Trend Micro OfficeScan 10 - Client Self Protection & Device Control

Nachdem wir uns im letzten Artikel mit dem Behavior Monitoring auseinander gesetzt haben folgen heute 2 weitere neue Features, die zwar in der OfficeScan Server Web GUI seperat zu konfigurieren sind aber über das Behavior Monitoring Modul mit gesteuert werden. Zum einen wäre das die Client Self Protection und zum anderen die Device Control.

1. Client Self Protection

Dem ein oder anderen Administrator, der schon Trend Micro OfficeScan im Einsatz hat dürfte schon mal ein Prozess auf den Systemen aufgefallen, die einen OfficeScan Client installiert haben. Dieser Prozess hatte immer einen anderen Namen und im Windows Temp Verzeichnis lagen immer entsprechende Dateien mit einem kleinen netten Hund als Icon. Das war der Watchdog, mit dem Trend Micro dafür gesorgt hat, das niemand (vor allem kein Schadcode) unbefugt den OfficeScan Client deaktiviert oder anderweitig lahm legt.

In der Version 10 übernimmt nun die Client Self Protection diesen Job und wir müssen uns vom Watchdog in dieser Form verabschieden. Hatte man beim Watchdog lediglich die Möglichkeit den Zeitintervall für die Überprüfung der Dienste festzulegen und den anti-hacking mode zu aktivieren/deaktivieren so können wir nun an ein paar mehr Schrauben drehen.

Die Client Self Protection kann neben der Überprüfung des OfficeScan Client Status nun auch die folgenden Komponenten schützen:

1. das OfficeScan Client Installationsverzeichnis
Über die Option “Protect files in the OfficeScan client installation folder” kann man die unbefugte Manipulation der Dateien im Installationsverzeichnis verhindern. Ist diese Option aktiviert kann man selbst als Administrator angemeldet die Dateien nicht mehr bearbeiten.

2. die OfficeScan Client Prozesse
Ist die Option “Protect OfficeScan client processes” aktiviert schützt der OfficeScan Client die Prozesse so das man diese nicht unbefugt manipulieren kann.

3. den OfficeScan Client Registry Hive
Ist der Haken bei “Protect OfficeScan client registry keys” gesetzt, ist es nicht möglich die Registry Werte unter dem Hive HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro zu editieren bzw. unbefugt zu manipulieren.

4. die OfficeScan Client Dienste
Über die Option “Protect OfficeScan client services” kann man festlegen ob die Dienste geschützt werden sollen oder nicht. Ist die Option aktiviert kann man nur durch einen Neustart des Client Systems oder über die ”unload OfficeScan” Funktion am Client die Dienste neu starten. Ein Neustart über das “net stop” Kommando oder die Dienste Steuerung ist nicht möglich.

Alle diese Optionen sind per Default eingeschaltet und können unter “Networked Computers” - “Global Client Settings” konfiguriert werden:

2. Device Control

Über die Device Control haben Sie die Möglichkeit den Zugriff auf bestimmte Geräte (z.B. USB Wechselmedien)  zu kontrollieren. Trend Micro teilt in der aktuellen Version die Geräte nach folgenden Kriterien ein:

1. Plug-in devices (USB) sind alle via USB anschliessbaren Wechselmedien. Ausgenommen sind davon Floppy Laufwerke oder CD/DVD/Blu-Ray Laufwerke, die über USB angeschlossen sind. SD Karten sind zwar nicht aufgeführt aber diese fallen auch in die Kategorie “Plug-In devices”.

2. Optical Discs sind alle Arten von Laufwerken, die mit Lasern arbeiten also z.B. ein CD-ROM Laufwerk.

3. die guten alten Floppy Disks, sei es das eingebaute Floppy Laufwerk oder ein externes über USB angschlossenes Floppy Laufwerk.

4. Network resources sind einem Benutzer zugewiesene Netzlaufwerke oder aber auch von einem Benutzer via UNC Pfad aufgerufene Dateifreigaben im Netzwerk.

Für diese Kategorien kann man die Aktion “Full Access” (Standardwert), “Read and Write only”, “Read and execute only”, “Read only” & “No access” definieren.

Die “Device Control Settings” findet man unter “Networked Computers” - “Client Management” - “Settings” d.h. Sie können die Einstellungen für alle OfficeScan Clients gleich konfigurieren oder die Einstellungen seperat für einzelne OfficeScan Domains und Clients vornehmen. Dadurch haben Sie die Möglichkeit auch Ausnahmen zu definieren. Darüber hinaus können Sie auch die AutoRun Funktion für USB Geräte deaktivieren.

ma/IOK

Kommentare

• Aktuellste Artikel

  • Trend Micro OfficeScan 10 - Client Self Protection & Device Control
  • Trend Micro OfficeScan 10 - Behavior Monitoring
  • Trend Micro OfficeScan 10 - Role-based Administration
  • Trend Micro OfficeScan 10 - Active Directory Integration
  • Trend Micro OfficeScan 10 - der Smart Scan Server im Detail
  • Trend Micro OfficeScan 10 mit Service Pack 1
  • Typo3 4.2.10 Bug - Probleme mit Grafiken
  • Erweiterter Support für Windows 2000 endet
  • Windows 7 Final Release
  • Downgrade für HP ROKs “Windows Server 2008″

• Kategorien

  • Allgemein
  • Linux
  • Microsoft
  • Providing
  • Security
  • SSL-VPN
  • Storage
  • Virtualisierung

• Archive

  • Januar 2010
  • Dezember 2009
  • November 2009
  • Oktober 2009
  • Juli 2009
  • Juni 2009
  • März 2009
  • Februar 2009
  • Januar 2009
  • November 2008
  • Oktober 2008
  • September 2008
  • August 2008
  • Juli 2008
  • Juni 2008
  • Mai 2008
  • April 2008
  • März 2008
  • Februar 2008
  • Januar 2008

• Interessante Links

  • heise online
  • IOK Homepage
  • ostblog

• Beschreibung

  Der „IOK Technikblog“ ist die technische Informationsplattform rund um die von IOK eingesetzten Produkte und Technologien. Wir veröffentlichen hier Informationen aus 1. Hand vom Hersteller und basierend auf unseren Erfahrungen aus aktuellen Kundenprojekten.

• Suchen

• Admin

  • Anmelden
  • Wordpress
  • XHTML

Feeds abonnieren

•    RSS-Feed
•    Atom-Feed

Populäre Tags

Antivirus Aventail Borderware BSP ESX Kaspersky Microsoft MXtreme Officescan OSCE RSA SecurID Service Pack SID800 Smartcard SSL-VPN SWP Trend Micro Update Vista VMware