Funktionsweise von Data Control

Durch Data Control lassen sich unerwünschte Datenverluste feststellen, die in der Regel durch den falschen Umgang mit sensiblen Daten im Unternehmen verursacht werden. Beispiel: Ein Benutzer versendet eine Datei mit sensiblen Daten über ein Internet-E-Mail-Programm an eine private E-Mail-Adresse.

Data Control ermöglicht die Überwachung und Kontrolle von Dateiübertragungen von Computern auf Speichergeräte und Anwendungen, die mit dem Internet verbunden sind.

Speichergeräte: Data Control fängt alle Dateien ab, die mit Windows Explorer auf ein überwachtes Speichergerät kopiert werden (einschließlich des Windows-Desktops). Dateien, die jedoch direkt in einer Anwendung (z.B. Microsoft Word) gespeichert oder über die Befehlszeile übertragen werden, werden nicht erfasst.

Über die beiden folgenden Optionen können Sie erzwingen, dass alle Übertragungen auf ein überwachtes Speichergerät mit Windows Explorer erfolgen: Benutzerbestätigte Übertragungen zulassen und Ereignis protokollieren oder Übertragung sperren und Ereignis protokollieren. Bei Auswahl beider Optionen blockiert Data Control Versuche, Dateien direkt in einer Anwendung zu speichern oder über die Befehlszeile zu übertragen. Der Benutzer wird in einer Desktop-Benachrichtigung aufgefordert, die Übertragung mit Windows Explorer durchzuführen.

Wenn eine Data Control-Richtlinie nur Regeln mit der Maßnahme Dateiübertragung zulassen und Ereignis protokollieren umfasst, greift Data Control nicht beim Speichern in einer Anwendung oder der Übertragung über die Befehlszeile. Benutzer können Speichergeräte somit uneingeschränkt nutzen. Bei Übertragungen mit Windows Explorer werden jedoch weiterhin Data Control-Ereignisse protokolliert.

Anmerkung: Diese Einschränkung gilt nicht für die Überwachung von Anwendungen.
Anwendungen: Damit nur von Benutzern eingeleitete Dateiübertragungen überwacht werden, werden einige Systemdateiverzeichnisse von Data Control ausgeschlossen. Auf diese Weise wird die Anzahl der Data Control-Ereignisse auf Dateiübertragungen vonseiten der Benutzer reduziert; von Anwendungen geöffnete Konfigurationsdateien lösen keine Data Control-Ereignisse mehr aus.

Wichtig: Sollte eine Anwendung beim Öffnen einer Konfigurationsdatei dennoch ein Ereignis auslösen, kann das Problem in der Regel durch das Ausschließen bestimmter Verzeichnisse oder durch Desensibilisierung der Data Control-Regel behoben werden. Nähere Informationen entnehmen Sie bitte dem Sophos Support-Artikel 113024.

Anmerkung: Ausschlüsse für On-Access-Scans werden von Data Control nicht immer berücksichtigt.

Wann beachtet Data Control Ausschlüsse für On-Access-Scans?

Je nachdem, wie und wohin Sie Daten kopieren oder verschieben, kann es sein, dass Data Control Ausschlüsse für On-Access-Scans, die Sie in der Antivirus- und HIPS-Richtlinie festgelegt haben, berücksichtigt oder nicht.

Data Control beachtet Ausschlüsse für On-Access-Scans, wenn Dateien mit einer überwachten Anwendung wie z. B. einem E-Mail-Client, einem Web-Browser oder einem Instant Messaging (IM)-Client hochgeladen oder angehängt werden. Weitere Informationen zum Konfigurieren von On-Access-Scans entnehmen Sie bitte dem Abschnitt Ausschließen von Objekten von On-Access-Scans.

Wichtig: Wenn Sie Remote-Dateien von On-Access-Scans ausgeschlossen haben, scannt Data Control keine Dateien, die Sie im Netzwerk zu einer überwachten Anwendung wie z. B. einem E-Mail-Client oder Web-Browser hochladen oder anhängen. Siehe auch Data Control scannt hochgeladene oder angehängte Dateien nicht.

Data Control berücksichtigt keine Ausschlüsse für On-Access-Scans, wenn Dateien mit dem Windows Explorer kopiert oder verschoben werden. Daher funktionieren Ausschlüsse beispielsweise nicht, wenn Sie Dateien auf ein Speichergerät wie einen USB-Stick kopieren oder Dateien ins Netzwerk kopieren oder verschieben. Alle Dateien werden gescannt, auch wenn Sie Remote-Dateien von On-Access-Scans ausgeschlossen haben.

Anmerkung: Wenn Sie Archivdateien ins Netzwerk kopieren oder verschieben, kann dieser Vorgang einige Zeit dauern. Je nach Netzwerkverbindung können Sie mit über einer Minute pro 100 MB Daten rechnen. Das liegt daran, dass das Scannen von Archivdateien länger dauert als bei nicht archivierten Dateien.

Data Control-Richtlinien

Data Control dient der Überwachung und Kontrolle des Datenverkehrs durch Festlegen von Data Control-Richtlinien und deren Übertragung auf Netzwerkgruppen und -computer.

Wichtig: Data Control läuft nicht unter Windows 2008 Server Core. Daher muss diese Funktion auf Computern mit diesem Betriebssystem deaktiviert werden. Um Computer mit Windows 2008 Server Core von Data Control auszuschließen, gliedern Sie diese in eine Gruppe ein, in deren Data Control-Richtlinie diese Funktion deaktiviert ist. Für weitere Informationen, siehe Aktivieren/Deaktivieren von Data Control.

Data Control-Richtlinien umfassen eine oder mehrere Regeln, in denen die Zustände definiert werden. Außerdem sind die zu ergreifenden Maßnahmen für den Fall festgelegt, dass eine Übereinstimmung mit der Regel vorliegt. Eine Data Control-Regel kann mehreren Richtlinien angehören.

Wenn eine Data Control-Richtlinie mehrere Regeln umfasst, liegt bereits ein Richtlinienverstoß vor, wenn eine Datei die Kriterien einer Regel der Data Control-Richtlinie erfüllt.

Data Control-Regelbedingungen

Die Data Control-Richtlinien umfassen Ziel, Dateiname, Erweiterung, Dateityp und Inhalt der Datei.

Ziele umfassen Geräte (z.B. Wechselmedien wie etwa USB-Flashlaufwerke) und Anwendungen (z.B. Internet-Browser oder E-Mail-Clients).

Der Abgleich von Dateiinhalten wird über Content Control Lists definiert. Hierbei handelt es sich um die Beschreibung strukturierter Daten auf XML-Basis. SophosLabs stellen eine Vielzahl an Content Control Lists bereit, die sich in Data Control-Regeln integrieren lassen.

Weitere Informationen zu Data Control-Regeln und Bedingungen, die für Dateien gelten, finden Sie unter Data Control-Regeln.

Mehr zu Content Control Lists (CCLs) zur Definition von Dateiinhalten erfahren Sie unter Content Control Lists.

Data Control

Data Control-Regelmaßnahmen

Wenn Data Control alle in einer Regel festgelegten Bedingungen vorfindet, liegt eine Übereinstimmung mit der Regel vor. Data Control ergreift dann die in der Regel bestimmten Maßnahmen und verzeichnet das Ereignis im Protokoll. Sie können eine der folgenden Maßnahmen festlegen:

Dateiübertragung zulassen und Ereignis protokollieren
Benutzerbestätigte Übertragungen zulassen und Ereignis protokollieren
Übertragung sperren und Ereignis protokollieren

Wenn eine Datei zwei Data Control-Regeln entspricht, greift die Regel mit der strengeren Maßnahme. Data Control-Regeln, die die Dateiübertragung blockieren, haben Vorrang vor Regeln, die die Dateiübertragung bei entsprechender Bestätigung durch den Benutzer erlauben. Regeln, die die Dateiübertragung bei entsprechender Bestätigung durch den Benutzer erlauben, haben wiederum Vorrang vor Regeln, die die Dateiübertragung zulassen.

Wenn eine Übereinstimmung mit einer Regel vorliegt und die Übertragung einer Datei gesperrt wird bzw. vom Benutzer bestätigt werden muss, wird standardmäßig eine Desktop-Benachrichtigung auf dem Endpoint angezeigt. Die Benachrichtigung weist auch auf die entsprechende Regel hin. Sie können Ihre eigenen Benachrichtigungen für blockierte Dateiübertragungen und für den Fall erstellen, dass der Benutzer die Dateiübertragung bestätigen soll. Für weitere Informationen, siehe Einrichten von Data Control-Alerts und -Benachrichtigungen.