Skip to content
Video

Webinar Zusammenfassung:
Security.Desk: Installation, Neuerungen & Praxis-Tipps

Diese Zusammenfassung behandelt die Endpoint-Security-Lösung Security.Desk. Der Fokus liegt auf der Installation, wichtigen Neuerungen wie der .NET 8-Basis und der AD-Anbindung sowie praktischen Tipps für den Betrieb und einen Serverumzug.

Agenda & Einführung (ca. 00:00 – 05:35)

  • Ziel des Webinars: Ein technischer Überblick über die Funktionsweise, Installation und die neuesten Features von Security.Desk, der Endpoint-Security-Lösung von FCS.
  • Kernfunktion: Überwachung und Steuerung von Hardware-Schnittstellenklassen an den Clients, darunter USB-Massenspeicher, MTP-Geräte (Smartphones), CD/DVD-Laufwerke und Bluetooth-Adapter.
  • Architektur: Die Lösung besteht aus einem zentralen Security.Desk Server mit SQL-Datenbank und einem Dienst (USB Security Service), der auf jedem Client die vom Server per Richtlinien-Dateien vorgegebenen Regeln im Kernel-Modus umsetzt.

Wichtige Neuerungen (ca. 05:36 – 08:30)

1. Technologische Basis: Umstieg auf .NET Core 8 (05:45)

  • Das gesamte Server-Backend wurde von der abgekündigten .NET Core 6 auf die aktuelle .NET Core 8 Long-Term Support (LTS) Laufzeitumgebung migriert.
  • Wichtiger Hinweis: Für ein Update oder eine Neuinstallation ist .NET Core 8 (Hosting Bundle & Desktop Runtime) eine zwingende Voraussetzung auf dem Applikationsserver.

2. Automatisierter Abgleich von Clients via Active Directory (06:05)

  • Der AD-Loader synchronisiert Client-Computerobjekte aus dem Active Directory mit der Security.Desk-Datenbank, um die verwaltete Client-Basis automatisiert aktuell zu halten.

3. NEU: Benutzer- & Rollenverwaltung via Active Directory (07:05)

  • Die Administration von Security.Desk selbst kann nun über ein rollenbasiertes Zugriffskonzept (RBAC) direkt an AD-Gruppen gekoppelt werden.
  • Anwendungsfall (Delegated Administration): In mandantenfähigen Umgebungen können AD-Gruppen (z.B. "IT-Abteilung Standort B") an Rollen in Security.Desk gebunden werden. Dies gewährt den Mitgliedern der AD-Gruppe nur Zugriff auf die ihnen zugewiesenen Clients in der Baumstruktur.

Installation & Konfiguration (ca. 08:43 – 25:27)

Voraussetzungen & Installationsschritte (08:57)

  • Schritt 1: Installation beider .NET Core 8 Frameworks auf dem Applikationsserver.
  • Schritt 2: Ausführen des Installers (Setup.exe), der den Manager und alle Windows-Dienste (Import, AD-Loader, Management) registriert.
  • Schritt 3: Platzierung der beiden Lizenzdateien:
    • Security.Desk 9.lic: Schaltet die Funktionen im Manager frei und wird im Hauptinstallationsverzeichnis abgelegt.
    • USBSecLic.dat: Wird vom Server an die Clients verteilt und im Verzeichnis C:\ProgramData abgelegt, um den lokalen Dienst zu aktivieren.

Wichtige Pfade für Betrieb & Troubleshooting (16:10)

  • Installationspfad (Client-Dienst): C:\Program Files\FCS\Security.Desk.NET\Install\USBSecurity
    • Zweck: Dies ist die Quelle für die Client-Installationsdateien. Nach jedem Server-Update befindet sich hier die neue, kompatible Version des Client-Dienstes.
    • Anwendung: Die Installer (.exe/.msi) werden von hier in die Softwareverteilung (SCCM, GPO etc.) überführt, um ein Client-Update auszurollen.
  • Datenpfad (Logs & Kommunikation): C:\ProgramData\FCS\FCSSecurityImport
    • Zweck: Arbeitsverzeichnis des Servers für die asynchrone Client-Kommunikation.
    • Wichtige Inhalte:
      • Logs: Protokolldateien des Import-Dienstes zur Fehleranalyse.
      • XFCSCOM: Kommunikations-Queue. Der Server legt hier Richtlinien-Dateien (XML) ab; die Clients holen diese ab. Gestapelte Dateien in diesem Ordner deuten auf einen gestoppten Dienst oder ein Netzwerkproblem hin.

Praxistipp: Serverumzug richtig durchführen (23:00)

  • Das Problem: Der FQDN oder die IP des Kommunikationsservers ist im Registry-Schlüssel jedes Clients hart codiert. Bei einem Umzug verlieren die Clients die Verbindung.
  • Die Lösung (zentrale Methode):
    1. Auf dem alten Server in den Optionen die Kommunikationsadresse auf den Hostnamen des neuen Servers umstellen.
    2. Abwarten, bis die Clients sich im konfigurierten Intervall die neue Richtlinie mit der neuen Serveradresse abgeholt haben.
    3. Erst dann den alten Server abschalten. Diese Methode erfordert kein erneutes "Anfassen" der Clients.
    4. Alternative (manueller Rollout): Den Dienst auf allen Clients per Softwareverteilung neu installieren, dabei wird der neue Server als Installationsparameter mitgegeben.

Live-Demo: Rechtevergabe & Protokollierung (ca. 29:40 – 48:07)

Granulare Rechtevergabe (33:16)

  • Das System nutzt eine klare Vererbungshierarchie: Eine spezifische Regel für einen einzelnen Client überschreibt immer eine allgemeinere Regel für eine Benutzergruppe, die wiederum die globale Standardeinstellung überschreibt.
  • Protokollierung: Alle Events werden als Audit-Trail mit Zeitstempel, Benutzer, Hostname, Geräteseriennummer und Dateiname(n) in der Datenbank erfasst.
  • Reaktion in Echtzeit: Das Reporting-Dashboard zeigt Events in nahezu Echtzeit an. Ein Admin kann auf ein verdächtiges Event reagieren und dem verursachenden Client per Rechtsklick ad hoc alle Rechte entziehen.

Der Client-Dienst in der Praxis (39:27)

  • Der Dienst (XUSB Sec SVC) läuft mit Systemrechten. Das Tray-Icon läuft im Benutzerkontext und dient als Indikator für den Anwender.
  • Der Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\XUSBSEC enthält die vom Server empfangene Konfiguration. Der Wert COMSERVER speichert hierbei die URL des Management-Servers, den der Dienst für Policy-Updates und das Hochladen von Log-Events kontaktiert.

Die Funktionen des Tray-Icons am Client (43:36)

  • Visueller Indikator: Das Icon (ein kleines Schloss) in der Taskleiste signalisiert dem Anwender, dass sein System durch Security.Desk geschützt und überwacht wird. Dies ist ein wichtiger Punkt für die Transparenz gegenüber den Mitarbeitern und dem Betriebsrat.
  • Anzeige der Berechtigungen: Per Klick auf das Icon öffnet sich ein Fenster ("Security-Info-Anzeige"), in dem der Benutzer seine aktuell für ihn geltenden Berechtigungen einsehen kann (z.B. "Wechselspeicher: Vollzugriff mit Protokollierung").
  • Temporärer Vollzugriff: Das Icon ist oft der Ausgangspunkt, um einen zeitlich begrenzten, temporären Vollzugriff anzufordern. Dies ermöglicht es einem Administrator, einem Benutzer für eine bestimmte Aufgabe (z.B. Nutzung eines speziellen USB-Sticks) kurzzeitig alle Rechte zu gewähren, oft durch die Eingabe eines Einmal-Codes.