Usb-sticks maken het eenvoudig om bestanden uit te wisselen. In bedrijven vormen usb-sticks echter ook een potentieel beveiligingsrisico. Gevoelige data komt immers beter niet in de verkeerde handen terecht. Kingston heeft een centraal beheerde beveiligingsoplossing voor usb-sticks en die hebben wij getest.

De Kingston DataTraveler Vault Privacy Managed Solution biedt de mogelijkheid om gevoelige data op usb-geheugenstaafjes hardwarematig te encrypteren met behulp van 256-bit AES-encryptie in Cipher Block Chaining (CBC) mode. Natuurlijk kunt u ook een beroep doen op (gratis) encryptie-software als TrueCrypt, maar dat is voor veel gebruikers te omslachtig. Bovendien zijn losse usb-sticks moeilijk controleerbaar, omdat gecentraliseerd beheer niet beschikbaar is. De Kingston DataTraveler Vault Privacy Managed Solution geeft systeembeheerders meer controle op het gebruik van usb-sticks binnen de onderneming. Het gecentraliseerde beheer gebeurt via SafeConsole-software van BlockMaster.

DTVP-M

Wij ontvingen een Kingston DataTraveler Vault Privacy 8 GB Managed Solution stick. Deze sticks zijn beschikbaar in 2 GB, 4 GB, 8 GB, 16 GB en 32 GB en waterdicht tot 1,2 m. Op zichzelf kunt u met deze sticks niets doen. Als u ze gewoon in een pc plugt, krijgt u de melding “Kingston DataTraveler requires an active SafeConsole server to make it operational. Please contact your system administrator”. Om de sticks te gebruiken, moet eerst de centralebeheeroplossing BlockMaster SafeConsole for Kingston worden geïnstalleerd. De SafeConsole server software is eenvoudig toegankelijk via een standaard web browser en kan gekoppeld worden aan Active Directory. Elke beheerde DataTraveler maakt een beveiligde verbinding via internet met de SafeConsole-server voor configuratie-updates. Het hele proces verloopt in drie gestructureerde stappen. Eerst installeert de systeembeheerder SafeConsole en stelt de policy’s in. Vervolgens neemt u de DT4000-M en DTVP-M usb-geheugensticks in gebruik. Het poortcontrole-tool Device LockOut wordt meegeleverd. Daarmee kunt u het gebruik van niet-geautoriseerde usb-sticks verhinderen. De Device LockOut software wordt geleverd als een standaard msi-package die geïnstalleerd dient te worden op de pc’s van de gebruikers via een gpo of lokale installatie. En tot slot kan u alles eenvoudig beheren en controleren via SafeConsole. SafeConsole kan meer dan 100.000 usb-sticks beheren en is dus geschikt voor (zeer) grote bedrijven.

SafeConsole server

De SafeConsole server kan lokaal (msi ofVMware image) of via het internet (cloud) worden geïnstalleerd. Er is een trial-versie beschikbaar die eenvoudig kan worden omgezet tot een ‘full licenced’ versie. Wij kozen voor SafeConsole Cloud Server. BlockMaster maakt standaard drie gebruikers aan (Administrator, Manager en Support). De Administrator heeft volledige toegang tot SafeConsole, kan certificaten toevoegen en verwijderen en de SafeConsole-licentie beheren. De Manager beschikt over de nodige rechten om SafeConsoleReady usb-sticks te controleren en de configuraties aan te passen. Support biedt de mogelijkheid om gebruikers bij te staan in het van op afstand resetten van wachtwoorden, controleren van statussen en terugzetten van back-ups.

We leggen eerst de wachtwoorden-policy vast voor onze organisatie. Het is erg eenvoudig om het gebruik van complexe wachtwoorden te forceren. U kunt bijvoorbeeld opteren dat een gebruiker een speciaal teken zoals een hekje moet opnemen in zijn of haar wachtwoord. U kunt tevens instellen na hoeveel succesvolle log-ins of dagen het wachtwoord moet verlopen. Uiteraard kan u een configuratie vastleggen voor de verschillende OU’s (organizational units) in Active Directory. Het automatisch blokkeren van de sticks kan centraal worden beheerd of door de gebruiker zelf. Wij verkiezen dat dit centraal beheerd wordt. Via ‘Device State Management’ stelt u in welk bericht u wil weergeven in geval van verlies en aangeven of de sticks periodiek contact moeten maken met SafeConsole. Via ‘Authorized Autorun’ worden opdrachten of applicaties uitgevoerd wanneer de gebruiker succesvol inlogt. Interessant is ook het tabblad ‘FileRestrictor’. In dit tabblad geeft u aan welke bestandsextensies u al dan niet wil toelaten. Een systeembeheerder blokkeert hiermee op eenvoudige wijze uitvoerbare bestanden en scripts. De opgegeven bestandstypes zullen verwijderd worden zodra ze naar de stick gekopieerd zijn.

Device Administrator Tools

Via het tabblad ‘Device User Settings’ kiest een beheerder eenvoudig de gewenste taal voor de eindgebruiker, voorkomt resets van usb-sticks door eindgebruikers, schakelt wachtwoord-hints uit en gaat akkoord met de garantievoorwaarden in naam van de eindgebruikers. Via ‘Server Connections’ bepaalt u onder meer of u verbindingen van buiten het bedrijf naar SafeConsole wil toelaten en geeft u een redirect url op als u de sticks wil migreren naar een andere server. Dankzij de ‘Device Audit’ worden logs automatisch naar SafeConsole verzonden en kan de manager het gebruik eenvoudig controleren. Log-inpogingen en locks worden samen met datum- en tijdgegevens en gebruikersinformatie vastgelegd. Tot slot biedt de optie ‘File Audit Trail’ de mogelijkheid om te achterhalen welke bestanden eindgebruikers op de sticks hebben geplaatst en/of verwijderd.

‘Usage Configurations’ laat toe om een geëncrypteerde backup van de data op een (bepaalde) stick te maken. Als de eindgebruiker zijn of haar stick verliest, kan de administrator alle documenten en bestanden herstellen naar een nieuwe stick voor de eindgebruiker of een exemplaar van de administrator voor controledoeleinden. Dankzij ‘EasyShare’ kan een eindgebruiker tijdelijk bestanden delen met andere gebruikers zonder zijn of haar wachtwoord bekend te maken. De gedeelde bestanden worden beveiligd met een tijdelijk wachtwoord. ‘Publisher’ laat toe om bestanden naar (bepaalde) usb-sticks te distribueren. Bestanden die via Publisher worden verdeeld, worden altijd toegelaten door de ‘FileRestrictor’. Ook het op afstand resetten van wachtwoorden configureert u hier, zodat het menu item ‘Forgot password’ toegevoegd zal worden in het ‘Actions’ menu van de sticks. Tot slot kan een eindgebruiker een zone met vertrouwde gebruikers bouwen als ZoneBuilder is ingeschakeld. Als een usb-stick vervolgens wordt ingeplugd op een pc waarop een vertrouwde gebruikers is ingelogd, zal deze automatisch toegankelijk worden. Natuurlijk vormt deze feature ook een zeker beveiligingsrisico. Een zorgvuldige configuratie is dus zeker noodzakelijk.

Audit device usage

In het navigatiepaneel zien we onder ‘Configuration Overview’ het menu-item ‘Organisational Overview’. Dit item geeft een compleet overzicht van de configuratie van de geselecteerde OU. Het item ‘Device overview’ vermeldt alle apparaten die geregistreerd zijn op de SafeConsole server. Via ‘Audit device usage’ gaat u het gebruik van de sticks na. We zien onder meer dat tijdens onze test een uitvoerbaar bestand op een stick werd geplaatst, dat vervolgens automatisch verwijderd werd door ‘FileRestrictor’ vanwege onze bedrijfspolicy’s. U kan de logs ook exporteren in de vorm van een xml-file. Tot slot kan u ook geïnstalleerde certificaten en de licentie bekijken.

CONCLUSIE

SafeConsole for Kingston is een zeer complete beheeromgeving waarmee systeembeheerders het gebruik van usb-sticks binnen de onderneming kunnen controleren en beperken. Het pakket is erg intuïtief opgebouwd en daardoor zeer gebruiksvriendelijk. Dankzij de verschillende gebruikersrollen kan de werklast bovendien eenvoudig worden verdeeld. Gevoelige data op geheugenstaafjes wordt met deze oplossing sterk beveiligd, zonder dat dit ten koste gaat van het gebruiksgemak.

Nick Kinschots