DLP (Data Leak Prevention) aktivieren und konfigurieren

DLP-funktionalität:

  • Verhindern von Bluetooth-geräteverbindungen;
  • Konfigurierbare Sperrung von USB-Sticks und externen Festplatten;
  • Sperren von Geräten, die über das MTP-Protokoll verbunden sind (z. B. Smartphones, Kameras, Media-Player);
  • Deaktivieren des Schreibens auf CD/DVD-Laufwerke;
  • Verhindern unbefugter Änderungen oder des Entfernens des StaffCounter-agents;
  • Kontrollierte Sperrung von Dateiuploads auf externe Ressourcen;
  • Einschränken des Zugriffs auf freigegebene Ordner im lokalen Netzwerk;
  • Sperren des Downloads und der Ausführung von Anwendungen aus dem Internet oder von externen Geräten.

So aktivieren Sie die sicherheitsfunktionen

Nach der Registrierung auf unserem Server und der Installation des StaffCounter-agents öffnen Sie die Einstellungsseite und scrollen Sie nach unten zum Bereich DLP.

DLP-Einstellungen in StaffCounter

Konfiguration

Zugriff auf Bluetooth-geräte deaktivieren

Aktivieren Sie die Option „Dateiversand per Bluetooth deaktivieren“.
Sobald diese aktiviert ist, wird der Datentransfer von und zu Bluetooth-Geräten blockiert.

Anpassbarer Zugriff auf USB-laufwerke

Verwenden Sie das Feld USB-Sticks und Festplatten nach Seriennummer steuern, um Zugriffsregeln basierend auf der Seriennummer (SN), der Vendor ID (VID) und der Product ID (PID) eines Geräts zu erstellen.
Um diese Werte zu finden, verwenden Sie das Dienstprogramm ChipGenius.

Regelformat:
VID:PID:SN=''/r/w

  • Das Symbol * bedeutet „alle“ — nützlich, wenn die Seriennummer allein zur Identifizierung ausreicht.
  • Ein leerer Wert nach = bedeutet, dass kein Zugriff (Lesen, Schreiben oder Formatieren) erlaubt ist.

Beispiele:
*:*:SN=rw — Lese- und Schreibzugriff nur für die angegebene Seriennummer erlauben.
*:*:SN=r — Nur Lesen erlauben; Schreiben wird blockiert.
*:*:*= — Alle Aktionen für alle Geräte blockieren.
*:*:*=r — Lesen für alle Geräte erlauben, Schreiben blockieren.
*:*:*=rw — Voller Zugriff auf alle Geräte (keine Einschränkungen).
Hinweis: Der r (schreibgeschützte) Modus verhindert nicht das Löschen oder Formatieren von Dateien. Mit Vorsicht verwenden.

Über MTP-protokoll verbundene Geräte blockieren

Aktivieren Sie die Option „Zugriff auf per USB verbundene Smartphones und Kameras blockieren“.
Dies verhindert den Datentransfer zu Geräten wie Telefonen, Kameras und Media-Playern, die über USB verbunden sind. Auf diese Geräte kann weder lesend noch schreibend zugegriffen werden.

Schreiben auf CD/DVD-laufwerke deaktivieren

Aktivieren Sie die Option „Dateischreiben auf DVD-Brenner deaktivieren“.
Dies blockiert das Schreiben auf CDs und DVDs, sowohl über den Dateiexplorer als auch über spezielle Brennsoftware.

Kontrollierte Sperrung von Dateiuploads auf externe Ressourcen

Aktivieren Sie „Daten-Upload mit folgenden Browsern deaktivieren“.
Geben Sie im Regelfeld einen oder mehrere unterstützte Browser ein, getrennt durch Semikolons ohne Leerzeichen:

  • chrome – Google Chrome
  • explore – Internet Explorer / Microsoft Edge
  • firefox – Mozilla Firefox
  • skype – Skype (Dateiübertragung)

Beispiel: chrome;explore;firefox;skype
Dateiuploads über die ausgewählten Browser werden blockiert.

Zugriff auf freigegebene Ordner im lokalen Netzwerk verhindern

Aktivieren Sie die Option „Zugriff auf alle freigegebenen Ordner blockieren“.
Dies verhindert das Schreiben in freigegebene Ordner im lokalen Netzwerk (einschließlich FTP). Das Lesen von Dateien bleibt erlaubt.

Herunterladen und Ausführen von Anwendungen blockieren

Aktivieren Sie „Download von Anwendungen aus dem Web deaktivieren“.
Diese Funktion blockiert:

  • Das Herunterladen von ausführbaren Dateien aus dem Internet;
  • Das Entpacken von Installationsprogrammen aus Archiven;
  • Die Installation neuer Software.

Es verhindert auch das unbefugte Entfernen des StaffCounter-Agents. Um das Programm zu deinstallieren, müssen Sie diesen Schutz zuerst deaktivieren.

Wichtige hinweise:

  1. Nur Benutzer mit Zugriff auf das StaffCounter-Control-Panel können DLP-Einstellungen ändern. Reguläre Benutzer — selbst solche mit Administratorrechten — können diesen Schutz nicht ändern oder deaktivieren.
  2. Bevor Sie StaffCounter deinstallieren, müssen Sie den DLP-Schutz deaktivieren; andernfalls wird die Deinstallation blockiert.
  3. Stellen Sie bei der Installation des Agents auf Windows 7 oder Windows Server 2008 sicher, dass die neuesten Sicherheitsupdates installiert sind, einschließlich des Patches, auf den im Microsoft Security Advisory verwiesen wird.
  4. Nach dem Aktivieren oder Deaktivieren einer DLP-Option speichern Sie die Einstellungen und starten Sie den Zielcomputer neu, damit die Änderungen wirksam werden.