Agent und Überwachung des Mitarbeitercomputers
Der Agent ist ein Modul von Ewida Audit. Er ist für die Überwachung der Computer von Mitarbeitern, laufende Audits und einige Funktionen im Zusammenhang mit der Arbeit im Firmennetzwerk zuständig. Alles funktioniert in einer Weise, die typisch für eine Windows-Desktop-Anwendung und ihre auf Arbeitsstationen und in der lokalen Infrastruktur installierten Module ist.
Um die Monitoring-Einstellungen des Agenten zu konfigurieren, öffnen Sie Programmeinstellungen und wählen Sie links die Registerkarte Agent. Hier legen Sie fest, wie das Monitoring funktioniert, einschließlich Zeitplänen, Ausnahmen und Blockierungsregeln.
Installation
Die Registerkarte Installation dient vor allem zu Informationszwecken. Sie zeigt den aktuellen Status des Agent Servers und die grundlegenden Informationen zu den Agent-Modulen, die bei der Konfiguration der Umgebung berücksichtigt werden sollten, zum Beispiel in Firewall-Regeln.
Bevor das eigentliche Monitoring startet, sollten Sie sicherstellen, dass die Kommunikation zwischen Agent, Agent Server und Konsole korrekt funktioniert. Andernfalls werden einige Daten möglicherweise nicht wie erwartet übertragen oder aktualisiert.
Allgemeine Einstellungen
Agent-Symbol auf dem überwachten Computer anzeigen
Diese Option aktiviert das Agent-Symbol im Infobereich des überwachten Computers. So kann der Benutzer sehen, dass der Agent läuft, und prüfen, ob das Monitoring aktuell aktiv ist. Das ist besonders nützlich, wenn das Unternehmen möchte, dass das Monitoring für Mitarbeiter klar sichtbar ist.
Monitoring-Informationen für den Benutzer anzeigen
Diese Einstellung steuert eine zusätzliche Meldung, die den Benutzer darüber informiert, wann das Monitoring beginnt und endet. Wenn das Ziel darin besteht, dass die Tätigkeit des Agenten für den Benutzer vollständig sichtbar ist, sollten beide Optionen aktiviert bleiben. Wenn das Monitoring ohne Meldungen und ohne Symbol laufen soll, müssen beide Einstellungen deaktiviert werden.
Abrufen von Monitoring-Daten vom Server
Wenn Ewida Audit gestartet wird, kommuniziert es mit dem Agent Server und ruft die aktuellen Logs ab. In den Einstellungen können Sie festlegen, in welchem Intervall die laufende Anwendung die Daten erneut vom Server liest.
Pflege der Monitoring-Daten
Mit dieser Option legen Sie fest, wie lange Logs aufbewahrt werden. Das Programm führt die Pflege beim Start automatisch aus und entfernt ältere Einträge entsprechend den ausgewählten Einstellungen. Es lohnt sich, diesen Zeitraum sorgfältig festzulegen, damit Sie den tatsächlich benötigten Verlauf behalten, ohne unnötig zusätzliche Daten zu sammeln.
Zeitplan für Monitoring und Scans
Zeitplan für Scans
Der Agent kann nicht nur Monitoring durchführen, sondern auch regelmäßige Computer-Scans, also Audits. Der Zeitplan kann vollständig deaktiviert werden, sodass Scans nur manuell über die Konsole gestartet werden. Wenn das Unternehmen die Daten jedoch regelmäßig aktualisieren möchte, können Sie festlegen, wie viele Tage zwischen den Scans vergehen sollen und zu welcher Uhrzeit ein Scan starten soll.
Zeitplan für Monitoring
Auch die Überwachung des Mitarbeitercomputers kann nach einem Zeitplan erfolgen. Sie können die Wochentage sowie die Start- und Endzeiten des Monitorings festlegen. Das ist eine praktische Lösung, wenn das Monitoring nur während bestimmter Arbeitszeiten laufen soll, zum Beispiel von 9:00 bis 17:00 Uhr.
Zeitpläne erleichtern es, die Arbeitsweise des Agenten an die Regeln des Unternehmens anzupassen und die Datenerfassung auf Zeiträume zu begrenzen, in denen sie tatsächlich benötigt wird.
Blockierte Anwendungen
In diesem Abschnitt können Sie eine schwarze Liste von Anwendungen erstellen, die vom Agenten automatisch blockiert werden sollen. Der Mechanismus basiert auf Filtern für Programmdetails. Je mehr identifizierende Daten Sie angeben, desto präziser wird die Regel angewendet.
Sie können auch nur den Hersteller angeben, wenn das Ziel darin besteht, eine ganze Gruppe von dessen Produkten zu blockieren. Auf diese Weise lässt sich der Detailgrad der Regeln an die tatsächlichen Anforderungen des Unternehmens anpassen.
Benutzermeldung nach dem Blockieren einer Anwendung
Nach dem Blockieren einer Anwendung kann dem Benutzer eine Informationsmeldung angezeigt werden. Der Inhalt dieser Meldung lässt sich konfigurieren, sodass er leicht an Unternehmensregeln oder Sicherheitsrichtlinien angepasst werden kann.
Ausgeschlossene Hosts
Auf der Registerkarte für ausgeschlossene Hosts können Sie Computer angeben, für die die oben genannten Blockierungsregeln nicht gelten. Das ist zum Beispiel für administrative, Test- oder Service-Arbeitsstationen nützlich.
Prozessüberwachung
Allgemein
Die allgemeinen Einstellungen in diesem Abschnitt helfen dabei, ein sinnvolles Gleichgewicht zwischen Messgenauigkeit und den Auswirkungen des Monitorings auf die Computerleistung zu finden. Je nach Anforderungen können Sie entweder mehr Detailtiefe oder einen leichteren Betriebsmodus wählen.
Prozessklassifizierung
Prozesse können gruppiert werden, damit Logs und Berichte besser lesbar sind. So können zum Beispiel Browserprozesse der Gruppe Internet zugeordnet werden, während arbeitsbezogene Werkzeuge der Gruppe Arbeit zugewiesen werden können. Diese Aufteilung erleichtert die spätere Analyse.
Ausgeschlossene Prozesse
In diesem Teil können Sie festlegen, welche Prozesse ignoriert werden sollen. Das betrifft häufig Windows-Systemprozesse oder Anwendungen, deren Überwachung in einer bestimmten Organisation keine aussagekräftigen Informationen liefert.
Ausgeschlossene Hosts
Wie in anderen Abschnitten können Sie auch hier Hosts festlegen, die von diesen Einstellungen ausgeschlossen sind.
USB-Monitoring, Autorisierung und Medienblockierung
Die Einstellungen in diesem Abschnitt betreffen die Überwachung von USB-Geräten sowie Regeln zur Autorisierung und Blockierung von Datenträgern. Das ist ein wichtiger Bereich überall dort, wo das Unternehmen die Nutzung von USB-Sticks und anderen externen Speichergeräten kontrollieren möchte.
Eine ausführliche Beschreibung dieses Themas finden Sie in einem separaten Artikel: Blockieren von USB-Laufwerken und USB-Ports in Ewida Audit.
Druckerüberwachung
In diesem Abschnitt können Sie die Überwachung von Druckern vollständig deaktivieren oder Gerätenamen angeben, die ignoriert werden sollen. Das ist nützlich, wenn bestimmte Drucker nicht in den Logs erscheinen sollen oder aus Sicht des Monitorings nicht relevant sind.
Ausgeschlossene Hosts
Auf der Registerkarte für ausgeschlossene Hosts können Sie Computer angeben, die nicht von diesen Einstellungen erfasst werden. So lassen sich die Regeln gezielt anwenden, ohne sie auf alle Arbeitsstationen auszudehnen.
Geräteüberwachung (WMI)
Die Geräteüberwachung basiert auf einem schnellen Scan der Computergeräte und -komponenten beim Start des Agenten. Der Mechanismus verwendet WMI-Klassen und ermöglicht es, Änderungen an der Hardwarekonfiguration zu erkennen, ohne jedes Mal ein vollständiges Audit auszuführen.
Der Standardumfang der gescannten Geräte wird aus den Audit-Einstellungen übernommen. Sie können außerdem ausgewählte WMI-Klassen ausschließen, wenn deren Überwachung nicht erforderlich ist oder in einer bestimmten Umgebung zu viele Daten erzeugt.
Ausgeschlossene Hosts
Auch hier können Sie Hosts angeben, die nicht unter diese Einstellungen fallen sollen.
Überwachung von Softwareinstallationen
Dieser Abschnitt ist für die Erfassung von Änderungen bei der Installation und Deinstallation von Software zuständig. Dadurch lässt sich nachvollziehen, wann neue Software auf überwachten Computern erscheint oder wann sie entfernt wird.
Ausgeschlossene Software
Sie können eine Liste von Filtern erstellen, die bestimmte Programme von der Überwachung von Installationen und Deinstallationen ausschließen. Das ist nützlich, wenn manche Änderungen keine betriebliche Relevanz haben oder Komponenten betreffen, die das Unternehmen nicht in den Logs erfassen möchte.
Ausgeschlossene Hosts
Wie in anderen Konfigurationsbereichen können Sie auch hier Hosts angeben, die von diesen Regeln ausgeschlossen sind.
Wie Sie an die Konfiguration des Agenten herangehen
Am besten führen Sie die Monitoring-Einstellungen schrittweise ein. Zu Beginn lohnt es sich, die grundlegenden Funktionen zu aktivieren, die Qualität der Daten zu prüfen und den Umfang des Monitorings erst danach auf zusätzliche Bereiche wie Anwendungsblockierung, USB oder Internet-Monitoring zu erweitern.
Dieser Ansatz erleichtert die Beurteilung, welche Daten tatsächlich benötigt werden und welche nur die Zahl der Logs erhöhen, ohne einen realen betrieblichen Mehrwert zu bringen. In einer Windows-Desktop-Umgebung, in der der Agent direkt auf Arbeitsstationen läuft, hat eine gut gewählte Konfiguration großen Einfluss sowohl auf die Klarheit der Ergebnisse als auch auf die einfache Administration.
Zusammenfassung
Mit den Einstellungen des Agenten in Ewida Audit lässt sich das Monitoring an die Regeln eines bestimmten Unternehmens anpassen. Sie können Zeitpläne, den Umfang der gesammelten Daten, Ausnahmen, Anwendungsblockierung sowie die Überwachung von Änderungen an Software und Hardware steuern.
Dadurch kann Ewida Audit sowohl als Werkzeug für laufende Audits als auch als Teil einer kontinuierlichen Überwachung von Mitarbeitercomputern eingesetzt werden, sofern die Konfiguration gut an die tatsächliche Arbeitsweise der Organisation angepasst ist.