IronKey Enterprise Server und Managed Service – wesentliche Merkmale

Auf dieser Seite informieren wir Sie über die wesentlichen Merkmale der IronKey Verwaltungslösungen „Enterprise Server“ (IKES) und „Enterprise Managed Service“ (IKEMS).

Gemeinsame Merkmale aller IronKey Enterprise Varianten

Die IronKey Verwaltungslösungen „IronKey Enterprise Server“ und „IronKey Enterprise Managed Service“ unterscheiden sich nur in wenigen Punkten voneinander. Die folgenden Funktionen sind in beiden Versionen verfügbar:

Administratives Rollenkonzept
Neben einem System-Administrator können bei Bedarf weitere Administratoren mit individuellen Rechten definiert werden. Dem System Admin stehen in der Voreinstellung alle Funktionen zur Verfügung, während der Admin nur zur Administration der einfachen Nutzer und Geräte vorgesehen ist. Zudem erhält er Lesezugriff auf die Admin-Console. In der Variante Enterprise Managed Service ist der Admin auch für Nutzergruppen zuständig.

Der normale Benutzer wird als Standard User angelegt und hat die Möglichkeit, sein Passwort zu sichern und seinen USB-Stick zu verwalten. Ergänzt man die Berechtigungen des Admin um das Bearbeiten und Erstellen neuer Nutzungsrichtlinien, wird dieser zum sogenannten Custom Admin.

Neben den bereits vorgestellten Adminrollen gibt es noch den Help Desk Admin, der für die Unterstützung der bereits angelegten Nutzer zuständig ist. Er hat – wie der „normale“ Admin – Zugriff auf die Admin Console. Der Auditor erhält einen Lesezugriff auf die Admin-Console. Administrative Aufgaben kann er nicht durchführen.



Zugänge und Rechte gebunden an „Administrations-IronKeys“
Der Zugang zu den hier vorgestellten Verwaltungslösungen ist an IronKeys mit Administrationsprivilegien gebunden. Anders als bei vergleichbaren Diensten ist zum Login kein separates Passwort nötig – als Login dient die „my.ironkey.com“-Verknüpfung im Control Panel des aufgeschlossenen IronKeys, der in der Verwaltungslösung bereits als „Admin-Stick“ hinterlegt sein muss. Kann sich der Nutzer durch die Eingabe des richtigen Passwortes beim Login zum „Admin-Stick“ erfolgreich authentifizieren, erhält dieser auch automatisch Administrationsrechte und alle ihm zugewiesenen Rechte im Webinterface des Enterprise Dienstes.

Der IronKey des Administrators ist um den Menüpunkt „Admin Tools“ im Control Panel erweitert. Mit Hilfe der „Admin Tools“ seines IronKeys kann der Administrator auf drei verschiedene Funktionen zurückgreifen:

  • Admin Approval of new IronKey Administrators
    neue Administratoren müssen im Vorfeld von allen bestehenden Administratoren bestätigt werden, bevor sie in ihrer „neuen“ Rolle eingesetzt werden können

  • Secure Device Recovery
    bietet die Möglichkeit, einen zweiten am PC angeschlossenen IronKey wieder zu entsperren und das Passwort eines IronKeys zurückzusetzen – dabei ist es nicht erforderlich, das vorherige Passwort einzugeben

  • Device Recommissioning
    setzt einen zweiten am PC angeschlossenen IronKey zum Auslieferungszustand zurück, damit er einem neuen Benutzer zugeordnet werden kann

Diese Funktionen stehen nur für IronKeys zur Verfügung, die unter der Verwaltung des jeweiligen Unternehmens stehen. „Fremde“ IronKeys können also nicht bearbeitet werden.




Nutzungsrichtlinien
Über den Menüpunkt „Manage Policies“ lassen sich beliebig viele Nutzungsrichtlinien für die verwalteten IronKeys definieren, erweitern und überarbeiten.
Beispielsweise können Passwortrichtlinien definiert und somit die Vergabe von stärkeren Passwörtern erzwungen werden. Dabei können die Mindestlänge, die Verwendung von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen vorgegeben werden – auch Leerzeichen im Passwort können zugelassen werden.
Die maximale Anzahl der fehlerhaften Passworteingaben kann ebenfalls konfiguriert werden.





Passwortsicherung und -wiederherstellung
Sofern durch den System-Admin die Sicherung von Passwörtern zugelassen wurde, können Nutzer ihr Passwort im Enterprise Dienst sichern. Diese vorherige Sicherung des IronKey-Passwortes ist für eine spätere Wiederherstellung des Passworts aus der Ferne zwingend erforderlich und kann daher über entsprechende Richtlinien erzwungen werden. Die Synchronisation eines neuen Passwortes mit dem Enterprise Dienst erfolgt dann vollautomatisch.

Sollte ein Nutzer sein IronKey Passwort vergessen haben, kann er sich an einen Administratoren wenden, welcher im Webinterface der Verwaltungslösung jederzeit das gesicherte Passwort abrufen und dem Benutzer zukommen lassen kann.

Sollte ein Benutzer sein Passwort vergessen haben, welches im Vorfeld noch nicht am Enterprise Dienst gesichert wurde, kann der Zugang zum Stick durch einen der Administratoren wiederhergestellt werden.

Hierzu benötigt der Administrator allerdings sowohl den Stick des Benutzers als auch seinen eigenen, „Administrations-IronKey“. Ein Zurücksetzen aus der Ferne ist in diesem Fall nicht möglich. Der IronKey Enterprise Managed Service bietet dem Anwender außerdem erweiterte Möglichkeiten, ein vergessenes Passwort
auch ohne Hilfe eines Administrators wiederzuerlangen.




Automatische Synchronisation neuer Nutzungsrichtlinien
In die Verwaltungslösung eingebundene Sticks können so konfiguriert werden, dass zu Beginn einer jeden Verwendung (beim Öffnen der sicheren Partition) die für den jeweiligen IronKey festgelegten Nutzungsbestimmungen abgefragt und heruntergeladen werden, um eine zeitnahe Aktualisierung bei geänderten bzw. neuen Nutzungsrichtlinien zu gewährleisten.

Black- und Whitelisting (Definition eines vertrauenswürdigen Bereiches)
Beide Version bieten im Rahmen der „SilverBullet“ Funktion die Möglichkeit, einen IP-Adress-Bereich zu definieren, der als vertrauenswürdig eingestuft wird (Whitelist). Der IronKey funktioniert dann nur noch an Rechnern, deren IP-Adresse zu dem vertrauenswürdigen Bereich gehört.
Alle nicht aufgeführten IP-Adress-Bereiche werden vom Enterprise Dienst (sobald ein erster vertrauenswürdiger Bereich definiert wurde) automatisch als nicht vertrauenswürdig eingestuft (Blacklist).
Die Überprüfung der White- bzw. Blacklist setzt eine Online-Verbindung mit dem IronKey Enterprise Dienst voraus. Je nach getroffener Einstellung in den Nutzungsrichtlinien kann der IronKey dann also ggf. nicht mehr „offline“ genutzt werden.

Verwendungssperre ohne bestehende Verbindung zum Enterprise Dienst
Über die Funktion „SilverBullet“ kann der Administrator festlegen, ob eine Verbindung zum Enterprise Dienst und die Abfrage des „SilverBullet“-Gerätestatus zur Nutzung des IronKeys erforderlich sind. Wird diese Funktion entsprechend eingerichtet, bietet sie außerdem die Möglichkeit, die Verwendung des IronKeys an „Offline“-Systemen zu unterbinden – oder aber nur eine bestimmte Anzahl von “Offline”-Nutzungen zuzulassen. Ist die zulässige Anzahl an Verwendungen überschritten bevor der IronKey wieder Kontakt zum Enterprise Dienst herstellen konnte, wird der IronKey vorübergehend gesperrt und kann nur mit Hilfe eines Administrators wieder entsperrt werden.
Nimmt ein IronKey (nachdem er in einem „Offline“-System eingesetzt wurde) wieder Verbindung zum Enterprise Dienst auf, wird der “Offline-Zähler” zurückgesetzt.

Verwaltung verloren gegangener IronKeys (SilverBullet)
Über die „SilverBullet“ Funktion kann der Administrator verwaltete IronKeys aus der Ferne sperren, abschalten oder permanent zerstören. Sobald der betroffene IronKey den Kontakt zum IronKey Enterprise Dienst herstellt, wird die gewünschte Aktion ausgeführt und die weitere Benutzung dadurch unterbunden. Wurde einem IronKey über die SilverBullet Funktion der Wert „disabled“ zugewiesen, kann er nach erfolgter Abschaltung nur durch Administrator wiederhergestellt werden.

Wird einem verlorenen IronKey vom Administrator der Status „destruct“ bzw. „detonate“ zugewiesen, wird sich der IronKey bei der nächsten Kontaktaufnahme zum Enterprise Dienst selbst zerstören: der gesamte Flash-Speicher wird gelöscht und der integrierte Crypto-Chip permanent unbrauchbar gemacht, wodurch auch eine Neueinrichtung des Sticks nicht mehr möglich ist.
Die Kontaktaufnahme zum Enterprise Dienst erfolgt zwischen Passworteingabe und dem Zugriff auf das Control Panel bzw. die sicheren Partition. Es wird also auch einem Nutzer mit den richtigen Zugangsdaten der Zugriff zum IronKey verwehrt.

Es besteht die Möglichkeit, auf allen verwalteten IronKeys einen Text zu hinterlegen, der beim Start des Login-Programms angezeigt wird. Dieser Text kann beispielsweise genutzt werden, um dem Finder eines verlorenen IronKeys mitzuteilen, wie er sich zu verhalten hat.

Veröffentlichung und Verwaltung der integrierten Anwendungen
Die auf einem IronKey Enterprise Variante mitgelieferte Software kann zentral verwaltet werden. Somit besteht die Möglichkeit, Software zu aktivieren oder zu deaktivieren. Folgende Anwendungen
stehen zur Verfügung:

  • Mozilla Firefox“ (portabler Webbrowser)

    • IronKey Secure Sessions
      sicheres, anonymes Browsen durch Umleitung der Firefox-Verbindungen über IronKey-Webserver

  • IronKey Malware Scanner“ (kostenpflichtig)
    automatische Selbstüberprüfung des IronKeys auf unerwünschte Programme bzw. Dateien (z.B. Viren)

  • IronKey Secure Backup
    verschlüsselte lokale Backups der auf dem IronKey gespeicherten Daten

  • IronKey Identity Manager“ (portabler Passwortmanager)
    verschlüsselte Sicherung von Zugangsdaten in einem gesonderten Speicherbereich des IronKeys

  • RSA SecureID for One-Time Passwords“ (Einmal-Passwort-Generator)
  • CRYPTOCard One-Time Passwords“ (Einmal-Passwort-Generator)




Backuplösungen
Das IronKey Passwort sowie die Daten des Passwortmanagers können verschlüsselt gesichert werden, um diese bei Verlust jederzeit unkompliziert wiederherstellen zu können. Ein Backup des Inhaltes der sicheren Partition eines IronKeys ist über die Enterprise Verwaltung nicht vorgesehen, allerdings kann den Nutzern über eine entsprechende Nutzungsrichtlinie die Verwendung des „IronKey Secure Backup“ gestattet werden. Dadurch wird die Möglichkeit geboten, verschlüsselte Backups der Daten lokal zu sichern (zum Beispiel auf dem Arbeitsplatzrechner) und von bereits erstellten Backups wiederherzustellen.

Zentrales Einspielen von IronKey Software-Updates
Die Administratoren können ein neues Software- oder Firmware-Update zentral über den Enterprise Dienst bequem an alle verknüpften IronKeys verteilen. Dabei kann festgelegt werden, wer welche Updates erhält. So lassen sich beispielsweise die IronKeys der Administration stets aktuell auf die neueste Version aktualisieren, während die Sticks der „Standard User“ auf eine bestimmte Version begrenzt werden.

Ergänzend zum zentralen Einspielen der Updates lässt sich ein neues Software-Update vor dem flächendeckenden Einspielen vorher testen. Hierzu kann man die neueste (zu testende) Version bequem einer ausgewählten Nutzungsrichtlinie zuordnen. Der Enterprise Dienst verbreitet diese ausschließlich an die Ironkeys, die dieser Richtlinie zugeordnet sind.

Protokollierung und Berichte
In beiden Varianten stehen der Administration umfangreiche Protokolle sowie Berichtsfunktionen zur Verfügung. So lassen sich mit den integrierten Funktionalitäten ausführliche systemweite und/oder gerätebezogene Protokolle einsehen und auf einen bestimmten Zeitraum eingrenzen. Vorab generierte Diagramme können zur Visualisierung und Auswertung genutzt werden. Wichtige Ereignisse werden anhand der IP-Adresse auf der Oberfläche der integrierten Weltkarte angezeigt.




IronKey Enterprise Server

Der IronKey Enterprise Server deckt alle bisher aufgeführten Funktionalitäten ab und bildet die lokale Variante der IronKey Verwaltungslösungen. Im Gegensatz zu dem Enterprise Managed Service wird der Enterprise Server direkt beim Endkunden vor Ort installiert, eingerichtet und von diesem betrieben.

Voraussetzung für die betriebsinterne Einrichtung des Enterprise Servers ist ein Server mit ausreichender Rechenleistung (Mindestanforderungen: Core2Duo mit einer Taktfrequenz von 2 GHz, 2 GB Arbeitsspeicher, sowie 5 GB Festplattenspeicher) und Microsoft Windows Betriebssystem, sowie der Zugang zu einem Microsoft SQL Server. Der IronKey Enterprise Server wird in einer eigenen virtuellen Maschine (VM) ausgeliefert. Ein VM-Ware Player ist im Lieferumfang enthalten.
Darüber hinaus muss neben einem FQDN (fully qualified domain name) für den Enterprise Server ein SSL-Zertifikat einer öffentlichen CA und der Zugang zu einem SMTP sowie einem NTP Server bestehen.

IronKey Enterprise Managed Service

Der IronKey Enterprise Managed Service wird vom Hersteller IronKey selbst zur Verfügung gestellt und in dessen Rechenzentrum in den USA gehostet, wodurch an die Netzwerkstruktur des Endkunden keinerlei spezielle Anforderungen gestellt werden.
Über den gemeinsamen Funktionsumfang hinaus bietet der Managed Service außerdem folgende Funktionen:

Gruppenverwaltung
Über die integrierte Gruppenverwaltung können Benutzergruppen angelegt werden. Bei Bedarf können neue Gruppen erstellt und diesen eine beliebige Anzahl bereits registrierter Benutzer zugewiesen werden.

Auf diesem Weg lassen sich bequem betriebliche Organisationsstrukturen abbilden. Für verschiedene Nutzergruppen (z.B. Abteilungen) können gemeinsame Aktionen durchgeführt und spezielle Rechte eingeräumt werden.




Passwortwiederherstellung ohne administrative Unterstützung
Neben der eingangs bereits beschriebenen Möglichkeit, ein Passwort mit Hilfe eines Administrators wiederherzustellen, ist es dem Nutzer möglich, ein vergessenes Passwort, welches via Passwort-Backup zuvor bereits im Enterprise Dienst hinterlegt wurde, abzurufen, um den Zugriff zum IronKey wiederherzustellen.

Voraussetzung hierfür ist der Zugang zu dem IronKey Enterprise Managed Servcie, welcher dem Nutzer im Vorfeld durch einen Administrator eingerichtet werden muss. Ist der Zugang konfiguriert, so kann der Benutzer des (noch verschlossenen) IronKeys sich mit seinem Nutzernamen, dem Passwort zum Online-Account, sowie einem nach dem Login per E-Mail zugesandten Code über https://my.ironkey.com/ in den Managed Service einloggen und mit den richtigen Antworten auf vorher festgelegte geheime Fragen seine Identität als Besitzer des Sticks bestätigen, um dort anschließend sein IronKey-Passwort abfragen zu können.

Sollten Sie Fragen zum IronKey Enterprise Server, oder den IronKey Enterprise Managed Services haben, oder weitere Informationen benötigen, Kontaktieren Sie uns bitte.