Eine zentrale Verwaltungslösung für sichere USB-Sticks soll den administrativen Verwaltungsaufwand, den eine Betreuung einer größeren Benutzergruppe mit sich bringt, minimieren. Auf dieser Seite informieren wir Sie über die wesentlichen Merkmale der SafeConsole, der zentralen Verwaltungslösung des SafeSticks vom schwedischen Hersteller Blockmaster.

Gemeinsame Merkmale aller SafeConsole Varianten

Active-Directory Unterstützung
Bei der Einrichtung der Blockmaster SafeConsole kann zwischen der Anbindung zu einem bereits vorhandenen Active-Directory, oder der weiteren Konfiguration ohne Active-Directory Anbindung gewählt werden. Wird die SafeConsole ohne eine Verbindung zum Active-Directory (AD) konfiguriert, so müssen die administrativen Logins manuell eingerichtet werden und Anwenderdaten bei Registrierung eines SafeSticks mit der SafeConsole ggf. von Hand nachgetragen werden. Wird beim ersten Setup der SafeConsole bereits die Anbindung zum AD gewählt, so können die administrativen Rollen mit organisatorischen Gruppen aus dem Active-Directory verknüpft werden. Als Login dienen die darin hinterlegten User-Accounts.

Eine Zuordnung des Besitzers zum mit der SafeConsole verbundenen SafeStick erfolgt bei angebundenem AD vollautomatisch (unter Nutzung den im AD hinterlegten Benutzerdaten). Die Verwaltung einzelner Funktionen und Einstellungen aus der SafeConsole wird zudem auch über die bereits vorhandenen organisatorischen Benutzergruppen des Active-Directorys abgebildet: Registriert ein Benutzer seinen Stick über den eigenen Arbeitsplatz, so werden ihm automatisch die Rechte zugewiesen, die für seine Benutzergruppe des Active-Directorys festgelegt wurden.

Rollenkonzept
Die SafeConsole bietet von Hause aus in allen verfügbaren Versionen ein administratives Rollenkonzept, welches die folgenden vordefinierten Rollen beinhaltet:

Der Administrator hat alle verfügbaren Rechte und Ansichten innerhalb der SafeConsole und ist berechtigt weitere Lizenzen einzuspielen, während dem Manager die Einsicht in die Log Files, sowie die Administration der in der SafeConsole hinterlegten Zertifikate nicht möglich ist. Die Rechte zur Konfiguration der einzelnen Funktionen der SafeConsole bleiben hier allerdings unberührt.

Der Support dient ganz klassisch der direkten Unterstützung des Endbenutzers, sei es bei Passwortwiederherstellungen oder dem Einspielen eines in der SafeConsole hinterlegten Backups. Die Möglichkeiten der Support-Gruppe sind auf das nötigste beschränkt und gehen über das Sperren bzw. Zurücksetzen eines SafeSticks nicht hinaus.

Eingrenzung auf einen „vertrauenswürdigen Bereich“
Der Zugriff auf das administrative Webinterface der SafeConsole lässt sich auf einen vertrauenswürdigen IP-Adressen Bereich einschränken, so dass Verbindungen hierauf beispielsweise nur aus dem hausinternen Netzwerk gestattet werden. Dieser „vertrauenswürdige Bereich“ kann außerdem zur Einschränkung bestimmter Funktionen der SafeConsole genutzt werden, so dass der Zugriff auf entsprechend konfigurierte Dienste nur bei Verbindungen aus einem vorher festgelegten IP-Bereich zur Verfügung steht. Zusätzlich zum eingeschränkten Zugriffsrecht auf das SafeConsole Webinterface ist außerdem die Möglichkeit gegeben, SafeSticks von außerhalb mit der SafeConsole kommunizieren zu lassen, ohne von dort zugleich den direkten Zugriff auf das Webinterface zu ermöglichen.

Logging- & Reporting
Alle Versionen der SafeConsole bieten Logging- und Reportingfunktionen. Beispielsweise werden Login und Logout von registrierten SafeSticks inkl. des Nutzungszeitraumes sowie des Computernames oder der IP-Adresse in einer systeminternen Logdatei protokolliert und dem Administrator zur Auswertung und weiteren Verarbeitung über das Webinterface zur Verfügung gestellt. In den Varianten Enforce, sowie Enforce & Enable stehen erweiterte Reportingfunktionen zur Verfügung.

Merhsprachigkeit
Die Blockmaster SafeConsole unterstützt neben Deutsch die Sprachen Englisch, Französisch und Spanisch.

SafeConsole Intro

Zusätzlich zu den beschriebenen Funktionen bietet die SafeConsole in der Einsteigervariante „Intro“ folgende Funktionalität:

Passwortrichtlinien
Die SafeConsole ermöglicht das Festlegen von bestimmten Richtlinien, die bei der Passwortvergabe beachtet werden müssen. So lassen sich die minimale Länge eines Passwortes und seine Zusammensetzung (z.B. Klein-, bzw. Großbuchstaben, Zahlen, oder Sonderzeichen), bereits zentral vorkonfigurieren. Wie bei allen anderen Funktionen in der SafeConsole auch, können für ausgewählte Nutzergruppen auch abweichende Einstellungen hinterlegt und somit die Vergabe von stärkeren Passwörtern erzwungen werden. Darüber hinaus kann den Passwörtern ein Gültigkeitszeitraum vorgegeben werden, an dessen Ende der Nutzer sein Passwort neu vergeben muss.

Werden die Passwortrichtlinien im laufenden Betrieb geändert und entsprechen bereits bestehende Passwörter dadurch nicht mehr den Richtlinien, werden die betroffenen Nutzer bei der nächsten Synchronisation mit der SafeConsole auf diese Änderungen hingewiesen und müssen ein neues Passwort vergeben.

SafeConsole Enforce

Die SafeConsole „Enforce“ baut auf den Funktionen der SafeConsole „Intro“ auf und ergänzt diese um folgende Punkte:

Passwortwiederherstellung
Für den Fall, dass ein Nutzer sein Passwort vergessen hat, ist in der SafeConsole ein hoch sicheres Passwortwiederherstellungsverfahren integriert, mit dessen Hilfe es dem Anwender (mit Unterstützung einer der drei administrativen Rollen) ermöglicht wird, ein neues Passwort zu vergeben.

Dem Nutzer wird nach entsprechender Konfiguration im Menü seines SafeSticks die Möglichkeit gegegen, die Vergabe eines neuen Passwortes zu beantragen. Er muss sich dann mit einem vom Stick generierten 8-stelligen Einmalpasswort beim Support-Team bzw. der Administration (entweder per automatisch generierter E-Mail, oder via Telefon) melden, welche dann im Webinterface der SafeConsole den Wiederherstellungsvorgang einleiten kann.

Wurde der Wiederherstellungscode richtig übertragen und die Identität des Besitzers vom Bearbeiter der Anfrage bestätigt, wird ein PUK (Personal Unblocking Key) zur Passwortwiederherstellung generiert, der mit einem einzigen Klick über das Interface der SafeConsole per E-Mail an die mit dem SafeStick verknüpfte Adresse versendet werden kann.

Verwaltung verlorener SafeSticks
Mit der SafeConsole verknüpfte Blockmaster SafeSticks lassen sich jederzeit manuell als verloren oder gestohlen melden, so dass einem möglichen Finder bei Benutzung des SafeSticks beispielsweise ein Hinweistext mit Kontaktinformationen eingeblendet wird. Darüber hinaus lässt sich der SafeStick aus der Ferne deaktivieren, wodurch die Nutzung des Sticks bis zur manuellen Entsperrung unterbunden wird.

Zusätzlich bietet die SafeConsole bei Bedarf die Möglichkeit, verknüpfte SafeSticks aus der Ferne zum Auslieferungszustand zurück zu setzen, sobald diese sich erneut mit der Console verbinden.

Die Verwaltung verlorener SafeSticks lässt sich außerdem in einem bestimmten Umfang automatisieren, so dass SafeSticks, die sich seit einer definierten Zeitspanne nicht mit der SafeConsole verbunden haben, automatisch als verloren markiert werden und somit bis auf weiteres für die Verwendung gesperrt werden. Dieser Zustand lässt sich aber auch ohne Eingriff des Administrators wieder ändern: Sobald sich der Nutzer mit seinem SafeStick im „Heimatsystem“ (das der SafeConsole bereits aus einer vorhergehenden Anmeldung innerhalb des vertrauenswürdigen Bereiches bekannt ist) anmeldet, stellt die SafeConsole den Status des betroffenen Sticks automatisch wieder her.

Automatische Sperre bei Inaktivität
Die bereits im SafeStick integrierte automatische Sperre bei Inaktivität lässt sich mit der „Timer Lock“ Funktion der SafeConsole für alle verknüpften SafeSticks zentral steuern. Nach Ablauf der voreingestellten Zeit verschließt sich der SafeStick automatisch, wodurch ein Zugriff auf die gespeicherten Daten erst wieder möglich ist, wenn der Nutzer das korrekte Passwort eingibt.

Blockieren von bestimmten Dateitypen und -gruppen
Mit dem „FileBlocker“ bietet die SafeConsole erweiterte Kontrolle über Dateitypen und -gruppen, die auf eingesetzten SafeSticks genutzt werden dürfen. Voreingestellte geblockte Inhalte verweigert der Stick bei entsprechender Konfiguration und lässt ein Kopieren in den sicheren Bereich nicht zu. Als geblockte Inhalte lassen sich beliebige Dateiendungen und einem bestimmten Programm zugehörige Dateien konfigurieren, wobei die „Programmzuordnung“ der lokalen Windowskonfiguration entnommen wird. Entdeckt der SafeStick nach erneuter Synchronisation mit der SafeConsole gesperrte Daten, die im Vorfeld noch gestattet waren, werden diese umgehend von der sicheren Partition entfernt.

Reporting bei Verwendung ausgewählter Dateitypen und -gruppen

Über den „FileLogger“ bietet die SafeConsole ab der Version „Enforce“ außerdem die Möglichkeit, das systeminterne Log um Einträge zu Aktivitäten bezüglich bestimmter Dateien zu erweitern (auch hier ist die Möglichkeit einer Zuordnung über Dateiendungen oder Programmzuordnungen gegeben), um den Nutzungsverlauf genau nachvollziehen zu können. Wird diese Funktion aktiviert, jedoch kein Dateityp spezifiziert, werden sämtliche Aktivitäten bzw. Dateitransfers des betroffenen SafeSticks protokolliert.

Port Control / Endpoint Security
Ab der Variante „Enforce“ stellt Blockmaster unabhängig zur SafeConsole zusätzlich die hauseigene Port-Control Software „LockOut“ zur Verfügung. Als Endpoint Security Lösung von Blockmaster stellt LockOut auf entsprechend eingerichteten System sicher, dass lediglich Blockmaster SafeSticks als USB-Massenspeicher vom System erkannt bzw. nutzbar gemacht werden. Andere USB-Geräte lassen sich zwar beispielsweise noch über den USB-Port mit Strom versorgen, die weitere Verwendung und Verwaltung bleibt ihnen bzw. dem Nutzer allerdings verwehrt.

SafeConsole Enforce & Enable

Als umfangreichste Version der Blockmaster SafeConsole bietet die SafeConsole „Enforce & Enable“ alle Funktionen der Varianten „Intro“ und „Enforce“ und verfügt darüber hinaus über folgenden Leistungsumfang:

Sichere Speicherung individueller Merkmale
Mit dem in der Variante Enforce & Enable integrierten Dienst „User Information“ lassen sich beliebige personenbezogene Daten des Anwenders erfassen und in einem separaten gesicherten Bereich des SafeSticks hinterlegen. Diese Daten können dann über einen eindeutigen Bezeichner abgerufen werden, um den Anfragenden einwandfrei zu identifizieren – zum Beispiel im Rahmen einer Passwortwiederherstellungsanfrage.

Veröffentlichung von Dateien und Programmen
Bestandteil der SafeConsole in der Variante Enforce & Enable ist außerdem der sogenannte „Publisher“, über den sich beliebige Dateien, Ordner, oder portable Programme auf die mit der SafeConsole verbundenen SafeSticks übertragen lassen.

Nach erfolgreichem Login erscheint auf dem PC des Nutzers eine Meldung mit im Vorfeld konfigurierbaren Verknüpfungen zu den veröffentlichten Programmen und Ordnern sowie zum eigenen, sicheren Bereich des SafeSticks.

Über den Publisher verbreitete Dateien werden unabhängig von den Einstellungen des „FileBlockers“ immer zugelassen.

Automatisiertes Ausführen von Programmen
Die SafeConsole Enforce & Enable bietet die Möglichkeit, auf dem Stick oder System vorinstallierte Programme nach erfolgreichem Aufschließen der sicheren Partition automatisch ausführen zu lassen. Zusammen mit dem „Publisher“ ließe sich so beispielsweise ein beliebiger portabler Anti-Viren-Scanner auf dem Stick hinterlegen und über den Autostart mit bestimmten Parametern ausführen, um bspw. die Echtzeitüberwachung von Dateitransfers rund um den USB-Stick zu aktivieren. Über den eindeutigen Bezeichner „{store-path}Applications/Programm/Programm.exe“ ließe sich beispielsweise eine Anwendung auf der sicheren Partition direkt ansteuern: der SafeStick ergänzt den ihm zugeordneten Laufwerksbuchstaben anstelle des Bezeichners {store-path} automatisch und startet die gewünscht Anwendung.

Sicheres Weblogin
Um auch auf möglicherweise unsicheren Systemen Gefahren wie beispielsweise KeyLoggern zu umgehen, bietet die SafeConsole in ihrer umfangreichsten Variante die Möglichkeit des „Instant WebLogin“. Über dieses Feature lässt sich über die SafeConsole ein Link und dazu gehörige Parameter hinterlegen und mit beliebigen eindeutigen Bezeichnern (z.B. „{username}“ und „{password}“) versehen. Damit könnte beispielsweise der webbasierte Zugriff zu E-Maildiensten realisiert werden.

Bei erster Verwendung muss der Nutzer des SafeSticks einmalig die benötigten Anwenderdaten hinterlegen, die dann künftig automatisch für die Anmeldung an einen Webdienst verwendet werden. Ist der WebLogin erfolgreich konfiguriert, wird der Begrüßungsbildschirm nach erfolgreichem Aufschließen der sicheren Partition um eine entsprechende Verknüpfung erweitert. Bei Benutzung überträgt der SafeStick die eingestellten Daten automatisch an die aufgeführte URL, ohne dass der User diese auf einem möglicherweise gefährdeten System erneut eingeben muss.

Nutzung des separaten „EasyShare“-Speicherbereiches eines SafeSticks
Mit der Blockmaster SafeConsole Enforce & Enable ist es möglich, einen weiteren Speicherbereich des SafeSticks freizuschalten und über die „EasyShare“ Funktion mit einem separaten Passwort zu versehen. Der EasyShare Speicherbereich ist ebenfalls verschlüsselt, befindet sich aber außerhalb der sicheren Partition, so dass für einen unkomplizierten Datenaustausch ein eigenständiges, ggf. vereinfachtes Kennwort festgelegt werden kann, damit ausgewählte Daten (auch ohne Dritte über das Passwort zur sicheren Partition in Kenntnis zu setzten) möglichst unkompliziert ausgetauscht werden können.

Der EasyShare-Bereich eines SafeSticks hat (je nach Kapazität des Sticks) bis zu 32 MB Speicherplatz. Bei allen Varianten des SafeSticks sind mindestens 16 MB vorgesehen.

Nutzung als Zertifikatsträger
Als „Certificate Carrier“ lässt sich ein in die SafeConsole eingebundener SafeStick über die Console mit beliebigen Zertifikaten ausstatten, die dem System bzw. dem dort angemeldeten Nutzer, auf dem der SafeStick aufgeschlossen wird, ab dem Moment, in dem die sichere Partition eingebunden ist, für die Dauer jeweiligen der Sitzung zur Verfügung stehen.

Automatische Archivierung von Anwenderdaten
In der Version Enforce & Enable bietet die Blockmaster SafeConsole eine bereits integrierte, automatische Backup-Lösung, die die Daten auf einem SafeStick bei jeder Synchronisation mit der SafeConsole abgleicht und ggf. zur SafeConsole überträgt, wo diese verschlüsselt abgelegt werden.

Bei konfiguriertem Backup kann der User jederzeit im Menü seines SafeSticks die Dateiwiederherstellung ausführen, um sich auf diesem Wege vorherige Dateien aus dem Backup der SafeConsole wiederzubeschaffen. Alternativ kann das Einspielen eines Backups vom Support auch aus der Ferne ausgeführt werden.

Definition einer vertrauenswürdigen Umgebung je SafeStick
Zusätzlich zu dem über die SafeConsole konfigurierten, vertrauenswürdigen Bereich (der sogenannten „trusted zone“) gibt es innerhalb der SafeConsole die Möglichkeit, den „ZoneBuilder“ für ausgewählte, mit der Console verbundene SafeSticks zu aktivieren.

Bei aktiviertem ZoneBuilder wird es dem SafeStick Benutzer ermöglicht, seine eigene „vertrauenswürdige Umgebung“ zu definieren. Der SafeStick merkt sich dabei bestimmte Eigenschaften der jeweiligen Umgebung (z.B. PC im HomeOffice) einschließlich der Computerbezeichnung und des Benutzernamen.

Sobald der SafeStick die als vertrauenswürdige definierte Umgebung wiedererkannt hat, schließt er die sichere Partition automatisch – also ohne Interaktion mit dem Benutzer – auf.

Für weitere Informationen Kontaktieren Sie uns bitte.