Funktionsweise von Data Control
Durch Data Control lassen sich unerwünschte Datenverluste feststellen, die in der Regel durch den falschen Umgang mit sensiblen Daten im Unternehmen verursacht werden. Beispiel: Ein Benutzer versendet eine Datei mit sensiblen Daten über ein Internet-E-Mail-Programm an eine private E-Mail-Adresse.
Data Control ermöglicht die Überwachung und Kontrolle von Dateiübertragungen von Computern auf Speichergeräte und Anwendungen, die mit dem Internet verbunden sind.
-
Speichergeräte: Data Control fängt alle Dateien ab, die mit Windows Explorer auf ein überwachtes Speichergerät kopiert werden (einschließlich des Windows-Desktops). Dateien, die jedoch direkt in einer Anwendung (z.B. Microsoft Word) gespeichert oder über die Befehlszeile übertragen werden, werden nicht erfasst.
Über die beiden folgenden Optionen können Sie erzwingen, dass alle Übertragungen auf ein überwachtes Speichergerät mit Windows Explorer erfolgen: Benutzerbestätigte Übertragungen zulassen und Ereignis protokollieren oder Übertragung sperren und Ereignis protokollieren. Bei Auswahl beider Optionen blockiert Data Control Versuche, Dateien direkt in einer Anwendung zu speichern oder über die Befehlszeile zu übertragen. Der Benutzer wird in einer Desktop-Benachrichtigung aufgefordert, die Übertragung mit Windows Explorer durchzuführen.
Wenn eine Data Control-Richtlinie nur Regeln mit der Maßnahme Dateiübertragung zulassen und Ereignis protokollieren umfasst, greift Data Control nicht beim Speichern in einer Anwendung oder der Übertragung über die Befehlszeile. Benutzer können Speichergeräte somit uneingeschränkt nutzen. Bei Übertragungen mit Windows Explorer werden jedoch weiterhin Data Control-Ereignisse protokolliert.
Hinweis: Diese Einschränkung gilt nicht für die Überwachung von Anwendungen. -
Anwendungen: Damit nur von Benutzern eingeleitete Dateiübertragungen überwacht werden, werden einige Systemdateiverzeichnisse von Data Control ausgeschlossen. Auf diese Weise wird die Anzahl der Data Control-Ereignisse auf Dateiübertragungen vonseiten der Benutzer reduziert; von Anwendungen geöffnete Konfigurationsdateien lösen keine Data Control-Ereignisse mehr aus.
Wichtig: Sollte eine Anwendung beim Öffnen einer Konfigurationsdatei dennoch ein Ereignis auslösen, kann das Problem in der Regel durch das Ausschließen bestimmter Verzeichnisse oder durch Desensibilisierung der Data Control-Regel behoben werden. Nähere Informationen entnehmen Sie bitte dem Sophos Support-Artikel 113024.Hinweis: Ausschlüsse für On-Access-Scans werden von Data Control nicht immer berücksichtigt.
Wann beachtet Data Control Ausschlüsse für On-Access-Scans?
Je nachdem, wie und wohin Sie Daten kopieren oder verschieben, kann es sein, dass Data Control Ausschlüsse für On-Access-Scans, die Sie in der Antivirus- und HIPS-Richtlinie festgelegt haben, berücksichtigt oder nicht.
Data Control beachtet Ausschlüsse für On-Access-Scans, wenn Dateien mit einer überwachten Anwendung wie z. B. einem E-Mail-Client, einem Web-Browser oder einem Instant Messaging (IM)-Client hochgeladen oder angehängt werden. Weitere Informationen zum Konfigurieren von On-Access-Scans entnehmen Sie bitte dem Abschnitt Ausschließen von Objekten von On-Access-Scans.
Data Control berücksichtigt keine Ausschlüsse für On-Access-Scans, wenn Dateien mit dem Windows Explorer kopiert oder verschoben werden. Daher funktionieren Ausschlüsse beispielsweise nicht, wenn Sie Dateien auf ein Speichergerät wie einen USB-Stick kopieren oder Dateien ins Netzwerk kopieren oder verschieben. Alle Dateien werden gescannt, auch wenn Sie Remote-Dateien von On-Access-Scans ausgeschlossen haben.
Data Control-Richtlinien
Data Control dient der Überwachung und Kontrolle des Datenverkehrs durch Festlegen von Data Control-Richtlinien und deren Übertragung auf Netzwerkgruppen und -computer.
Data Control-Richtlinien umfassen eine oder mehrere Regeln, in denen die Zustände definiert werden. Außerdem sind die zu ergreifenden Maßnahmen für den Fall festgelegt, dass eine Übereinstimmung mit der Regel vorliegt. Eine Data Control-Regel kann mehreren Richtlinien angehören.
Wenn eine Data Control-Richtlinie mehrere Regeln umfasst, liegt bereits ein Richtlinienverstoß vor, wenn eine Datei die Kriterien einer Regel der Data Control-Richtlinie erfüllt.
Data Control-Regelbedingungen
Die Data Control-Richtlinien umfassen Ziel, Dateiname, Erweiterung, Dateityp und Inhalt der Datei.
Ziele umfassen Geräte (z.B. Wechselmedien wie etwa USB-Flashlaufwerke) und Anwendungen (z.B. Internet-Browser oder E-Mail-Clients).
Der Abgleich von Dateiinhalten wird über Content Control Lists definiert. Hierbei handelt es sich um die Beschreibung strukturierter Daten auf XML-Basis. SophosLabs stellen eine Vielzahl an Content Control Lists bereit, die sich in Data Control-Regeln integrieren lassen.
Weitere Informationen zu Data Control-Regeln und Bedingungen, die für Dateien gelten, finden Sie unter Data Control-Regeln.
Mehr zu Content Control Lists (CCLs) zur Definition von Dateiinhalten erfahren Sie unter Content Control Lists.
Data Control
Data Control-Regelmaßnahmen
Wenn Data Control alle in einer Regel festgelegten Bedingungen vorfindet, liegt eine Übereinstimmung mit der Regel vor. Data Control ergreift dann die in der Regel bestimmten Maßnahmen und verzeichnet das Ereignis im Protokoll. Sie können eine der folgenden Maßnahmen festlegen:
- Dateiübertragung zulassen und Ereignis protokollieren
- Benutzerbestätigte Übertragungen zulassen und Ereignis protokollieren
- Übertragung sperren und Ereignis protokollieren
Wenn eine Datei zwei Data Control-Regeln entspricht, greift die Regel mit der strengeren Maßnahme. Data Control-Regeln, die die Dateiübertragung blockieren, haben Vorrang vor Regeln, die die Dateiübertragung bei entsprechender Bestätigung durch den Benutzer erlauben. Regeln, die die Dateiübertragung bei entsprechender Bestätigung durch den Benutzer erlauben, haben wiederum Vorrang vor Regeln, die die Dateiübertragung zulassen.
Wenn eine Übereinstimmung mit einer Regel vorliegt und die Übertragung einer Datei gesperrt wird bzw. vom Benutzer bestätigt werden muss, wird standardmäßig eine Desktop-Benachrichtigung auf dem Endpoint angezeigt. Die Benachrichtigung weist auch auf die entsprechende Regel hin. Sie können Ihre eigenen Benachrichtigungen für blockierte Dateiübertragungen und für den Fall erstellen, dass der Benutzer die Dateiübertragung bestätigen soll. Weitere Informationen finden Sie unter Einrichten von Data Control-Alerts und -Benachrichtigungen.