Verhindern von Datenverlust
Mit den Funktionen zum Schutz vor Datenverlust (DLP) in ShareFile können Sie den Zugriff und die gemeinsame Nutzung auf der Grundlage der in einer Datei enthaltenen Inhalte einschränken.
Sie können die in Ihre Speicherzone hochgeladenen Dokumente mit jeder DLP-Sicherheitssuite eines Drittanbieters scannen, die ICAP, ein Standardnetzwerkprotokoll für das Scannen von Inline-Inhalten, unterstützt. Anschließend passen Sie die Freigabe- und Zugriffsrechte auf der Grundlage der Ergebnisse des DLP-Scans und Ihrer Einstellungen an, wie streng Sie den Zugriff kontrollieren möchten.
Unterstützte DLP-Systeme
Der StorageZones Controller verwendet das ICAP-Protokoll für die Interaktion mit DLP-Lösungen von Drittanbietern. Die Verwendung von ShareFile mit einer vorhandenen DLP-Lösung erfordert keine Änderungen an vorhandenen Richtlinien oder Servern. Möglicherweise möchten Sie jedoch ICAP-Server für die Verarbeitung von ShareFile-Daten bereitstellen, wenn Sie mit einer erheblichen Belastung rechnen.
Zu den beliebten ICAP-konformen DLP-Lösungen gehören:
- Schutz vor Datenverlust durch Symantec
- McAfee DLP Prevent
- Websense TRITON AP-DATA
Da ShareFile Ihre bestehende DLP-Sicherheitssuite verwendet, können Sie eine zentrale Richtlinienverwaltung für Dateninspektionen und Sicherheitswarnungen verwalten. Wenn Sie bereits eine der vorherigen Lösungen verwenden, um ausgehende E-Mail-Anhänge oder Web-Traffic nach vertraulichen Daten zu durchsuchen, können Sie den ShareFile Storage Zones Controller auf denselben Server verweisen. Für diese bestehenden DLP-Systeme unterstützen wir auch sicheres ICAP (ICAPS), sofern das zugrunde liegende DLP-System selbst ICAPS unterstützt.
DLP aktivieren
Führen Sie die folgenden drei Aktionen aus, um DLP für ShareFile und StorageZones Controller zu aktivieren:
- Aktivieren Sie DLP-Funktionen in Ihrem ShareFile-Konto.
- Aktivieren Sie DLP auf Ihrem StorageZones Controller-Server.
- Konfigurieren Sie die zulässigen Aktionen für jede Dateiklassifizierung.
Diese Aktionen werden in den folgenden Abschnitten ausführlich beschrieben.
Aktivieren Sie DLP-Funktionen in Ihrem ShareFile-Konto
Um anzufordern oder zu bestätigen, dass Ihre ShareFile-Unterdomäne für DLP aktiviert ist, senden Sie eine Anfrage an den Citrix Support.
Bei einigen Konten erfordert die Aktivierung von DLP möglicherweise auch die Aktivierung einer neueren Benutzererfahrung für die ShareFile-Website. Nachdem Ihr Konto für DLP aktiviert wurde, können Sie mit der Aktivierung von DLP auf Ihrem StorageZones Controller-Server fortfahren.
Aktivieren Sie DLP auf Ihrem StorageZones Controller-Server
Gehen Sie wie folgt vor, um die DLP-Einstellungen in Ihrer StorageZones Controller-Bereitstellung zu konfigurieren:
- Installieren Sie den StorageZones Controller 5.3 oder höher oder führen Sie ein Upgrade auf diesen durch.
- Klicken Sie in der Storage Zones Controller-Konsole
http://*localhost*/configservice/login.aspx
auf die Registerkarte ShareFile-Daten . Klicken Sie auf Ändern, falls die Zone existiert. -
Markieren Sie das Kontrollkästchen DLP-Integration aktivieren und geben Sie die ICAP-Adresse Ihres DLP-Servers in das Feld ICAP REQMOD URL ein. Das Adressformat ist:
icap://<*name or IP address of your DLP server*>:<*port*>/reqmod OR *icaps://\<name or IP address of your DLP server\>:\<port\>/reqmod* The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP). For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field: icap://*dlp-server.example.com*:1344/reqmod OR *icaps://dlp-server.example.com:11344/reqmod* <!--NeedCopy-->
- Klicken Sie auf Speichern oder Registrieren.
Nachdem Sie DLP aktiviert haben, überprüfen Sie, ob der DLP-Server erreichbar ist, indem Sie auf der Registerkarte Überwachung den Eintrag DLP-ICAP-Serverstatus überprüfen.
Zugriff auf der Grundlage von DLP-Scanergebnissen kontrollieren
Nachdem DLP auf dem Konto- und Speicherzonencontroller aktiviert wurde, wird jede Version jeder Datei, die in die DLP-fähige Speicherzone hochgeladen wurde, auf vertrauliche Inhalte gescannt. Die Ergebnisse des Scans werden in der ShareFile-Datenbank als Datenklassifizierung gespeichert.
DLP-Einstellungen schränken die normalen Berechtigungen und Freigabekontrollen ein, die für Dateien auf der Grundlage ihrer DLP-Klassifizierung verfügbar sind. Beim Teilen eines Dokuments kann sich ein Benutzer immer noch dafür entscheiden, den anonymen Zugriff zu blockieren, selbst wenn die DLP-Einstellungen es ihm ermöglichen würden, es anonym zu teilen. Wenn der Benutzer jedoch versucht, eine Datei auf eine Weise freizugeben, die gegen die DLP-Einstellungen verstoßen würde, verhindert ShareFile, dass er dies tut.
Die Datenklassifizierungen sind:
- Gescannt: OK — Dateien, die von einem DLP-System gescannt wurden und als OK bestanden haben.
- Gescannt: Abgelehnt — Dateien, die von einem DLP-System gescannt wurden und bei denen festgestellt wurde, dass sie vertrauliche Daten enthielten.
- Ungescannt — Dateien, die nicht gescannt wurden.
Die Klassifizierung “ Nicht gescannt “ gilt für alle Dokumente, die in von Citrix verwalteten Speicherzonen oder anderen Speicherzonen gespeichert sind, in denen DLP nicht aktiviert ist. Die Klassifizierung gilt auch für Dateien in den DLP-fähigen Speicherzonen, die vor der Konfiguration von DLP hochgeladen wurden. Die Klassifizierung gilt auch für Dateien, die darauf warten, gescannt zu werden, weil das externe DLP-System nicht verfügbar ist oder nur langsam reagiert.
Die Klassifizierung jedes Elements wird durch die Antwortregel des ICAP-Servers bestimmt. Wenn der DLP-ICAP-Server mit der Meldung antwortet, dass der Inhalt blockiert oder entfernt werden sollte, wird die Datei als Gescannt:Abgelehnt markiert. Andernfalls wird die Datei als Gescannt markiert: OK.
Für jede Datenklassifizierung können Sie unterschiedliche Zugriffs- und Freigabebeschränkungen festlegen. Für jede der drei Kategorien wählt der ShareFile-Administrator aus, welche Aktionen zugelassen werden sollen:
- Mitarbeiter können die Datei herunterladen oder teilen.
- Client-Benutzer von Drittanbietern können die Datei herunterladen oder teilen. Die gemeinsame Nutzung von Clients ist standardmäßig deaktiviert, kann aber unter Admin > Erweiterte Einstellungen > Kunden das Teilen von Dateien ermöglichenaktiviert werden.
- Anonyme Benutzer können die Datei herunterladen
Wenn ein Benutzer eine Datei teilt, können nur Benutzer mit Download-Rechten die Datei empfangen. Wenn Sie die Freigabeberechtigung für eine Datenklassifizierung aktivieren, müssen Sie daher mindestens einer Klasse von Benutzerberechtigungen zum Herunterladen gewähren.
So konfigurieren Sie DLP-Einstellungen in ShareFile
- Klicken Sie in der ShareFile-Weboberfläche auf Admin > Schutz vor Datenverlust.
- Ändern Sie die Option für Zugriff auf Dateien anhand ihres Inhalts einschränken aufJa.
- Konfigurieren Sie die zulässigen Aktionen für jede Datenklassifizierung.
Wichtig:
Das ShareFile On-Demand Sync On-Demand-Sync-Tool benötigt Downloadberechtigungen für den normalen Betrieb. Ermöglichen Sie Mitarbeiterdownloads für alle Inhaltsklassifizierungen, wenn Ihre Bereitstellung ShareFile On-Demand Sync beinhaltet.
Wenn der StorageZones Controller eine Datei an das DLP-System sendet, enthält sie Metadaten, die den Besitzer der Datei angeben. Die Datei enthält auch den Ordnerpfad, in dem sich die Datei in ShareFile befindet. Diese Informationen ermöglichen es dem DLP-Serveradministrator, ShareFile-spezifische Details zu Dateien einzusehen, die vertrauliche Inhalte enthalten.
Erweiterte Einstellungen für DLP
Um den DLP-Scanvorgang anzupassen, bearbeiten Sie die Einstellungsdatei auf Ihrem StorageZones Controller unter wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config
. In der folgenden Tabelle werden alle Einstellungen im Zusammenhang mit DLP beschrieben.
Einstellung | Beschreibung | Standardwert |
---|---|---|
scan-interval | Wie oft der DLP-Dienst die DLP-Warteschlange auf neue Dateien überprüft und diese zur Verarbeitung an den DLP-ICAP-Server sendet. | 30 Sekunden |
icap-response-timeout | Wie lange der StorageZones Controller auf eine ICAP-Antwort wartet, bevor er den ICAP-Server als nicht verfügbar markiert. | 30 Sekunden |
icap-exclude-extensions | Durch Kommas getrennte Liste von Erweiterungen, die vom DLP-Scan ausgeschlossen werden sollen. Der DLP-Server verarbeitet keine Dateien, deren Namen auf eine dieser Erweiterungen enden, sondern markiert die Dateien als Gescannt: OK. Beispielwert: exe, jpg, bin, mov | Ohne |
icap-max-file-size-bytes | Maximale Größe der Datei (in Byte), die zur Verarbeitung an den DLP-Server gesendet werden soll. Ein Wert von 0 bedeutet, dass es kein Maximum gibt und alle Dateigrößen gesendet werden. Bei einer Konfiguration mit einem Wert ungleich Null verarbeitet der DLP-Server keine Dateien, die die konfigurierte Größe überschreiten, sondern sind als Gescannt: OK gekennzeichnet. | 31457280 (30 MB) |
x-queue-items-to-process | Die maximale Anzahl von Elementen in der Warteschlange, die pro Scanintervall-Iteration gescannt werden sollen. Verringern Sie diesen Wert, um die Auswirkungen auf Ihren DLP-Server zu verringern, wenn der StorageZone eine große Anzahl von Dateien hinzugefügt wird. | 512 |
max-queue-processing-threads | Maximale Anzahl gleichzeitiger Prozessor-Threads, die verwendet werden, um die DLP-Scan-Warteschlange zu leeren. Stellen Sie diesen Wert auf der Grundlage der maximal zulässigen Anzahl gleichzeitiger Verbindungen zu Ihrem ICAP-Server ein. Es sollte innerhalb angemessener Grenzen liegen, um zu vermeiden, dass andere Netzwerkdienste blockiert werden, die denselben ICAP-Server verwenden. | 4 |
Icap-reqmod-http-request-verb | Standardmäßig werden Netzwerkanrufe mit dem PUT-Verb getätigt. Sie können diese Einstellung bei Bedarf in POST ändern. | PUT |
DLPExistingFiles tool
Der ShareFile Storage Zones Controller bietet Optionen zur Integration des Storage Centers mit Anbietern von Data Loss Prevention (DLP) über ICAP.
ICAP-Dienste arbeiten jedoch in Warteschlangen, die nur mit neu erstellten Dateien gefüllt werden. Das bedeutet, dass Dateien, die vor der Aktivierung von ICAP in einer Zone vorhanden waren, von den Diensten nicht gescannt werden. Dieses Tool hilft dabei, diese Dateien für den Scan in die Warteschlange zu stellen, und kann auch gescannte Dateien für ein erneutes Scannen in die Warteschlange stellen.
Wie der Name schon sagt, funktioniert das Tool nur für den DLP-ICAP-Dienst.
Anforderungen
Das Tool ist ein PowerShell-Skript und benötigt daher PowerShell, um ausgeführt zu werden. PsExec oder ein ähnliches Tool wird ebenfalls benötigt, da das Skript als Netzwerkdienst ausgeführt werden muss, um auf den Netzwerk-Share-Standort zuzugreifen.
Standort
Für einen installierten StorageZones Controller finden Sie das Tool unter <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1
. Das Installationsverzeichnis des Storage Zones Controllers ist standardmäßig C:\inetpub\wwwroot\Citrix\StorageCenter
.
Überlegungen vor der Ausführung des Tools
Abhängig von den folgenden Faktoren muss das Tool möglicherweise mehrmals für einen einzelnen Vorgang ausgeführt werden.
- Die Beschränkungen sahen die Begrenzung der Warteschlangengröße vor.
- Die Anzahl der Elemente für die angegebenen Kriterien. Diese Überlegung trifft zu, es sei denn, das Limit für die Warteschlangengröße ist auf Null oder weniger festgelegt. In diesem Fall geht das Tool von einer maximalen Größe von 200.000 Elementen im Warteschlangenverzeichnis aus.
Wenn das Tool beispielsweise verwendet wird, um ungescannte Elemente in die Warteschlange einzureihen, ist das Limit für die Warteschlangengröße auf 500 Elemente festgelegt. Wenn mehr als 500 nicht gescannte Artikel vorhanden sind, stoppt das Tool, nachdem 500 Artikel in der Warteschlange aufgefüllt wurden. Um zu verfolgen, wo es aufgehört hat, speichert das Tool das Erstellungsdatum des zuletzt abgerufenen Elements. Das Tool speichert das Datum in einer temporären Datei unter <storage zones controller installation location>
\SC mit dem Namen DLPExistingFiles-enddate.temp.
Vor jedem Lauf sucht das Tool nach dieser Datei. Wenn die Datei vorhanden ist, verwendet das Tool das darin enthaltene Erstellungsdatum als Markierung für den nächsten Stapel von Dateien. Das Tool löscht die temporäre Datei nicht, wenn ein bestimmter Vorgang abgeschlossen ist. Stattdessen kann der Zonenadministrator die Datei löschen, sobald alle Batches für einen bestimmten Vorgang abgeschlossen sind. Aufgrund dieser Situation sollte die temporäre Datei, falls vorhanden, nach Abschluss eines vollständigen Vorgangs manuell entfernt werden, bevor ein anderer Vorgang ausgeführt wird.
Das Tool mit PsExec ausführen
Öffnen Sie ein Befehlsfenster und führen Sie PsExec mit dem folgenden Befehl aus.
PsExec.exe -i -u "nt authority\network service"
"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->
Dadurch wird PowerShell als Netzwerkdienst geöffnet. Um zu überprüfen, ob es tatsächlich als Netzwerkdienst läuft, führen Sie whoami aus und überprüfen Sie das Ergebnis.
Sobald PowerShell geöffnet ist, führen Sie das Tool dort direkt aus, um alle erforderlichen Aufgaben auszuführen.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->
Befehlszeilenoptionen
Für die Ausführung des Tools stehen die folgenden Optionen zur Verfügung:
-
-runscan (Erforderlich): Diese Option wird verwendet, um anzugeben, welche Art von Dateien zum Scannen in die Warteschlange gestellt werden sollen. Unteroptionen:
- Ungescannt: Ungescannte Dateien. Zum Beispiel Dateien aus der Zeit vor DLP, die nicht gescannt wurden.
- ScannedOK: Gescannte Dateien, die als sauber markiert wurden.
- ScannedRejected: Gescannte Dateien, die als nicht sauber markiert wurden.
- Scanned: Alle gescannten Dateien.
- -queueLimit (optional): Diese Option wird verwendet, um die Anzahl der Elemente anzugeben, die in der Warteschlange zulässig sind, bevor das Tool beendet wird.
- -date (optional): Das maximale Erstellungsdatum der Elemente, die zum Scannen in die Warteschlange gestellt werden sollen. Wenn das Datum beispielsweise als “10/30/2017 11:30 AM” angegeben ist, werden nur die Dateien, die vor diesem Datum/dieser Uhrzeit erstellt wurden, zum Scannen in die Warteschlange gestellt.
Beispiele:
Öffnen Sie für alle Beispiele PowerShell als Netzwerkdienst über PsExec. Anweisungen finden Sie in den Schritten weiter oben in diesem Artikel.
Führen Sie den folgenden Befehl aus, um nicht gescannte Elemente in einer Zone in eine Warteschlange zu stellen.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->
Führen Sie den folgenden Befehl aus, um alle gescannten Elemente innerhalb einer Zone mit einem Warteschlangenlimit von 100 in die Warteschlange zu stellen.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->
Führen Sie den folgenden Befehl aus, um alle gescannten Elemente, die am 30.10.2017 vor 11:30 Uhr erstellt wurden und die folgenden Merkmale aufweisen: Als sauber markiert, in einer Zone mit einem Warteschlangenlimit von 200 in die Warteschlange aufzunehmen.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->
DLP deaktivieren
Gehen Sie wie folgt vor, um DLP für ShareFile und den StorageZones Controller zu deaktivieren:
- Melden Sie sich bei Ihrem Sharefile-Konto an und klicken Sie auf Einstellungen.
- Wählen Sie in der sich öffnenden Dropdownliste die Option Admin-Einstellungen aus.
- Klicken Sie in dem sich öffnenden Menü auf Sicherheit.
- Wählen Sie im Menü Sicherheit die Option Prävention vor Datenverlust.
- Gehen Sie auf dem DLP-Bildschirm zum Abschnitt Zugriff auf Dateien anhand ihres Inhalts einschränken und klicken Sie auf Nein.
- Wählen Sie Speichern.
In diesem Artikel
- Unterstützte DLP-Systeme
- DLP aktivieren
- Aktivieren Sie DLP-Funktionen in Ihrem ShareFile-Konto
- Aktivieren Sie DLP auf Ihrem StorageZones Controller-Server
- Zugriff auf der Grundlage von DLP-Scanergebnissen kontrollieren
- Erweiterte Einstellungen für DLP
- DLPExistingFiles tool
- Befehlszeilenoptionen
- DLP deaktivieren