Alle Referenzen
Sicherheit

Client-Software für ein hardwarebasiertes USB-Malware-Bereinigungsgerät

Der Endpoint-Agent und der Management-Server, mit denen ein hardwarebasiertes USB-Bereinigungsgerät sich flottenweit durchsetzt — kein ungeprüfter Datenträger öffnet sich.

100%der USB-Medien vor dem Mounten geprüft

Auf einen Blick

  • Bereich: Sicherheit — Kontrolle von Wechselmedien (USB)
  • Unsere Rolle: Wir haben den Endpoint-Agenten und den zentralen Management-Server für ein hardwarebasiertes USB-Bereinigungsgerät gebaut
  • Technik: Windows-Dienst + ASP.NET-Core-Management-Server (gRPC, TLS), X.509-basiert — vollständig auditierbar, im Eigentum des Kunden

Die Herausforderung

Der USB-Port ist einer der ältesten Wege, auf denen Schadsoftware in ein sicheres Netz gelangt: ein einziger ungeprüfter Stick, in einen Rechner gesteckt, kann eine Infektion an jeder Firewall vorbeitragen. Spezialhardware kann ein Laufwerk an einem Kiosk prüfen und bereinigen — doch das hilft nur, wenn die Leute ihn auch nutzen. Nichts hindert jemanden daran, den Kiosk zu umgehen und einen ungeprüften Stick direkt in eine Workstation zu stecken.

Um diese Lücke zu schließen, darf die Bereinigung nicht optional sein. Sie muss an jedem Endpunkt erzwungen werden — und über die gesamte Geräteflotte hinweg verwaltet, nicht PC für PC konfiguriert.

Der Ansatz

RaulWalter hat die Software gebaut, die aus einem eigenständigen Bereinigungsgerät eine flottenweite Durchsetzung macht:

  • einen Endpoint-Agenten — einen Windows-Dienst auf jedem geschützten PC, der jedes USB-Massenspeichergerät im Moment des Einsteckens abfängt, es zunächst privat einbindet und dem Nutzer erst freigibt, nachdem er die abgesetzte Signatur des Geräts geprüft und jede Datei gegen ein signiertes SHA-512-Manifest abgeglichen hat — nichts hinzugefügt, geändert oder gelöscht. Alles Unsignierte, Unbekannte oder Manipulierte wird sofort wieder ausgehängt;
  • einen zentralen Management-Server — einen ASP.NET-Core-Dienst mit Web-Konsole und gRPC-Schnittstelle, der die Agenten-Flotte verwaltet und ihre Protokolle über TLS sammelt, gebunden an das jeweils eigene X.509-Zertifikat des Geräts;
  • gebaut nach den Bedingungen des Kunden: der Code ist vollständig auditierbar, gehört dem Kunden und hängt von nichts Proprietärem außer Windows ab.

Das Ergebnis

Auf einem geschützten PC öffnet sich ein USB-Laufwerk schlicht nicht, solange das Gerät es nicht bereinigt und signiert hat — und es noch genau so ist, wie es signiert wurde.

  • 100 % der eingesteckten USB-Medien geprüft, bevor das Einbinden erlaubt wird
  • Unsignierte, unbekannte oder manipulierte Medien automatisch am Port blockiert
  • Integrität je Datei — jede Datei gegen ein signiertes SHA-512-Manifest geprüft, mit erst privatem, dann öffentlichem Einbinden, sodass der Nutzer nie ungeprüfte Medien berührt
  • Zentral verwaltet und protokolliert über die gesamte Flotte von einem einzigen Server
  • Auditierbarer, dem Kunden gehörender Code, ohne proprietäre Abhängigkeiten außer Windows
Nächstes Projekt

Digitales Vertrauen über Grenzen hinweg im Westbalkan

Sechs Westbalkan-Volkswirtschaften zur gegenseitigen Anerkennung von Vertrauensdiensten führen — nach dem eIDAS-Modell, als eine Region, in Richtung EU.

Ansehen