Zugriffseinstellungen

Auf der Seite Zugriffseinstellungen können Sie den Zugriff auf bestimmte Gerätetypen erlauben/unterbinden sowie die Betriebssystem-Benachrichtigung und Gerätekontrolle-Alarmmeldungen aktivieren/deaktivieren.

Die in der Gerätekontrolle konfigurierten Zugriffseinstellungen werden möglicherweise überschrieben, wenn Sie zum Schutz eines Workloads sowohl die Gerätekontroll- als auch Advanced DLP-Funktionalität verwenden. Siehe Abschnitt 'Die Advanced Data Loss Prevention-Funktionalität in Schutzplänen aktivieren'.

Mit den Zugriffseinstellungen können Sie Benutzerzugriffe auf folgende Gerätetypen und Anschlüsse (Ports) einschränken:

Entfernbar (Zugriffskontrolle nach Gerätetyp) – Geräte mit einer beliebigen Schnittstelle zum Anschließen an einen Computer (USB, FireWire, PCMCIA, IDE, SATA, SCSI usw.), die vom Betriebssystem als Wechsellaufwerke erkannt werden (z.B. USB-Sticks, Kartenleser, magneto-optische Laufwerke usw.). Die Gerätekontrolle stuft alle Festplatten, die über USB, FireWire und PCMCIA angeschlossen werden, als entfernbare Geräte (Wechsellaufwerke) ein. Einige Festplatten (in der Regel mit SATA- und SCSI-Schnittstelle) werden ebenfalls als entfernbare Wechsellaufwerke eingestuft, wenn sie die Hot-Plug-Funktion unterstützen und das gerade laufende Betriebssystem nicht auf ihnen installiert ist.

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf Wechsellaufwerke ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf Wechsellaufwerke übertragen oder von diesen kopiert werden dürfen. Die Zugriffsrechte wirken sich nicht auf Geräte aus, die mit BitLocker oder FileVault (nur HFS+-Dateisystem) verschlüsselt werden.

Dieser Gerätetyp wird sowohl unter Windows als auch unter macOS unterstützt.
Verschlüsseltes Wechsellaufwerk (Zugriffskontrolle nach Gerätetyp) – Wechsellaufwerke, die mit der Laufwerksverschlüsselung BitLocker (unter Windows) oder FileVault (unter macOS) verschlüsselt werden.

Unter macOS werden nur solche verschlüsselten Wechsellaufwerke unterstützt, die das Dateisystem HFS+ (auch als HFS Plus, Mac OS Extended oder HFS Extended bekannt) verwenden. Verschlüsselte Wechsellaufwerke, die das APFS-Dateisystem verwenden, werden wie normale Wechsellaufwerke behandelt.

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf verschlüsselte Wechsellaufwerke ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf verschlüsselte Wechsellaufwerke übertragen oder von diesen kopiert werden dürfen. Die Zugriffsrechte wirken sich nur auf Geräte aus, die mit BitLocker oder FileVault (nur HFS+-Dateisystem) verschlüsselt werden.

Dieser Gerätetyp wird sowohl unter Windows als auch unter macOS unterstützt.
Drucker (Zugriffskontrolle nach Gerätetyp) – Physische Drucker mit einer beliebigen Schnittstelle zum Anschließen an einen Computer (USB, LPT, Bluetooth usw.) sowie Drucker, auf die von einem Computer im Netzwerk zugegriffen wird.

Sie können Zugriffe auf Drucker zulassen oder unterbinden, um auf geschützten Computern zu kontrollieren, ob Dokumente auf einem beliebigen Drucker gedruckt werden dürfen.

Wenn Sie die Zugriffseinstellung für Drucker auf Verweigern ändern, müssen die Applikationen und Prozesse, die auf die Drucker zugreifen, neu gestartet werden, damit die neu konfigurierten Zugriffseinstellungen durchgesetzt werden. Wenn Sie sicherstellen wollen, dass die Zugriffseinstellungen ordnungsgemäß durchgesetzt werden, können Sie auch die geschützten Workloads neu starten.

Dieser Gerätetyp wird nur unter Windows unterstützt.
Zwischenablage (Zugriffskontrolle nach Gerätetyp) – Windows-Zwischenablage.

Sie können den Zugriff auf die Zwischenablage zulassen oder unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten über die Windows-Zwischenablage kopiert oder eingefügt werden dürfen.

Wenn Sie die Zugriffseinstellung für die Zwischenablage auf Verweigern ändern, müssen die Applikationen und Prozesse, die auf die Zwischenablage zugreifen, neu gestartet werden, damit die neu konfigurierten Zugriffseinstellungen durchgesetzt werden. Wenn Sie sicherstellen wollen, dass die Zugriffseinstellungen ordnungsgemäß durchgesetzt werden, können Sie auch die geschützten Workloads neu starten.

Dieser Gerätetyp wird nur unter Windows unterstützt.
Screenshot-Aufnahme (Zugriffskontrolle nach Gerätetyp) – Ermöglicht es, Screenshots des kompletten Bildschirms, eines aktiven Fensters oder eines ausgewählten Bildschirmbereichs zu machen.

Sie können Zugriffe auf die Screenshot-Aufnahmefunktion erlauben oder verweigern, um Screenshot-Aufnahmen auf geschützten Computern zu kontrollieren.

Wenn Sie die Zugriffseinstellung für Screenshot-Aufnahmen auf Verweigern ändern, müssen die Applikationen und Prozesse, die auf die Screenshot-Aufnahmefunktion zugreifen, neu gestartet werden, damit die neu konfigurierten Zugriffseinstellungen durchgesetzt werden. Wenn Sie sicherstellen wollen, dass die Zugriffseinstellungen ordnungsgemäß durchgesetzt werden, können Sie auch die geschützten Workloads neu starten.

Dieser Gerätetyp wird nur unter Windows unterstützt.
Mobilgeräte (Zugriffskontrolle nach Gerätetyp) – Geräte (wie Android-basierte Smartphones), die über das Media-Transfer-Protokoll (MTP) und eine geeignete Schnittstelle/Verbindung (USB, IP, Bluetooth) mit einem Computer kommunizieren.

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf Mobilgeräte ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf MTP-basierte Mobilgeräte übertragen oder von diesen kopiert werden dürfen.

Wenn Sie die Zugriffseinstellung für Mobilgeräte auf Nur Lesen oder Verweigern ändern, müssen die Applikationen und Prozesse, die auf die Mobilgeräte zugreifen, neu gestartet werden, damit die neu konfigurierten Zugriffseinstellungen durchgesetzt werden. Wenn Sie sicherstellen wollen, dass die Zugriffseinstellungen ordnungsgemäß durchgesetzt werden, können Sie auch die geschützten Workloads neu starten.

Dieser Gerätetyp wird nur unter Windows unterstützt.
Bluetooth (Zugriffskontrolle nach Gerätetyp) – Externe und interne Bluetooth-Geräte mit einer beliebigen Schnittstelle zum Anschließen an einen Computer (USB, PCMCIA usw.). Diese Einstellung kontrolliert die grundsätzliche Verwendung von Geräten diesen Typs und nicht den Datenaustausch mit solchen Geräten.

Sie können Zugriffe über Bluetooth zulassen oder unterbinden, um die Verwendung von Bluetooth-Geräten auf geschützten Computern zu kontrollieren.

Unter macOS wirken sich die Zugriffsrechte für Bluetooth nicht auf Bluetooth-HID-Geräte aus. Zugriffe auf diese Geräte sind immer erlaubt, um zu verhindern, dass drahtlose HID-Geräte (Mäuse und Tastaturen) auf iMac- und Mac Pro-Hardware deaktiviert werden können.

Dieser Gerätetyp wird sowohl unter Windows als auch unter macOS unterstützt.
Optische Laufwerke (Zugriffskontrolle nach Gerätetyp) – Externe und interne CD-/DVD-/BD-Laufwerke mit einer beliebigen Schnittstelle zum Anschließen an einen Computer (IDE, SATA, USB, FireWire, PCMCIA usw.).

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf optische Laufwerke ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf optische Laufwerke übertragen oder von diesem kopiert werden dürfen.

Dieser Gerätetyp wird sowohl unter Windows als auch unter macOS unterstützt.
Diskettenlaufwerke (Zugriffskontrolle nach Gerätetyp) – Externe und interne Diskettenlaufwerke mit einer beliebigen Schnittstelle zum Anschließen an einen Computer (IDE, USB, PCMCIA usw.). Es gibt einige Diskettenlaufwerksmodelle, die vom Betriebssystem als entfernbare Laufwerke (Wechsellaufwerke) erkannt werden. In diesem Fall wird die Gerätekontrolle auch diese Laufwerke als Wechsellaufwerke identifizieren.

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf Diskettenlaufwerke ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf Diskettenlaufwerke übertragen oder von diesem kopiert werden dürfen.

Dieser Gerätetyp wird nur unter Windows unterstützt.
USB (Zugriffskontrolle nach Geräteschnittstelle) – Alle Geräte (außer Hubs), die über einen USB-Port angeschlossen sind.

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf USB-Ports ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf Geräte, die per USB angeschlossen werden, übertragen oder von diesen kopiert werden dürfen.

Dieser Gerätetyp wird sowohl unter Windows als auch unter macOS unterstützt.
FireWire (Zugriffskontrolle nach Geräteschnittstelle) – Alle Geräte (außer Hubs), die über einen FireWire-Port (IEEE 1394) angeschlossen sind.

Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe auf FireWire-Ports ganz unterbinden, um auf geschützten Computern zu kontrollieren, ob Daten auf Geräte, die per FireWire angeschlossen werden, übertragen oder von diesen kopiert werden dürfen.

Dieser Gerätetyp wird sowohl unter Windows als auch unter macOS unterstützt.
Umgeleitete Geräte (Zugriffskontrolle nach Geräteschnittstelle) – Zugeordnete Laufwerke (Festplatten, Wechsellaufwerke und optische Laufwerke), USB-Geräte und die Zwischenablage, die zu virtuellen Applikationen/Desktop-Sitzungen umgeleitet werden.

Die Gerätekontrolle erkennt Geräte, die über bestimmte Remoting-Protokolle (Microsoft RDP, Citrix ICA, VMware PCoIP, HTML5/WebSockets) in bestimmten Virtualisierungsumgebungen (Microsoft RDS, Citrix XenDesktop, Citrix XenApp, Citrix XenServer, VMware Horizon) umgeleitet werden, wo geschützte Computer gehostet werden. Sie kann außerdem Datenkopieraktionen zwischen der Windows-Zwischenablage eines Gast-Betriebssystems (welches unter VMware Workstation, VMware Player, Oracle VM, VirtualBox oder Windows Virtual PC läuft) und der Zwischenablage des entsprechenden Host-Betriebssystems (welches auf einem geschützten Windows-Computer läuft) kontrollieren.

Dieser Gerätetyp wird nur unter Windows unterstützt.

Sie können Zugriffe auf umgeleitete Geräte folgendermaßen konfigurieren:
- Zugeordnete Laufwerke – Sie können Vollzugriffe oder Nur-Lesen-Zugriffe zulassen oder Zugriffe ganz unterbinden, um zu kontrollieren, ob Daten auf Festplattenlaufwerke, Wechsellaufwerke oder optische Laufwerke, die zu der Sitzung umgeleitet werden, die auf einem geschützten Computer gehostet wird, übertragen oder von diesen kopiert werden dürfen.
- Eingehende Zwischenablage – Sie können Zugriffe zulassen oder unterbinden, um zu kontrollieren, ob Daten über die Zwischenablage zu der Sitzung kopiert werden dürfen, die auf einem geschützten Computer gehostet wird.
  Wenn Sie die Zugriffseinstellung für die eingehende Zwischenablage auf Verweigern ändern, müssen die Applikationen und Prozesse, die auf die Zwischenablage zugreifen, neu gestartet werden, damit die neu konfigurierten Zugriffseinstellungen durchgesetzt werden. Wenn Sie sicherstellen wollen, dass die Zugriffseinstellungen ordnungsgemäß durchgesetzt werden, können Sie auch die geschützten Workloads neu starten.
- Ausgehende Zwischenablage – Sie können Zugriffe zulassen oder unterbinden, um zu kontrollieren, ob Daten über die Zwischenablage von der Sitzung kopiert werden dürfen, die auf einem geschützten Computer gehostet wird.
  Wenn Sie die Zugriffseinstellung für die ausgehende Zwischenablage auf Verweigern ändern, müssen die Applikationen und Prozesse, die auf die Zwischenablage zugreifen, neu gestartet werden, damit die neu konfigurierten Zugriffseinstellungen durchgesetzt werden. Wenn Sie sicherstellen wollen, dass die Zugriffseinstellungen ordnungsgemäß durchgesetzt werden, können Sie auch die geschützten Workloads neu starten.
- USB-Anschlüsse – Sie können Zugriffe zulassen oder unterbinden, um zu kontrollieren, ob Daten auf/von Geräten kopiert werden dürfen, die an einen USB-Port angeschlossen sind, der zu der Sitzung umgeleitet wird, die auf einem geschützten Computer gehostet wird.

Die Einstellungen der Gerätekontrolle wirken sich auf alle Benutzer gleichermaßen aus. Wenn Sie beispielsweise Zugriffe auf Wechsellaufwerke verbieten, darf kein Benutzer auf diesem geschützten Computer irgendwelche Daten auf ein solches Wechsellaufwerk übertragen oder von diesem kopieren. Es ist jedoch möglich, Zugriffe auf einzelne USB-Geräte selektiv zuzulassen, indem Sie diese von der Zugriffskontrolle ausschließen (siehe auch die Abschnitte 'Positivliste für Gerätetypen und 'Positivliste für USB-Geräte').

Wenn Zugriffe auf ein Gerät sowohl über dessen Typ als auch über dessen Schnittstelle kontrolliert werden, haben die Zugriffseinschränkungen auf der Schnittstellenebene Vorrang. Wenn beispielsweise Zugriffe auf USB-Ports (als Geräteschnittstelle) verboten sind, werden Zugriffe auf Mobilgeräte, die per USB angeschlossen sind, grundsätzlich unterbunden – und das auch dann, wenn Zugriffe auf Mobilgeräte an sich (als Gerätetyp) erlaubt sind. Um Zugriffe auf ein solches Gerät zu erlauben, müssen Sie sowohl dessen Schnittstelle als auch dessen Typ zulassen.

Wenn der unter macOS verwendete Schutzplan Einstellungen für Gerätetypen enthält, die nur unter Windows unterstützt werden, dann werden die entsprechenden Einstellungen für diese Gerätetypen unter macOS ignoriert.

Wenn ein Wechsellaufwerk, ein verschlüsseltes Wechsellaufwerk, ein Drucker oder ein Bluetooth-Gerät an einen USB-Port angeschlossen ist und es Zugriffseinschränkung auf USB-Schnittstellenebene gibt, so werden diese außer Kraft gesetzt, wenn Zugriffe auf eines dieser Geräte zugelassen werden. Wenn Sie also den entsprechenden Gerätetyp zulassen, werden alle Zugriffe auf das jeweilige Gerät auch dann erlaubt, wenn Zugriffe auf USB-Ports untersagt sind.