimmte Geräte müssen Sie eine Gerätedefinition mit dem Anbieter- und dem Produkt-ID-Code (VID/PID) erstellen. Diese Informationen werden im Geräte-Manager von Windows angezeigt, wenn das Gerät angeschlossen ist. Da in diesem Beispiel nur eine VID erforderlich ist, müssen Sie die Informationen nicht nachsehen, sondern können die vordefinierte Gerätedefinition All Apple devices verwenden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, bzw. erstellen Sie einen neuen Regelsatz. Klicken Sie auf die Registerkarte Gerätesteuerung, und erstellen Sie eine Plug-and-Play-Geräteregel. Verwenden Sie die vordefinierte Gerätedefinition All Apple devices als eingeschlossene Definition (ist eines von (ODER)). 3 Legen Sie auf der Registerkarte Reaktion die vorbeugende Aktion auf Blockieren fest. 4 Klicken Sie auf Speichern und dann auf Schließen. Regeln für den Wechselspeicher-Dateizugriff Mit Regeln für den Wechselspeicher-Dateizugriff wird die Ausführung von ausführbaren Dateien auf Plug-In-Geräten blockiert. Regeln für den Wechselspeicher-Dateizugriff werden nur auf Windows-Computern unterstützt. Mit Regeln für den Wechselspeicher-Dateizugriff wird die Ausführung von Anwendungen auf Wechselspeichermedien blockiert. In der Regel können ein- und ausgeschlossene Geräte angegeben werden. Da bei einigen ausführbaren Dateien, z. B. Verschlüsselungsanwendungen auf verschlüsselten Geräten, die Ausführung gestattet werden muss, beinhaltet die Regel den Parameter Dateiname | ist keines von, damit darin aufgeführte Dateien von der Blockierungsregel ausgenommen werden können. Dateizugriffsregeln nutzen für die Bestimmung der zu blockierenden Dateien den tatsächlichen Dateityp und die tatsächliche Dateierweiterung. Der tatsächliche Dateityp identifiziert die Datei anhand des intern registrierten Datentyps, der auch dann die korrekte Information liefert, wenn die Erweiterung geändert wurde. Die Regel blockiert standardmäßig komprimierte Dateien (ZIP, GZ, JAR, RAR und CAB) und ausführbare Dateien (BAT, BIN, CGI, COM, CMD, DLL, EXE, CLASS, SYS und MSI). Sie können die Definitionen der Dateierweiterungen beliebig anpassen und weitere benötigte Dateitypen hinzufügen. Dateizugriffsregeln blockieren außerdem das Kopieren ausführbarer Dateien auf Wechselspeichermedien, da der Dateifiltertreiber nicht unterscheiden kann, ob eine ausführbare Datei geöffnet oder lediglich erstellt wird. 68 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 6 Schutz von Wechselspeichermedien Erstellen von Geräteregeln Festplattenregeln Mit Festplattenregeln können Festplatten blockiert, überwacht oder mit einem Schreibschutz versehen werden. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. Geräteregeln für Festplatten schützen nicht die Start- oder Systempartition. Festplattenregeln werden nur auf Windows-Computern unterstützt. Festplattenregeln enthalten eine Laufwerkdefinition mit einer Aktion (blockieren oder mit Schreibschutz versehen), einer Endbenutzerdefinition und ggf. einer Benutzerbenachrichtigung. Citrix XenApp-Geräteregeln Mit Citrix XenApp-Geräteregeln werden Citrix-Geräte blockiert, die freigegebenen Desktop-Sitzungen zugeordnet sind. Citrix XenApp-Geräteregeln werden nur auf Windows-Computern unterstützt. Die McAfee DLP Endpoint-Software kann Citrix-Geräte blockieren, die freigegebenen Desktop-Sitzungen zugeordnet sind. Dabei können Disketten-, Festplatten-, CD-, Wechselspeicher- und Netzwerklaufwerke sowie Drucker und Zwischenablageumleitungen blockiert werden. Sie können die Regel bestimmten Endbenutzern zuweisen. TrueCrypt-Geräteregeln TrueCrypt-Geräteregeln können TrueCrypt-Geräte blockieren, überwachen oder mit einem Schreibschutz versehen. Der Benutzer kann über die durchgeführte Aktion benachrichtigt werden. TrueCrypt-Geräteregeln werden nur auf Windows-Computern unterstützt. TrueCrypt-Regeln sind eine Untergruppe der Regeln für Wechselspeichermedien. TrueCrypt wird für OS X derzeit nicht unterstützt. Mit TrueCrypt verschlüsselte virtuelle Geräte können mit TrueCrypt-Geräteregeln oder mit Regeln für Wechselspeichermedien geschützt werden. • Verwenden Sie eine Geräteregel, wenn ein TrueCrypt-Volume blockiert, überwacht oder mit einem Schreibschutz versehen werden soll. • Wenn Sie jedoch inhaltsbezogenen Schutz für TrueCrypt-Volumes wünschen, verwenden Sie eine Schutzregel. Die McAfee DLP Endpoint-Client-Software behandelt alle TrueCrypt-Bereitstellungen als Wechselspeicher, auch wenn die TrueCrypt-Anwendung auf eine lokale Festplatte schreibt. Siehe auch Für Regeltypen verfügbare Reaktionen auf Seite 105 Erstellen von Geräteregeln Sie können Geräteregeln erstellen, um die Nutzung von Geräten in Ihrem Unternehmen zu steuern. Unter Windows werden alle Geräteregeln unterstützt. Unter OS X werden derzeit nur Regeln für Wechselspeichermedien unterstützt. Erstellen einer Regel für Wechselspeichermedien Wechselspeichermedien werden auf verwalteten Computern als Laufwerke angezeigt. Mithilfe von Regeln für Wechselspeichermedien können Sie Wechselspeichermedien blockieren oder mit einem Schreibschutz versehen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 69 6 Schutz von Wechselspeichermedien Erstellen von Geräteregeln Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus. 2 Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz. 3 Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken Sie auf die Registerkarte Gerätesteuerung. 4 Wählen Sie Aktionen | Neue Regel | Regel für Wechselspeichermedien aus. 5 Geben Sie einen eindeutigen Regelnamen ein. Bei Bedarf können Sie den Status ändern und einen Schweregrad auswählen. 6 Wählen Sie im Bereich Bedingung mindestens eine Definition für ein Wechselspeichermedium aus. Optional: Weisen Sie der Regel Endbenutzergruppen und einen Prozessnamen zu. In Gerätedefinitionen können Geräte eingeschlossen (ist eines von) oder ausgeschlossen (ist keines von) werden. Es muss mindestens eine Definition eingeschlossen werden. 7 Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Optional: Sie können eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen. Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert. 8 Optional: Wenn der Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet, können Sie eine andere Vorbeugende Aktion auswählen. 9 Klicken Sie auf Speichern. Erstellen einer Plug-and-Play-Geräteregel Plug-and-Play-Geräte können ohne Konfiguration oder manuelle Installation von DLL-Dateien oder Treibern an den verwalteten Computer angeschlossen werden. Mithilfe von Plug-and-Play-Geräteregeln können Sie verhindern, dass der Endgerät-Computer diese Geräte lädt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus. 2 Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz. 3 Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken Sie auf die Registerkarte Gerätesteuerung. 4 Wählen Sie Aktionen | Neue Regel | Plug-and-Play-Geräteregel aus. 5 Geben Sie einen eindeutigen Regelnamen ein. Optional: Sie können den Status ändern und einen Schweregrad auswählen. 6 Wählen Sie im Bereich Bedingung mindestens eine Plug-and-Play-Gerätedefinition aus. Optional: Sie können der Regel Endbenutzergruppen zuweisen. In Gerätedefinitionen können Geräte eingeschlossen (ist eines von) oder ausgeschlossen (ist keines von) werden. Es muss mindestens eine Definition eingeschlossen werden. 70 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 6 Schutz von Wechselspeichermedien Erstellen von Geräteregeln 7 Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Optional: Sie können eine Benutzerbenachrichtigung hinzufügen und den Vorfall melden. Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht in der DLP-Ereignisverwaltung protokolliert. 8 Optional: Wählen Sie eine andere Vorbeugende Aktion aus, wenn der Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet oder über VPN verbunden ist. 9 Klicken Sie auf Speichern. Erstellen einer Geräteregel für Wechselspeicher-Dateizugriff Mithilfe von Regeln für den Wechselspeicher-Dateizugriff können Sie die Ausführung ausführbarer Dateien auf Plug-In-Geräten blockieren. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus. 2 Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz. 3 Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken Sie auf die Registerkarte Gerätesteuerung. 4 Wählen Sie Aktionen | Neue Regel | Regel zum Wechselspeicher-Dateizugriff aus. 5 Geben Sie einen eindeutigen Regelnamen ein. Bei Bedarf können Sie den Status ändern und einen Schweregrad auswählen. 6 Wählen Sie im Bereich Bedingung mindestens eine Wechselspeichermedium-Definition aus. Weisen Sie der Regel ggf. Endbenutzergruppen zu. In Gerätedefinitionen können Geräte eingeschlossen (ist eines von) oder ausgeschlossen (ist keines von) werden. Es muss mindestens eine Definition eingeschlossen werden. 7 Optional: Sie können die Standarddefinitionen für Tatsächlicher Dateityp bzw. Dateierweiterung entsprechend Ihren Anforderungen ändern. 8 Optional: Geben Sie einen Dateinamen ein, der von der Regel ausgeschlossen werden soll. Ausführbare Dateien sind standardmäßig in die Regel mit der Option Dateierweiterung eingeschlossen. Sie können diese Option bei Bedarf bearbeiten. Der Ausschluss Dateiname eignet sich für Anwendungen, die unbedingt ausgeführt werden müssen, beispielsweise Verschlüsselungsanwendungen auf verschlüsselten Laufwerken. 9 Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Bei Bedarf können Sie eine Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen. Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht in der DLP-Ereignisverwaltung protokolliert. 10 Sie können bei Bedarf eine andere Vorbeugende Aktion auswählen, wenn der Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet. 11 Klicken Sie auf Speichern. Erstellen einer Festplatten-Geräteregel Mit Festplatten-Geräteregeln steuern Sie Festplatten, die mit dem Computer verbunden und vom Betriebssystem nicht als Wechselspeicher gekennzeichnet sind. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 71 6 Schutz von Wechselspeichermedien Erstellen von Geräteregeln Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus. 2 Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz. 3 Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken Sie auf die Registerkarte Gerätesteuerung. 4 Wählen Sie Aktionen | Neue Regel | Festplattenregel aus. 5 Geben Sie einen eindeutigen Regelnamen ein. Optional: Sie können den Status ändern und einen Schweregrad auswählen. 6 Wählen Sie im Bereich Bedingung mindestens eine Festplatten-Gerätedefinition aus. Optional: Sie können der Regel Endbenutzergruppen zuweisen. In Gerätedefinitionen können Geräte eingeschlossen (ist eines von) oder ausgeschlossen (ist keines von) werden. Es muss mindestens eine Definition eingeschlossen werden. 7 Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Optional: Sie können eine Benutzerbenachrichtigung hinzufügen und den Vorfall melden. Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht in der DLP-Ereignisverwaltung protokolliert. 8 Optional: Wenn der Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet, können Sie eine andere Vorbeugende Aktion auswählen. 9 Klicken Sie auf Speichern. Erstellen einer Citrix-Geräteregel Mithilfe von Citrix-Geräte-Regeln können Citrix-Geräte blockiert werden, die gemeinsam verwendeten Desktop-Sitzungen zugeordnet sind. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus. 2 Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz. 3 Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken Sie auf die Registerkarte Gerätesteuerung. 4 Wählen Sie Aktionen | Neue Regel | Citrix XenApp-Geräteregel aus. 5 Geben Sie einen eindeutigen Regelnamen ein. Optional: Sie können den Status ändern und einen Schweregrad auswählen. 6 Wählen Sie im Bereich Bedingung mindestens eine Ressource aus. Optional: Sie können der Regel Endbenutzergruppen zuweisen. 7 Klicken Sie auf Speichern. Die ausgewählten Ressourcen werden blockiert. Die einzige Vorbeugende Aktion für Citrix-Regeln ist Blockieren. Sie müssen die Aktion nicht im Bereich Reaktion festlegen. 72 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 6 Schutz von Wechselspeichermedien Erstellen von Geräteregeln Erstellen einer TrueCrypt-Geräteregel Mithilfe von TrueCrypt-Geräteregeln können virtuelle TrueCrypt-Verschlüsselungsgeräte blockiert oder überwacht bzw. mit einem Schreibschutz versehen werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus. 2 Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz. 3 Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken Sie auf die Registerkarte Gerätesteuerung. 4 Wählen Sie Aktionen | Neue Regel | TrueCrypt-Geräteregel aus. 5 Geben Sie einen eindeutigen Regelnamen ein. Optional: Sie können den Status ändern und einen Schweregrad auswählen. 6 Optional: Sie können der Regel im Bereich Bedingung Endbenutzergruppen zuweisen. 7 Wählen Sie im Bereich Reaktion eine Vorbeugende Aktion aus. Optional: Sie können eine Benutzerbenachrichtigung hinzufügen und den Vorfall melden. Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht in der DLP-Ereignisverwaltung protokolliert. 8 Optional: Wenn der Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet, können Sie eine andere Vorbeugende Aktion auswählen. 9 Klicken Sie auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 73 6 Schutz von Wechselspeichermedien Erstellen von Geräteregeln 74 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Klassifizieren vertraulicher Inhalte Mithilfe von Klassifizierungen können vertrauliche Inhalte und Dateien erkannt und verfolgt werden. Inhalt Das Modul Klassifizierung Manuelle Klassifizierung Verwenden von Klassifizierungen Klassifizierungsdefinitionen und -kriterien Erstellen und Konfigurieren von Klassifizierungen Registrierte Dokumente Text in der Whitelist Hochladen von registrierten Dokumenten Hochladen von Dateien zur Aufnahme von Text in die Whitelist Erstellen von Klassifizierungsdefinitionen Klassifizieren anhand des Dateispeicherorts Klassifizieren anhand des Dateiziels Das Modul Klassifizierung Im Modul Klassifizierung in McAfee ePO werden Klassifizierungskriterien und Kennzeichnungskriterien sowie die zur Konfiguration verwendeten Definitionen gespeichert. In diesem Modul werden zudem Repositorys für registrierte Dokumente, die Benutzerautorisierung für die manuelle Kennzeichnung und in der Whitelist befindlicher Text eingerichtet. Das Modul bietet folgende Funktionen: • Manuelle Klassifizierung: Konfiguriert die Endbenutzergruppen, die Inhalte manuell klassifizieren oder kennzeichnen dürfen • Definitionen: Definiert die Inhalte, Eigenschaften und Speicherorte von Dateien für die Klassifizierung • Klassifizierung: Erstellt Klassifizierungen und definiert Klassifizierungs- und Kennzeichnungskriterien McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 75 7 Klassifizieren vertraulicher Inhalte Manuelle Klassifizierung • Dokumente registrieren: Lädt Dateien mit bekannten vertraulichen Inhalten hoch • Text in der Whitelist: Lädt Dateien mit Text zur Aufnahme in die Whitelist hoch Manuelle Klassifizierung Endbenutzer können Klassifizierungen oder Kennzeichnungskriterien manuell auf Dateien anwenden oder aus diesen entfernen. Die einfachste Methode zur Klassifizierung von Dateien oder Inhalten ist die manuelle Klassifizierung. Standardmäßig sind Endbenutzer nicht zum Anzeigen, Hinzufügen oder Entfernen von Klassifizierungen berechtigt. Sie können jedoch bestimmten Benutzergruppen definierte Klassifizierungen zuweisen. Diese Benutzer können die Klassifizierungen dann während der Arbeit anwenden. Die manuelle Klassifizierung kann Ihnen auch die Möglichkeit bieten, die Klassifizierungsrichtlinien Ihres Unternehmens auch dann durchzusetzen, wenn vertrauliche oder spezielle Informationen nicht automatisch vom System gekennzeichnet werden. Anwendungsbeispiel: Manuelle Klassifizierung Mitarbeitern, zu deren Aufgabenbereich das regelmäßige Erstellen von Dateien mit vertraulichen Daten gehört, kann die Berechtigung zur manuellen Klassifizierung erteilt werden. Sie können Dateien dann innerhalb des normalen Arbeitsablaufs während der Erstellung klassifizieren. Dieses Beispiel veranschaulicht die Abläufe bei einem Gesundheitsdienstleister, bei dem alle Patientendatensätze gemäß den HIPAA-Regeln vertraulich behandelt werden müssen. Daher wird den Mitarbeitern, die Patientendatensätze anlegen bzw. bearbeiten, die Berechtigung zur manuellen Klassifizierung erteilt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 2 Erstellen Sie für die Mitarbeiter, die Patientendatensätze anlegen bzw. bearbeiten, eine oder mehrere Benutzergruppen. a Öffnen Sie in McAfee ePO das Modul Klassifizierung (Menü | Datenschutz | Klassifizierung). b Wählen Sie auf der Registerkarte Definitionen die Optionen Quelle/Ziel | Endbenutzergruppe aus. c Wählen Sie Aktionen | Neu aus, ersetzen Sie den Standardnamen durch eine aussagekräftige Bezeichnung, wie. z. B. PHI-Benutzergruppe, und fügen Sie der Definition Benutzer oder Gruppen hinzu. d Klicken Sie auf Speichern. Erstellen Sie eine PHI-Klassifizierung (Protected Health Information, geschützte Gesundheitsdaten). a Wählen Sie im Modul Klassifizierung auf der Registerkarte Klassifizierung im linken Fensterbereich [Sample] PHI [vordefiniert] und dann Aktionen | Klassifizierung duplizieren aus. Nun wird eine Kopie der Beispielklassifizierung angezeigt, die bearbeitet werden kann. 76 b Bearbeiten Sie die Felder Name, Beschreibung und Klassifizierungskriterien nach Bedarf. c Klicken Sie im Feld Manuelle Klassifizierung auf Bearbeiten. d Wählen Sie Aktionen | Endbenutzergruppen auswählen aus. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Klassifizieren vertraulicher Inhalte Verwenden von Klassifizierungen 7 e Wählen Sie im Fenster Aus vorhandenen Werten auswählen die in einem früheren Schritt angelegten Gruppen aus, und klicken Sie dann auf OK. f Kehren Sie zur Registerkarte Klassifizierung zurück, und wählen Sie Aktionen | Klassifizierung speichern aus. Mitarbeiter, die zu den zugewiesenen Gruppen gehören, können die Patientendatensätze nun direkt beim Anlegen klassifizieren, indem sie mit der rechten Maustaste auf die Datei klicken und zuerst Manuelle Kennzeichnung und anschließend das entsprechende Tag auswählen. Verwenden von Klassifizierungen Klassifizierungen wenden Tags oder Klassifizierungskriterien auf Dateien und Inhalte an, sodass vertrauliche Inhalte erkannt und verfolgt werden können. McAfee DLP Endpoint erkennt und verfolgt vertrauliche Inhalte mithilfe von benutzerdefinierten Klassifizierungen. Hierfür werden zwei grundlegende Typen unterstützt: Tags und Klassifizierungskriterien. Tags kennzeichnen die vertraulichen Informationen mit einer Beschriftung, die beim Inhalt verbleibt, auch wenn dieser in ein anderes Dokument kopiert oder in einem anderen Format gespeichert wird. Klassifizierungskriterien Klassifizierungskriterien identifizieren Muster für vertraulichen Text, Wörterbücher, Stichwörter oder Kombinationen aus diesen Elementen. Bei Kombinationen kann es sich einfach um mehrere benannte Eigenschaften oder um Eigenschaften mit einer definierten Beziehung handeln, die als Nähe bezeichnet wird. Sie können auch Dateibedingungen wie Dateityp, Dokumenteigenschaften, Dateiverschlüsselung oder Position in der Datei (Kopfzeile/Textkörper/Fußzeile) angeben. Kennzeichnungskriterien Kennzeichnungskriterien werden entsprechend einer der folgenden Optionen auf Dateien oder Inhalte angewendet: McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 77 7 Klassifizieren vertraulicher Inhalte Verwenden von Klassifizierungen • Anwendungsbasiert: Die Anwendung, in der die Datei erstellt oder geändert wurde • Speicherortbasiert: Die Definition der Netzwerkfreigabe oder des Wechselspeichermediums, auf denen die Datei gespeichert ist • Web-basiert: Die Web-Adressen, an denen die Dateien geöffnet oder heruntergeladen wurden Alle für Klassifizierungskriterien verfügbaren Daten- und Dateibedingungen sind auch für Kennzeichnungskriterien verfügbar, sodass Tags die Funktionen beider Kriterientypen verbinden können. Kennzeichnungskriterien werden in den erweiterten Dateiattributen (EA) oder in alternativen Datenströmen (ADS) gespeichert und auf eine Datei angewendet, wenn sie gespeichert wird. Wenn ein Benutzer gekennzeichnete Inhalte in eine andere Datei kopiert oder verschiebt, werden die Kennzeichnungskriterien auf die betreffende Datei angewendet. Werden die gekennzeichneten Inhalte aus der Datei entfernt, werden auch die Kennzeichnungskriterien entfernt. McAfee DLP Endpoint wendet Kennzeichnungskriterien auf Dateien an, nachdem eine Richtlinie angewendet wurde, unabhängig davon, ob die Klassifizierung in einer Schutzregel verwendet wird. Anwenden von Kriterien Kriterien werden auf eine der folgenden Arten auf eine Datei angewendet: • • McAfee DLP Endpoint wendet Kriterien in folgenden Situationen an: • Die Datei entspricht einer konfigurierten Klassifizierung. • Die Datei bzw. vertraulicher Inhalt wird an einen anderen Speicherort kopiert oder verschoben. • Bei einem Erkennungs-Scans wird eine Übereinstimmung mit der Datei erkannt. Ein Benutzer mit entsprechender Berechtigung fügt einer Datei manuell Kriterien hinzu. Siehe auch Erstellen von Klassifizierungskriterien auf Seite 85 Erstellen von Kennzeichnungskriterien auf Seite 85 Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 87 Textextrahierung Die Textextrahierung analysiert den Dateiinhalt, wenn Dateien geöffnet oder kopiert werden, und vergleicht ihn mit Textmustern und Wörterbuchdefinitionen in den Klassifizierungsregeln. Bei einer Übereinstimmung werden die Kriterien auf den Inhalt angewendet. Die Textextrahierung kann je nach Anzahl der Prozessorkerne mehrere Prozesse ausführen. • Bei Prozessoren mit einem Kern wird nur ein Prozess ausgeführt. • Prozessoren mit zwei Kernen können bis zu zwei Prozesse ausführen, • während Mehrkernprozessoren bis zu drei Prozesse gleichzeitig ausführen können. Wenn mehrere Benutzer angemeldet sind, verfügt jeder Benutzer über seine eigenen Prozesse. Die Anzahl der Textextrahierungen hängt daher von der Anzahl der Kerne sowie von der Anzahl der Benutzersitzungen ab. Die einzelnen Prozesse werden im Windows Task-Manager aufgeführt. Die maximale Speichernutzung für die Textextrahierung kann konfiguriert werden. Der Standardwert beträgt 75 MB. Die McAfee DLP Endpoint-Software unterstützt Akzentzeichen. Wenn eine Datei mit ASCII-Text verschiedene Akzentzeichen (wie beispielsweise im Französischen oder Spanischen) sowie reguläre lateinische Zeichen enthält, kann die Textextrahierung den Zeichensatz unter Umständen nicht korrekt identifizieren. Dieses Problem tritt in allen Textextrahierungsprogrammen auf. Es gibt keine bekannte 78 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Klassifizieren vertraulicher Inhalte Verwenden von Klassifizierungen 7 Methode oder Technik, um die ANSI-Codepage in derartigen Fällen korrekt zu identifizieren. Wenn die Textextrahierung die Codepage nicht identifizieren kann, werden Textmuster und Tag-Signaturen nicht erkannt. Das Dokument kann nicht ordnungsgemäß klassifiziert werden, und die vorgesehene Blockierungs- oder Überwachungsaktion kann nicht ausgeführt werden. Zur Umgehung dieses Problems wird in der McAfee DLP Endpoint-Client-Software eine alternative Codepage verwendet. Dies ist entweder die Standardsprache des jeweiligen Computers oder eine andere, vom Administrator festgelegte Sprache. Kategorisierung von Anwendungen in McAfee DLP Endpoint Wenn Sie Klassifizierungen oder Regelsätze erstellen, die Anwendungen nutzen, sollten Sie sich darüber im Klaren sein, nach welchem Prinzip McAfee DLP Endpoint diese kategorisiert und wie sich dies auf die Systemleistung auswirkt. McAfee DLP Endpoint teilt Anwendungen in vier Kategorien ein, die so genannten Strategien. Diese bestimmen, wie die Software die verschiedenen Anwendungen behandelt. Sie können die Strategie ändern, um ein ausgewogenes Verhältnis zwischen Sicherheit und effizientem Betrieb des Computers zu erzielen. Die Strategien in der Reihenfolge von höchstem zu schwächsten Schutz sind: • Editor: Eine Anwendung, die den Dateiinhalt ändern kann. Dazu gehören die "klassischen" Editoren wie Microsoft Word oder Microsoft Excel sowie Browser, Grafik-Software, Buchhaltungs-Software usw. Die meisten Anwendungen sind Editoren. • Explorer: Eine Anwendung, die Dateien ohne Veränderung kopiert und verschiebt, z. B. Microsoft Windows Explorer oder bestimmte Shell-Anwendungen. • Vertrauenswürdig: Eine Anwendung, die für Scans unbeschränkten Zugriff auf Dateien benötigt. Beispiele hierfür sind McAfee VirusScan Enterprise, Sicherungs-Software und Desktop-Such-Software wie Google Desktop. ® • ® Archivierungsprogramm: Eine Anwendung, die Dateien erneut verarbeiten kann. Beispiele hierfür sind Komprimierungs-Software wie WinZip und Verschlüsselungsanwendungen wie die McAfee Endpoint Encryption-Software oder PGP. Funktionsweise der DLP-Strategien Sie können die Strategie ändern, um die Leistung zu optimieren. So ist beispielsweise die intensive Überwachung einer Editor-Anwendung nicht mit dem Betrieb einer Desktop-Suchanwendung vereinbar, die fortlaufend indiziert. Die Anwendung würde mit deutlichen Leistungseinbußen arbeiten, gleichzeitig besteht jedoch nur ein geringes Risiko, dass durch eine solche Anwendung Daten kompromittiert werden. Daher sollten Sie für solche Anwendungen die Strategie "Vertrauenswürdig" verwenden. Auf der SeiteDLP-Richtlinie | Einstellungen | Anwendungsstrategie können Sie die Standardstrategie außer Kraft setzen. Erstellen oder entfernen Sie Außerkraftsetzungen nach Bedarf, um den jeweiligen Einfluss auf die Wirkungsweise der Richtlinie zu testen. Sie können für eine Anwendung auch mehrere Vorlagen erstellen und dieser mehrere Strategien zuweisen. Beim Anwenden der unterschiedlichen Vorlagen in verschiedenen Klassifizierungen und Regeln erzielen Sie je nach Kontext unterschiedliche Ergebnisse. Beim Zuordnen solcher Vorlagen innerhalb von Regelsätzen müssen Sie sorgfältig vorgehen, damit keine Konflikte verursacht werden. Potenzielle Konflikte werden in McAfee DLP Endpoint gemäß der Hierarchie "Archivierungsprogramm > Vertrauenswürdig > Explorer > Editor" gelöst. Editor hat also die niedrigste Rangstufe. Wenn eine Anwendung in einer Vorlage als Editor, in einer anderen Vorlage desselben Regelsatzes jedoch als etwas anderes eingestuft ist, behandelt McAfee DLP Endpoint die Anwendung nicht als Editor. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 79 7 Klassifizieren vertraulicher Inhalte Klassifizierungsdefinitionen und -kriterien Klassifizierungsdefinitionen und -kriterien Klassifizierungsdefinitionen und -kriterien enthalten eine oder mehrere Bedingungen, die den Inhalt oder die Dateieigenschaften beschreiben. Tabelle 7-1 Verfügbare Bedingungen Eigenschaft Bezieht sich auf: Definition Erweitertes Muster Definitionen, Kriterien Reguläre Ausdrücke oder Wortfolgen zum Abgleich mit Daten, z. B. Datumsangaben oder Kreditkartennummern. Wörterbuch Definitionen, Kriterien Zusammenstellungen zusammengehöriger Stichwörter und Wortfolgen, wie z. B. anstößige Wörter oder medizinische Begriffe. Stichwort Kriterien Ein Zeichenfolgenwert. Einer Tag-Definition können mehrere Stichwörter hinzugefügt werden. Diese werden standardmäßig mit dem booleschen Vergleichsoperator ODER verknüpft, der jedoch zu UND geändert werden kann. Abstand Kriterien Definiert den Zusammenhang zwischen zwei Eigenschaften ausgehend von ihren Positionen im Verhältnis zueinander. Für beide Eigenschaften können erweiterte Muster, Wörterbücher oder Stichwörter verwendet werden. Der Parameter Nähe ist als "weniger als x Zeichen" definiert, wobei der Standardwert 1 beträgt. Sie können auch den Parameter Trefferzahl angeben, der festlegt, wie viele Übereinstimmungen mindestens zum Auslösen eines Treffers erforderlich sind. Dokumenteigenschaften Definitionen, Kriterien Hierzu zählen folgende Optionen: • Beliebige Eigenschaft • Zuletzt gespeichert von • Autor • Name des Vorgesetzten • Kategorie • Sicherheit • Kommentare • Betreff • Unternehmen • Vorlage • Stichwörter (Tags) • Titel Mit Beliebige Eigenschaft ist hier eine benutzerdefinierte Eigenschaft gemeint. Dateiverschlüsselung Kriterien Hierzu zählen folgende Optionen: • Nicht verschlüsselt • Von McAfee verschlüsseltes selbstextrahierendes Archiv • McAfee Endpoint Encryption • Microsoft Rights Management-Verschlüsselung • Seclore Rights Management-Verschlüsselung • Nicht unterstützte Verschlüsselungstypen oder kennwortgeschützte Datei 80 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Klassifizieren vertraulicher Inhalte Klassifizierungsdefinitionen und -kriterien Tabelle 7-1 Verfügbare Bedingungen (Fortsetzung) Eigenschaft Bezieht sich auf: Definition Dateiinformationen Definitionen, Kriterien Hierzu zählen folgende Optionen: • Zugriff am • Dateiname • Erstellt am • Dateibesitzer • Geändert am • Dateigröße • Dateierweiterung Position in Datei Kriterien Der Abschnitt der Datei, in dem sich die Daten befinden. • Microsoft Word-Dokumente: Das Klassifizierungsmodul kann Kopfzeile, Textkörper und Fußzeile identifizieren. • PowerPoint-Dokumente: WordArt wird als Kopfzeile eingestuft, das restliche Dokument gilt als Textkörper. • Andere Dokumente: Kopfzeile und Fußzeile sind keine gültigen Klassifizierungskriterien. Wenn sie ausgewählt sind, werden die gesuchten Daten nicht erkannt, auch wenn sie im Dokument vorhanden sind. Drittanbieter-Tags Kriterien Werden zur Angabe von Titus-Feldnamen und -Feldwerten verwendet. Tatsächlicher Dateityp Definitionen, Kriterien Gruppen von Dateitypen. Anwendungsvorlage Definitionen Die Anwendung oder ausführbare Datei, die auf die Datei zugreift. Endbenutzergruppe Definitionen Wird zum Definieren von Berechtigungen für die manuelle Klassifizierung verwendet. Netzwerkfreigabe Definitionen Die Netzwerkfreigabe, auf der die Datei gespeichert ist. URL-Liste Definitionen Die URL, von der aus auf die Datei zugegriffen wird. Die vordefinierte Gruppe Microsoft Excel umfasst beispielsweise u. a. Excel XLS-, XLSX- und XML-Dateien sowie Lotus WK1- und FM3-Dateien, CSV- und DIF-Dateien und Apple iWork-Dateien. Siehe auch Erstellen von Klassifizierungsdefinitionen auf Seite 90 Wörterbuchdefinitionen Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen ist. Klassifizierungs- und Kennzeichnungskriterien verwenden angegebene Wörterbücher zum Klassifizieren von Dokumenten, wenn ein definierter Schwellenwert (Gesamtfaktor) überschritten wird, d. h., wenn das Dokument eine ausreichende Anzahl von Wörtern aus dem Wörterbuch enthält. Wörterbucheinträge und Zeichenfolgen in einem Stichwort unterscheiden sich durch den jeweils zugewiesenen Faktor. • Bei einer Klassifizierung anhand eines Stichworts wird ein Dokument bei Vorhandensein dieser Wortfolge in jedem Fall gekennzeichnet. • Eine Klassifizierung anhand eines Wörterbucheintrags gibt Ihnen mehr Flexibilität, da Sie einen Schwellenwert festlegen können, der die Klassifizierung relativiert. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 81 7 Klassifizieren vertraulicher Inhalte Klassifizierungsdefinitionen und -kriterien Die zugewiesenen Faktoren können negativ oder positiv sein, sodass Sie nach Wörtern oder Wortfolgen bei Vorhandensein anderer Wörter oder Begriffe suchen können. In McAfee DLP sind bereits mehrere Wörterbücher integriert, die häufig verwendete Begriffe der Felder Gesundheit, Banken- und Finanzwesen und anderer Branchen abdecken. Sie können auch eigene Wörterbücher erstellen. Wörterbücher können manuell oder durch Kopieren und Einfügen aus anderen Dokumenten erstellt und bearbeitet werden. Beschränkungen Beim Verwenden von Wörterbüchern gibt es einige Einschränkungen. Wörterbücher werden im Unicode-Format (UTF-8) gespeichert und können daher in jeder Sprache geschrieben werden. Die folgenden Beschreibungen beziehen sich auf Wörterbücher in englischer Sprache. Sie gelten grundsätzlich auch für andere Sprachen, bei manchen Sprachen kann es jedoch zu unvorhergesehenen Problemen kommen. Der Wörterbuchabgleich weist die folgenden Merkmale auf: • Die Groß-/Kleinschreibung wird nur berücksichtigt, wenn Sie dies beim Erstellen des jeweiligen Wörterbucheintrags festlegen. Bei integrierten Wörterbüchern, die vor Veröffentlichung dieser Funktion erstellt wurden, wird die Groß-/Kleinschreibung nicht berücksichtigt. • Optional kann nach der Übereinstimmung von Teilzeichenfolgen oder ganzen Ausdrücken gesucht werden. • Ausdrücke werden einschließlich der Leerzeichen abgeglichen. Wenn der Abgleich von Teilzeichenfolgen ausgewählt ist, lassen Sie bei der Eingabe kurzer Wörter Vorsicht walten, da möglicherweise False-Positives auftreten können. So würden beispielsweise bei dem Wörterbucheintrag "alt" auch Wörter wie "alternativ" oder "Verwaltung" markiert werden. Verwenden Sie zur Vermeidung solcher False-Positives die Option zur Übereinstimmung ganzer Wortfolgen, oder verwenden Sie statistisch unwahrscheinliche Wortfolgen (Statistically Improbable Phrases, SIPs), um bestmögliche Ergebnisse zu erzielen. Eine weitere Quelle für False-Positives sind ähnliche Begriffe. Angenommen, in einer Liste von Krankheiten sind sowohl "Zöliakie" als auch "Zöliakieerkrankung" als separate Einträge aufgeführt. Wenn der zweite Begriff in einem Dokument enthalten und der Abgleich von Teilzeichenfolgen ausgewählt ist, werden zwei Treffer (einer für jeden Eintrag) ausgegeben, wodurch der Gesamtfaktor verfälscht wird. Siehe auch Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 90 Definitionen für erweiterte Muster In erweiterten Mustern werden reguläre Ausdrücke verwendet, die einen komplexen Musterabgleich ermöglichen, um beispielsweise Sozialversicherungs- oder Kreditkartennummern zu erkennen. In Definitionen wird die Google RE2-Syntax für reguläre Ausdrücke verwendet. Erweiterte Muster können auch komplexe Wortmuster definieren, wie in den Beispiel-Finanzberichten oder Beispiel-Anruflisten von Mobilfunkbetreibern in den vordefinierten Mustern. Im Fall von Wortmustern beginnen und enden Muster für reguläre Ausdrücke standardmäßig mit \b, der standardmäßigen Notation regulärer Ausdrücke zur Worttrennung. Die Textmusterübereinstimmung bei Wortfolgen bezieht sich daher standardmäßig auf die Übereinstimmung ganzer Wörter, um die Anzeige von False-Positives zu verringern. Wie auch Wörterbuchdefinitionen beinhalten Definitionen erweiterter Muster einen Faktor (obligatorisch). Sie können außerdem einen optionalen False-Positive-Ausdruck (Stichwort oder regulärer Ausdruck) und eine Bestätigung (Algorithmus zum Testen regulärer Ausdrücke) enthalten. 82 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Klassifizieren vertraulicher Inhalte Klassifizierungsdefinitionen und -kriterien Durch einen geeigneten Validierungsalgorithmus kann die Anzahl von False-Positives ebenfalls beträchtlich reduziert werden. Sie können für False-Positives auch mehrere Stichwörter auf einmal importieren. Erweiterte Muster weisen auf vertraulichen Text hin. Vertrauliche Textmuster sind in angezeigten Nachweisen mit hervorgehobenen Übereinstimmungen unkenntlich gemacht. Wenn Sie gleichzeitig Muster festlegen, die Inhalte einschließen und ausschließen, hat das auszuschließende Muster Priorität. Auf diese Weise können Sie eine allgemeine Regel festlegen und Ausnahmen hinzufügen, ohne die allgemeine Regel neu schreiben zu müssen. Siehe auch Erstellen eines erweiterten Musters auf Seite 91 Klassifizieren von Inhalten mit Dokumenteigenschaften oder Dateiinformationen Mit Definitionen für Dokumenteigenschaften werden Inhalte anhand von vordefinierten Metadatenwerten klassifiziert, während mit Definitionen für Dateiinformationen Inhalte anhand der Dateimetadaten klassifiziert werden. Dokumenteigenschaften Dokumenteigenschaften können aus beliebigen Microsoft Office-Dokumenten oder PDF-Dateien abgerufen und in Klassifizierungsdefinitionen verwendet werden. Mit dem Vergleichsoperator Enthält ist auch ein Teilabgleich möglich, bei dem die Daten nicht vollständig übereinstimmen müssen. Es gibt drei Arten von Dokumenteigenschaften: • Vordefinierte Eigenschaften: Standardeigenschaften wie Autor oder Titel. • Benutzerdefinierte Eigenschaften: Benutzerdefinierte Eigenschaften, die den Dokumentmetadaten hinzugefügt werden, sind bei einigen Anwendungen, etwa Microsoft Word, zulässig. Eine benutzerdefinierte Eigenschaft kann auch auf eine Standard-Dokumenteigenschaft verweisen, die nicht in der Liste der vordefinierten Eigenschaften enthalten ist. Das Duplizieren einer in der Liste enthaltenen Eigenschaft ist hingegen nicht möglich. • Beliebige Eigenschaft: Ermöglicht die Definition einer Eigenschaft ausschließlich anhand des Werts. Diese Funktion ist in Fällen hilfreich, in denen das Stichwort im falschen Eigenschaftsparameter eingegeben wurde bzw. in denen der Eigenschaftsname unbekannt ist. Wenn beispielsweise dem Parameter Beliebige Eigenschaft der Wert Geheim hinzugefügt wird, werden alle Dokumente klassifiziert, bei denen mindestens eine Eigenschaft das Wort Geheim enthält. Dateiinformationen Dateiinformationsdefinitionen werden in Datenschutz- und Erkennungsregeln sowie in Klassifizierungen zur Differenzierung verwendet. Zu den Dateiinformationen gehören beispielsweise das Erstellungsdatum, das Änderungsdatum, der Dateibesitzer und die Dateigröße. Die Datumseigenschaften verfügen sowohl über exakte (vor, nach, zwischen) als auch über relative (in den letzten X Tagen, Wochen, Jahren) Datumsoptionen. Dateityp (nur Erweiterungen) ist eine vordefinierte, erweiterbare Liste der Dateierweiterungen. Anwendungsvorlagen Eine Anwendungsvorlage steuert bestimmte Anwendungen mithilfe von Eigenschaften wie Produktoder Anbietername, Name der ausführbaren Datei oder Fenstertitel. Eine Anwendungsvorlage kann für eine einzelne Anwendung oder für eine Gruppe ähnlicher Anwendungen definiert werden. Es gibt vordefinierte (integrierte) Vorlagen für gängige Anwendungen wie Windows Explorer, Web-Browser, Verschlüsselungsanwendungen und E-Mail-Clients. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 83 7 Klassifizieren vertraulicher Inhalte Erstellen und Konfigurieren von Klassifizierungen Anwendungsvorlagen können folgende Parameter verwenden: • Befehlszeile: Ermöglicht die Verwendung von Befehlszeilenargumenten (z. B. java-jar), mit denen sich Anwendungen steuern lassen, für die dies bisher nicht möglich war. • Verzeichnis der ausführbaren Datei: Das Verzeichnis, in dem sich die ausführbare Datei befindet. Mit diesem Parameter lassen sich beispielsweise U3-Anwendungen steuern. • Hash der ausführbaren Datei: Der Anzeigename der Anwendung, mit einem SHA2-Hash zur Identifizierung. • Name der ausführbaren Datei: Dieser entspricht normalerweise dem Anzeigenamen (ohne den SHA2-Hash), kann jedoch anders lauten, wenn die Datei umbenannt wurde. • Ursprünglicher Name der ausführbaren Datei: Identisch mit dem Namen der ausführbaren Datei, sofern die Datei nicht umbenannt wurde. • Produktname: Der generische Name des Produkts, z. B. Microsoft Office 2012, sofern er in den Eigenschaften der ausführbaren Datei angegeben ist. • Name des Anbieters: Der Name des Unternehmens, sofern er in den Eigenschaften der ausführbaren Datei angegeben ist. • Fenstertitel: Ein dynamischer Wert, der zur Laufzeit, d. h. während der Ausführung, den Namen der aktiven Datei enthält. Mit Ausnahme des SHA2-Anwendungsnamens und des Verzeichnisses der ausführbaren Datei akzeptieren alle Parameter Übereinstimmungen von Teilzeichenfolgen. Erstellen und Konfigurieren von Klassifizierungen Sie können Klassifizierungen und Kriterien erstellen sowie Dateien zur Registrierung oder Aufnahme in die Whitelist hochladen. Aufgaben • Erstellen einer Klassifizierung auf Seite 84 Für die Konfiguration von Datenschutz- und Erkennungsregeln werden Klassifizierungsdefinitionen benötigt. • Erstellen von Klassifizierungskriterien auf Seite 85 Sie können auf Dateien Klassifizierungskriterien anwenden, die auf Dateiinhalten und -eigenschaften basieren. • Erstellen von Kennzeichnungskriterien auf Seite 85 Sie können Kennzeichnungskriterien basierend auf dem Speicherort der Anwendung oder der Datei auf Dateien anwenden. • Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 87 Sie können Benutzer konfigurieren, die zur manuellen Klassifizierung von Dateien berechtigt sind. Erstellen einer Klassifizierung Für die Konfiguration von Datenschutz- und Erkennungsregeln werden Klassifizierungsdefinitionen benötigt. 84 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Klassifizieren vertraulicher Inhalte Erstellen und Konfigurieren von Klassifizierungen 7 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Klicken Sie auf Neue Klassifizierung. 3 Geben Sie einen Namen und optional eine Beschreibung ein. 4 Klicken Sie auf OK. 5 Sie fügen Endbenutzergruppen der manuellen Klassifizierung bzw. registrierte Dokumente der Klassifizierung hinzu, indem Sie für die entsprechende Komponente auf Bearbeiten klicken. 6 Klassifizierungskriterien oder Kennzeichnungskriterien können Sie mit dem Steuerelement Aktionen hinzufügen. Erstellen von Klassifizierungskriterien Sie können auf Dateien Klassifizierungskriterien anwenden, die auf Dateiinhalten und -eigenschaften basieren. Klassifizierungskriterien werden aus Definitionen von Daten und Dateien erstellt. Wenn eine benötigte Definition nicht vorhanden ist, können sie diese beim Definieren der Kriterien erstellen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Wählen Sie die Klassifizierung, der die Kriterien hinzugefügt werden sollen, und dann Aktionen | Neue Klassifizierungskriterien aus. 3 Geben Sie den Namen ein. 4 Wählen Sie eine oder mehrere Eigenschaften aus, und konfigurieren Sie dann den Vergleich und die Werte der Einträge. 5 • Klicken Sie zum Entfernen einer Eigenschaft auf <. • Bei einigen Eigenschaften müssen Sie auf ... klicken, um eine vorhandene Eigenschaft auszuwählen oder eine neue Eigenschaft zu erstellen. • Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +. • Klicken Sie zum Entfernen von Werten auf –. Klicken Sie auf Speichern. Siehe auch Verwenden von Klassifizierungen auf Seite 77 Erstellen von Kennzeichnungskriterien Sie können Kennzeichnungskriterien basierend auf dem Speicherort der Anwendung oder der Datei auf Dateien anwenden. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 85 7 Klassifizieren vertraulicher Inhalte Erstellen und Konfigurieren von Klassifizierungen Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Wählen Sie die Klassifizierung aus, der die Kriterien hinzugefügt werden sollen. 3 Wählen SieAktionen | Neue Kennzeichnungskriterien und dann den Typ der Kennzeichnungskriterien aus. 4 Geben Sie den Namen ein, und geben Sie zusätzliche Informationen basierend auf dem Typ der Kennzeichnungskriterien an. 5 6 • Anwendung: Klicken Sie auf ..., um eine oder mehrere Anwendungen auszuwählen. • Speicherort: Klicken Sie auf ..., um eine oder mehrere Netzwerkfreigaben auszuwählen. Geben Sie bei Bedarf die Art des Wechselspeichermediums an. • Web-Anwendung: Klicken Sie auf ..., um eine oder mehrere URL-Listen auszuwählen. (Optional) Sie können eine oder mehrere Eigenschaften auswählen und die Vergleichs- und Werteinträge konfigurieren. • Klicken Sie zum Entfernen einer Eigenschaft auf <. • Bei einigen Eigenschaften müssen Sie auf ... klicken, um eine vorhandene Eigenschaft auszuwählen oder eine neue Eigenschaft zu erstellen. • Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +. • Klicken Sie zum Entfernen von Werten auf –. Klicken Sie auf Speichern. Aufgaben • Anwendungsbeispiel: Anwendungsbasierte Kennzeichnung auf Seite 86 Sie können Inhalte gemäß der Anwendung, mit der sie erstellt wurden, als vertraulich klassifizieren. Siehe auch Verwenden von Klassifizierungen auf Seite 77 Anwendungsbeispiel: Anwendungsbasierte Kennzeichnung Sie können Inhalte gemäß der Anwendung, mit der sie erstellt wurden, als vertraulich klassifizieren. In einigen Fällen können Inhalte aufgrund der Anwendung, von der sie erstellt wurden, als vertraulich klassifiziert werden. Ein Beispiel hierfür wären streng geheime militärische Landkarten. Hierbei handelt es sich um JPEG-Dateien, die üblicherweise von einer speziellen GIS-Anwendung der US-amerikanischen Luftwaffe erstellt werden. Wenn diese Anwendung in der Definition für die Kennzeichnungskriterien ausgewählt ist, werden alle von dieser Anwendung erstellten JPEG-Dateien als vertraulich gekennzeichnet. Von anderen Anwendungen erstellte JPEG-Dateien werden nicht gekennzeichnet. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 86 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Wählen Sie auf der Registerkarte Definitionen die Option Anwendungsvorlage und dann Aktionen | Neu aus. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Klassifizieren vertraulicher Inhalte Erstellen und Konfigurieren von Klassifizierungen 3 Geben Sie einen Namen, z. B. GIS-Anwendung, und bei Bedarf eine Beschreibung ein. Definieren Sie die GIS-Anwendung anhand von mindestens einer der Eigenschaften aus der Liste Verfügbare Eigenschaften. Klicken Sie auf Speichern. 4 Klicken Sie auf der Registerkarte Klassifizierung auf Neue Klassifizierung, und geben Sie einen Namen (z. B. GIS-Anwendung) sowie bei Bedarf eine Definition ein. Klicken Sie auf OK. 5 Wählen Sie Aktionen | Neue Kennzeichnungskriterien | Anwendung aus. Daraufhin öffnet sich die Seite mit den Kennzeichnungskriterien. 6 Geben Sie im Feld Name einen Namen für das Tag ein, z. B. GIS-Tag. 7 Wählen Sie im Feld Anwendungen die in Schritt 1 erstellte GIS-Anwendung aus. 8 Wählen Sie in der Liste Verfügbare Eigenschaften | Dateibedingungen die Option Tatsächlicher Dateityp aus. Wählen Sie im Feld Wert die Option Graphic files [vordefiniert] aus. Die vordefinierte Definition umfasst JPEG sowie weitere Grafikdateitypen. Wenn Sie eine Anwendung und einen Dateityp auswählen, werden nur die von dieser Anwendung generierten JPEG-Dateien in die Klassifizierung eingeschlossen. 9 Klicken Sie auf Speichern, und wählen Sie dann Aktionen | Klassifizierung speichern aus. Die Klassifizierung kann nun in Schutzregeln verwendet werden. Zuweisen von Berechtigungen für die manuelle Klassifizierung Sie können Benutzer konfigurieren, die zur manuellen Klassifizierung von Dateien berechtigt sind. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Klicken Sie auf die Registerkarte Manuelle Klassifizierung. 3 Wählen Sie in der Dropdown-Liste Gruppieren nach die Option Klassifizierungen oder Benutzergruppen aus. Sie können Klassifizierungen zu Benutzergruppen oder Benutzergruppen zu Klassifizierungen zuweisen, so wie es für Sie einfacher ist. Über die Liste Gruppieren nach können Sie die Anzeige steuern. 4 5 Gruppierung anhand von Klassifizierungen: a Wählen Sie in der angezeigten Liste eine Klassifizierung aus. b Wählen Sie Aktionen | Endbenutzergruppen auswählen aus. c Wählen Sie im Fenster Aus vorhandenen Werten auswählen Benutzergruppen aus, oder klicken Sie auf Neues Element, um eine neue Gruppe zu erstellen. Klicken Sie auf OK. Gruppierung anhand von Benutzergruppen: a Wählen Sie in der angezeigten Liste eine Benutzergruppe aus. b Wählen Sie Aktionen | Klassifizierungen auswählen aus. c Wählen Sie im Fenster Aus vorhandenen Werten auswählen Klassifizierungen aus. Klicken Sie auf OK. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 87 7 Klassifizieren vertraulicher Inhalte Registrierte Dokumente Registrierte Dokumente Die Funktion für registrierte Dokumente ist eine Erweiterung der speicherortbasierten Kennzeichnung. Sie gibt Administratoren eine weitere Möglichkeit, vertrauliche Informationen zu definieren und sie vor der nicht autorisierten Verbreitung zu schützen. Registrierte Dokumente sind bereits als vertraulich vordefiniert, beispielsweise Tabellen mit Umsatzprognosen für das kommende Quartal. Die McAfee DLP Endpoint-Software kategorisiert die Inhalte dieser Dateien und versieht sie mit einem Fingerabdruck. Die erstellten Signaturen sind sprachunabhängig, der Vorgang funktioniert also in jeder Sprache. Beim Erstellen eines Pakets werden die Signaturen in die McAfee ePO-Datenbank geladen, um sie an alle Endgerät-Workstations zu verteilen. Der McAfee DLP Endpoint-Client auf den verwalteten Computern steuert die Verteilung von Dokumenten mit registrierten Inhaltsfragmenten. Zum Verwenden von registrierten Dokumenten laden Sie Dateien im Modul "Klassifizierung" auf der Registerkarte Dokumente registrieren hoch und weisen sie dabei einer Klassifizierung zu. Nicht zutreffende Klassifizierungen werden hierbei vom Endgerät-Client ignoriert. Beispielsweise werden beim Analysieren von E-Mails auf vertrauliche Inhalte registrierte Dokumentpakete ignoriert, die anhand von Dateieigenschaften klassifiziert wurden. Es gibt zwei Anzeigeoptionen: Statistiken und Klassifizierungen. In der Statistikansicht werden im linken Fensterbereich Gesamtwerte für die Anzahl der Dateien, Dateigröße, Anzahl der Signaturen usw. und im rechten Fensterbereich Statistiken für die einzelnen Dateien angezeigt. Diese Daten können Sie zum Entfernen weniger wichtiger Pakete nutzen, wenn das Signaturlimit fast erreicht ist. In der Klassifizierungsansicht werden hochgeladene Dateien anhand der Klassifizierung angezeigt. Oben rechts werden Informationen zur letzten Paketerstellung und Änderungen an der Dateiliste aufgelistet. Beim Erstellen eines Pakets verarbeitet die Software alle Dateien in der Liste und lädt die Fingerabdrücke zur Verteilung in die McAfee ePO-Datenbank. Wenn Sie Dokumente hinzufügen oder löschen, müssen Sie ein neues Paket erstellen. Die Software berechnet nicht, ob einige der Dateien bereits mit einem Fingerabdruck versehen wurden. Sie verarbeitet immer die gesamte Liste. Der Befehl Paket erstellen erfasst gleichzeitig die Liste der registrierten Dokumente und die Liste der Dokumente in der Whitelist und erstellt ein Gesamtpaket. Die Höchstanzahl der Signaturen pro Paket beträgt für registrierte Dokumente und Dokumente in der Whitelist jeweils 1 Million. Siehe auch Hochladen von registrierten Dokumenten auf Seite 89 Text in der Whitelist Text, der sich in der Whitelist befindet, wird bei der Verarbeitung von Dateiinhalten von McAfee DLP Endpoint ignoriert. Sie können Dateien mit Text zu McAfee ePO hochladen, damit dieser Text in die Whitelist aufgenommen wird. Wenn sich Text in der Whitelist befindet, werden entsprechende Inhalte weder klassifiziert noch gekennzeichnet, selbst wenn Teile davon mit den Klassifizierungs- oder Kennzeichnungskriterien übereinstimmen. Sie sollten Text in die Whitelist aufnehmen, der häufig in Dateien vorkommt, z. B. Textbausteine, Haftungsausschlüsse und Informationen zum Urheberrecht. 88 • Dateien mit Text, der in die Whitelist aufgenommen werden soll, müssen mindestens 400 Zeichen enthalten. • Wenn eine Datei sowohl gekennzeichnete oder klassifizierte Daten als auch Daten enthält, die sich in der Whitelist befinden, wird sie vom System nicht ignoriert. Alle dem Inhalt zugewiesenen relevanten Kennzeichnungs- oder Klassifizierungskriterien bleiben aktiv. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Klassifizieren vertraulicher Inhalte Hochladen von registrierten Dokumenten Siehe auch Hochladen von Dateien zur Aufnahme von Text in die Whitelist auf Seite 89 Hochladen von registrierten Dokumenten Wählen Sie Dokumente aus, die an die Endgerät-Computer verteilt werden sollen, und klassifizieren Sie sie. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Klicken Sie auf die Registerkarte Dokumente registrieren. 3 Klicken Sie auf Datei-Upload. 4 Navigieren Sie zur Datei, wählen Sie aus, ob eine Datei überschrieben werden soll, wenn bereits eine gleichnamige Datei vorhanden ist, und wählen Sie eine Klassifizierung aus. Mit Datei-Upload können Sie nur eine Datei verarbeiten. Wenn Sie mehrere Dokumente gleichzeitig hochladen möchten, erstellen Sie eine ZIP-Datei. 5 Klicken Sie auf OK. Die Datei wird dann hochgeladen und verarbeitet, und auf der Seite wird eine Statistik angezeigt. Klicken Sie nach Abschluss der Dateiliste auf Paket erstellen. Daraufhin wird ein Signaturpaket aller registrierten Dokumente und aller Dokumente in der Whitelist in die McAfee ePO-Datenbank zur Verteilung an die Endgerät-Computer geladen. Sie können ein Paket mit gerade registrierten oder in die Whitelist aufgenommenen Dokumenten erstellen, indem Sie eine Liste leer lassen. Wenn Dateien gelöscht werden, müssen Sie sie aus der Liste entfernen und ein neues Paket erstellen, damit die Änderungen wirksam werden. Siehe auch Registrierte Dokumente auf Seite 88 Hochladen von Dateien zur Aufnahme von Text in die Whitelist Sie können Dateien, die häufig verwendeten Text enthalten, zur Aufnahme in die Whitelist hochladen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Klicken Sie auf die Registerkarte Text in der Whitelist. 3 Klicken Sie auf Datei-Upload. 4 Navigieren Sie zur Datei, und wählen Sie aus, ob eine ggf. bereits vorhandene gleichnamige Datei überschrieben werden soll. 5 Klicken Sie auf OK. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 89 7 Klassifizieren vertraulicher Inhalte Erstellen von Klassifizierungsdefinitionen Siehe auch Text in der Whitelist auf Seite 88 Erstellen von Klassifizierungsdefinitionen Vordefinierte Klassifizierungsdefinitionen können weder geändert noch gelöscht werden. Erstellen Sie im Bedarfsfall neue Definitionen. Aufgaben • Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 90 Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden. • Erstellen eines erweiterten Musters auf Seite 91 Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes Muster kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken und False-Positive-Definitionen bestehen. • Integrieren von Drittanbieter-Tags in Titus Client auf Seite 92 Klassifizierungs- oder Kennzeichnungskriterien können mehrere Paare aus Titus-Tag-Namen und -Tag-Werten enthalten. • Integration von Boldon James Email Classifier in Klassifizierungskriterien auf Seite 93 Sie können Klassifizierungskriterien für die Integration von Boldon James Email Classifier erstellen. Siehe auch Klassifizierungsdefinitionen und -kriterien auf Seite 80 Erstellen oder Importieren einer Wörterbuchdefinition Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Klicken Sie auf die Registerkarte Definitionen. 3 Wählen Sie im linken Fensterbereich Wörterbuch aus. 4 Wählen Sie Aktionen | Neu aus. 5 Geben Sie einen Namen und optional eine Beschreibung ein. 6 Fügen Sie dem Wörterbuch nun Einträge hinzu. So importieren Sie Einträge: a Klicken Sie auf Einträge importieren. b Geben Sie nun Wörter oder Wortfolgen ein, oder kopieren Sie diese aus einem anderen Dokument, und fügen Sie sie ein. Das Textfenster ist auf 20.000 Zeilen und 50 Zeichen pro Zeile beschränkt. 90 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 7 Klassifizieren vertraulicher Inhalte Erstellen von Klassifizierungsdefinitionen c Klicken Sie auf OK. Allen Einträgen wird der Standardfaktor 1 zugeordnet. d Sie können diesen Faktor ändern, indem Sie für den jeweiligen Eintrag auf Bearbeiten klicken. e Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus. Beginnen mit und Enden mit ermöglichen den Abgleich von Teilzeichenfolgen. So erstellen Sie Einträge manuell: 7 a Geben Sie die Wortfolge und den Faktor ein. b Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus. c Klicken Sie auf Hinzufügen. Klicken Sie auf Speichern. Erstellen eines erweiterten Musters Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes Muster kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken und False-Positive-Definitionen bestehen. Erweiterte Muster werden mithilfe von regulären Ausdrücken definiert. Eine ausführliche Erläuterung von regulären Ausdrücken würde in diesem Dokument zu weit führen. Es gibt zahlreiche Tutorials zu diesem Thema im Internet, in denen Sie sich ausführlich informieren können. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Wählen Sie die Registerkarte Definitionen und dann im linken Bereich die Option Erweitertes Muster aus. Die verfügbaren Muster werden auf der rechten Seite angezeigt. Wenn nur die benutzerdefinierten erweiterten Muster angezeigt werden sollen, deaktivieren Sie das Kontrollkästchen Integrierte Elemente einschließen. Benutzerdefinierte Muster sind die einzigen Muster, die bearbeitet werden können. 3 Wählen Sie Aktionen | Neu aus. Daraufhin öffnet sich die Definitionsseite für das neue erweiterte Muster. 4 Geben Sie einen Namen und optional eine Beschreibung ein. 5 Gehen Sie unter Übereinstimmende Ausdrücke wie folgt vor: a Geben Sie einen Ausdruck in das Textfeld ein. Fügen Sie bei Bedarf eine Beschreibung hinzu. b Wählen Sie in der Dropdown-Liste eine Bestätigung aus. McAfee empfiehlt, nach Möglichkeit einen Validierungsalgorithmus zu verwenden, um die Anzahl von False-Positives gering zu halten. Dies ist jedoch nicht obligatorisch. Wenn Sie keinen Validierungsalgorithmus angeben möchten oder dies für den Ausdruck nicht sinnvoll ist, wählen Sie Keine Überprüfung aus. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 91 7 Klassifizieren vertraulicher Inhalte Erstellen von Klassifizierungsdefinitionen c Geben Sie im Feld Faktor eine Zahl ein. Diese Zahl gibt die Gewichtung des Ausdrucks für den Abgleich mit dem Schwellenwert an. Dieses Feld ist ein Pflichtfeld. d 6 Klicken Sie auf Hinzufügen. Gehen Sie unter False-Positive wie folgt vor: a Geben Sie einen Ausdruck in das Textfeld ein. Wenn Sie Textmuster in einem separaten Dokument gespeichert haben, können Sie sie mit Einträge importieren in die Definition kopieren. 7 b Wählen Sie im Feld Typ in der Dropdown-Liste den Wert Regulärer Ausdruck aus, wenn die Zeichenfolge ein regulärer Ausdruck ist, oder Stichwort, wenn es sich um Text handelt. c Klicken Sie auf Hinzufügen. Klicken Sie auf Speichern. Integrieren von Drittanbieter-Tags in Titus Client Klassifizierungs- oder Kennzeichnungskriterien können mehrere Paare aus Titus-Tag-Namen und -Tag-Werten enthalten. Bevor Sie beginnen 1 Öffnen Sie im Richtlinienkatalog die aktuelle Client-Konfiguration. Wählen Sie Einstellungen | Betriebsmodus und Module aus. Vergewissern Sie sich, dass Outlook-Add-Ins | Integration von Drittanbieter-Add-Ins aktivieren ausgewählt ist. 2 Wählen Sie in Einstellungen | E-Mail-Schutz im Abschnitt Integration von Drittanbieter-Add-Ins für Outlook in der Dropdown-Liste Name des Anbieters die Option Titus aus. McAfee DLP Endpoint ruft die Titus-API zur Erkennung gekennzeichneter Dateien und zur Ermittlung der Tags auf. Klassifizierungen, die Drittanbieter-Tags enthalten, können auf alle Schutz- und Erkennungsregeln angewendet werden, die Dateien überprüfen. Zur Implementierung dieser Funktion muss das Titus SDK auf den Endgerät-Computern installiert sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 92 1 Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. 2 Klicken Sie auf Neue Klassifizierung. 3 Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein. 4 Klicken Sie auf Aktionen, und wählen Sie dann entweder Neue Klassifizierungskriterien oder Neue Kennzeichnungskriterien aus. 5 Wählen Sie die Eigenschaft Drittanbieter-Tags aus. 6 Geben Sie den Namen des Titus-Felds und einen Wert ein. Wählen Sie die Wertdefinition in der Dropdown-Liste aus. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Klassifizieren vertraulicher Inhalte Erstellen von Klassifizierungsdefinitionen 7 Die eingegebene Wertzeichenfolge kann wie folgt definiert werden: • entspricht einem von • entspricht allen folgenden • enthält eines von • enthält alle folgenden 7 (Optional) Klicken Sie auf +, und fügen Sie ein weiteres Name/Wert-Paar hinzu. 8 Klicken Sie auf Speichern. Integration von Boldon James Email Classifier in Klassifizierungskriterien Sie können Klassifizierungskriterien für die Integration von Boldon James Email Classifier erstellen. Boldon James Email Classifier ist eine E-Mail-Lösung, die E-Mails klassifiziert und ihnen Beschriftungen zuweist. Die McAfee DLP Endpoint-Software kann in Email Classifier integriert werden und E-Mails anhand der zugewiesenen Klassifizierungen blockieren. Sie können beim Einrichten der Email Classifier-Software die Zeichenfolge auswählen, die Email Classifier an McAfee DLP Endpoint sendet. Verwenden Sie diese Zeichenfolge zum Definieren der Klassifizierungskriterien. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 2 So richten Sie die Boldon James-Kompatibilität in McAfee DLP Endpoint ein: a Öffnen Sie mithilfe der Boldon James Classifier Administration-Konsole Classifier Application Settings | Outlook Settings (Einstellungen der Klassifizierungsanwendung | Outlook-Einstellungen). Setzen Sie McAfee Host DLP scan (McAfee-Host-DLP-Scan) auf 'Enabled' (Aktiviert), und legen Sie für McAfee Host DLP marking (McAfee-Host-DLP-Markierung) ein Markierungsformat fest, das den Klassifizierungswert sowie statischen Text enthält, der für die DLP-Markierung eindeutig ist. Es wird eine auf diesem Markierungsformat basierende Zeichenfolge an McAfee DLP Endpoint übergeben, die die Klassifizierungskriterien enthält. b Öffnen Sie im Richtlinienkatalog die aktuelle Client-Konfiguration. Wählen Sie Einstellungen | Betriebsmodus und Module aus. Vergewissern Sie sich, dass Outlook-Add-Ins | Integration von Drittanbieter-Add-Ins aktivieren ausgewählt ist. c Wählen Sie in Einstellungen | E-Mail-Schutz im Abschnitt Integration von Drittanbieter-Add-Ins für Outlook in der Dropdown-Liste Name des Anbieters die Option Boldon James aus. Erstellen Sie eine Boldon James-Klassifizierung. Führen Sie für jede benötigte Klassifizierung die folgenden Schritte durch: a Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus. b Klicken Sie auf die Registerkarte Klassifizierung und dann auf Neue Klassifizierung. c Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein. d Klicken Sie auf Aktionen | Neue Klassifizierungskriterien. e Wählen Sie die Eigenschaft Stichwort aus. Geben Sie im Feld Wert die Zeichenfolge ein, die auf dem bei der Classifier Administration-Einrichtung ausgewählten Markierungsformat basiert und an McAfee DLP Endpoint gesendet werden soll. Die [Boldon James-Klassifizierung] ist die Zeichenfolge, die Sie beim Einrichten von Email Classifier zum Senden an McAfee DLP Endpoint ausgewählt haben. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 93 7 Klassifizieren vertraulicher Inhalte Klassifizieren anhand des Dateispeicherorts 3 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Regelsatz aus. 4 Führen Sie auf der Registerkarte Regelsätze eine der folgenden Aktionen durch. 5 • Wählen Sie Aktionen | Neuer Regelsatz aus. • Wählen Sie einen bestehenden Regelsatz aus. Wählen Sie Aktionen | Neue Regel | E-Mail-Schutz aus. Daraufhin wird ein Definitionsformular für den E-Mail-Schutz angezeigt. 6 Geben Sie einen eindeutigen Regelnamen ein. 7 Wählen Sie auf der Registerkarte Bedingung in der Dropdown-Liste Textteil und dann die entsprechende Klassifizierung für Boldon James aus. Wählen Sie die gewünschten Optionen für Endbenutzer, E-Mail-Umschlag und Empfänger aus. Der McAfee DLP Endpoint-Client behandelt die Boldon James-Klassifizierung als Bestandteil des E-Mail-Textes. Wenn Sie die Definition so eingrenzen, dass nur der Textteil gescannt wird, arbeitet die Regel effizienter. 8 Wählen Sie auf der Registerkarte Reaktion die entsprechenden Parameter Vorbeugende Aktion, Benutzerbenachrichtigung, Vorfall melden und Schweregrad aus. Setzen Sie den Status auf Aktiviert, und klicken Sie dann auf Speichern. Klassifizieren anhand des Dateispeicherorts Vertrauliche Inhalte können anhand des Speicherorts oder des Verwendungsorts (Dateierweiterung oder Anwendung) definiert werden. McAfee DLP Endpoint verwendet verschiedene Methoden zum Finden und Klassifizieren von vertraulichen Inhalten. Der Begriff Ruhende Daten beschreibt Dateispeicherorte. Inhalte werden anhand von Fragen wie "Wo befindet sich der Inhalt im Netzwerk?" oder "In welchem Ordner befindet sich der Inhalt?" klassifiziert. Mit dem Begriff Verwendete Daten werden Inhalte nach Art und Ort ihrer Verwendung definiert. Inhalte werden anhand von Fragen wie "Welche Anwendung hat die Inhalte aufgerufen?" oder "Wie lautet die Dateierweiterung?" klassifiziert. Die Erkennungsregeln von McAfee DLP Endpoint suchen nach ruhenden Daten. Sie können nach Inhalten in Endpunkt-Computerdateien oder E-Mail-Speicherdateien (PST, zugeordnete PST und OST) suchen. Regeln können je nach den in der Regelklassifizierung angegebenen Eigenschaften, Anwendungen oder Speicherorten die angegebenen Speicherorte durchsuchen und die gefundenen Elemente verschlüsseln, isolieren oder Richtlinien für Rechteverwaltung anwenden. Die Dateien können auch gekennzeichnet oder klassifiziert werden, um ihre Nutzung zu steuern. 94 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Klassifizieren vertraulicher Inhalte Klassifizieren anhand des Dateispeicherorts 7 Definieren von Netzwerkparametern Netzwerkdefinitionen werden in Netzwerkschutzregeln als Filterkriterien verwendet. • Die Netzwerkadressen überwachen Netzwerkverbindungen zwischen einer externen Quelle und einem verwalteten Computer. Die Definition kann eine einzelne Adresse, ein Adressbereich oder ein Subnetz sein. Sie können definierte Netzwerkadressen in Regeln zum Schutz der Netzwerkkommunikation einbeziehen oder aus diesen ausschließen. • Anhand der Netzwerk-Port-Definitionen in den Regeln zum Schutz der Netzwerkkommunikation können Sie bestimmte Dienste gemäß der Definition ihrer Netzwerk-Ports ausschließen. Eine Liste gängiger Dienste und der zugehörigen Ports ist vordefiniert. Sie können die Elemente in der Liste bearbeiten oder eigene Definitionen erstellen. • Definitionen für Netzwerkfreigaben geben freigegebene Netzwerkordner in Netzwerkfreigabe-Schutzregeln an. Sie können definierte Freigaben ein- oder ausschließen. Erstellen eines neuen Netzwerkadressbereichs Netzwerkadressbereiche dienen als Filterkriterium für Schutzregeln für die Netzwerkkommunikation. Vorgehensweise Führen Sie für jede erforderliche Definition die Schritte 1–4 durch: Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich Netzwerkadresse (IP-Adresse) aus, und klicken Sie dann auf Aktionen | Neu. 3 Geben Sie einen eindeutigen Namen für die Definition und optional eine Beschreibung ein. 4 Geben Sie im Textfeld eine Adresse, einen Adressbereich oder ein Subnetz ein. Klicken Sie auf Hinzufügen. Daraufhin werden ordnungsgemäß formatierte Beispiele auf der Seite angezeigt. 5 Klicken Sie nach Eingabe aller erforderlichen Definitionen auf Speichern. Erstellen eines Netzwerk-Port-Bereichs Netzwerk-Port-Bereiche fungieren als Filterkriterien für Schutzregeln für die Netzwerkkommunikation. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich die Option Netzwerk-Port aus, und klicken Sie anschließend auf Aktionen | Neu. Sie können auch die vordefinierten Definitionen bearbeiten. 3 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 4 Geben Sie die Port-Nummern (getrennt durch Kommas) und optional eine Beschreibung ein. Klicken Sie auf Hinzufügen. 5 Klicken Sie nach dem Hinzufügen aller erforderlichen Ports auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 95 7 Klassifizieren vertraulicher Inhalte Klassifizieren anhand des Dateiziels Klassifizieren anhand des Dateiziels Sie können Inhalte nicht nur anhand des ursprünglichen Speicherorts klassifizieren, sondern zudem klassifizieren und steuern, wohin Inhalte gesendet werden. Im Rahmen der Prävention von Datenlecks werden diese Daten als bewegte Daten bezeichnet. Zu den Dateischutzregeln zur Steuerung des Sendungsziels gehören: • Regeln für den Cloud-Schutz • Regeln für den E-Mail-Schutz • Regeln für den Schutz der Netzwerkkommunikation (ausgehend) • Regeln für den Druckerschutz • Regeln für den Wechselspeicherschutz • Regeln für den Web-Veröffentlichungsschutz Arbeiten mit E-Mails McAfee DLP Endpoint schützt vertrauliche Daten im Header, Textteil und in den Anhängen von versendeten E-Mails. Die E-Mail-Speichererkennung findet E-Mails mit vertraulichen Daten in OSToder PST-Dateien und kennzeichnet oder isoliert diese. McAfee DLP Endpoint schützt vertrauliche Inhalte in E-Mails, indem Inhalte klassifiziert und gekennzeichnet werden und das Senden von E-Mails mit vertraulichen Inhalten verhindert wird. Die E-Mail-Schutzrichtlinie kann unterschiedliche Regeln für verschiedene Benutzer und E-Mail-Ziele oder für durch Verschlüsselung oder Rechteverwaltung geschützte E-Mails enthalten. Client-Konfiguration Die Einstellungen für das Verhalten der E-Mail-Funktionen in McAfee ePO werden unter Richtlinienkatalog | Data Loss Prevention 9.4 | Client-Konfiguration | E-Mail-Schutz festgelegt. Auf dieser Seite sind folgende Einstellungen verfügbar: • E-Mail-Caching: Speichert Tag-Signaturen aus E-Mails auf der Festplatte, damit die E-Mails nicht erneut analysiert werden müssen. • E-Mail-Verarbeitungs-API: Ausgehende E-Mails werden entweder über OOM (Outlook Object Model) oder MAPI (Messaging Application Programming Interface) verarbeitet. OOM ist die Standard-API, für einige Konfigurationen ist jedoch MAPI erforderlich. • Integration von Drittanbieter-Add-Ins für Outlook: Es werden zwei Klassifizierungsanwendungen von Drittanbietern unterstützt: Titus und Boldon James. • Zeitlimit-Strategie für E-Mails: Hiermit legen Sie die zulässige Höchstdauer für die Analyse von E-Mails und die Aktion fest, die bei Überschreitung des Zeitlimits durchgeführt werden soll. Erstellen von E-Mail-Zielen E-Mail-Zieldefinitionen sind vordefinierte E-Mail-Domänen oder bestimmte E-Mail-Adressen, auf die in E-Mail-Schutzregeln verwiesen werden kann. Sie können E-Mail-Schutzregeln präzisieren, indem Sie bestimmte E-Mail-Adressen gezielt ein- bzw. ausschließen. Achten Sie darauf, beide Definitionstypen zu erstellen. 96 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Klassifizieren vertraulicher Inhalte Klassifizieren anhand des Dateiziels 7 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich E-Mail-Adresse und dann Aktionen | Neu aus. 3 Geben Sie einen Namen und optional eine Beschreibung ein. 4 Wählen Sie in der Dropdown-Liste einen Operator aus. Folgende Operatoren sind verfügbar: • Domänenname ist • E-Mail-Adresse ist • Anzeigename ist • Anzeigename enthält 5 Geben Sie einen Wert ein, und klicken Sie auf Hinzufügen. 6 Klicken Sie nach dem Hinzufügen aller E-Mail-Adressen auf Speichern. Arbeiten mit Druckern Druckerschutzregeln werden für die Verwaltung von lokalen und Netzwerkdruckern eingesetzt und blockieren oder überwachen das Drucken vertraulicher Dokumente. Druckerschutzregeln in McAfee DLP Endpoint 9.4 unterstützen den erweiterten Modus und V4-Drucker. Definierte Drucker und Endbenutzer können in Regeln eingeschlossen bzw. aus Regeln ausgeschlossen werden. Virtuelle Drucker und PDF-Drucker können in eine Regel eingeschlossen werden. Druckerschutzregeln können Anwendungsdefinitionen enthalten. Sie können Prozesse in der Whitelist definieren, die in der Einstellung Richtlinienkatalog | Data Loss Prevention 9.4 | Client-Konfiguration | Druckschutz von Druckerschutzregeln ausgenommen werden. Erstellen einer Netzwerkdrucker-Definition Mithilfe von Netzwerkdrucker-Definitionen können Sie differenzierte Druckerschutzregeln erstellen. Definierte Drucker können in Regeln ein- oder ausgeschlossen werden. Bevor Sie beginnen Sie benötigen den UNC-Pfad des Druckers im Netzwerk. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich Netzwerkdrucker und anschließend Aktionen | Neu aus. 3 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 4 Geben Sie den UNC-Pfad ein. Alle übrigen Felder sind optional. 5 Klicken Sie auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 97 7 Klassifizieren vertraulicher Inhalte Klassifizieren anhand des Dateiziels Steuern der auf Websites hochgeladenen Daten Web-Adressen werden in Web-Veröffentlichungsschutzregeln verwendet. Mithilfe von Web-Adressdefinitionen können Sie gekennzeichnete Daten blockieren, damit sie nicht auf angegebenen Web-Zielen (Websites oder bestimmten Seiten einer Website) oder auf nicht definierten Websites veröffentlicht werden können. Meist werden bei den Web-Adressdefinitionen alle internen Websites sowie die externen Websites definiert, auf denen gekennzeichnete Daten veröffentlicht werden dürfen. Erstellen einer URL-Listendefinition Mithilfe von URL-Listendefinitionen können Sie Regeln für den Web-Veröffentlichungsschutz definieren. Sie werden den Regeln als Bedingungen vom Typ Web-Adresse (URL) hinzugefügt. Vorgehensweise Führen Sie für jede erforderliche URL die Schritte 1–4 durch. Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus. 2 Wählen Sie im linken Bereich "URL-Liste" und dann Aktionen | Neu aus. 3 Geben Sie einen eindeutigen Namen und optional eine Definition ein. 4 Führen Sie eine der folgenden Aktionen aus: • Geben Sie in den Textfeldern Protokoll, Host, Port und Pfad die entsprechenden Informationen ein, und klicken Sie dann auf Hinzufügen. • Fügen Sie im Textfeld URL einfügen eine URL ein, und klicken Sie auf Analysieren und dann auf Hinzufügen. Die URL-Felder werden von der Software ausgefüllt. 5 98 Nachdem der Definition alle erforderlichen URLs hinzugefügt wurden, klicken Sie auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte McAfee DLP Endpoint schützt vertrauliche Inhalte mit einer Kombination aus Datenschutz-, Gerätesteuerungs- und Erkennungsregeln. Die Regeln werden in Regelsätzen zusammengefasst und in McAfee DLP-Richtlinien angewendet. McAfee ePO stellt die McAfee DLP-Richtlinien für die Endgerät-Computer bereit. Die McAfee DLP Endpoint-Client-Software wendet die Richtlinien dann an, um die vertraulichen Inhalte zu schützen. Inhalt Regelsätze Für Regeltypen verfügbare Reaktionen Regeln für den Schutz des Zugriffs auf Anwendungsdateien Regeln für den E-Mail-Schutz Regeln für den Schutz der Netzwerkkommunikation Regeln für den Netzwerkfreigabe-Schutz Regeln für den Druckerschutz Regeln für den Wechselspeicherschutz Regeln für den Bildschirmaufnahmeschutz Regeln für den Web-Veröffentlichungsschutz Endgeräterkennung Schützen von Dateien mithilfe der Rechteverwaltung Regelsätze Regelsätze definieren McAfee DLP Endpoint-Richtlinien. Regelsätze können eine Kombination aus Datenschutz-, Gerätesteuerungs- und Erkennungsregeln enthalten. Auf der Seite Regelsätze wird eine Liste definierter Regelsätze mit dem jeweiligen Status angezeigt. Die Anzeige enthält die Anzahl der für die einzelnen Regelsätze protokollierten Vorfälle, die Anzahl der definierten Regeln sowie die Anzahl der aktivierten Regeln. Farbige Symbole geben die Typen der aktivierten Regeln an. Die QuickInfo, die beim Halten des Mauszeigers über einem Symbol eingeblendet wird, gibt den Typ der Regel sowie die Anzahl der aktivierten Regeln an. Abbildung 8-1 Anzeige von Informationen als QuickInfo auf der Seite 'Regelsätze' McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 99 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regelsätze In Regelsatz 1 sind sechs Datenschutzregeln, zwei Erkennungsregeln und eine Gerätesteuerungsregel definiert. Es sind lediglich drei der Datenschutzregeln aktiviert. Die QuickInfo gibt an, dass es sich bei zwei dieser Regeln um Zwischenablageregeln handelt. Die dritte Regel, die durch ein blaues Symbol auf der rechten Seite der Spalte dargestellt ist, ist eine Regel für den Schutz des Zugriffs auf Anwendungsdateien. Wenn Sie wissen möchten, welche Regeln zwar definiert, aber deaktiviert sind, öffnen Sie die jeweilige Regel zum Bearbeiten. Siehe auch Schützen von Dateien mithilfe von Erkennungsregeln auf Seite 115 Erstellen einer Regel auf Seite 100 Erstellen und Konfigurieren von Regeln und Regelsätzen Sie können Regeln für Ihre McAfee DLP Endpoint-, Device Control- und McAfee DLP Discover-Richtlinien erstellen und konfigurieren. Aufgaben • Erstellen eines Regelsatzes auf Seite 100 In Regelsätzen sind mehrere Regeln für Geräteschutz, Datenschutz und Erkennungs-Scans kombiniert. • Erstellen einer Regel auf Seite 100 Die Erstellung von Regeln läuft für alle Regeltypen ähnlich ab. • Zuweisen von Regelsätzen zu Richtlinien auf Seite 101 Vor der Zuweisung von Regelsätzen zu Endgerät-Computern werden die Regelsätze zunächst Richtlinien zugewiesen, die wiederum auf die Datenbank von McAfee ePO angewendet werden. • Aktivieren, Deaktivieren oder Löschen von Regeln auf Seite 102 Sie können den Status mehrerer Regeln gleichzeitig löschen oder ändern. • Konfigurieren von Spalten für Regeln oder Regelsätze auf Seite 102 Sie können die für Regeln oder Regelsätze angezeigten Spalten verschieben und entfernen sowie neue Spalten hinzufügen. • Erstellen einer Begründungsdefinition auf Seite 103 Mit Definitionen von unternehmensbezogenen Begründungen können Sie Parameter für die vorbeugende Aktion "Begründung" in Regeln definieren. • Erstellen einer Benachrichtigungsdefinition auf Seite 104 Benachrichtigungsdefinitionen werden in Pop-Ups oder in der Endbenutzerkonsole angezeigt, wenn die Aktionen eines Benutzers Richtlinien verletzen. Erstellen eines Regelsatzes In Regelsätzen sind mehrere Regeln für Geräteschutz, Datenschutz und Erkennungs-Scans kombiniert. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Regelsätze. 3 Wählen Sie Aktionen | Neuer Regelsatz aus. 4 Geben Sie den Namen und ggf. eine Anmerkung dazu ein, und klicken Sie dann auf OK. Erstellen einer Regel Die Erstellung von Regeln läuft für alle Regeltypen ähnlich ab. 100 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regelsätze Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Regelsätze. 3 Klicken Sie auf den Namen eines Regelsatzes, und wählen Sie ggf. die entsprechende Registerkarte für die Datenschutz-, Gerätesteuerungs- oder Erkennungsregel aus. 4 Wählen Sie Aktionen | Neue Regel und dann den Regeltyp aus. 5 Geben Sie auf der Registerkarte Bedingung die Informationen ein. • Bei einigen Bedingungen, wie z. B. Klassifizierungen oder Gerätedefinitionen, können Sie auf ... klicken, um ein vorhandenes Element auszuwählen oder ein neues Element zu erstellen. • Klicken Sie zum Hinzufügen von weiteren Kriterien auf +. • Klicken Sie zum Entfernen eines Kriteriums auf –. 6 Konfigurieren Sie auf der Registerkarte Reaktion die Reaktion. 7 Klicken Sie auf Speichern. Siehe auch Regelsätze auf Seite 99 Zuweisen von Regelsätzen zu Richtlinien Vor der Zuweisung von Regelsätzen zu Endgerät-Computern werden die Regelsätze zunächst Richtlinien zugewiesen, die wiederum auf die Datenbank von McAfee ePO angewendet werden. Bevor Sie beginnen Erstellen Sie auf der Seite DLP-Richtlinien-Manager | Regelsätze mindestens einen Regelsatz, und fügen Sie diesem die erforderlichen Regeln hinzu. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Führen Sie auf der Seite DLP-Richtlinien-Manager | Richtlinienzuweisung eine der folgenden Aktionen aus: • Wählen Sie Aktionen | Regelsatz zu Richtlinien zuweisen aus. Wählen Sie im Zuweisungsfenster einen Regelsatz aus der Dropdown-Liste aus, und wählen Sie dann die Richtlinien aus, denen der Regelsatz zugewiesen werden soll. Klicken Sie anschließend auf OK. • Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus. Wählen Sie im Zuweisungsfenster eine Richtlinie aus der Dropdown-Liste aus, und wählen Sie dann die Regelsätze aus, die dieser Richtlinie zugewiesen werden sollen. Klicken Sie anschließend auf OK. Wenn Sie die Auswahl eines zuvor ausgewählten Regelsatzes oder einer zuvor ausgewählten Richtlinie aufheben, wird der Regelsatz aus der Richtlinie gelöscht. 2 Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus. Wählen Sie im Zuweisungsfenster die Richtlinien aus, die auf die McAfee ePO-Datenbank angewendet werden sollen. Klicken Sie auf OK. Im Auswahlfenster werden nur Richtlinien angezeigt, die noch nicht auf die Datenbank angewendet wurden. Wenn Sie eine Regelsatzzuweisung oder eine Regel in einem zugewiesenen Regelsatz ändern, wird die Richtlinie angezeigt, und es wird anstelle der vorherigen Richtlinie die bearbeitete Richtlinie angewendet. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 101 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regelsätze Aktivieren, Deaktivieren oder Löschen von Regeln Sie können den Status mehrerer Regeln gleichzeitig löschen oder ändern. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Regelsätze. 3 Klicken Sie auf den Namen eines Regelsatzes, und klicken Sie dann ggf. auf die entsprechende Registerkarte für die Datenschutz-, Gerätesteuerungs- oder Erkennungsregel. 4 Wählen Sie mindestens eine Regel aus. 5 Aktualisieren oder löschen Sie die ausgewählten Regeln. • Wählen Sie zum Aktivieren der Regeln Aktionen | Status ändern | Aktivieren aus. • Wählen Sie zum Deaktivieren der Regeln Aktionen | Status ändern | Deaktivieren aus. • Wählen Sie zum Löschen der Regeln Aktionen | Löschen aus. Konfigurieren von Spalten für Regeln oder Regelsätze Sie können die für Regeln oder Regelsätze angezeigten Spalten verschieben und entfernen sowie neue Spalten hinzufügen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Regelsätze. 3 Rufen Sie die Seite Spalten zum Anzeigen auswählen auf. 4 5 • Regelsätze: Wählen Sie Aktionen | Spalten auswählen aus. • Regeln: Wählen Sie zunächst einen Regelsatz und dann Aktionen | Spalten auswählen aus. Ändern Sie die Spalten. • Klicken Sie im Bereich Verfügbare Spalten auf die gewünschten Einträge, um diese Spalten hinzuzufügen. • Klicken Sie im Bereich Ausgewählte Spalten auf die Pfeile oder auf x, um Spalten zu verschieben bzw. zu löschen. • Klicken Sie auf Standardwerte verwenden, um die Standardkonfiguration der Spalten wiederherzustellen. Klicken Sie auf Speichern. Anpassen von Endbenutzernachrichten Zur Kommunikation mit Endbenutzern werden zwei Arten von Nachrichten verwendet: Benachrichtigungen und Benutzerbegründungsnachrichten. In Benachrichtigungs- und Begründungsdefinitionen können Gebietsschemas (Sprachen) angegeben und Platzhalter hinzugefügt werden, die später durch tatsächliche Werte ersetzt werden. Beim Definieren von Gebietsschemas werden die Nachrichten und Optionsschaltflächen (für unternehmensbezogene Begründungen) in der Standardsprache des Endgerät-Computers angezeigt. 102 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Verwenden von Regeln zum Schutz vertraulicher Inhalte Regelsätze 8 Benutzerbenachrichtigung Benutzerbenachrichtigungen sind Pop-Up-Nachrichten, die Benutzer auf eine Richtlinienverletzung hinweisen. Wenn mehrere Ereignisse durch eine Regel ausgelöst werden, meldet die Pop-Up-Nachricht anstelle mehrerer Nachrichten: In Ihrer DLP-Konsole sind neue DLP-Ereignisse vorhanden. Nachrichten zur Benutzerbenachrichtigung werden unter DLP-Richtlinien-Manager | Definitionen | Benachrichtigungen definiert. Unternehmensbezogene Begründung Eine unternehmensbezogene Begründung ist eine Form der Richtlinienumgehung. Wenn Begründung anfordern als vorbeugende Aktion in einer Regel angegeben ist, kann der Benutzer die Begründung eingeben und fortfahren, ohne blockiert zu werden. Nachrichten zur unternehmensbezogenen Begründung werden unter DLP-Richtlinien-Manager | Definitionen | Begründung definiert. Platzhalter Platzhalter ermöglichen die Eingabe variabler Texte in Nachrichten, die sich nach dem jeweiligen Auslöser der Endbenutzernachricht richten. Folgende Platzhalter stehen zur Auswahl: • %c für eine Klassifizierung • %r für einen Regelsatznamen • %v für einen Vektor (E-Mail-Schutz, Web-Schutz usw.) • %a für eine Aktion • %s für einen Zeichenfolgenwert (Dateiname, Gerätename usw.) Erstellen einer Begründungsdefinition Mit Definitionen von unternehmensbezogenen Begründungen können Sie Parameter für die vorbeugende Aktion "Begründung" in Regeln definieren. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Definitionen, und wählen Sie dann Benachrichtigung | Begründung aus. 3 Wählen Sie Aktionen | Neu aus. 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. 5 Für das Erstellen von Begründungsdefinitionen in mehreren Sprachen wählen Sie Aktionen für Gebietsschemas | Neues Gebietsschema aus. Wählen Sie für jedes erforderliche Gebietsschema jeweils ein Gebietsschema aus der Dropdown-Liste aus. Die ausgewählten Gebietsschemas werden der Liste hinzugefügt. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 103 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regelsätze 6 Führen Sie für jedes Gebietsschema Folgendes durch: a Wählen Sie im linken Fensterbereich das zu bearbeitende Gebietsschema aus. Geben Sie in den Textfeldern Text ein, und aktivieren Sie die entsprechenden Kontrollkästchen. Bei Auswahl von Übereinstimmende Zeichenfolgen anzeigen wird im Pop-Up ein Link angezeigt, über den der Inhalt mit hervorgehobenen Übereinstimmungen aufgerufen werden kann. Bei Auswahl von Weitere Informationen wird ein Link zu einem Dokument oder einer Intranet-Seite mit weiteren Informationen angezeigt. Bei Eingabe einer Definition für Gebietsschemas sind keine Kontrollkästchen und Aktionen verfügbar. Sie können nur Schaltflächenbeschriftungen, die Übersicht und den Titel eingeben. Im Abschnitt Begründungsoptionen können Sie über die Funktion Bearbeiten in der Spalte Aktionen die Standarddefinitionen durch die Gebietsschemaversion ersetzen. b Geben Sie die Begründung – Übersicht und optional einen Dialogfeldtitel ein. Die Übersicht gibt allgemeine Anweisungen für den Benutzer an, z. B.: Für diese Aktion ist eine unternehmensbezogene Begründung erforderlich. Der Text darf bis zu 500 Zeichen enthalten. c Geben Sie den Text für die Schaltflächenbeschriftungen ein, und wählen Sie die Schaltflächenaktionen aus. Aktivieren Sie das Kontrollkästchen Schaltfläche ausblenden, um eine Definition mit zwei Schaltflächen zu erstellen. Die Schaltflächenaktionen müssen den vorbeugenden Aktionen für den Regeltyp entsprechen, der die Definition verwendet. Beispiel: Für Netzwerkfreigabe-Schutzregeln sind nur die vorbeugenden Aktionen Keine Aktion, Verschlüsseln und Begründung anfordern verfügbar. Wenn Sie für eine Schaltflächenaktion Blockieren auswählen und dann versuchen, die Definition in einer Definition für Netzwerkfreigabe-Schutzregeln zu verwenden, wird eine Fehlermeldung angezeigt. d Geben Sie im Textfeld Text ein, und klicken Sie auf Hinzufügen, um das Element der Liste der Begründungsoptionen hinzuzufügen. Aktivieren Sie das Kontrollkästchen Begründungsoptionen anzeigen, wenn die Liste für Endbenutzer verfügbar sein soll. Mithilfe von Platzhaltern können Sie den Text anpassen, um beispielsweise anzugeben, aus welchem Grund das Pop-Up ausgelöst wurde. 7 Wenn alle Gebietsschemas vollständig sind, klicken Sie auf Speichern. Siehe auch Anpassen von Endbenutzernachrichten auf Seite 102 Erstellen einer Benachrichtigungsdefinition Benachrichtigungsdefinitionen werden in Pop-Ups oder in der Endbenutzerkonsole angezeigt, wenn die Aktionen eines Benutzers Richtlinien verletzen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 104 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Definitionen, und wählen Sie dann Benachrichtigung | Benutzerbenachrichtigung aus. 3 Wählen Sie Aktionen | Neu aus. 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Für Regeltypen verfügbare Reaktionen 5 Für das Erstellen von Benachrichtigungsdefinitionen in mehreren Sprachen wählen Sie Aktionen für Gebietsschemas | Neues Gebietsschema aus. Wählen Sie für jedes erforderliche Gebietsschema jeweils ein Gebietsschema aus der Dropdown-Liste aus. Die ausgewählten Gebietsschemas werden der Liste hinzugefügt. 6 Führen Sie für jedes Gebietsschema Folgendes durch: a Wählen Sie im linken Fensterbereich das zu bearbeitende Gebietsschema aus. Sie können ein beliebiges Gebietsschema als Standard festlegen, indem Sie das entsprechende Kontrollkästchen Standard-Gebietsschema aktivieren. b Geben Sie Text in das Textfeld ein. Mithilfe von Platzhaltern können Sie den Text anpassen, um beispielsweise anzugeben, aus welchem Grund das Pop-Up ausgelöst wurde. c Optional: Aktivieren Sie das Kontrollkästchen Link zu weiteren Informationen anzeigen, und geben Sie eine URL ein, um ausführlichere Informationen bereitzustellen. Diese Option ist nur im Standard-Gebietsschema verfügbar. 7 Wenn alle Gebietsschemas vollständig sind, klicken Sie auf Speichern. Siehe auch Anpassen von Endbenutzernachrichten auf Seite 102 Für Regeltypen verfügbare Reaktionen Die für eine Regel verfügbaren Reaktionen hängen vom jeweiligen Regeltyp ab. • Datenschutzregeln sind für McAfee DLP Endpoint verfügbar. • Gerätesteuerungsregeln sind für McAfee DLP Endpoint und Device Control verfügbar. • Erkennungsregeln sind für die McAfee DLP Endpoint-Erkennung verfügbar. Tabelle 8-1 Verfügbare Reaktionen Reaktion Gilt für Regeln: Ergebnis Keine Aktion Alle Die Aktion wird zugelassen. Blockieren • Datenschutz Die Aktion wird blockiert. • Gerätesteuerung Kopieren Erkennung Die Datei wird an den angegebenen UNC-Speicherort kopiert. Verschlüsseln • Datenschutz Die Datei wird verschlüsselt. Als Verschlüsselungsoptionen sind FRP bzw. die Verschlüsselungs-Software StormShield Data Security verfügbar. • Erkennung Verschieben Erkennung Die Datei wird an den angegebenen UNC-Speicherort verschoben. Dabei kann bei Bedarf eine Platzhalterdatei erstellt werden, mit der der Benutzer darüber benachrichtigt wird, dass die Datei verschoben wurde. Schreibschutz Gerätesteuerung Es wird Schreibschutz erzwungen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 105 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Für Regeltypen verfügbare Reaktionen Tabelle 8-1 Verfügbare Reaktionen (Fortsetzung) Reaktion Gilt für Regeln: Ergebnis Begründung anfordern Datenschutz Auf dem Endbenutzer-Computer wird ein Pop-Up-Fenster angezeigt. Der Benutzer wählt eine Begründung (mit optionaler Benutzereingabe) oder eine optionale Aktion aus. Richtlinie für Rechteverwaltung anwenden • Datenschutz Eine Richtlinie für Rechteverwaltung wird auf die Datei angewendet. Isolieren Erkennung Die Datei wird isoliert. Kennzeichnen Erkennung Die Datei wird gekennzeichnet. Datei in DLP Endpoint-Konsole anzeigen Erkennung Der Dateiname und der Pfad werden in der Endpoint-Konsole angezeigt. Dateiname ist ein Link, über den die Datei geöffnet werden kann, sofern sie nicht isoliert wurde. Über Pfad wird der Ordner geöffnet, in dem sich die Datei befindet. Benutzerbenachrichtigung • Datenschutz Hiermit wird eine Meldung an den Endgerät-Computer gesendet, die den Benutzer auf die Richtlinienverletzung hinweist. • Erkennung • Erkennung Wenn Benutzerbenachrichtigung ausgewählt ist und mehrere Ereignisse ausgelöst werden, wird in einem Pop-Up-Fenster anstelle mehrerer Meldungen Folgendes angezeigt: In Ihrer DLP-Konsole sind neue DLP-Ereignisse vorhanden. Vorfall melden Alle Hiermit wird im DLP-Vorfalls-Manager ein Vorfall aufgrund der Verletzung generiert. Ursprüngliche Datei speichern • Datenschutz Hiermit wird die Datei für die Anzeige im Vorfalls-Manager gespeichert. • Erkennung Hierfür müssen ein Nachweisordner angegeben und der Nachweiskopierdienst aktiviert sein. Tabelle 8-2 Reaktionen für Datenschutzregeln Reaktionen Keine Block- Versch- Begründung Richtlinie Benutzer Vorfall Ursprüngliche Aktion ieren lüsseln anfordern für melden Datei benachRechteverspeichern richtigung waltung Regeltyp anwenden Anwendungsdateizugriff- X X X X X X X X X X Cloud-Schutz X X X X X X E-Mail-Schutz X X X X X X X X X X X X X X X X X X Schutz Zwischenablageschutz Schutz der Netzwerkkommunikation NetzwerkfreigabeSchutz Druckerschutz 106 X X X X McAfee Data Loss Prevention Endpoint 9.4.100 X Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Für Regeltypen verfügbare Reaktionen Tabelle 8-2 Reaktionen für Datenschutzregeln (Fortsetzung) Reaktionen Keine Block- Versch- Begründung Richtlinie Benutzer Vorfall Ursprüngliche Aktion ieren lüsseln anfordern für melden Datei benachRechteverspeichern richtigung waltung Regeltyp anwenden Wechselspeicherschutz Bildschirmaufnahmeschutz WebVeröffentlichungsschutz X X X X X X X X X X X X X X X X X X Tabelle 8-3 Reaktionen für Gerätesteuerungsregeln Reaktionen Regeln Keine Blockieren Schreibschutz Benutzerbenachrichtigung Vorfall Aktion melden Citrix XenApp-Gerät X Festplatte X X Plug-and-Play-Gerät X X Wechselspeichermedium X X Wechselspeicher-Dateizugriff X X TrueCrypt-Gerät X X X X X X X X X X X X X X X Tabelle 8-4 Reaktionen für Erkennungsregeln Reaktionen Richtlinie Regeln für Datei in McAfee Ursprün Versch- VerschIsol- Kennze- DLP Keine Vorfall Kopieren RechteverDatei Aktion Endpoint-Konsole melden ieben lüsseln ieren ichnen speiche waltung anzeigen anwenden Endgerät- X X X X X X X X X X X X X Dateisystem E-Mail- X Speicherschutz auf Endgerät McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 107 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den Schutz des Zugriffs auf Anwendungsdateien Regeln für den Schutz des Zugriffs auf Anwendungsdateien Regeln für den Schutz des Zugriffs auf Anwendungsdateien überwachen Dateien auf Grundlage der Anwendungen, von denen sie erstellt wurden. Durch Auswählen einer Anwendungs- oder URL-Definition können Sie die Regel auf bestimmte Anwendungen beschränken. Regeln für den Schutz des Zugriffs auf Anwendungsdateien kommunizieren in McAfee Threat Intelligence Exchange (TIE) mit McAfee Data Exchange Layer (DXL). Anhand der Daten aus TIE können Sie die Regel entsprechend der TIE-Reputation definieren. Beim Auswählen einer Anwendung können Sie in der Dropdown-Liste anstelle einer Anwendungs- oder Browser-URL auch eine TIE-Reputation auswählen. ® ® Wenn TIE-Reputationen in Regeln verwendet werden sollen, muss auf dem Endgerät-Computer ein DXL-Client installiert sein. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags oder Klassifizierungskriterien beschränken. Sie können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken. Aktionen Es sind folgende Aktionen verfügbar: Blockieren, Benutzerbenachrichtigung, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Wenn für das Feld Klassifizierung der Wert ist beliebig (ALLE) festgelegt ist, ist die Blockierungsaktion nicht zulässig. Wenn Sie versuchen, die Regel mit diesen Bedingungen zu speichern, wird eine Warnmeldung ausgegeben. Client-Konfiguration Auf der Seite Anwendungsdateizugriff-Schutz können der Client-Konfiguration Prozesse in der Whitelist und spezifische Erweiterungen hinzugefügt werden. Anwendungsbeispiel: Verhindern des Brennens vertraulicher Informationen auf einen Datenträger Mit Regeln für den Schutz des Zugriffs auf Anwendungsdateien können CD- und DVD-Brenner so blockiert werden, dass keine vertraulichen Informationen kopiert werden können. Bevor Sie beginnen Erstellen Sie eine Klassifizierung, um die vertraulichen Inhalte zu identifizieren. Verwenden Sie hierbei die für Ihre Umgebung geeigneten Parameter, z. B. Stichwörter, Textmuster, Dateiinformationen usw. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 108 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Wählen Sie auf der Registerkarte Regelsätze einen aktuellen Regelsatz aus, oder wählen Sie Aktionen | Neuer Regelsatz aus, und definieren Sie einen Regelsatz. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den E-Mail-Schutz 3 Wählen Sie auf der Registerkarte Datenschutz die Optionen Aktionen | Neue Regel | Anwendungsdateizugriff-Schutz aus. 4 (Optional) Geben Sie im Feld Regelname einen Namen ein (obligatorisch). Wählen Sie Optionen für die Felder Status und Schweregrad aus. 5 Wählen Sie auf der Registerkarte Bedingung im Feld Klassifizierung die für vertrauliche Inhalte erstellte Klassifizierung aus. 6 Wählen Sie im Feld Endbenutzer Benutzergruppen aus (optional). Wenn Sie der Regel Benutzer oder Gruppen hinzufügen, wird die Regel auf bestimmte Benutzer beschränkt. 7 Wählen Sie im Feld Anwendungen die Option Media Burner Application [vordefiniert] in der Liste der verfügbaren Anwendungsdefinitionen aus. Durch Bearbeiten der vordefinierten Definition können Sie auch eine eigene Medienbrennerdefinition erstellen. Beim Bearbeiten einer vordefinierten Definition wird automatisch eine Kopie der ursprünglichen Definition erstellt. 8 (Optional) Sie können auf der Registerkarte Ausnahmen Ausnahmen von dieser Regel erstellen. Ausnahmedefinitionen können alle Felder enthalten, die in der jeweiligen Bedingungsdefinition vorhanden sind. Sie können auch mehrere Ausnahmen erstellen, die in unterschiedlichen Situationen angewendet werden sollen. So könnten Sie beispielsweise "Privilegierte Benutzer" definieren, die von der Regel ausgenommen sind. 9 Legen Sie auf der Registerkarte Reaktion die Vorbeugende Aktion auf Blockieren fest. Wählen Sie eine Benutzerbenachrichtigung aus (optional). Klicken Sie auf Speichern und dann auf Schließen. Sie können auch die standardmäßige Vorfallberichterstellungs- und vorbeugende Aktion für den Fall ändern, dass der Computer nicht mit dem Netzwerk verbunden ist. 10 Weisen Sie den Regelsatz auf der Registerkarte Richtlinienzuweisung einer oder mehreren Richtlinien zu: a Wählen Sie Aktionen | Regelsatz zu Richtlinien zuweisen aus. b Wählen Sie in der Dropdown-Liste den gewünschten Regelsatz aus. c Wählen Sie die Richtlinie(n) aus, die Sie dem Regelsatz zuweisen möchten. 11 Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus. Wählen Sie die Richtlinien aus, die auf die McAfee ePO-Datenbank angewendet werden sollen, und klicken Sie auf OK. Regeln für den E-Mail-Schutz Mit Regeln für den E-Mail-Schutz werden E-Mails, die an bestimmte Ziele oder Benutzer gesendet werden, überwacht oder blockiert. Regeln für den E-Mail-Schutz können E-Mails, die an bestimmte Empfänger gesendet werden, blockieren. Das Feld E-Mail-Umschlag kann angeben, dass die E-Mail durch RMS-Berechtigungen geschützt ist. Diese Option wird üblicherweise zum Definieren von Ausnahmen verwendet. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags oder Klassifizierungskriterien beschränken. Klassifizierungen können die gesamte E-Mail oder nur den Betreff, nur den Textteil bzw. nur die Anhänge definieren. Sie können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 109 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den Schutz der Netzwerkkommunikation Aktionen Es sind folgende Aktionen verfügbar: Blockieren, Begründung anfordern, Benutzerbenachrichtigung, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Client-Konfiguration Wenn Sie Lotus Notes verwenden, aktivieren Sie das Lotus Notes-Plug-In auf der Seite Betriebsmodus und Module. Wenn Sie Microsoft Outlook verwenden, aktivieren Sie die erforderlichen Add-Ins. Nicht verwendete Handler sollten zur Verbesserung der Leistung deaktiviert werden. Auf Systemen, auf denen sowohl Microsoft Exchange als auch Lotus Notes verfügbar sind, funktionieren E-Mail-Regeln nur dann, wenn für beide der Name des E-Mail-Ausgangs-Servers (SMTP) konfiguriert ist. Wählen Sie zum Verwenden von Drittanbieter-Add-Ins für Microsoft Outlook (Boldon James oder Titus) auf der Seite E-Mail-Schutz das Add-On aus. Das McAfee DLP-Outlook-Add-In wechselt in den Umgehungsmodus, wenn das Drittanbieter-Add-In installiert und aktiv ist. Mit den weiteren Einstellungen auf der Seite E-Mail-Schutz können Zeitlimit-Strategie, Caching, API und Benutzerbenachrichtigungen konfiguriert werden. Regeln für den Schutz der Netzwerkkommunikation Mit Regeln für den Schutz der Netzwerkkommunikation werden ein- oder ausgehende Daten in Ihrem Netzwerk überwacht oder blockiert. Regeln für den Schutz der Netzwerkkommunikation steuern den Netzwerkdatenverkehr auf der Grundlage von angegebenen Netzwerkadressen (obligatorisch) und Ports (optional). Zudem kann angegeben werden, ob sich eine Regel auf eingehende, ausgehende oder Verbindungen in beide Richtungen beziehen soll. Sie können eine Netzwerkadressdefinition und eine Port-Definition hinzufügen, die Definitionen können jedoch mehrere Adressen oder Ports enthalten. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags beschränken. Sie können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken. Regeln für den Schutz der Netzwerkkommunikation überprüfen keine Klassifizierungskriterien. Verwenden Sie daher bei der Definition von Klassifizierungen, die in Regeln für den Schutz der Netzwerkkommunikation verwendet werden sollen, Kennzeichnungskriterien. Aktionen In Regeln für den Schutz der Netzwerkkommunikation sind folgende Aktionen verfügbar: Blockieren, Vorfall melden und Benutzer benachrichtigen. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist oder wenn der Computer über ein VPN mit dem Unternehmensnetzwerk verbunden ist, können andere Aktionen angewendet werden. Client-Konfiguration Der Netzwerkkommunikationstreiber wird auf der Seite Betriebsmodus und Module aktiviert (dies ist die Standardeinstellung). 110 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den Netzwerkfreigabe-Schutz Regeln für den Netzwerkfreigabe-Schutz Mit Regeln für den Netzwerkfreigabe-Schutz werden auf Netzwerkfreigaben gespeicherte vertrauliche Inhalte gesteuert. Regeln für den Netzwerkfreigabe-Schutz können auf alle oder nur auf bestimmte Netzwerkfreigaben angewendet werden. Eine Regel kann eine Freigabedefinition enthalten, wobei die Definition mehrere Freigaben enthalten kann. Durch eine enthaltene Klassifizierung (obligatorisch) wird festgelegt, welche vertraulichen Inhalte geschützt werden. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags oder Klassifizierungskriterien beschränken. Sie können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken. Aktionen In Regeln für den Netzwerkfreigabe-Schutz sind folgende Aktionen verfügbar: Verschlüsseln, Begründung anfordern, Vorfall melden, Ursprüngliche Datei speichern und Benutzer benachrichtigen. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Als Verschlüsselungsoptionen sind McAfee File and Removable Media Protection (FRP) und die Verschlüsselungs-Software StormShield Data Security verfügbar. ® Regeln für den Druckerschutz Mit Regeln für den Druckerschutz werden an den Drucker gesendete Dateien überwacht oder blockiert. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags oder Klassifizierungskriterien beschränken. Sie können die Regel auch durch Angabe bestimmter Benutzer, Drucker oder Anwendungen einschränken. In einer Druckerdefinition können lokale Drucker, Netzwerkdrucker, benannte Netzwerkdrucker oder virtuelle Drucker angegeben werden. Für virtuelle Drucker gab es in früheren Versionen eine eigene Regel, sie sind nun jedoch in der allgemeinen Druckerregel enthalten. Aktionen In Regeln für den Druckerschutz sind folgende Aktionen verfügbar: Blockieren, Begründung anfordern, Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist oder wenn der Computer über ein VPN mit dem Unternehmensnetzwerk verbunden ist, können andere Aktionen angewendet werden. Client-Konfiguration Die in der Whitelist befindlichen Anwendungen sind auf der Seite Druckerschutz aufgeführt. Regeln für den Druckerschutz ignorieren Dateien, die aus in der Whitelist befindlichen Anwendungen gedruckt werden. Mit Druckeranwendungs-Add-Ins, die auf der Seite Betriebsmodus und Module ausgewählt werden, kann die Leistung des Druckers bei Verwendung bestimmter gängiger Anwendungen verbessert werden. Die Add-Ins werden nur installiert, wenn auf dem verwalteten Computer eine Regel für den Druckerschutz aktiviert ist. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 111 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den Wechselspeicherschutz Regeln für den Wechselspeicherschutz Mit Regeln für den Wechselspeicherschutz werden Daten, die auf Wechselspeichermedien geschrieben werden sollen, überwacht oder blockiert. Regeln für den Wechselspeicherschutz können CD- und DVD-Geräte, Wechselspeichermedien oder beides steuern. Sie können eine Regel anhand von Tags oder Klassifizierungskriterien in Klassifizierungen (obligatorisch) einschränken. Sie können die Regel auch anhand von bestimmten Benutzern, Anwendungen oder Web-URLs definieren. Aktionen In Regeln für den Wechselspeicherschutz sind folgende Aktionen verfügbar: Blockieren, Begründung anfordern, Verschlüsseln, Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Client-Konfiguration Legen Sie auf der Seite Wechselspeicherschutz den Löschmodus fest. Im normalen Modus wird die Datei gelöscht. Im aggressiven Modus wird sie endgültig vernichtet, sodass sie nicht wiederhergestellt werden kann. Die erweiterten Optionen werden auf der Seite Betriebsmodus und Module aktiviert. Folgende Optionen stehen zur Verfügung: • Bereitstellung von TrueCrypt-Datenträgern schützen • Handler für tragbare Geräte • Erweiterter Dateikopierschutz Handler für tragbare Geräte MTP (Media Transfer Protocol) wird für die Übertragung von Dateien und zugehörigen Metadaten von Computern auf Mobilgeräte, wie z. B. Smartphones, verwendet. Ein MTP-Gerät ist kein herkömmlicher Wechseldatenträger, da es (und nicht der Computer, an den es angeschlossen ist) das Dateisystem bereitstellt. Wenn der Client für MTP-Geräte konfiguriert ist, lässt die Regel für Wechselspeicherschutz es zu, dass dieser Client MTP-Übertragungen abfängt und darauf Sicherheitsrichtlinien anwendet. Derzeit werden nur USB-Verbindungen unterstützt. Der Handler kann mit allen von Windows Explorer vorgenommenen Dateiübertragungen arbeiten. Er funktioniert jedoch nicht bei iOS-Geräten, da die Dateiübertragung hier mittels iTunes durchgeführt wird. Alternativ können Sie iOS-Geräte anhand einer Regel für Wechselspeichermedien mit einem Schreibschutz versehen. Schützen von TrueCrypt-Geräten anhand von Regeln für den Wechselspeicherschutz 112 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den Bildschirmaufnahmeschutz Mit TrueCrypt verschlüsselte virtuelle Geräte können mit TrueCrypt-Geräteregeln oder mit Regeln für Wechselspeichermedien geschützt werden. • Verwenden Sie eine Geräteregel, wenn ein TrueCrypt-Volume blockiert, überwacht oder mit einem Schreibschutz versehen werden soll. • Wenn Sie jedoch inhaltsbezogenen Schutz für TrueCrypt-Volumes wünschen, verwenden Sie eine Schutzregel. Wenn mit Tags gekennzeichnete Inhalte auf TrueCrypt-Volumes kopiert werden, gehen die Tags verloren, da diese Volumes keine erweiterten Dateiattribute unterstützen. Verwenden Sie zur Identifizierung des Inhalts Dokumenteigenschaften, Dateiverschlüsselung oder Definitionen von Dateitypgruppen in der Klassifizierungsdefinition. Erweiterter Dateikopierschutz Der erweiterte Dateikopierschutz fängt Kopiervorgänge von Windows Explorer ab und ermöglicht es dem McAfee DLP Endpoint-Client, die Datei an ihrem Quellort zu untersuchen, bevor sie auf den Wechseldatenträger kopiert wird. Dieser Schutz ist standardmäßig aktiviert und sollte ausschließlich zur Fehlerbehebung deaktiviert werden. Es gibt jedoch auch Fälle, in denen der erweiterte Kopierschutz keine Anwendung findet. Wenn beispielsweise eine Datei von einer Anwendung geöffnet und mittels Speichern unter auf ein Wechselspeichermedium gespeichert wird, greift hier der normale Kopierschutz. Die Datei wird erst auf das Gerät kopiert und anschließend untersucht. Wenn hierbei vertrauliche Inhalte identifiziert werden, wird die Datei sofort gelöscht. Regeln für den Bildschirmaufnahmeschutz Regeln für den Bildschirmaufnahmeschutz steuern die Handhabung der von einem Bildschirm kopierten und eingefügten Daten. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags beschränken. Sie können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken. Regeln für den Bildschirmaufnahmeschutz überprüfen keine Klassifizierungskriterien. Verwenden Sie daher bei der Definition von Klassifizierungen, die mit Regeln für den Bildschirmaufnahmeschutz verwendet werden sollen, Kennzeichnungskriterien. Aktionen In Regeln für den Bildschirmaufnahmeschutz sind folgende Aktionen verfügbar: Blockieren, Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Client-Konfiguration Anwendungen, die durch Regeln für den Bildschirmaufnahmeschutz geschützt sind, werden auf der Seite Bildschirmaufnahmeschutz aufgeführt. Die Liste ist bereits vorab mit gängigen Bildschirmaufnahmeanwendungen ausgefüllt, und Sie können Anwendungen hinzufügen, bearbeiten und löschen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 113 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Regeln für den Web-Veröffentlichungsschutz Der Bildschirmaufnahmedienst wird auf der Seite Betriebsmodus und Module aktiviert. Sie können den Anwendungs-Handler und den Bildschirmaufnahmeschlüssel-Handler getrennt aktivieren. Standardmäßig sind beide aktiviert. Wenn Sie den Anwendungs-Handler oder den Bildschirmaufnahmedienst deaktivieren, werden alle auf der Seite Bildschirmaufnahmeschutz aufgeführten Anwendungen deaktiviert. Regeln für den Web-Veröffentlichungsschutz Mit Regeln für den Web-Veröffentlichungsschutz wird das Veröffentlichen von Daten auf Websites, beispielsweise auf Web-E-Mail-Sites, überwacht oder blockiert. Sie definieren eine Regel für den Web-Veröffentlichungsschutz, indem Sie der Regel Web-Adressen hinzufügen. Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Tags oder Klassifizierungskriterien beschränken. Sie können die Regel auch auf lokale Benutzer oder bestimmte Benutzergruppen beschränken. Aktionen In Regeln für den Web-Veröffentlichungsschutz sind folgende Aktionen verfügbar: Blockieren, Begründung anfordern, Benutzer benachrichtigen, Vorfall melden und Ursprüngliche Datei speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional. Durch die Auswahl der Benutzerbenachrichtigung wird auf dem Endgerät-Computer ein Pop-Up-Fenster mit einer Benutzerbenachrichtigung aktiviert. Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem Unternehmensnetzwerk verbunden ist. Client-Konfiguration Aktivieren Sie auf der Seite Betriebsmodus und Module Browser für den Web-Schutz. Es werden die Browser Microsoft Internet Explorer, Microsoft Edge, Mozilla Firefox und Google Chrome unterstützt. Seite Web-Veröffentlichungsschutz Auf der Seite Web-Veröffentlichungsschutz sind die in der Whitelist enthaltenen URLs aufgeführt, die aus Regeln für den Web-Veröffentlichungsschutz ausgeschlossen sind. Dort befindet sich auch eine Option zum Aktivieren der Verarbeitung von HTTP GET-Anfragen. GET-Anfragen sind standardmäßig deaktiviert, da sie die Ressourcen stark belasten. Verwenden Sie diese Option zurückhaltend. Mit der Zeitlimit-Strategie für Web-Veröffentlichungen legen Sie die zulässige Höchstdauer für die Analyse von Web-Veröffentlichungen und die Aktion fest, die bei Überschreitung des Zeitlimits durchgeführt werden soll. Für die Aktion können Sie zwischen 'Blockieren' und 'Zulassen' wählen. Sie können auch auswählen, dass der Benutzer benachrichtigt wird. Die Seite enthält außerdem eine Liste der unterstützten Versionen von Google Chrome. Diese Liste ist aufgrund der häufigen Chrome-Aktualisierungen erforderlich. Die Liste wird gefüllt, indem Sie eine aktuelle Liste vom McAfee-Support herunterladen und die XML-Datei dann anhand der Option Durchsuchen auswählen und installieren. 114 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Endgeräterkennung Endgeräterkennung Die Erkennung erfolgt durch Crawling (automatisiertes systematisches Durchsuchen) der Endgerät-Computer. Dabei werden das lokale Dateisystem und die E-Mail-Speicherdateien durchsucht und die entsprechenden Regeln zum Schutz vertraulicher Inhalte angewendet. Inhalt Schützen von Dateien mithilfe von Erkennungsregeln Funktionsweise des Erkennungs-Scans Suchen von Inhalten mit dem Endgeräterkennungs-Crawler Schützen von Dateien mithilfe von Erkennungsregeln Erkennungsregeln definieren, nach welchen Inhalten McAfee DLP beim Scannen von Repositorys sucht, und geben an, welche Aktionen bei einer Übereinstimmung durchgeführt werden sollen. Je nach Regeltyp können gescannte Dateien mit Übereinstimmungen kopiert, verschoben, verschlüsselt, isoliert bzw. gekennzeichnet werden, oder es kann eine Rechteverwaltungsrichtlinie auf sie angewendet werden. Alle Bedingungen von Erkennungsregeln beinhalten eine Klassifizierung. Wenn Sie Erkennungsregeln für die E-Mail-Speicherung mit der vorbeugenden Aktion Isolieren verwenden, muss das Outlook-Add-In aktiviert sein (Richtlinienkatalog | Data Loss Prevention 9.4 | Client-Konfiguration | Betriebsmodus und Module). Wenn das Outlook-Add-In deaktiviert ist, können Sie keine E-Mails aus der Quarantäne freigeben. Tabelle 8-5 Verfügbare Erkennungsregeln Regeltyp Produkt Herkunft der zu kontrollierenden erkannten Dateien Lokales Dateisystem McAfee DLP Endpoint Scans des lokalen Dateisystems. Lokale E-Mail (OST, PST) McAfee DLP Endpoint Scans des E-Mail-Speichersystems. Funktionsweise des Erkennungs-Scans Mit Endgeräterkennungs-Scans können Dateien mit vertraulichem Inhalt im lokalen Dateisystem oder E-Mail-Speicher gesucht und gekennzeichnet bzw. isoliert werden. Für die McAfee DLP Endpoint-Erkennung wird Crawling (automatisiertes systematisches Durchsuchen) auf den Client-Computern durchgeführt. Wenn vordefinierte Inhalte gefunden werden, können die entsprechenden Dateien überwacht, isoliert, gekennzeichnet oder verschlüsselt werden, oder es kann eine Richtlinie für Rechteverwaltung auf diese Dateien angewendet werden. Die Endgeräteerkennung kann Computer-Dateien oder E-Mail-Speicherdateien (PST, zugeordnete PST und OST) scannen. E-Mail-Speicherdateien werden für jeden Benutzer separat zwischengespeichert. Zur Verwendung der Endgeräteerkennung müssen Sie auf der Seite Richtlinienkatalog | Client-Konfiguration | Betriebsmodus und Module die Module für die Erkennung aktivieren. Nach jedem Erkennungs-Scan sendet der McAfee DLP Endpoint-Client ein Erkennungsübersichtsereignis an die Konsole DLP-Vorfalls-Manager in McAfee ePO, um die Scan-Details zu protokollieren. Das Ereignis beinhaltet eine Nachweisdatei, die die Dateien auflistet, die nicht gescannt werden konnten, sowie die Gründe angibt, aus denen Dateien nicht gescannt werden konnten. Es gibt auch eine Nachweisdatei mit Dateien, die mit der Klassifizierung und der ausgeführten Aktion übereinstimmen. In McAfee DLP Endpoint 9.4.0 war das Übersichtsereignis ein operatives Ereignis. Verwenden Sie zum Aktualisieren alter Übersichtsereignisse für den DLP-Vorfalls-Manager den McAfee ePO-Server-Task DLP – Migration von Vorfällen von 9.4 zu 9.4.1. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 115 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Endgeräterkennung Wann können Scans durchgeführt werden? Die Erkennungs-Scans werden auf der Seite Richtlinienkatalog | DLP-Richtlinie | Endgeräterkennung geplant. Sie können einen Scan täglich zu einer bestimmten Uhrzeit oder an bestimmten Tagen der Woche oder des Monats ausführen. Sie können Start- und Enddatum angeben oder einen Scan bei der Erzwingung der McAfee DLP Endpoint-Konfiguration ausführen. Der Scan kann angehalten werden, wenn die CPU- oder RAM-Auslastung des Computers einen bestimmten Grenzwert überschreitet. Wenn Sie die Erkennungsrichtlinie während eines laufenden Endgerät-Scans ändern, ändern sich die Regeln und Planparameter sofort. Änderungen bezüglich der aktivierten bzw. deaktivierten Parameter werden beim nächsten Scan wirksam. Wenn der Computer während eines laufenden Scans neu gestartet wird, wird der Scan anschließend an der Stelle fortgesetzt, an der er abgebrochen wurde. Welche Inhalte können erkannt werden? Erkennungsregeln werden mit einer Klassifizierung definiert. Zur Erkennung von Inhalten können beliebige Dateieigenschaften oder Datenbedingungen verwendet werden, die sich den Klassifizierungskriterien hinzufügen lassen. Was geschieht mit erkannten Dateien, die vertraulichen Inhalt enthalten? E-Mail-Dateien können isoliert oder gekennzeichnet werden. Dateien des lokalen Dateisystems können verschlüsselt, isoliert oder gekennzeichnet werden oder es kann eine Richtlinie für Rechteverwaltung auf sie angewendet werden. Für beide Dateitypen können Nachweise gespeichert werden. Suchen von Inhalten mit dem Endgeräterkennungs-Crawler Zum Ausführen des Erkennungs-Crawlers sind vier Schritte erforderlich. 1 Erstellen und Definieren von Klassifizierungen, um vertrauliche Inhalte zu identifizieren. 2 Erstellen und Definieren einer Erkennungsregel. Die Klassifizierung ist in der Definition der Erkennungsregel enthalten. 3 Erstellen einer Plandefinition. 4 Einrichten der Scan-Parameter. Die Scan-Definition enthält den Plan als Parameter. Aufgaben 116 • Erstellen und Definieren einer Erkennungsregel auf Seite 117 Erkennungsregeln geben an, nach welchen Inhalten der Crawler suchen soll und welche Aktionen für gefundene Inhalte durchgeführt werden sollen. • Erstellen einer Planerdefinition auf Seite 117 Der Planer bestimmt, wann und wie häufig ein Erkennungs-Scan ausgeführt wird. • Einrichten eines Scans auf Seite 118 Erkennungs-Scans durchsuchen das lokale Dateisystem oder Postfächer systematisch auf vertrauliche Inhalte (Crawling). • Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder E-Mail-Elemente auf Seite 118 Wenn bei der McAfee DLP Endpoint-Erkennung vertrauliche Inhalte gefunden werden, werden die entsprechenden Dateien oder E-Mail-Elemente in einen Quarantäne-Ordner verschoben und durch Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien oder E-Mails isoliert wurden. Die isolierten Dateien und E-Mail-Elemente werden außerdem verschlüsselt, um die nicht autorisierte Nutzung zu verhindern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Endgeräterkennung Erstellen und Definieren einer Erkennungsregel Erkennungsregeln geben an, nach welchen Inhalten der Crawler suchen soll und welche Aktionen für gefundene Inhalte durchgeführt werden sollen. Änderungen an einer Erkennungsregel werden wirksam, sobald die Richtlinie bereitgestellt wird. Neue Regeln werden auch bei einem laufenden Scan sofort wirksam. Bei E-Mail-Speicher-Scans (PST, zugeordnete PST und OST) scannt der Crawler E-Mail-Elemente (Text und Anhänge), Kalendereinträge und Aufgaben. Öffentliche Ordner und dauerhafte Notizen werden nicht gescannt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Wählen Sie auf der Seite Regelsätze die Option Aktionen | Neuer Regelsatz aus. Geben Sie einen Namen ein, und klicken Sie dann auf OK. Sie können auch vorhandenen Regelsätzen Erkennungsregeln hinzufügen. 3 Wählen Sie auf der Registerkarte Erkennung die Option Aktionen | Neue Endgeräteerkennungsregel und dann entweder Lokale E-Mail oder Lokales Dateisystem aus. Daraufhin wird die entsprechende Seite angezeigt. 4 Geben Sie einen Regelnamen ein, und wählen Sie eine Klassifizierung aus. 5 Klicken Sie auf Reaktion. Wählen Sie in der Dropdown-Liste eine vorbeugende Aktion aus. 6 Optional: Sie können Optionen für Vorfall melden auswählen, den Status auf Aktiviert setzen und in der Dropdown-Liste einen Schweregrad auswählen. 7 Klicken Sie auf Speichern. Erstellen einer Planerdefinition Der Planer bestimmt, wann und wie häufig ein Erkennungs-Scan ausgeführt wird. Die folgenden fünf Planungstypen sind verfügbar: • Sofort ausführen • Wöchentlich • Einmal • Monatlich • Täglich Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus. 2 Klicken Sie auf die Registerkarte Definitionen. 3 Klicken Sie im linken Bereich auf Planer. Wenn McAfee DLP Discover und McAfee DLP Endpoint installiert sind, werden in der Liste der vorhandenen Pläne die Pläne für beide Anwendungen angezeigt. 4 Wählen Sie Aktionen | Neu aus. Daraufhin öffnet sich die Seite Neuer Planer. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 117 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Endgeräterkennung 5 Geben Sie einen eindeutigen Namen ein, und wählen Sie in der Dropdown-Liste den Planungstyp aus. Nach der Auswahl des Planungstyps werden die für den jeweiligen Typ erforderlichen Felder angezeigt. 6 Geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf Speichern. Einrichten eines Scans Erkennungs-Scans durchsuchen das lokale Dateisystem oder Postfächer systematisch auf vertrauliche Inhalte (Crawling). Bevor Sie beginnen Vergewissern Sie sich, dass die Regelsätze, die Sie für die Scans anwenden möchten, für die DLP-Richtlinie angewendet wurden. Diese Informationen werden auf der Registerkarte DLP-Richtlinie | Regelsätze angezeigt. Änderungen an Parametern für Erkennungseinstellungen treten beim nächsten Scan in Kraft. Sie werden nicht auf bereits laufende Scans angewendet. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus. 2 Wählen Sie Produkt Data Loss Prevention 9.4 und dann die aktive DLP-Richtlinie aus. 3 Wählen Sie auf der Registerkarte Endgeräteerkennung die Option Aktionen | Neuer Endgeräte-Scan und dann entweder Lokale E-Mail oder Lokales Dateisystem aus. 4 Geben Sie einen Namen für den Scan ein, und wählen Sie dann einen Plan aus der Dropdown-Liste aus. 5 Optional: Ändern Sie die Voreinstellungen für Behandlung von Vorfällen und Fehlerbehandlung. Setzen Sie den Status auf Aktiviert. Die Fehlerbehandlung bezieht sich auf Situationen, in denen kein Text extrahiert werden kann. 6 7 Führen Sie auf der Registerkarte Ordner eine der folgenden Aktionen aus: • Wählen Sie für Dateisystem-Scans die Option Aktionen | Ordner auswählen aus. Wählen Sie eine definierte Ordnerdefinition aus, oder klicken Sie auf Neues Element, um eine Definition zu erstellen. Definieren Sie den Ordner als Einschließen oder Ausschließen. • Wählen Sie für E-Mail-Scans die zu scannenden Dateitypen (OST, PST) und Postfächer aus. Optional: Wählen Sie auf der Registerkarte Filter (nur bei Dateisystem-Scans) die Option Aktionen | Filter auswählen aus. Wählen Sie eine Dateiinformationsdefinition aus, oder klicken Sie auf Neues Element, um eine Definition zu erstellen. Legen Sie für den Filter Einschließen oder Ausschließen fest. Klicken Sie auf OK. Die Standardeinstellung ist Alle Dateien. Durch das Definieren eines Filters wird der Scan effizienter. 8 Überprüfen Sie auf der Registerkarte Regeln die geltenden Regeln. Es werden alle Erkennungsregeln der Regelsätze ausgeführt, die für die Richtlinie angewendet werden. Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder E-MailElemente Wenn bei der McAfee DLP Endpoint-Erkennung vertrauliche Inhalte gefunden werden, werden die entsprechenden Dateien oder E-Mail-Elemente in einen Quarantäne-Ordner verschoben und durch 118 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Endgeräterkennung Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien oder E-Mails isoliert wurden. Die isolierten Dateien und E-Mail-Elemente werden außerdem verschlüsselt, um die nicht autorisierte Nutzung zu verhindern. Bevor Sie beginnen Um das McAfee DLP-Symbol in Microsoft Outlook anzuzeigen, muss unter Richtlinienkatalog | Client-Richtlinie | Betriebsmodus und Module die Option Steuerelemente für Freigabe aus Quarantäne in Outlook anzeigen aktiviert sein. Wenn diese Option deaktiviert ist, sind sowohl das Symbol als auch die Rechtsklick-Option zum Anzeigen isolierter E-Mails blockiert, und E-Mails können nicht aus der Quarantäne freigegeben werden. Wenn Sie eine Dateisystem-Erkennungsregel auf Isolieren gesetzt haben und der Crawler vertrauliche Inhalte findet, werden die entsprechenden Dateien in einen Quarantäne-Ordner verschoben und durch Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien isoliert wurden. Die isolierten Dateien werden verschlüsselt, um die nicht autorisierte Nutzung zu verhindern. Bei isolierten E-Mail-Elementen fügt McAfee DLP Endpoint dem Outlook-Betreff ein Präfix hinzu, das Benutzer darauf hinweist, dass ihre E-Mails isoliert wurden. Sowohl der E-Mail-Text als auch ggf. vorhandene Anhänge werden isoliert. Der Mechanismus wurde gegenüber früheren McAfee DLP Endpoint-Versionen geändert, die entweder den Text oder die Anhänge verschlüsseln konnten, um eine Signaturbeschädigung beim Arbeiten mit dem E-Mail-Signatursystem zu verhindern. Microsoft Outlook-Kalenderelemente und Tasks können ebenfalls isoliert werden. Abbildung 8-2 Beispiel einer isolierten E-Mail Vorgehensweise 1 So stellen Sie isolierte Dateien wieder her: a Klicken Sie in der Taskleiste des verwalteten Computers auf das Symbol McAfee Agent, und wählen Sie Funktionen verwalten | DLP Endpoint-Konsole aus. Daraufhin öffnet sich die DLP Endpoint-Konsole. b Wählen Sie auf der Registerkarte Tasks die Option Quarantäne-Ordner öffnen aus. Daraufhin öffnet sich der Quarantäne-Ordner. c Wählen Sie die wiederherzustellenden Dateien aus. Klicken Sie mit der rechten Maustaste, und wählen Sie Aus Quarantäne freigeben aus. Das Kontextmenüelement 'Aus Quarantäne freigeben' wird nur angezeigt, wenn Sie Dateien des Typs '*.dlpenc' (DLP-verschlüsselt) auswählen. Nun öffnet sich das Pop-Up-Fenster für den Freigabecode. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 119 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Schützen von Dateien mithilfe der Rechteverwaltung 2 So stellen Sie isolierte E-Mail-Elemente wieder her: Klicken Sie auf das Symbol McAfee DLP, oder klicken Sie mit der rechten Maustaste, und wählen Sie Aus Quarantäne freigeben aus. a Wählen Sie in Microsoft Outlook die E-Mails oder sonstigen Elemente aus, die wiederhergestellt werden sollen. b Klicken Sie auf das Symbol für McAfee DLP. Nun öffnet sich das Pop-Up-Fenster für den Freigabecode. 3 Kopieren Sie den Abfrage-ID-Code aus dem Pop-Up-Fenster, und senden Sie ihn an den DLP-Administrator. 4 Der Administrator erzeugt einen Antwortcode und sendet diesen an den Benutzer. (Dabei wird auch ein Ereignis an 'Operative DLP-Ereignisse' gesendet, in dem alle Details erfasst werden.) 5 Der Benutzer gibt den Freigabecode in das Pop-Up-Fenster Freigabecode ein, und klickt auf OK. Die entschlüsselten Dateien werden dann am ursprünglichen Speicherort wiederhergestellt. Wenn die Sperrrichtlinie für den Freigabecode aktiviert ist (Registerkarte Agentenkonfiguration | Benachrichtigungsdienst) und Sie den Code dreimal falsch eingeben, wird das Pop-Up-Fenster für 30 Minuten gesperrt (Standardeinstellung). Wenn für Dateien der Pfad geändert oder gelöscht wurde, wird der ursprüngliche Pfad wiederhergestellt. Sollte sich am Speicherort bereits eine gleichnamige Datei befinden, wird die Datei als xxx-copy.abc wiederhergestellt. Schützen von Dateien mithilfe der Rechteverwaltung McAfee DLP Endpoint kann in Rechteverwaltungs-Server integriert werden, sodass Dateien geschützt werden können, die Regelklassifizierungen entsprechen. Sie können eine Reaktion der Richtlinie für Rechteverwaltung auf die folgenden Datenschutz- und Erkennungsregeln anwenden: • Cloud-Schutz • Endgerät-Dateisystem Richtlinien für Rechteverwaltung können nicht mit Gerätesteuerungsregeln verwendet werden. McAfee DLP Endpoint kann durch die Rechteverwaltung geschützte Dateien erkennen, indem Klassifizierungs- oder Kennzeichnungskriterien eine Dateiverschlüsselungseigenschaft hinzugefügt wird. Diese Dateien können in die Klassifizierung ein- bzw. aus ihr ausgeschlossen werden. Siehe auch Definieren eines Servers für die Rechteverwaltung auf Seite 42 120 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Schützen von Dateien mithilfe der Rechteverwaltung Zusammenwirken von McAfee DLP mit der Rechteverwaltung Die Anwendung von Richtlinien für Rechteverwaltung auf Dateien in McAfee DLP folgt einem Workflow. Workflow für die Rechteverwaltung 1 Zur Anwendung einer Richtlinie für Rechteverwaltung müssen Sie eine Datenschutz- oder Erkennungsregel mit einer Reaktion erstellen und anwenden. Für die Reaktion ist ein Rechteverwaltungs-Server und ein Eintrag in einer Richtlinie für Rechteverwaltung erforderlich. Sie können auch eine Kennzeichnungsregel erstellen, damit durch Rechteverwaltung geschützten Dateien ein Tag hinzugefügt wird. 2 Wenn eine Datei die Regel auslöst, sendet McAfee DLP diese Datei an den Rechteverwaltungs-Server. 3 Der Rechteverwaltungs-Server wendet gemäß der angegebenen Richtlinie Schutzmaßnahmen an, indem beispielsweise die Datei verschlüsselt wird, der Kreis der Benutzer mit Berechtigung zum Aufrufen oder Entschlüsseln der Datei eingeschränkt wird oder die Bedingungen begrenzt werden, unter denen auf die Datei zugegriffen werden kann. 4 Anschließend sendet der Rechteverwaltungs-Server die Datei mit den angewendeten Schutzmaßnahmen zurück an die Quelle. 5 Wenn Sie ein Tag für die Datei konfiguriert haben, kann sie von McAfee DLP überwacht werden. Wenn die McAfee DLP-Software, die die Dateisystem-Erkennungsregel anwendet, eine zu schützende Datei findet, sucht sie anhand der eindeutigen Vorlagen-GUID die Vorlage und wendet die Schutzmaßnahme an. Beschränkungen McAfee DLP Endpoint überprüft durch Rechteverwaltung geschützte Dateien nicht auf Inhalte. Wenn eine gekennzeichnete (mit Tags versehene) Datei durch Rechteverwaltung geschützt ist, bleiben nur statische Tags (Speicherort und Anwendung) erhalten. Wenn ein Benutzer die Datei ändert, gehen beim Speichern der Datei sämtliche Tags verloren. Unterstützte Rechteverwaltungs-Server McAfee DLP Endpoint unterstützt Microsoft Windows Rights Management Services (Microsoft RMS) und Seclore FileSecure™ Information Rights Management (IRM). Microsoft RMS McAfee DLP Endpoint unterstützt Microsoft RMS unter Windows Server 2003 und Active Directory RMS (AD-RMS) unter Windows Server 2008 und 2012. Sie können Windows Rights Management Services-Schutz auf Folgendes anwenden: • Microsoft Word 2007-, Word 2010- und Word 2013-Dokumente • Microsoft Excel 2007-, Excel 2010- und Excel 2013-Dokumente • Microsoft PowerPoint 2007-, PowerPoint 2010- und PowerPoint 2013-Dokumente • SharePoint 2007-Dokumente • Exchange Server 2007-Dokumente Bei Microsoft RMS kann die McAfee DLP Endpoint-Software den Inhalt geschützter Dateien untersuchen, wenn der aktuelle Benutzer über Anzeigeberechtigungen verfügt. Weitere Informationen zu Microsoft RMS finden Sie unter http://technet.microsoft.com/en-us/library/ cc772403.aspx. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 121 8 Verwenden von Regeln zum Schutz vertraulicher Inhalte Schützen von Dateien mithilfe der Rechteverwaltung Seclore IRM McAfee DLP Endpoint unterstützt Seclore FileSecure RM, das über 140 Dateiformate unterstützt, darunter einige der am häufigsten verwendeten Dokumentformate: • Microsoft Office-Dokumente • Open Office-Dokumente • PDF • Text- und textbasierte Formate, darunter CSV, XML und HTML • Bildformate, darunter JPEG, BMP, GIF usw. • Technische Entwurfsformate wie DWG, DXF und DWF Der McAfee DLP Endpoint-Client arbeitet mit dem FileSecure-Desktop-Client zusammen und ermöglicht sowohl Online- als auch Offline-Integration. Weitere Informationen zu Seclore IRM finden Sie unter http://seclore.com/ seclorefilesecure_overview.html. 122 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 9 Arbeiten mit Richtlinien McAfee DLP Endpoint speichert Richtlinien und Konfigurationen im McAfee ePO-Richtlinienkatalog. DLP-Richtlinien im McAfee ePO-Richtlinienkatalog bestehen aus Regelsätzen (Schutzregeln) und deren zugeordneten Klassifizierungen und Definitionen. Sie können zudem auch Konfigurationen für Endgeräterkennungs-Scans und Server-Einstellungen enthalten. Regeln und Regelsätze werden im DLP-Richtlinien-Manager erstellt. Regelsätze können mehrere Datenschutz-, Gerätesteuerungs- und Erkennungsregeln enthalten. Die Regeln im Regelsatz sind mit einem logischen ODER verknüpft, d. h., der Regelsatz wird angewendet, wenn der untersuchte Inhalt mindestens einer der Regeln entspricht. Innerhalb einer Regel sind einige Parameter durch logisches UND oder NICHT bzw. durch UND, ODER bzw. NICHT verknüpft; dies wird vom Administrator festgelegt. Workflow Die Richtlinienverwaltung umfasst folgende Schritte: 1 Erstellen und Speichern der Regelsätze auf der Seite DLP-Richtlinien-Manager | Regelsätze. 2 Für die meisten Regeln sind Klassifizierungen erforderlich. Klassifizierungen werden im Modul Klassifizierung definiert. 3 Zuweisen des Regelsatzes zu einer DLP-Richtlinie auf der Seite DLP-Richtlinien-Manager | Richtlinienzuweisung. 4 Erstellen oder Bearbeiten von Definitionen. 5 Anwenden der Richtlinien auf McAfee ePO im Richtlinienkatalog. Im Richtlinienkatalog können Sie zudem neue Richtlinien erstellen, indem Sie eine Standardrichtlinie oder eine sonstige vorhandene Richtlinie duplizieren. Inhalt Verwenden mehrerer Richtlinien Funktionsweise von Definitionen Bearbeiten einer DLP-Richtlinie McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 123 9 Arbeiten mit Richtlinien Verwenden mehrerer Richtlinien Verwenden mehrerer Richtlinien Sie können durch das Verwenden mehrerer Richtlinien allgemeine Einstellungen und Definitionen außer Kraft setzen. McAfee DLP-Richtlinien können Endgerät-Computern über McAfee ePO aus der Systemstruktur heraus als globale Richtlinien oder mittels Richtlinienzuweisungsregeln zugewiesen werden. In McAfee DLP 9.3 war eine einzelne Richtlinie vorhanden, die allgemeine Einstellungen und Definitionen enthielt. Diese Einstellungen und Definitionen wurden unabhängig von der verwendeten Methode an alle Endgerät-Computer gesendet. In den Einstellungen waren folgende Informationsarten enthalten: • Kennzeichnungsregeln • Klassifizierungsregeln • Namen von Kennzeichnungs- und Klassifizierungskriterien • Text in der Whitelist • Anwendungsdefinitionen • Geräteklassen Manche Einstellungen und Definitionen können sich auf das Systemverhalten des Endgeräts auswirken. Wird beispielsweise der Status einer Geräteklasse von 'nicht verwaltet' in 'verwaltet' geändert, beginnt der McAfee DLP Endpoint-Client, die zu dieser Klasse gehörenden Geräte zu überwachen und versucht, sie zu steuern. Wenn Endgerät-Computer Geräte nutzen, die Kompatibilitätsprobleme mit dem McAfee DLP Endpoint-Gerätetreiber haben, kann dies deren Leistung erheblich beeinträchtigen. Dieses Problem wurde in McAfee DLP 9.4 behoben, da dort mehrere Richtlinien zur Verfügung stehen. Administratoren können nun für jede Richtlinie unterschiedliche Einstellungen für Geräteklassen und Anwendungsvorlagen außer Kraft setzen und so für unterschiedliche Systeme innerhalb des Unternehmens jeweils andere Einstellungen festlegen. Sie können mit Richtlinienzuweisungsregeln und Benutzerzuweisungsgruppen jeweils unterschiedliche Richtlinien zuweisen. Die Standardrichtlinie My Default DLP Policy ist standardmäßig dem Stammverzeichnis der Systemstruktur zugewiesen. Funktionsweise von Definitionen Mit Definitionen können Sie Regeln, Klassifizierungskriterien und Erkennungs-Scans konfigurieren. McAfee DLP-Definitionen werden in einem Definitionskatalog gespeichert. Die eingerichteten Definitionen sind für alle McAfee DLP-Funktionen verfügbar. Alle Definitionen können vom Benutzer konfiguriert werden, es sind jedoch auch einige vordefinierte Definitionen vorhanden. Vordefinierte Definitionen können Sie anzeigen, indem Sie das entsprechende Kontrollkästchen aktivieren. Tabelle 9-1 Verfügbare Definitionen nach McAfee DLP-Funktion Daten Klassifizierungen Regelsätze Erweitertes Muster* Dateierweiterung* Wörterbuch* Dokumenteigenschaften Dateierweiterung* Dateiinformationen Tatsächlicher Dateityp* 124 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 9 Arbeiten mit Richtlinien Bearbeiten einer DLP-Richtlinie Tabelle 9-1 Verfügbare Definitionen nach McAfee DLP-Funktion (Fortsetzung) Klassifizierungen Gerätesteuerung Regelsätze Geräteklasse Gerätedefinitionen Benachrichtigung Begründung Benutzerbenachrichtigung Andere Planer Quelle/Ziel Anwendungsvorlage E-Mail-Adresse Endbenutzergruppe Lokaler Ordner Netzwerkadresse (IP-Adresse) Netzwerk-Port Netzwerkdrucker Netzwerkfreigabe Prozessname URL-Liste Fenstertitel * Gibt an, dass vordefinierte (integrierte) Definitionen verfügbar sind. Bearbeiten einer DLP-Richtlinie Die DLP-Richtlinienkonfiguration besteht aus Regelsätzen, Richtlinienzuweisungen und Definitionen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | DLP-Richtlinien-Manager aus. Erstellen Sie mindestens einen Regelsatz, der der DLP-Richtlinie zugewiesen wird. Weitere Informationen hierzu finden Sie unter Erstellen eines Regelsatzes in diesem Handbuch. 2 Wählen Sie in McAfee ePO Menü | Richtlinienkatalog | Produkt: Data Loss Prevention 9.4 aus. Öffnen Sie eine DLP-Richtlinienkonfiguration. Wählen Sie eine DLP-Richtlinienbeschriftung in der Spalte Kategorie aus, und klicken Sie in die Spalte Name. 3 Wählen Sie die Registerkarte Aktive Regelsätze aus. Hier werden alle der Richtlinie zugewiesenen Regelsätze aufgeführt. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 125 9 Arbeiten mit Richtlinien Bearbeiten einer DLP-Richtlinie 4 So weisen Sie der Richtlinie neue Regelsätze zu: a Wählen Sie Menü | DLP-Richtlinien-Manager | Richtlinienzuweisung aus. b Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus. Sie können im Menü Aktionen einen Regelsatz auch mehreren Richtlinien zuweisen. c Wählen Sie in der Dropdown-Liste im Auswahlfenster eine Richtlinie aus, und wählen Sie mit den Kontrollkästchen die Regelsätze aus, die dieser Richtlinie zugewiesen werden sollen. Klicken Sie auf OK. Die ausgewählten Regelsätze werden nun für die Richtlinie verwendet. 5 So entfernen Sie Regelsätze aus der Richtlinie: a Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus. b Deaktivieren Sie im Auswahlfenster die Kontrollkästchen für die Regelsätze, die aus der Richtlinie entfernt werden sollen. Klicken Sie auf OK. Die ausgewählten Regelsätze werden nun aus der Richtlinie entfernt. 6 Wählen Sie die Registerkarte Endgeräteerkennung aus. 7 Wählen Sie Aktionen | Neuer Endgeräte-Scan und dann die Art des durchzuführenden Scans aus: Lokale E-Mail oder Lokales Dateisystem. Daraufhin öffnet sich eine Seite für die Einrichtung des Scans. Wählen Sie hier eine Definition für den Plan und die anzuwendenden Regeln sowie weitere Scan-Details aus. Klicken Sie nach Angabe aller erforderlichen Details auf Speichern. 8 9 Wählen Sie die Registerkarte Einstellungen aus. Auf dieser Seite können Sie die folgenden Optionen festlegen: • die Standardanwendungsstrategie und die Strategie zur Außerkraftsetzung einer Anwendung für ausgewählte Anwendungen, • Außerkraftsetzungen der Geräteklasse und Filtertypen, • Hinzufügen von privilegierten Benutzern oder Benutzergruppen. Klicken Sie nach Abschluss der Bearbeitung auf Richtlinie anwenden. Die Änderungen werden nun für die McAfee ePO-Datenbank übernommen. 126 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Überwachen und Berichten Mit den McAfee DLP Endpoint-Software-Komponenten können Sie Richtlinienverletzungen verfolgen und überprüfen sowie administrative (operative) Ereignisse verfolgen. Kapitel 10 Kapitel 11 Kapitel 12 Überwachen und Melden von Ereignissen Erfassen und Verwalten von Daten Erstellen von Berichten McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 127 Überwachen und Berichten 128 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 10 Überwachen und Melden von Ereignissen In McAfee DLP werden Ereignisse in zwei Klassen unterteilt: Vorfälle (d. h. Richtlinienverletzungen) und Verwaltungsereignisse. Diese Ereignisse werden in den beiden Konsolen DLP-Ereignisverwaltung und Operative DLP-Ereignisse angezeigt. Wenn McAfee DLP eine Richtlinienverletzung erkennt, wird ein Ereignis generiert und an die McAfee ePO-Ereignisanalyse gesendet. Diese Ereignisse lassen sich in der Konsole DLP-Ereignisverwaltung anzeigen, filtern und sortieren. So können Sicherheitsbeauftragte und Administratoren Ereignisse schnell anzeigen und umgehend reagieren. Verdächtiger Inhalt wird ggf. als Nachweis an das Ereignis angefügt. Da McAfee DLP eine zentrale Rolle bei der Einhaltung von Vorschriften und Datenschutzgesetzen im Unternehmen spielt, werden die Informationen zur Übertragung vertraulicher Daten in der DLP-Ereignisverwaltung exakt und mit flexiblen Anpassungsmöglichkeiten dargestellt. Systemprüfer, Zeichnungsberechtigte, Datenschutzbeauftragte und sonstige leitende Mitarbeiter können mit der DLP-Ereignisverwaltung verdächtige und nicht autorisierte Aktivitäten überwachen und entsprechend den Datenschutzrichtlinien des eigenen Unternehmens sowie relevanten rechtlichen Vorschriften und Gesetzen handeln. Systemadministratoren und Sicherheitsbeauftragte können Verwaltungsereignisse wie den Status der Agenten und der Richtlinienverteilung überwachen. In der Konsole Operative DLP-Ereignisse werden Details über Client-Bereitstellungen, Richtlinienänderungen, Richtlinienbereitstellungen, Anmeldungen im abgesicherten Modus, Außerkraftsetzungen von Agenten und andere Verwaltungsereignisse angezeigt. Inhalt DLP-Ereignisverwaltung Funktionsweise des Vorfalls-Managers Vorfalltypen und -details Verwalten von Vorfällen Arbeiten mit Fällen McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 129 10 Überwachen und Melden von Ereignissen DLP-Ereignisverwaltung DLP-Ereignisverwaltung Auf der Seite DLP-Ereignisverwaltung in McAfee ePO können Sie die durch Richtlinienverletzungen ausgelösten Sicherheitsereignisse anzeigen. Die Ereignisverwaltung verfügt über drei Registerkarten: • Liste der Vorfälle: Die aktuelle Liste der durch Richtlinienverletzungen verursachten Ereignisse. • Vorfall-Tasks: Eine Liste der Aktionen, die Sie für die gesamte Liste oder Teile davon durchführen können, beispielsweise das Zuweisen von Prüfern zu Vorfällen, das Einrichten automatischer E-Mail-Benachrichtigungen sowie das Bereinigen der gesamten Liste oder eines Teils der Liste. • Vorfälle – Verlauf: Eine Liste mit allen zurückliegenden Vorfällen. Die Bereinigung der Liste der Vorfälle hat keine Auswirkung auf den Verlauf. Im Modul Operative DLP-Ereignisse können Sie Verwaltungsereignisse (beispielsweise Agentenbereitstellungen) anzeigen. Das Modul enthält ebenfalls drei Registerkarten: Liste der operativen Ereignisse, Tasks für operative Ereignisse und Operative Ereignisse – Verlauf. Funktionsweise des Vorfalls-Managers Die Registerkarte Liste der Vorfälle im DLP-Vorfalls-Manager bietet alle Funktionen, die zur Überprüfung von Vorfällen im Zusammenhang mit Richtlinienverletzungen benötigt werden. Sie können Ereignisdetails aufrufen, indem Sie auf ein bestimmtes Ereignis klicken. Sie können Filter anlegen und speichern, um die Ansicht zu ändern, oder die im Bereich Gruppieren nach befindlichen vordefinierten Filter verwenden. Sie können die Ansicht auch ändern, indem Sie Spalten auswählen und sortieren. Anhand der farbigen Symbole und der Zahlen, die den Schweregrad angeben, können Sie sich schnell einen Überblick über die Ereignisse verschaffen. Die Registerkarte Liste der Vorfälle interagiert mit der McAfee ePO-Funktion Abfragen und Berichte, um Berichte zu erstellen und Daten in den McAfee ePO-Dashboards anzuzeigen. Sie können beispielsweise folgende Aktionen für Ereignisse ausführen: 130 • Fallverwaltung. Sie können Fälle erstellen und einem Fall ausgewählte Vorfälle hinzufügen. • Kommentare: Sie können ausgewählten Vorfällen Kommentare hinzufügen. • Ereignisse per E-Mail senden: Sie können ausgewählte Ereignisse per E-Mail senden. • Geräteparameter exportieren: Sie können Geräteparameter in eine CSV-Datei exportieren (nur für die Liste 'Verwendete/bewegte Daten') • Beschriftungen: Sie können eine Beschriftung zum Filtern anhand der Beschriftung festlegen. • Offenlegung unkenntlich gemachter Daten: Sie können die Unkenntlichmachung entfernen, um geschützte Felder anzuzeigen (hierfür ist die entsprechende Berechtigung erforderlich). • Eigenschaften festlegen: Sie können den Schweregrad, den Status oder die Lösung bearbeiten sowie einen Benutzer oder eine Gruppe zur Vorfallprüfung zuweisen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 10 Überwachen und Melden von Ereignissen Funktionsweise des Vorfalls-Managers Die Seite Operative DLP-Ereignisse funktioniert auf die gleiche Weise für Verwaltungsereignisse. Abbildung 10-1 DLP-Vorfalls-Manager Vorfall-Tasks/Tasks für operative Ereignisse Auf der Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse können Sie Kriterien für geplante Tasks festlegen. Die Tasks werden auf diesen Seiten mithilfe der McAfee ePO-Server-Tasks-Funktion zum Planen von Tasks eingerichtet. Beide Task-Registerkarten sind nach Task-Typ angeordnet (linker Bereich). Die ebenfalls nach Vorfalltyp angeordnete Registerkarte Vorfall-Tasks ist im Prinzip eine 4 x 3-Tabelle, wobei die angezeigten Informationen von den jeweils ausgewählten beiden Parametern abhängen. Verwendete/ bewegte Daten Ruhende Daten (Endgerät) Prüfer festlegen x x Automatische E-Mail-Benachrichtigung x x Ereignisse bereinigen x x Verwendete/ bewegte Daten (Verlauf) x Anwendungsbeispiel – Einrichten von Eigenschaften Eigenschaften sind Daten, die einem Vorfall hinzugefügt wurden, für den weitere Maßnahmen erforderlich sind. Sie können Eigenschaften über Aktionen | Eigenschaften festlegen oder über den Detailbereich des Vorfalls hinzufügen. Die Eigenschaften sind: • Schweregrad • Prüfende Gruppe • Status • Prüfender Benutzer • Lösung Der Prüfer kann ein beliebiger McAfee ePO-Benutzer sein. Der Grund für die Änderung eines Schweregrades kann darin bestehen, dass der Administrator den Status auf False-Positive setzt und der ursprüngliche Schweregrad damit irrelevant ist. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 131 10 Überwachen und Melden von Ereignissen Vorfalltypen und -details Anwendungsbeispiel – Ändern der Ansicht Sie können die Ansicht mithilfe von Filtern ändern und zudem die Felder und die Reihenfolge der Anzeige anpassen. Benutzerdefinierte Ansichten können gespeichert und später erneut verwendet werden. Sie erstellen einen Filter wie folgt: 1 Klicken Sie auf Aktionen | Ansicht | Spalten auswählen, um das Ansichts-/Bearbeitungsfenster zu öffnen. 2 Sie können Spalten mit dem x-Symbol löschen und mit den Pfeilsymbolen nach links oder rechts verschieben. 3 Klicken Sie auf Ansicht aktualisieren, um die angepasste Ansicht anzuwenden, und auf Aktionen | Ansicht | Ansicht speichern, um sie für eine spätere Verwendung zu speichern. Beim Speichern der Ansicht können Sie auch die Zeit- und Anpassungsfilter speichern. Gespeicherte Ansichten können im oben auf der Seite befindlichen Dropdown-Menü ausgewählt werden. Vorfalltypen und -details Vorfälle werden anhand der Art der aufgetretenen Verletzung kategorisiert. In der Ereignisverwaltung werden Vorfälle angezeigt, die von allen McAfee DLP-Software-Produkten generiert wurden. Auf der Detailseite der DLP-Ereignisverwaltung werden alle Details zu einem bestimmten Vorfall angezeigt. Die jeweils angezeigten Informationen und Optionen hängen von der Art des Vorfalls ab. So enthalten die Details der Vorfälle im Zusammenhang mit dem Netzwerkfreigabe-Schutz Angaben zum Ziel, während Vorfälle im Zusammenhang mit der Gerätesteuerung Angaben zum Gerät enthalten. Für alle Vorfälle sind die Registerkarten Regeln, Audit-Protokoll und Kommentare verfügbar, und für einige Vorfalltypen wie Netzwerkfreigabe-Schutz werden zudem die Registerkarten Nachweis und Klassifizierungen angezeigt. Anzeigen von Vorfällen Im Vorfalls-Manager werden alle von McAfee DLP-Geräten gemeldeten Vorfälle angezeigt. Sie können die Darstellung von Vorfällen ändern, sodass Sie wichtige Verletzungen schneller auffinden können. Wenn McAfee DLP ein Objekt (z. B. eine E-Mail-Nachricht) verarbeitet, das mehrere Regeln auslöst, werden die Verletzungen im Vorfalls-Manager zu einem Vorfall zusammengefasst und nicht als mehrere verschiedene Vorfälle angezeigt. Sortieren und Filtern von Vorfällen Sie können die Anzeigereihenfolge der Vorfälle anhand von Attributen, wie z. B. Zeit, Ort, Benutzer oder Schweregrad, ordnen. 132 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Überwachen und Melden von Ereignissen Vorfalltypen und -details 10 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Führen Sie eine der folgenden Aufgaben durch. • Klicken Sie zum Sortieren nach einer Spalte auf die entsprechende Spaltenüberschrift. • Wählen Sie zum Ändern der Spaltenreihenfolge in der Dropdown-Liste Anzeigen eine benutzerdefinierte Ansicht aus. • Wählen Sie zum Filtern nach der Zeit in der Dropdown-Liste Zeit einen Zeitraum aus. • Wählen Sie zum Anwenden eines benutzerdefinierten Filters in der Dropdown-Liste Filter einen benutzerdefinierten Filter aus. • So gruppieren Sie anhand des Attributs: 1 Wählen Sie in der Dropdown-Liste Gruppieren nach ein Attribut aus. Daraufhin wird eine Liste der verfügbaren Optionen angezeigt. Die Liste enthält bis zu 250 der am häufigsten auftretenden Optionen. 2 Wählen Sie eine Option in der Liste aus. Daraufhin werden alle Vorfälle angezeigt, die mit der ausgewählten Option übereinstimmen. Beispiel Wählen Sie Benutzer-ID aus, um die Namen der Benutzer anzuzeigen, die Verletzungen ausgelöst haben. Wählen Sie einen Benutzernamen aus, um alle Vorfälle für diesen Benutzer anzuzeigen. Konfigurieren von Spaltenansichten In einer Ansicht können Sie die Art und Reihenfolge der Spalten festlegen, die in der Ereignisverwaltung angezeigt werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Wählen Sie in der Dropdown-Liste Ansicht die Option Standard aus, und klicken Sie dann auf Bearbeiten. 3 Konfigurieren Sie die Spalten. a Klicken Sie in der Liste Verfügbare Spalten auf einen Eintrag, um ihn in den Bereich Ausgewählte Spalten zu verschieben. b Im Bereich Ausgewählte Spalten können Sie die Spalten nach Bedarf neu anordnen oder löschen. c • Klicken Sie zum Entfernen einer Spalte auf x. • Klicken Sie zum Verschieben einer Spalte auf die Pfeiltasten, oder ziehen Sie die Spalte an die gewünschte Position. Klicken Sie auf Ansicht aktualisieren. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 133 10 Überwachen und Melden von Ereignissen Vorfalltypen und -details 4 Konfigurieren Sie die Ansichtseinstellungen. a Klicken Sie neben der Dropdown-Liste Ansicht auf Speichern. b Wählen Sie eine der folgenden Optionen aus. c • Als neue Ansicht speichern: Legen Sie einen Namen für die Ansicht fest. • Vorhandene Ansicht überschreiben: Wählen Sie die zu speichernde Ansicht aus. Wählen Sie aus, wer die Ansicht verwenden kann. • Öffentlich: Die Ansicht kann von allen Benutzern verwendet werden. • Privat: Die Ansicht kann nur von dem Benutzer verwendet werden, der sie erstellt hat. d Legen Sie fest, ob die aktuellen Filter oder Gruppierungen auf die Ansicht angewendet werden sollen. e Klicken Sie auf OK. Sie können Ansichten auch in der Ereignisverwaltung verwalten, indem Sie Aktionen | Ansicht auswählen. Konfigurieren von Vorfallsfiltern Mithilfe dieser Filter können Sie Vorfälle anzeigen, die mit bestimmten Kriterien übereinstimmen. Beispiel: Sie vermuten, dass ein bestimmter Benutzer Kommunikation, die vertrauliche Daten enthält, an mehrere IP-Adressen außerhalb des Unternehmens gesendet hat. Nun können Sie einen Filter erstellen, um alle Vorfälle anzuzeigen, die mit dem Benutzernamen und den IP-Adressen übereinstimmen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Wählen Sie in der Dropdown-Liste Filter die Option (kein benutzerdefinierter Filter) aus, und klicken Sie auf Bearbeiten. 3 Konfigurieren Sie die Filterparameter. a Wählen Sie in der Liste Verfügbare Eigenschaften eine Eigenschaft aus. b Geben Sie einen Wert für die Eigenschaft ein. Klicken Sie zum Hinzufügen weiterer Werte für dieselbe Eigenschaft auf +. c Wählen Sie bei Bedarf weitere Eigenschaften aus. Klicken Sie zum Entfernen eines Eigenschaftseintrags auf <. d 4 134 Klicken Sie auf Filter aktualisieren. Konfigurieren Sie die Filtereinstellungen. a Klicken Sie neben der Dropdown-Liste Filter auf Speichern. b Wählen Sie eine der folgenden Optionen aus. • Als neuen Filter speichern: Geben Sie einen Namen für den Filter an. • Vorhandenen Filter überschreiben: Wählen Sie den zu speichernden Filter aus. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Überwachen und Melden von Ereignissen Verwalten von Vorfällen c d 10 Wählen Sie aus, wer den Filter verwenden kann. • Öffentlich: Der Filter kann von allen Benutzern verwendet werden. • Privat: Der Filter kann nur von dem Benutzer verwendet werden, der ihn erstellt hat. Klicken Sie auf OK. Sie können Filter auch in der Ereignisverwaltung verwalten, indem Sie Aktionen | Filter auswählen. Anzeigen von Details zu Vorfällen Sie können die zu einem Vorfall gehörigen Informationen anzeigen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Klicken Sie auf eine Vorfall-ID. Auf der Seite werden nun allgemeine Details und Informationen zur Quelle angezeigt. Je nach Vorfalltyp werden Informationen zum Ziel oder zum Gerät angezeigt. 3 Führen Sie eine der folgenden Aktionen durch, um weitere Informationen anzuzeigen. • Klicken Sie zum Anzeigen der Benutzerinformationen im Bereich Quelle auf den Benutzernamen. • So zeigen Sie Nachweisdateien an: 1 Klicken Sie auf die Registerkarte Nachweis. 2 Klicken Sie auf einen Dateinamen, um die Datei mit dem entsprechenden Programm zu öffnen. • Klicken Sie auf die Registerkarte Regeln, um die Regeln anzuzeigen, die den Vorfall ausgelöst haben. • Klicken Sie auf die Registerkarte Klassifizierungen, um die Klassifizierungen anzuzeigen. Die Registerkarte Klassifizierungen wird bei einigen Vorfalltypen nicht angezeigt. • Klicken Sie auf die Registerkarte Audit-Protokoll, um den Vorfallsverlauf anzuzeigen. • Klicken Sie auf die Registerkarte Kommentare, um die Kommentare zum Vorfall anzuzeigen. • Klicken Sie auf OK, um zur Ereignisverwaltung zurückzukehren. Verwalten von Vorfällen In der Ereignisverwaltung können Sie Vorfälle aktualisieren und verwalten. Konfigurieren Sie zum Löschen von Vorfällen einen Task zum Bereinigen von Ereignissen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 135 10 Überwachen und Melden von Ereignissen Verwalten von Vorfällen Aufgaben • Aktualisieren eines bestimmten Vorfalls auf Seite 136 Sie können die zu einem Vorfall gehörigen Informationen, wie z. B. Schweregrad, Status und Prüfer, aktualisieren. • Aktualisieren mehrerer Vorfälle auf Seite 136 Sie können mehrere Vorfälle auf einmal mit den gleichen Informationen aktualisieren. • Verwalten von Beschriftungen auf Seite 137 Eine Beschriftung ist ein benutzerdefiniertes Attribut, das zum Erkennen von Vorfällen dient, die ähnliche Eigenschaften aufweisen. • Löschen von Vorfällen auf Seite 138 Irrelevante Vorfälle können Sie löschen. Aktualisieren eines bestimmten Vorfalls Sie können die zu einem Vorfall gehörigen Informationen, wie z. B. Schweregrad, Status und Prüfer, aktualisieren. Auf der Registerkarte Audit-Protokoll werden alle an einem Vorfall vorgenommenen Aktualisierungen und Modifizierungen aufgeführt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Klicken Sie auf einen Vorfall. 3 Führen Sie eine der folgenden Aufgaben durch. • • • So aktualisieren Sie den Schweregrad, den Status oder die Auflösung: 1 Wählen Sie in der Dropdown-Liste Schweregrad, Status oder Lösung eine Option aus. 2 Klicken Sie auf Speichern. So aktualisieren Sie den Prüfer: 1 Klicken Sie neben dem Feld Prüfer auf ... 2 Wählen Sie die Gruppe oder den Benutzer aus, und klicken Sie dann auf OK. 3 Klicken Sie auf Speichern. So fügen Sie einen Kommentar hinzu: 1 Wählen Sie Aktionen | Kommentar hinzufügen aus. 2 Geben Sie einen Kommentar ein, und klicken Sie dann auf OK. Aktualisieren mehrerer Vorfälle Sie können mehrere Vorfälle auf einmal mit den gleichen Informationen aktualisieren. Beispiel: Sie haben einen Filter gesetzt, um alle Vorfälle eines bestimmten Benutzers anzuzeigen, und möchten nun den Schweregrad dieser Vorfälle zu Hoch ändern. 136 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Überwachen und Melden von Ereignissen Verwalten von Vorfällen 10 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Aktivieren Sie die Kontrollkästchen der zu aktualisierenden Vorfälle. Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten Vorfälle zu aktualisieren. 3 Führen Sie eine der folgenden Aufgaben durch. • Wählen Sie zum Hinzufügen eines Kommentars Aktionen | Kommentar hinzufügen aus, geben Sie einen Kommentar ein, und klicken Sie dann auf OK. • Wählen Sie zum Senden der Vorfälle per E-Mail Aktionen | Ausgewählte Ereignisse per E-Mail senden aus, geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf OK. • Wählen Sie zum Modifizieren der Eigenschaften Aktionen | Eigenschaften festlegen aus, modifizieren Sie die Optionen, und klicken Sie dann auf OK. Verwalten von Beschriftungen Eine Beschriftung ist ein benutzerdefiniertes Attribut, das zum Erkennen von Vorfällen dient, die ähnliche Eigenschaften aufweisen. Sie können einem Vorfall mehrere Beschriftungen zuweisen und eine Beschriftung für mehrere Vorfälle wiederverwenden. Beispiel: Es gibt Vorfälle, die sich auf mehrere Projekte beziehen, an denen Ihr Unternehmen arbeitet. Sie können Beschriftungen mit den Namen des jeweiligen Projekts erstellen und die Beschriftungen den entsprechenden Vorfällen zuweisen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus. 2 Aktivieren Sie das Kontrollkästchen für mindestens einen Vorfall. Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten Vorfälle zu aktualisieren. 3 Führen Sie eine der folgenden Aufgaben durch. • So fügen Sie Beschriftungen hinzu: 1 Wählen Sie Aktionen | Beschriftungen verwalten | Anhängen aus. 2 Geben Sie zum Hinzufügen einer neuen Beschriftung einen Namen ein, und klicken Sie auf Hinzufügen. 3 Wählen Sie mindestens eine Beschriftung aus. 4 Klicken Sie auf OK. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 137 10 Überwachen und Melden von Ereignissen Arbeiten mit Fällen • • So entfernen Sie Beschriftungen von einem Vorfall: 1 Wählen Sie Aktionen | Beschriftungen verwalten | Trennen aus. 2 Wählen Sie die aus dem Vorfall zu entfernenden Beschriftungen aus. 3 Klicken Sie auf OK. So löschen Sie Beschriftungen: 1 Wählen Sie Aktionen | Beschriftungen verwalten | Beschriftungen löschen aus. 2 Wählen Sie die zu löschenden Beschriftungen aus. 3 Klicken Sie auf OK. Löschen von Vorfällen Irrelevante Vorfälle können Sie löschen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Ereignisverwaltung | Vorfall-Tasks aus. 2 Wählen Sie im linken Fensterbereich Task-Typ die Option Ereignisse bereinigen aus. Wenn mehrere Vorfalltypen verfügbar sind, wählen Sie in der Dropdown-Liste den gewünschten Typ aus (Verwendete/bewegte Daten, Ruhende Daten usw.). Je nach ausgewähltem Typ können Sie Vorfälle aus der Liste der Vorfälle oder aus Vorfälle – Verlauf löschen. 3 Wählen Sie Aktionen | Neuer Task aus. Daraufhin öffnet sich die Seite Bereinigungsregel. 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein. Klicken Sie auf Weiter. Der Status ist standardmäßig Aktiviert. Wenn die Regel nicht sofort ausgeführt werden soll, können Sie den Status in Deaktiviert ändern. 5 Klicken Sie zur Auswahl von Kriterien auf >, wählen Sie den Vergleich aus, und geben Sie dann den Wert ein, bzw. wählen Sie ihn aus. Klicken Sie auf <, um Kriterien zu entfernen. Klicken Sie auf Speichern. Bereinigungs-Tasks werden standardmäßig täglich ausgeführt. Arbeiten mit Fällen Fälle ermöglichen es Administratoren, gemeinsam an der Lösung zugehöriger Vorfälle zu arbeiten. Bei Vorfällen handelt es sich häufig nicht um Einzelereignisse. Entsprechend können in der DLP-Ereignisverwaltung mehrere Vorfälle angezeigt werden, die zusammenhängen oder gleiche Eigenschaften haben. Diese zusammenhängenden Vorfälle können Sie dann einem Fall zuweisen. Ein Fall kann von mehreren Administratoren überwacht und verwaltet werden, je nachdem, welche Funktion sie im Unternehmen ausüben. Szenario: Sie bemerken, dass ein bestimmter Benutzer nach Dienstschluss häufig eine Reihe von Vorfällen verursacht. Dies könnte darauf hindeuten, dass der Benutzer entweder verdächtige Aktivitäten ausführt oder dass das System des Benutzers kompromittiert ist. Diese Vorfälle können Sie nun einem Fall zuweisen, damit nachvollzogen werden kann, wann und wie häufig diese Verletzungen auftreten. 138 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Überwachen und Melden von Ereignissen Arbeiten mit Fällen 10 Je nach Art dieser Verletzungen sollten Sie möglicherweise die Personal- oder die Rechtsabteilung des Unternehmens über diese Vorfälle informieren. Sie können es Angehörigen dieser Abteilungen ermöglichen, an diesem Fall zu arbeiten, z. B. Kommentare einzufügen, Prioritäten zu ändern oder wichtige Beteiligte zu benachrichtigen. Verwalten von Fällen Sie können zum Lösen von Vorfällen Fälle erstellen und verwalten. Erstellen von Fällen Sie können Fälle erstellen, um zusammengehörige Vorfälle in Gruppen zusammenfassen und anzeigen zu können. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus. 2 Wählen Sie Aktionen | Neu aus. 3 Geben Sie einen Titel ein, und konfigurieren Sie die Optionen. 4 Klicken Sie auf OK. Zuweisen von Vorfällen zu einem Fall Sie können zugehörige Vorfälle einem neuen oder bestehenden Fall hinzufügen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager aus. 2 Wählen Sie in der Dropdown-Liste Vorhanden einen Vorfallstyp aus. Klicken Sie bei Bedarf für Ruhende Daten (Netzwerk) auf den Link Scannen, um einen Scan festzulegen. 3 Aktivieren Sie das Kontrollkästchen für mindestens einen Vorfall. Verwenden Sie zum Anzeigen zusammengehöriger Vorfälle Optionen wie Filter oder Gruppieren nach. Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten Vorfälle zu aktualisieren. 4 5 Weisen Sie die Vorfälle nun einem Fall zu. • Um Vorfälle einem neuen Fall hinzuzufügen, wählen Sie Aktionen | Fallverwaltung | Zu neuem Fall hinzufügen aus, geben Sie einen Titel ein, und konfigurieren Sie die entsprechenden Optionen. • Um Vorfälle einem vorhandenen Fall hinzuzufügen, wählen Sie Aktionen | Fallverwaltung | Zu vorhandenem Fall hinzufügen, filtern Sie die Fälle nach Fall-ID oder Titel, und wählen Sie den gewünschten Fall aus. Klicken Sie auf OK. Anzeigen der Fallinformationen Sie können die einem Fall zugewiesenen Audit-Protokolle, Benutzerkommentare und Vorfälle anzeigen. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 139 10 Überwachen und Melden von Ereignissen Arbeiten mit Fällen Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus. 2 Klicken Sie auf eine Fall-ID. 3 Führen Sie eine der folgenden Aufgaben durch. 4 • Klicken Sie auf die Registerkarte Vorfälle, um die dem Fall zugewiesenen Vorfälle anzuzeigen. • Klicken Sie auf die Registerkarte Kommentare, um die Benutzerkommentare anzuzeigen. • Klicken Sie auf die Registerkarte Audit-Protokoll, um die Audit-Protokolle anzuzeigen. Klicken Sie auf OK. Aktualisieren von Fällen Sie können die Falldaten aktualisieren, beispielsweise den Besitzer ändern, Benachrichtigungen senden oder Kommentare hinzufügen. In folgenden Fällen werden Benachrichtigungen an den Ersteller des Falls, den Besitzer des Falls und an ausgewählte Benutzer gesendet: • Eine E-Mail wird hinzugefügt oder geändert. • Vorfälle werden dem Fall hinzugefügt oder aus dem Fall gelöscht. • Der Titel des Falls wird geändert. • Die Informationen zum Besitzer werden geändert. • Die Priorität wird geändert. • Die Lösung wird geändert. • Es werden Kommentare hinzugefügt. Sie können die automatischen E-Mail-Benachrichtigungen an den Ersteller und den Besitzer des Falls unter Menü | Konfiguration | Server-Einstellungen | Data Loss Prevention deaktivieren. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 140 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus. 2 Klicken Sie auf eine Fall-ID. 3 Führen Sie eine der folgenden Aufgaben durch. • Zum Ändern des Fallnamens geben Sie im Feld Titel einen neuen Namen ein und klicken dann auf Speichern. • So ändern Sie den Besitzer: 1 Klicken Sie neben dem Feld Besitzer auf ... 2 Wählen Sie die Gruppe oder den Benutzer aus. 3 Klicken Sie auf OK. 4 Klicken Sie auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Überwachen und Melden von Ereignissen Arbeiten mit Fällen 10 • Zum Aktualisieren der Optionen Priorität, Status bzw. Lösung wählen Sie die jeweilige Option in den Dropdown-Listen aus und klicken dann auf Speichern. • So senden Sie E-Mail-Benachrichtigungen: 1 Klicken Sie neben dem Feld Benachrichtigungen senden an auf ... 2 Wählen Sie die Benutzer aus, an die eine Benachrichtigung gesendet werden soll. Wenn keine Kontakte aufgelistet sind, müssen Sie für McAfee ePO einen E-Mail-Server festlegen und anschließend E-Mail-Adressen für Benutzer hinzufügen. Zur Konfiguration des E-Mail-Servers rufen Sie Menü | Konfiguration | Server-Einstellungen | E-Mail-Server auf. Benutzer konfigurieren Sie unter Menü | Benutzerverwaltung | Benutzer. 3 • • 4 Klicken Sie auf Speichern. So fügen Sie dem Fall einen Kommentar hinzu: 1 Klicken Sie auf die Registerkarte Kommentare. 2 Geben Sie den Kommentar in das Textfeld ein. 3 Klicken Sie auf Kommentar hinzufügen. So entfernen Sie einen Vorfall aus dem Fall: 1 Klicken Sie auf die Registerkarte Vorfälle, und suchen Sie den entsprechenden Vorfall. 2 Klicken Sie in der Spalte Aktionen auf Löschen. Klicken Sie auf OK. Hinzufügen/Entfernen von Beschriftungen zu/von Fällen Mithilfe von Beschriftungen können Sie Fälle anhand von benutzerdefinierten Attributen unterscheiden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus. 2 Aktivieren Sie das Kontrollkästchen für mindestens einen Fall. Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten Vorfälle zu aktualisieren. 3 Führen Sie eins der folgenden Verfahren durch. • So fügen Sie den ausgewählten Fällen Beschriftungen hinzu: 1 Wählen Sie Aktionen | Beschriftungen verwalten | Anhängen aus. 2 Geben Sie zum Hinzufügen einer neuen Beschriftung einen Namen ein, und klicken Sie auf Hinzufügen. 3 Wählen Sie mindestens eine Beschriftung aus. 4 Klicken Sie auf OK. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 141 10 Überwachen und Melden von Ereignissen Arbeiten mit Fällen • So entfernen Sie Beschriftungen von den ausgewählten Fällen: 1 Wählen Sie Aktionen | Beschriftungen verwalten | Trennen aus. 2 Wählen Sie die zu entfernenden Beschriftungen aus. 3 Klicken Sie auf OK. Löschen von Fällen Sie können Fälle löschen, die nicht mehr benötigt werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus. 2 Aktivieren Sie das Kontrollkästchen für mindestens einen Fall. Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten Fälle zu löschen. 3 142 Wählen Sie Aktionen | Löschen aus, und klicken Sie dann auf Ja. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 11 Erfassen und Verwalten von Daten Die Überwachung des Systems beinhaltet die Erfassung und Überprüfung von Nachweisen und Ereignissen sowie die Erstellung von Berichten. Daten zu Vorfällen und Ereignissen aus den DLP-Tabellen in der McAfee ePO -Datenbank werden auf den Seiten DLP-Ereignisverwaltung und Operative DLP-Ereignisse angezeigt oder in Berichten und Dashboards zusammengefasst. Bei der Überprüfung der erfassten Ereignisse und Nachweise kann der Administrator erkennen, ob Regeln zu restriktiv sind und unnötige Arbeitsverzögerungen verursachen oder – wenn sie zu locker sind – die unerlaubte Preisgabe von Daten ermöglichen. Inhalt Bearbeiten von Server-Tasks Überwachen der Task-Ergebnisse Bearbeiten von Server-Tasks McAfee DLP verwendet die Server-Tasks von McAfee ePO zum Ausführen der Tasks für den DLP-Vorfalls-Manager und für Operative DLP-Ereignisse. Alle Vorfall-Tasks und Tasks für operative Ereignisse sind in der Server-Task-Liste vordefiniert. Die einzigen verfügbaren Optionen sind das Aktivieren bzw. Deaktivieren der Tasks sowie das Ändern der Zeitplanung. Für McAfee DLP 9.4 sind folgende Server-Tasks für Vorfälle und operative Ereignisse verfügbar: • DLP – Migration von Vorfällen von 9.4 zu 9.4.1 • DLP – Migration von Vorfällen • DLP – Migration von operativen Ereignissen • DLP – Verlauf der operativen Ereignisse und Vorfälle bereinigen • DLP – Operative Ereignisse und Vorfälle bereinigen • DLP – E-Mail für operative Ereignisse und Vorfälle senden • DLP – Prüfer für operative Ereignisse und Vorfälle festlegen Das Startmodul für DLP-Vorfalls-Tasks ist ein McAfee DLP 9.3-Task. Es wird nur aktiv, wenn beide Versionen von McAfee DLP installiert sind. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 143 11 Erfassen und Verwalten von Daten Bearbeiten von Server-Tasks Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus. 2 Wählen Sie den zu bearbeitenden Task aus. Sie können die Liste anhand des Felds Schnellsuche filtern. 3 Wählen Sie Aktionen | Bearbeiten aus, und klicken Sie dann auf Plan. 4 Bearbeiten Sie den Plan nach Bedarf, und klicken Sie dann auf Speichern. Aufgaben • Erstellen eines Tasks Ereignisse bereinigen auf Seite 144 Sie können Tasks zum Bereinigen von Vorfällen und Ereignissen erstellen, um nicht mehr benötigte Daten aus der Datenbank zu löschen. • Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung auf Seite 145 Sie können festlegen, dass Administratoren, Vorgesetzte oder Benutzer automatisch per E-Mail über Vorfälle und operative Ereignisse benachrichtigt werden. • Erstellen eines Tasks Prüfer festlegen auf Seite 146 Sie können Prüfer für verschiedene Vorfall-Tasks und Tasks für operative Ereignisse zuweisen, um die Arbeitslast in großen Unternehmen aufzuteilen. Siehe auch Konvertieren von Richtlinien und Migrieren von Daten auf Seite 31 Erstellen eines Tasks Prüfer festlegen auf Seite 146 Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung auf Seite 145 Erstellen eines Tasks Ereignisse bereinigen auf Seite 144 Erstellen eines Tasks Ereignisse bereinigen Sie können Tasks zum Bereinigen von Vorfällen und Ereignissen erstellen, um nicht mehr benötigte Daten aus der Datenbank zu löschen. Bereinigungs-Tasks können für die Liste der Vorfälle, für Vorfälle bei verwendeten Daten in der Liste Verlauf und für die Liste der operativen Ereignisse erstellt werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | Operative DLP-Ereignisse aus. 2 Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse. 3 Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich Task-Typ die Option Ereignisse bereinigen aus, und klicken Sie dann auf Aktionen | Neue Regel. Verwendete/bewegte Daten (Archiv) bereinigt Ereignisse aus dem Verlauf. 4 Geben Sie einen Namen und optional eine Beschreibung ein, und klicken Sie dann auf Weiter. Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der Regel zu verzögern. 5 144 Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die Parameter Vergleich und Wert ein. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Erfassen und Verwalten von Daten Bearbeiten von Server-Tasks 11 Der Task wird täglich für aktuelle Daten und jeden Freitag um 22:00 Uhr für Verlaufsdaten ausgeführt. Siehe auch Bearbeiten von Server-Tasks auf Seite 143 Erstellen eines Tasks für die Automatische E-MailBenachrichtigung Sie können festlegen, dass Administratoren, Vorgesetzte oder Benutzer automatisch per E-Mail über Vorfälle und operative Ereignisse benachrichtigt werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | Operative DLP-Ereignisse aus. 2 Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse. 3 Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich Task-Typ die Option Automatische E-Mail-Benachrichtigung aus, und klicken Sie dann auf Aktionen | Neue Regel. 4 Geben Sie einen Namen und optional eine Beschreibung ein. Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der Regel zu verzögern. 5 6 Wählen Sie die zu verarbeitenden Ereignisse aus. • Alle Vorfälle bzw. Ereignisse (des ausgewählten Vorfall-Typs) verarbeiten. • Alle Vorfälle bzw. Ereignisse seit Ausführung der letzten E-Mail-Benachrichtigung verarbeiten. Wählen Sie Empfänger aus. Dieses Feld ist ein Pflichtfeld. Es muss mindestens ein Empfänger ausgewählt werden. 7 Geben Sie einen Betreff für die E-Mail ein. Dieses Feld ist ein Pflichtfeld. Bei Bedarf können Sie Variablen aus der Dropdown-Liste einfügen. 8 Geben Sie den Nachrichtentext der E-Mail ein. Bei Bedarf können Sie Variablen aus der Dropdown-Liste einfügen. 9 (Optional) Aktivieren Sie das Kontrollkästchen, um Nachweisinformationen als E-Mail-Anhang zu senden. Klicken Sie auf Weiter. 10 Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die Parameter Vergleich und Wert ein. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern. Der Task wird stündlich ausgeführt. Siehe auch Bearbeiten von Server-Tasks auf Seite 143 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 145 11 Erfassen und Verwalten von Daten Überwachen der Task-Ergebnisse Erstellen eines Tasks Prüfer festlegen Sie können Prüfer für verschiedene Vorfall-Tasks und Tasks für operative Ereignisse zuweisen, um die Arbeitslast in großen Unternehmen aufzuteilen. Bevor Sie beginnen Erstellen Sie in McAfee ePO unter Benutzerverwaltung | Berechtigungssätze einen Prüfer mit der Berechtigung Prüfer festlegen für den DLP-Vorfalls-Manager und Operative DLP-Ereignisse, oder bestimmen Sie einen Gruppenprüfer. Der Task Prüfer festlegen weist Vorfällen bzw. Ereignissen entsprechend den Regelkriterien einen Prüfer zu. Der Task wird nur für Vorfälle ausgeführt, denen kein Prüfer zugewiesen ist. Sie können damit keine Vorfälle einem anderen Prüfer zuweisen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | Operative DLP-Ereignisse aus. 2 Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse. 3 Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich Task-Typ die Option Prüfer festlegen aus, und klicken Sie dann auf Aktionen | Neue Regel. 4 Geben Sie einen Namen und optional eine Beschreibung ein. Wählen Sie einen Prüfer oder eine Gruppe aus, und klicken Sie dann auf Weiter. Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der Regel zu verzögern. 5 Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die Parameter Vergleich und Wert ein. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern. Wenn mehrere Regeln für Prüfer festlegen vorhanden sind, können Sie die Reihenfolge der Regeln in der Liste ändern. Der Task wird stündlich ausgeführt. Ein festgelegter Prüfer kann er nicht anhand des Tasks Prüfer festlegen außer Kraft gesetzt werden. Siehe auch Bearbeiten von Server-Tasks auf Seite 143 Überwachen der Task-Ergebnisse Sie können die Ergebnisse von Tasks für Vorfälle und operative Ereignisse überwachen. 146 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Erfassen und Verwalten von Daten Überwachen der Task-Ergebnisse 11 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Task-Protokoll aus. 2 Suchen Sie die abgeschlossenen McAfee DLP-Tasks. Geben Sie hierfür DLP in das Feld Schnellsuche ein, oder setzen Sie einen benutzerdefinierten Filter. 3 Klicken Sie auf den Task-Namen. Nun werden Informationen zum Task angezeigt, einschließlich ggf. aufgetretener Fehler, falls der Task fehlgeschlagen war. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 147 11 Erfassen und Verwalten von Daten Überwachen der Task-Ergebnisse 148 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 12 Erstellen von Berichten McAfee DLP Endpoint verwendet Berichtsfunktionen von McAfee ePO. Es sind verschiedene vorprogrammierte Berichte sowie eine Option zum Erstellen benutzerdefinierter Berichte verfügbar. Einzelheiten hierzu finden Sie im Kapitel zum Abfragen der Datenbank im McAfee ePolicy Orchestrator-Produkthandbuch. Inhalt Berichtstypen Berichtsoptionen Erstellen eines Datenzusammenfassungs-Server-Tasks Berichtstypen Verwenden Sie die McAfee ePO-Berichtsfunktionen zum Überwachen der McAfee DLP Endpoint-Leistung. Es werden zwei Typen von Berichten unterstützt: • DLP-Eigenschaftenberichte • DLP-Ereignisberichte Unter DLP: Statuszusammenfassungs-Dashboards werden sechs Host-DLP-Eigenschaftenberichte angezeigt. Es sind zwölf vordefinierte Ereignisabfragen verfügbar. Alle 28 Abfragen, einschließlich der Zusammenfassungsabfragen, befinden sich in der McAfee ePO-Konsole unter Menü | Berichterstellung | Abfragen und Berichte | Freigegebene Gruppen. McAfee ePO bietet eine Zusammenfassungsfunktion, mit der ein Bericht mit einer Zusammenfassung von Daten aus mehreren McAfee ePO-Datenbanken erstellt wird. Alle McAfee DLP Endpoint-Berichte unterstützen Zusammenfassungsabfragen. Berichtsoptionen Die McAfee DLP-Software verwendet McAfee ePO-Berichte zum Überprüfen von Ereignissen. Darüber hinaus können Sie Informationen zu Produkteigenschaften im McAfee ePO-Dashboard anzeigen. McAfee ePO-Berichte Die Berichterstellung der McAfee DLP Endpoint-Software ist in den McAfee ePO-Berichterstellungsdienst integriert. Informationen zur Verwendung des McAfee ePO-Berichtsdienstes finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch . McAfee ePO-Zusammenfassungsabfragen und zusammengefasste Berichte, die Daten aus mehreren McAfee ePO-Datenbanken zusammenfassen, werden unterstützt. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 149 12 Erstellen von Berichten Berichtsoptionen McAfee ePO-Benachrichtigungen werden unterstützt. Einzelheiten hierzu finden Sie im Kapitel Senden von Benachrichtigungen im McAfee ePolicy Orchestrator-Produkthandbuch. ePO-Dashboards Sie können Informationen zu McAfee DLP-Produkteigenschaften in McAfee ePO auf der Seite Menü | Dashboards anzeigen. Es gibt drei vordefinierte Dashboards: • DLP: Vorfallübersicht • DLP: Vorgangsübersicht • DLP: Richtlinienübersicht Die Dashboards können bearbeitet und angepasst werden, und es können neue Überwachungen erstellt werden. Entsprechende Anleitungen finden Sie in der McAfee ePO-Dokumentation. Die in den Dashboards zusammengefassten vordefinierten Berichte sind unter Menü | Abfragen und Berichte verfügbar. Sie werden unter Freigegebene Gruppen (McAfee ePO 4.6) oder McAfee-Gruppen (McAfee ePO 5.1) aufgeführt. Zusätzlich gibt es den DLP-Zusammenfassungsbericht Ereignisse nach Typ. Vordefinierte Dashboards In der folgenden Tabelle werden die vordefinierten McAfee DLP-Dashboards beschrieben. Tabelle 12-1 Vordefinierte DLP-Dashboards Kategorie Vorfallübersicht Option Beschreibung Anzahl der Vorfälle pro Tag Diese Diagramme zeigen die Gesamtanzahl der Vorfälle und bieten verschiedene Aufschlüsselungen, die bei der Analyse bestimmter Probleme helfen. Anzahl der Vorfälle pro Schweregrad Anzahl der Vorfälle pro Typ Anzahl der Vorfälle pro Regelsatz Vorgangsübersicht Anzahl operativer Ereignisse pro Zeigt alle administrativen Ereignisse an. Tag Agentenstatus Zeigt alle Agenten und deren Status an. Agentenversion Zeigt die Verteilung von Endgeräten im Unternehmen an. Diese Option wird verwendet, um den Fortschritt bei der Agentenbereitstellung zu überwachen. Agentenbetriebsmodus Zeigt die nach DLP-Betriebsmodi aufgeschlüsselten Agenten als Kreisdiagramm an. Die Betriebsmodi sind: • Nur Gerätesteuerung • Gerätesteuerung und vollständiger Inhaltsschutz • Gerätesteuerung und inhaltsbezogener Wechselspeicherschutz • Unbekannt Erkennung (Endgerät) Status der Zeigt ein Kreisdiagramm mit der Anzahl der Scans des lokalen Dateisystems Eigenschaften des Erkennungs-Scans für das lokale Dateisystem sowie deren Status (abgeschlossen, wird ausgeführt, nicht definiert) an. Erkennung (Endgerät) Status des Scans des lokalen E-Mail-Speichers 150 McAfee Data Loss Prevention Endpoint 9.4.100 Zeigt ein Kreisdiagramm mit der Anzahl der Eigenschaften des Erkennungs-Scans für den lokalen E-Mail-Speicher sowie deren Status (abgeschlossen, wird ausgeführt, nicht definiert) an. Produkthandbuch Erstellen von Berichten Erstellen eines Datenzusammenfassungs-Server-Tasks 12 Tabelle 12-1 Vordefinierte DLP-Dashboards (Fortsetzung) Kategorie Option Richtlinienübersicht Richtlinienverteilung Beschreibung Zeigt die nach Version aufgeschlüsselte DLP-Richtlinienverteilung im gesamten Unternehmen an. Diese Option wird verwendet, um den Fortschritt bei der Bereitstellung einer neuen Richtlinie zu überwachen. Erzwungene Regelsätze pro Endgerät-Computer Zeigt ein Balkendiagramm mit dem Namen des Regelsatzes und der Anzahl der erzwungenen Richtlinien an. Umgangene Benutzer Zeigt den Systemnamen/Benutzernamen und die Anzahl der Benutzersitzungseigenschaften an. Nicht definierte Geräteklassen Zeigt die nicht definierten Geräteklassen für Windows-Geräte an. Privilegierte Benutzer Zeigt den Systemnamen/Benutzernamen und die Anzahl der Benutzersitzungseigenschaften an. Verteilung der Richtlinienrevision Ähnelt der Richtlinienverteilung, zeigt jedoch Revisionen an, d. h. Aktualisierungen bestehender Versionen. Erstellen eines Datenzusammenfassungs-Server-Tasks McAfee ePO-Datenzusammenfassungs-Tasks rufen Daten von mehreren Servern ab und generieren hierfür einen Bericht. Sie können Datenzusammenfassungsberichte für operative Ereignisse und Vorfälle von McAfee DLP erstellen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken. 1 Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus. 2 Klicken Sie auf Neuer Task. 3 Geben Sie im Generator für Server-Tasks einen Namen und optional eine Anmerkung ein, und klicken Sie dann auf Weiter. 4 Wählen Sie in der Dropdown-Liste Aktionen die Option Daten zusammenfassen aus. Daraufhin wird das Formular für die Datenzusammenfassung angezeigt. 5 (Optional) Wählen Sie im Feld Daten zusammenfassen von Server aus. 6 Wählen Sie in der Dropdown-Liste Datentyp nach Bedarf DLP-Vorfälle oder Operative DLP-Ereignisse aus. 7 (Optional) Konfigurieren Sie die Optionen Bereinigen, Filter oder Zusammenfassungsmethode. Klicken Sie auf Weiter. 8 Geben Sie den Planungstyp, das Startdatum, das Enddatum und die Planzeit ein. Klicken Sie auf Weiter. 9 Überprüfen Sie die Informationen in der Übersicht, und klicken Sie dann auf Speichern. McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 151 12 Erstellen von Berichten Erstellen eines Datenzusammenfassungs-Server-Tasks 152 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch Index A Abfrage/Antwort 118 Abfrage/Antwort-Schlüssel, Länge 41 Agentenkonfiguration Mac OS-Unterstützung 52 all_evidences.csv (Datei) 43 Anwendungsdefinitionen Strategie 79 Anwendungsvorlagen Informationen 83 B Benachrichtigungen, ePolicy Orchestrator 149 Benutzerbenachrichtigung anpassen 102 Benutzersitzungen 65 Berechtigungssätze 47 Berechtigungssätze definieren 48 Berechtigungssätze, Filterung der Systemstruktur 46 Bewegte Daten 9 Boldon James 93 C Chrome, unterstützte Versionen 52, 114 Citrix XenApp-Geräteregeln 65 Client-Konfiguration 51 Systemstruktur 41 Zuweisen mit ePolicy Orchestrator 36 D Dashboards, Berichtsoptionen 150 Data Loss Prevention-Software, Beschreibung 23 Dateierweiterungen Definitionen 83 Dateizugriff Regeln, Informationen 65 Daten Bewegte Daten 98 Klassifizieren 81 Datenzusammenfassung 151 Definitionen 124 Dateierweiterung 83 Dokumenteigenschaften 83 McAfee Data Loss Prevention Endpoint 9.4.100 Definitionen 124 (Fortsetzung) Netzwerk 95 Registrierte Dokumente 88 Textmuster 82 Web-Ziel 98 Wörterbücher 81 devices properties 63 DLP Discover 115 DLP Endpoint Bereitstellen 33 Bereitstellung überprüfen 35 Einchecken in ePolicy Orchestrator 30 Reaktivierungsaufruf 36 DLP-Daten klassifizieren 82 DLP-Ereignisverwaltung 130 Reaktion auf Ereignisse 129 DLP-Regeln Gerät 12 Kennzeichnung 12 Klassifizierung 10 DLP-Richtlinie 125 DLP-Richtlinienkonsole installieren 29 DLP-Richtlinienregeln Schutz 12 Dokumentation Produktspezifisch, suchen 8 Typografische Konventionen und Symbole 7 Zielgruppe dieses Handbuchs 7 Dokumenteigenschaften, Definitionen 83 E E-Mail 96 E-Mail-Klassifizierung 93 E-Mail-Ziele Erstellen 96 Endpoint-Konsole 17 ePO-Benachrichtigungen 149 ePO-Berichte 149 Ereignisse Überwachung 129 Ereignisverwaltung 130 Erkennung Beschreibung 115 Einrichtung 118 Produkthandbuch 153 Index Erkennung (Fortsetzung) Erstellen einer Dateisystem-Erkennungsregel 117 Erkennungsregeln 12 Erweiterte Muster Erstellen 91 F Fälle Aktualisieren 140 Audit-Protokolle 139 Benachrichtigungen senden 140 Beschriftungen 141 Erstellen 139 Informationen 138 Kommentare hinzufügen 140 Löschen 142 Vorfälle zuweisen 139 Filter Netzwerkdefinitionen 95 Klassifizierung 75 E-Mail 93 Kriterien 77, 85 Manuell 76 Klassifizierung, manuell 87 Klassifizierungen 84 Beschreibung 75 Klassifizierungsregeln 10 Komponenten, Data Loss Prevention (Diagramm) 25 Konventionen und Symbole in diesem Handbuch 7 Konvertierung 31 L Lizenzschlüssel 41 M Manuelle Klassifizierung 87 McAfee ServicePortal, Zugriff 8 Migration 31 G N Geräte Listen, Plug-and-Play-Definitionen hinzufügen 61 Nachweis Ereignisse auf Endgeräten 129 Speicher für verschlüsselten Inhalt 43 Nachweisordner 45 Nachweisordner konfigurieren 45 Nachweisspeicherung 52 Geräte-GUID 58 Geräte-Regeln Info 65 Gerätedefinitionen 59 Wechselspeicher 62 Geräteklassen 57 Geräteregeln Definition 12 Netzwerkdefinitionen Adressbereich 95 Beschreibung 95 Port-Bereich 95 Google Chrome, unterstützte Versionen 52, 114 GUID, Siehe Geräte-GUID O H Handbuch, Informationen 7 Hardware-Anforderungen 26 Hervorheben von Übereinstimmungen, Ereignisse 43 I Inhaltsüberwachung 52 J JAWS-Unterstützung 17 K Kennzeichnung 75 Informationen 77 Kriterien 77 Kennzeichnungskriterien 85 Kennzeichnungsregeln Definition 12 154 McAfee Data Loss Prevention Endpoint 9.4.100 Operative Ereignisse 130 OS X-Unterstützung 17 OST-Dateien 96 P Platzhalter 102 Plug-and-Play-Geräte Whitelist-Definition erstellen 61 PST-Dateien 96 Q Quarantäne Freigeben aus 43 Wiederherstellen von Dateien oder E-Mail-Elementen 118 R Reaktionen 105 Reaktivierungsaufruf 36 Rechteverwaltung 42, 120 Produkthandbuch Index Regeln Citrix XenApp 65 Kennzeichnung 12 Reaktionen 105 Regelsätze Beschreibung 99 Erstellen 100 Regelsätze zu Richtlinien hinzufügen 125 Registrierte Dokumente 88 Richtlinien 14, 41 Aktualisieren 36 Definition 12 Zuweisen mit 36 Richtlinienkatalog 51 Richtliniensicherung 41 Richtlinienzuweisung 125 Rollen und Berechtigungen 45 Rollenbasierte Zugriffskontrolle 48 Rollup-Berichte 149 Ruhende Daten 9, 115 S Schutzregeln Definition 12 Server-Einstellungen 41 Server-Tasks 31, 143 Server-Tasks, Zusammenfassung 151 Server, Software-Anforderungen 26 ServicePortal, Quellen für Produktinformationen 8 Sicherer Modus, Betrieb 52 Speicherort, Klassifizierung anhand 94 Strategie, Siehe Anwendungsdefinitionen Systemanforderungen 26 T Tasks für operative Ereignisse 143 Technischer Support, Produktdokumentation finden 8 Text in der Whitelist 89 Textextrahierung 78 Textmuster Beschreibung 82 Titus, Integration 92 TrueCrypt-Geräteregeln 65 Überwachung 130 Unkenntlichmachung 46 Unternehmensbezogene Begründung anpassen 102 Unterstützte Betriebssysteme 26 Upgrade von Device Control auf DLPE-Vollversion, Siehe Lizenzschlüssel URL-Listen Erstellen 98 V Validierungsalgorithmen 82 Verwendete Daten 9 Vorfall-Tasks 130, 143 Vorfälle Aktualisieren 136 Ansichten 133 Beschriftungen 137 Details 132, 135 Filtern 132, 134 Löschen 138 Sortieren 132 Typen 132 Vorfalls-Manager 130 VPN-Verbindung 52 W Web-Veröffentlichungsschutz, Regeln 114 Web-Ziele Beschreibung 98 Whitelists 12 Plug-and-Play-Definitionen erstellen 61 Wiederherstellen einer Richtlinie 41 Wörterbücher Beschreibung 81 Einträge importieren 90 Erstellen 90 Z Zeitlimit-Strategie, Web-Veröffentlichungen 114 Zuweisungsgruppen Definition 12 U Überprüfen der Installation 35 McAfee Data Loss Prevention Endpoint 9.4.100 Produkthandbuch 155 0A15