Gerätekontrolle-Alarmmeldungen

Die Gerätekontrolle verwaltet ein Ereignisprotokoll, in dem die Versuche des Anwenders erfasst werden, auf kontrollierte Gerätetypen, Ports oder andere Schnittstellen zuzugreifen. Bestimmte Ereignisse können Alarmmeldungen auslösen, die dann in der Cyber Protect-Konsole protokolliert werden. Die Gerätekontrolle kann z.B. so konfiguriert werden, dass die Verwendung von Wechsellaufwerken verhindert wird und jeweils ein Alarmmeldungen protokolliert wird, wenn ein Anwender versucht, Daten zu oder von einem solchen Gerät zu kopieren.

Wenn Sie das Gerätekontrolle-Modul konfigurieren, können Sie für die meisten Elemente, die unter Gerätetyp (außer Screenshot-Aufnahmen) oder Ports aufgeführt sind, Alarmmeldungen aktivieren. Falls die Alarmmeldungen aktiviert sind, wird jedes Mal ein Benachrichtigung ausgelöst, wenn ein Benutzer versucht, eine nicht erlaubte Aktion durchzuführen. Wenn z.B. für Wechsellaufwerke die Zugriffsbeschränkung mit 'schreibgeschützt' festgelegt wurde und für diesen Gerätetyp zusätzlich die Option Alarm anzeigen aktiviert wurde, wird jedes Mal eine Alarmmeldung generiert, wenn ein Anwender auf dem entsprechend geschützten Computer versucht, Daten zu einem Wechsellaufwerk zu kopieren.

Wenn Sie die Alarmmeldungen in der Cyber Protect-Konsole einsehen wollen, gehen Sie zu Monitoring –> Alarmmeldungen. Die Konsole stellt bei jeder Alarmmeldung der Gerätekontrolle folgende Informationen über das jeweilige Ereignis zur Verfügung:

  • Typ – Warnung.
  • Status – Zeigt die Information „Der Zugriff auf Peripheriegeräte ist blockiert“ an
  • Nachricht – Zeigt die Information „Der Zugriff auf '<Gerätetyp oder Port>' auf '<Computername>' ist blockiert“ an. Beispiel: „Der Zugriff auf 'Wechsellaufwerk' auf 'Buchhaltungs-PC' ist blockiert“.
  • Datum und Zeit – Das Datum und die Uhrzeit, als das Ereignis stattfand.
  • Gerät – Der Name des Computers, auf dem das Ereignis stattgefunden hat.
  • Plan-Name – Der Name des Schutzplans, der das Ereignis verursacht hat.
  • Quelle – Der Gerätetyp oder Port, der an dem Ereignis beteiligt war. Beispiel: wenn ein Benutzer auf ein Wechsellaufwerk zugreifen wollte und dies verweigert wurde, steht in diesem Feld 'Wechsellaufwerk'.
  • Aktion – Die Aktion, die das Ereignis verursacht hat. Beispiel: wenn ein Benutzer Daten auf ein Gerät kopieren wollte und dies verweigert wurde, steht in diesem Feld 'Schreiben'. Zu weiteren Informationen siehe 'Werte für das Feld 'Aktion''.
  • Name – Der Name des Zielobjekts bei dem Ereignis (z.B. die Datei, die der Benutzer kopieren wollte, oder das Gerät, das der Benutzer verwenden wollte). Wenn das Zielobjekt nicht identifiziert werden kann, wird keine Information angezeigt.
  • Informationen – Zusätzliche Informationen über das Zielgerät bei dem Ereignis (z.B. die Geräte-ID bei einem USB-Gerät). Wenn keine zusätzlichen Informationen über das Zielgerät verfügbar sind, wird nichts angezeigt.
  • Benutzer – Der Name des Benutzers, der das Ereignis verursacht hat.
  • Prozess – Der vollqualifizierte Pfad zu der ausführbaren Datei der Applikation, die das Ereignis verursacht hat. In einigen Fällen wird möglicherweise der Prozessname anstelle des Pfades angezeigt. Wenn keine Prozessinformationen verfügbar sind, wird nichts angezeigt.

Wenn ein Alarm auf ein USB-Gerät (inkl. Wechsellaufwerke und verschlüsselte Wechsellaufwerke) zutrifft, kann der Administrator das Gerät direkt aus der Alarmmeldung heraus in die Positivliste aufnehmen. Dadurch kann verhindert werden, dass das Gerätekontrolle-Modul den Zugriff auf dieses spezielle Gerät einschränkt. Wenn Sie auf Dieses USB-Gerät erlauben klicken, wird es in die 'Positivliste für USB-Geräte' aufgenommen, die zur Konfiguration der Gerätekontrolle gehört. Das USB-Geräte wird dabei außerdem auch noch für weitere Verwendungsmöglichkeiten in die USB-Geräte-Datenbank aufgenommen.

Siehe außerdem auch die die Schritte, um die Gerätekontrolle-Alarmmeldungen einzusehen.