Trutzburgen im Malware-Sumpf Dr. Götz Güttich

Transkript

1 Publikation des Instituts zur Analyse von IT-Komponenten Vergleichstest: Zentral verwaltete Security-Suites für Unternehmensnetze Trutzburgen im Malware-Sumpf Dr. Götz Güttich Die verschiedenen Sicherheitstechnologien wie Antivirus, Antispyware, Intrusion Protection, Firewall und Anwendungssteuerung wachsen immer mehr zusammen. Heutzutage ist es in Unternehmensnetzen üblich, Sicherheitssuites einzusetzen, die mindestens die eben genannten Bereiche abdecken und sich über eine zentrale Managementkonsole verwalten lassen. Auch die Updates der Erkennungsmuster, das Reporting und die Alerts laufen in einem solchen Fall über einen zentralen Server. Fast alle relevanten Hersteller von Sicherheitssoftware haben entsprechende Produkte im Angebot. IAIT hat sich die Lösungen von F-Secure, Kaspersky, Sophos und Symantec in Bezug auf ihren Funktionsumfang und ihre Administrierbarkeit genau angesehen. Für den Test der Suites verwendeten wir zwei virtuelle Maschinen auf Vmware-Basis, die unter Windows Server 2003 R2 mit Service Pack 2 und Windows XP Professional mit Service Pack 3 sowie jeweils allen zum Testzeitpunkt vorhandenen Sicherheitspatches von Microsoft liefen. Diese Betriebssysteme sind im Unternehmensumfeld immer noch am weitesten verbreitet. Die virtuelle Umgebung kam zum Einsatz, damit wir die Installationen nach dem Test mit Hilfe eines Snapshots wieder in ihren Originalzustand zurückversetzen und so garantieren konnten, dass alle Testprodukte mit identischen Rahmenbedingungen zu tun hatten. Die Ergebnisse der von uns in diesem Test durchgeführten Performance-Scans sind aufgrund der virtuellen Infrastruktur allerdings nicht eins-zu-eins auf reale, physikalische Umgebungen zu übertragen. Dennoch haben wir uns für diesen Weg entschieden, da die Werte im direkten Vergleich untereinander durchaus interessante Ergebnisse zu Tage fördern. Außerdem haben sie trotz allem einen gewissen Realitätsbezug, da außer den bereits genannten, für den Test erforderlichen, virtuellen Maschinen auf den jeweiligen Vmware-Hosts keine weiteren Dienste aktiv waren. Die virtuellen Maschinen selbst wurden so konfiguriert, dass sie mit einer Dual-Core-Architektur mit 2,4 GHz Taktfrequenz, zwei GByte RAM und 80 GByte Festplattenkapazität arbeiteten. Im Mittelpunkt des Tests standen die Konfigurierbarkeit und Administrierbarkeit der Lösungen. Wir legten also besonderes Gewicht auf den Aufwand, den eine IT-Abteilung betreiben muss, um das jeweilige Produkt im Netz ans Laufen zu bringen und es im laufenden Betrieb zu unterhalten, also die Erkennungspattern auf den Clients aktuell zu halten, Reports zu generieren und automatische Alert-Meldungen einzusetzen. Die eben erwähnte Scan-Geschwindigkeit spielt in diesem Zusammenhang eine etwas untergeordnete Rolle, wir haben sie aber trotzdem anhand diverser Leistungstests unter die Lupe genommen. Dabei nahmen wir die Messungen prinzipiell immer mit den Standardeinstellungen der jeweiligen Lösung und nach dem ersten Vollscan des gesamten Rechners vor, der zudem zum Testzeitpunkt bereits eine Uptime von mindestens zwei Stunden vorweisen musste. Auf diese Weise stellten wir sicher, dass wir nicht für jedes Produkt eine spezielle Performancekonfiguration vorzunehmen hatten, die im Zweifelsfall unrealistisch gewesen wäre. Außerdem sorgten wir so dafür, dass die Caching-Funktionen der Produkte das Scan- Ergebnis nicht verfälschten. Während des Tests untersuchten wir zunächst die Zugriffsgeschwindigkeit im laufenden Betrieb dazu kopierten wir einen definierten Testordner von einem Windows-Share auf die lokale Festplatte des von der Suite gesicherten Rechners und verglichen die dafür erforderliche Zeit mit der Kopierzeit auf ein ungeschütztes System. Zusätzlich führten wir noch manuelle Scans durch, und zwar jeweils des Windows-Ordners, des gesamten Systems und eines Testordners, der mit 20 GByte an Daten unterschiedlichen Typs bestückt war (siehe 1

2 hierzu den Kasten). Während der Scans waren die Rechner mit keinen anderen Aufgaben beschäftigt und wir maßen die Scan- Zeiten minutengenau. Zu guter Letzt nahmen wir auch noch den Speicherbedarf der Security-Lösungen unter die Lupe. Bei allen Tests spielten wir zunächst die Server- und Management-Komponente auf unserem Windows-Server-2003-R2-System ein, verwendeten dann die Push-Funktion der jeweiligen Verwaltungssoftware, um die Client-Komponente auf den Windows-XP-Rechner auszubringen und setzen danach ein Regelwerk ein, mit dem der Windows-XP-PC geschützt wurde. Anschließend nahmen wir den Funktionsumfang der jeweiligen Suite genau unter die Lupe und führten zum Schluss die eben erwähnten Performance-Tests durch. Unser Antivirus-Testordner hatte eine Größe von 20 GByte. Insgesamt umfasste er Dateien in 2188 Ordnern. Die kleinste Datei war ein KByte groß, die größte 370 MByte. Zum Dateimix gehörten diverse Audio- und Videofiles (757 Stück mit einer Größe von 6,55 GByte), etliche Programmdateien ( Dateien mit einer Größe von 3,18 GByte) sowie eine große Zahl häufig vorkommender diverser Dateitypen wie zum Beispiel BMP, CAB, DLL, DOC, EXE, GIF, JSP, PCT, PPT, PSD, RTF, SWC, TAR, TXT, WAV und ZIP. Die dazu gehörenden Files belegten die restliche Kapazität des Testordners. Sophos Endpoint Security and Control Wenden wir uns nun der Sicherheitssoftware Endpoint Security and Control von Sophos zu. Die Management-Komponente dieser Lösung läuft unter Windows 2000 mit Service Pack 4 und neuer. Sie unterstützt die Sprachen Chinesisch, Deutsch, Englisch, Französisch, Italienisch, Japanisch uns Spanisch. An Hardware benötigt sie mindestens 512 Byte RAM und 150 MByte Festplattenkapazität. Die Client- Software steht im Gegensatz dazu für Windows 2000 und neuer sowie Linux, MacOS, Netapp-Systeme, Netware, Open VMS und Unix zur Verfügung. Sie bietet die gleichen Sprachen an, wie das Server-Produkt. Die Installation des Sophos-Management- Servers in der Standardkonfiguration läuft wie unter Windows üblich mit Hilfe eines Wizards ab und nimmt genau zehn Arbeitsschritte (also Mausklicks, das Eingeben von Namen, das Aktivieren von Checkboxen und ähnliches) in Anspruch. Im Test war der ganze Vorgang nach zehn Minuten abgeschlossen. Die Sophos-Lösung bringt übrigens als Standarddatenbank den SQL-Server 2005 Express mit. Nach dem Abschluss der Installation der Enterprise Console startet zunächst ein Wizard, der ein Online-Update der Sicherheitskomponenten durchführt. Anschließend kann es an die Verteilung der Client- Komponente im Netz gehen. Die Ziel-PCs lassen sich dabei über das Active Directory, eine Netzwerksuche oder einen IP-Bereich definieren. Die dabei gefundenen Computer landen zunächst in einer Gruppe namens Nicht zugeordnet. Schiebt man sie von dort in eine andere, verwaltete Gruppe, so startet ein Assistent, der es den Administratoren ermöglicht, die zu installierenden Komponenten also Antivirus, Firewall und so weiter auszuwählen und die Zugangsdaten zum Zielsystem anzugeben, mit denen die Setup-Routine das Recht erhält, auf dem Client Software zu installieren. Im Test nahm das Verteilen des Clients sieben Arbeitsschritte in Anspruch und dauerte neun Minuten. Ein Client-Restart gehörte mit zum Installationsvorgang. Zusätzlich zur bereits genannten Push-Installation unterstützt die Sophos-Lösung auch Setup- Vorgänge über ein Login-Script und das Active Directory. Nach der Installation des Clients müssen die zuständigen Mitarbeiter noch mit einem dafür vorgesehen Wizard die Standard-Firewall-Richtlinie festlegen. Danach ist das System betriebsbereit. Zum Verständnis: Die Richtlinien enthalten sämtliche Konfigurationsparameter für die Clients und legen somit fest, wie sich die Sicherheitslösung in der Praxis verhält. Funktionsumfang Verbindet sich ein Administrator mit der Managementkonsole, so landet er zunächst in einem Dashboard, das Informationen über die verwalteten und nicht verwalteten Rechner, Computer mit Alerts, die letzten Updates, die Richtlinien, veraltete Erkennungsmuster, Fehler und ähnliches enthält. Hier bekommen die zuständigen Mitarbeiter einen schnellen Überblick über den Sicherheitsstatus in ihrem Netzwerk. Darunter ermöglicht die Managementkonsole einen Zugriff auf die definierten Gruppen mit den darin enthaltenen Systemen. Hier sehen die Verantwortlichen in Tabellenform, welche Rechner in der jeweiligen Gruppe (beispielsweise Buchhaltung oder IT-Abteilung ) vorhanden sind und erhalten Aufschluss über Alerts und Fehler sowie den Status der einzelnen Sicherheitsdienste On Access Virenschutz, Firewall, Anwendungssteuerung und so weiter. An gleicher Stelle lassen sich auch verschiedene Detailinformationen über die Client- Systeme abrufen. Dazu gehören unter anderem Betriebssystem, Domäne, IP-Adresse, der aktuelle Update-Stand, Alerts und Fehler. Zusätzlich gibt es umfassende Informationen zu den einzelnen Schutzkomponenten Antivirus (Richtlinie, Erkennungsdaten, etc.), Firewall (Modus, Ereignisse und so weiter), Network Access Control (zum Absichern von Rechnern, die von außen ins Unternehmensnetz gebracht werden, zum Beispiel Notebooks) sowie Anwendungs-, Daten- und Devicesteuerung (mit letzterer realisiert die Suite beispielsweise die Kontrolle des Zugriffs auf Wechselmedien wie USB-Sticks). Von besonderem Interesse für Administratoren wird die Richtlinienkonfiguration sein, da sie hier alle Funktionen der Sicherheitslösung konfigurieren können. Generell ist es zunächst einmal möglich, eigene Richtli- 2

3 Die Verwaltungskonsole der Sophos Security-Suite nien anzulegen oder vordefinierte Regelsätze einzusetzen. Es existieren getrennte Richtlinien für alle Sicherheitskomponenten der Suite. So definiert die Update-Regel beispielsweise, von welchen Servern das Sophos-Produkt seine Updates bezieht und welcher Zeitplan dabei zum Einsatz kommt. Das Standardintervall für die Update-Suche liegt dabei bei zehn Minuten. Die Antivirus- und HIPS-Regel legt im Gegensatz dazu fest, ob On-Access-Scans aktiv sind und wie sich das Intrusion Protection System verhalten soll. Bei den On-Access-Scans haben die zuständigen Mitarbeiter unter anderem die Option, bestimmte Dateien von den Scans auszuschließen, das Scannen gepackter Dateien zu unterbinden und Files bei Malware-Funden automatisch bereinigen zu lassen. Bei der Intrusion Protection arbeitet das System auf Wunsch mit Erkennungsmethoden für verdächtiges Verhalten und für Pufferüberläufe. Ebenfalls zur Regeldefinition gehören die Benachrichtigungen. Bei Virenfunden, verdächtigem Verhalten und ähnlichen Vorkommnissen kann die Sicherheitslösung Meldungen auf dem Desktop des Clients ausgeben, Mails verschicken, Einträge ins Ereignisprotokoll vornehmen und SNMP- Traps versenden. Abgesehen davon ist es bei den Antivirus- und HIPS-Richtlinien auch noch möglich, bestimmte Applikationen, Dateien und ähnliches explizit zuzulassen, beispielsweise um die Arbeit mit einer Fernsteuerungssoftware zu erlauben, die sonst gesperrt würde. Last but not Least ermöglicht das genannte Regelwerk auch noch die Definition geplanter Scans mit Ausschlüssen und zu berücksichtigenden Dateitypen. Das Regelwerk für die Firewall umfasst die Regelungen für den Datenverkehr im Netz. Es ist dabei möglich, bestimmten Anwendungen zu vertrauen, ein- und ausgehenden Datenfluss zu blockieren beziehungsweise zu erlauben, den Datenverkehr überwachen (um Daten zur Regelerstellung zu sammeln) und benutzerdefinierte Regeln zu erstellen. Letztere arbeiten mit Protokollen, Ports, Adressbereichen und ähnlichem. Auch die Konfiguration der Warnmeldungen läuft regelbasiert ab. Um mobile Benutzer zu unterstützen, arbeitet die Firewall bei Bedarf mit zwei Profilen. Damit lassen sich beispielsweise für Anwender, die außerhalb des Unternehmensnetzwerks arbeiten, automatisch restriktivere Regeln einstellen, als für Nutzer hinter der Coporate Firewall. Die restlichen Regelsätze befassen sich mit der Network Access Control (NAC), sowie der Applikations-, Daten- und Devicessteuerung. Bei der Anwendungssteuerung ist es möglich, On-Access- Scans zu aktivieren und Benachrichtigungen zu konfigurieren, während sich die Device Control auf bestimmte Geräte, wie Diskettenlaufwerke, optische Laufwerke, Wechselmedien, Modems, Wireless-Komponenten sowie Lösungen auf Basis von IrDA und Bluetooth beschränken lässt. Insgesamt hinterließ die Regeldefinition im Test einen sehr aufgeräumten und übersichtlichen Eindruck. Für die wichtigsten Befehle, wie etwa die Suche nach neuen Computern, das Ändern von Richtlinien, die Reports oder auch den Update-Manager gibt es einen Zugriff über die Icon-Leiste am oberen Fensterrand. Zu Alerts und Ereignisverläufen existieren vordefinierte Reports, es ist aber auch möglich, eigene Berichte zu definieren. Insgesamt wurden neun verschiedene Reportvarianten vordefiniert und die Reports lassen sich automatisch und nach Zeitplan erstellen, an Drittsysteme exportieren sowie per Mail verschicken was sehr nützlich ist, wenn es darum geht, die zuständigen Mitarbeiter schnell ins Bild zu setzen. Abgesehen von den genannten Funktionen stellt das Management-Interface auch noch eine Menüzeile zur Verfügung, über die die Administratoren Computer aus Dateien importieren, die Ansicht (mit Update Manager, Dashboard, Symbolleiste, Ereignisanzeigen und ähnlichem) an ihre Bedürfnisse anpassen und Maßnahmen durchführen wie Computer suchen, Updates herunterladen und Konformität mit den Gruppenrichtlinien überprüfen. Außerdem lassen sich an gleicher Stelle die Gruppen verwalten, also Gruppen erstellen, bestimmten Gruppen bestimmte Richtlinien zuweisen, Imports aus dem Active Directory durchführen und so weiter. Die Arbeit mit Richtlinien ist ebenfalls über die Menüzeile möglich, genau wie der Umgang mit Abonnements (zum regelmäßigen Aktualisieren der Software auf die neueste Version). Ein Menüpunkt namens Extras mit NAC-Verwaltung, Reportkonfiguration, Konfiguration der -Alerts, der Einrichtung des Dashboards und ähnlichen Funktionen, rundet den Leistungsumfang des Managementwerkzeugs ab. Die Client-Komponente Ruft ein Anwender auf seinem Rechner die Client-Komponente der Sophos Endpoint Security and Control (zum Testzeitpunkt lag diese in der Version 9 vor) auf, so kann er On-Demand-Scans (mit den zu scannenden Verzeichnissen) konfigurieren und starten, die Quarantäne verwalten und falls der Administrator das zulässt die Antivirus- und HIPS-Funktionen administrieren, die Benutzerrechte auf die Quarantäne festlegen, Protokolle einsehen und Benachrich- 3

4 tigungen einrichten. Vergleichbares gilt für die Firewall. Hier ist es sogar möglich, eine automatische Standorterkennung zu aktivieren, die über DNS- beziehungsweise Gateway-Adressen funktioniert und die dafür sorgt, dass das Produkt selbstständig zwischen dem bereits erwähnten stationären und dem mobilen Firewallprofil hin- und herschaltet. Darüber hinaus lassen sich auch hier wieder Protokolle anzeigen, genau wie beim nächsten Punkt, der Update-Konfiguration. Konfigurationsoptionen für die Anwendungssteuerung und eine Statusanzeige mit dem Standort, dem Zeitpunkt des letzten Updates und anderen Informationen schließen den Leistungsumfang des Clients ab. Im Betrieb haben die Administratoren übrigens immer die Möglichkeit, den Anwendern Zugriff auf das Client-Interface zu untersagen und so eine konsistente Sicherheitslage zu garantieren. Zusammenfassung Endpoint Security and Control von Sophos war im Test schnell eingerichtet. Außerdem verfügt die Lösung über ein sehr klar gegliedertes, leicht verständliches Management-Interface, so dass es bei uns im Test bei der Arbeit mit dem Produkt nie zu Problemen kam. Wir halten die genannte Lösung unter den Testkandidaten für die am einfachsten bedienbare. Diese Aussage ist allerdings zugegebenermaßen Geschmackssache und völlig subjektiv, so dass wir ihr auch keine allzu große Bedeutung zugestehen möchten. Die Client-Komponente der Sophos-Lösung präsentiert sich aufgeräumt Was den Leistungstest angeht, so benötigte das Produkt von Sophos zum Systemstart des Windows-XP-Clients mit installierter Sicherheitskomponente eine Minute und 22 Sekunden. Ohne Sicherheitslösung brauchte die gleiche virtuelle Maschine eine Minute und zwei Sekunden. Wir maßen diese Zeit vom Erscheinen des BIOS bis zum Öffnen des Eigene Dateien -Ordners auf dem Desktop. Für den Test hatten wir auf dem XP-System den Autologon aktiviert und Eigene Dateien im Autostart- Ordner eingetragen. Bei gestartetem System standen dem Rechner KByte an zugesichertem Speicher zur Verfügung und die Größe des Pagefiles betrug 344 MByte. Unter Last also während eines Scans lagen diese Werte bei KByte beziehungsweise 375 MByte. Ohne Sicherheitslösung war der zugesicherte Speicher des gleichen Rechners KByte groß, die Page-Datei 213 MByte. Ein vollständiger Systemscan nahm mit dem Sophos-Produkt 13 Minuten in Anspruch, ein Scan des Windows-Ordners zehn. Das erklärt sich daraus, dass neben Windows, Updates, Patches und der Sicherheitslösung auf dem Client nichts installiert war. Der Scan unseres 20-GByte-Testordners, der nicht zum vollständigen Systemscan dazugehört, benötigte 51 Minuten. Bei diesen Zahlen muss man im Kopf behalten, dass die Sophos-Lösung standardmäßig bei den On-Demand-Scans immer auch einen Anti-Rootkit-Scan ausführt, der bei anderen Lösungen nicht zum Standardprofil gehört und der zusätzliche Zeit kostet. Das Kopieren eines mit Software gefüllten Ordners mit der Größe von 3,2 GByte von einem Server- Share auf unseren Client nahm 36 Minuten in Anspruch, ohne Antivirus-Lösung dauerte der gleiche Vorgang 16 Minuten. Damit können wir sagen, dass Sophos leistungsmäßig im oberen Bereich liegt. Zum Abschluss scannten wir noch einen anderen Testordner, der diverse Malware und Archivbomben wie beispielsweise 42.zip enthielt. Damit wollten wir sehen, ob sich die Antiviruslösung aus dem Tritt bringen ließ. Beim Sophos-Produkt gab es beim Umgang mit dem genannten Ordner keine Schwierigkeiten. Zusätzlich führten wir noch diverse Usability-Tests durch, um den Aufwand zu bestimmen, den ein Administrator zum Durchführen bestimmter Tätigkeiten auf sich nehmen muss. Dabei kam heraus, dass drei Arbeitsschritte erforderlich sind, um auf allen geschützten Rechnern im Netz einen manuellen Scan-Vorgang zu starten. Das Sperren einer Anwendung mit Hilfe der Applikationssteuerung nimmt sieben Arbeitsschritte in Anspruch und das Anlegen eines Reports mit allen Virenereignissen in den letzten 30 Tagen benötigt 18 Arbeitsschritte. F-Secure Policy Manager 9 Wenden wir uns nun dem Policy Manager 9 (im Test kam Build zum Einsatz) von F-Secure zu. Diese Lösung schützt Client-Rechner unter Windows XP bis Windows 7. Optional steht auch eine Schutzfunktion für Serversysteme zur Verfügung, die keine Firewall-Funktionalität bietet und auf Computern unter Windows Server 2003 und neuer läuft. An Festplattenplatz benötigt die Client-Komponente 800 MByte und das Installationspaket ist 57,227 KByte groß. Was die Sprachunterstützung angeht, so wurde das Produkt von F-Secure sehr großzügig ausgestattet. Es unterstützt Dänisch, Deutsch, Englisch, Finnisch, Französisch, Griechisch, Italienisch, Japanisch, Niederländisch, Norwegisch, Polnisch, Portugiesisch, Slowenisch, Spanisch, Schwedisch, Tschechisch, Türkisch und Ungarisch. Die Managementkomponente läuft unter den Linux-Varianten Debian, Opensuse, Redhat Enterprise Linux, Suse Linux Enterprise Server und Ubuntu sowie unter 4

5 Das Produkt von F-Secure weist den Administrator nach der Installation mit einer blinkenden roten Schrift auf den nächsten Arbeitsschritt hin Windows 2000 und neuer. Sie unterstützt die Sprachen Deutsch, Englisch, Französisch und Japanisch. Auf Hardwareseite benötigt die Lösung mindestens 512 MByte RAM und fünf GByte Speicherplatz auf der Festplatte. Installation und Erstkonfiguration Um das System in Betrieb zu nehmen, müssen die Administratoren zunächst den Policy Manager installieren. Das läuft wieder über einen Setup-Assistenten ab und es sind bei der Installation keine Besonderheiten zu erwarten. Erwähnenswert ist lediglich, dass die Anwender die Ports für die Kommunikation zwischen Server und Clients selbst selektieren können. In unserem Test dauerte die Installation der Management-Komponente sieben Minuten und nahm 17 Arbeitsschritte in Anspruch. Wenn sich der zuständige Mitarbeiter nach dem Setup-Vorgang beim Server anmeldet, so läuft im Hintergrund bereits das Update. Nach dem Aufruf des Programms startet automatisch ein Wizard, der die zur Verschlüsselung benötigten öffentlichen und privaten Schlüssel generiert und eine Passphrase für den Zugriff auf das System erfragt. Jetzt sind die Administratoren dazu in der Lage, sich bei der Managementkonsole anzumelden und die Client-Software auszubringen. Das Übertragen der Client-Komponente an die zu sichernden Systeme läuft verhältnismäßig einfach über die Angabe der Zieladresse, die Definition des zu verwendenden Sicherungsprodukts (Client- oder Serverversion) und der Richtlinie sowie des Installationskontos. Zuvor ist es allerdings erforderlich, den Assistenten zur Konfiguration der Client-Software laufen zu lassen. Dieser fragt zunächst nach den Lizenzangaben und möchte dann wissen, welche Komponenten zum Setup-Paket gehören sollen (Antivirus/Antispyware, Deepguard, Cisco NAC-Plugin sowie die Schutzfunktionen für Mail, Web und Browser). Zum Abschluss legen die zuständigen Mitarbeiter noch fest, mit welcher Sprache der Client arbeitet, ob es sich um eine zentral verwaltete oder eine Einzelplatzinstallation handelt und wie der Zugriff auf den Server abläuft. Es ist in diesem Zusammenhang auch möglich, die Installationsroutine so zu konfigurieren, dass sie bereits auf dem Zielsystem vorhandene andere Antivirus-Produkte automatisch entfernt und bei Bedarf automatisch einen Neustart durchführt. Im Test ergaben sich beim Push-Verteilen des Clients keine Probleme. Der Vorgang, der sich alternativ auch über Active-Directory und Logins-Scripts realisieren lässt, nahm bei uns zehn Minuten in Anspruch und benötigte 22 Arbeitsschritte. Das Management-Interface Das Verwaltungswerkzeug des F-Secure Policy Manager 9 wurde Explorer-ähnlich aufgebaut. In der Baumstruktur auf der linken Seite finden sich die Richtliniendomänen. Diese umfassen wiederum die unterschiedlichen im Unternehmensnetz aktiven Richtlinien und die Rechner, auf denen sie jeweils gültig sind. Über die Baumstruktur ist es möglich, entweder auf ein einzelnes System zu wechseln oder einen ganzen Richtlinienknoten (also eine Gruppe) aufzurufen. Im Arbeitsbereich auf der rechten Seite findet der Administrator nach dem Login eine Zusammenfassung vor. Diese informiert ihn über den Status der Richtlinienverteilung, das Alter der Definitionen, die Hosts mit der neuesten Richtlinie, die nicht verbundenen Hosts und ähnliches. Wechselt der zuständige Mitarbeiter nach Einstellungen, so kann er zunächst die Settings für automatische Updates vornehmen. Standardmäßig liegt das Update-Intervall dieser Software bei 30 Minuten. An gleicher Stelle finden sich auch die Einstellungen für das Echtzeit-Scanning mit den zu scannenden Dateien, auszuschließenden Erweiterungen, bei Infektionen automatisch auszuführenden Aktionen (umbenennen, löschen, desinfizieren, Quarantäne, Benutzer fragen, etc.) und so weiter. Vergleichbare Einstellungen lassen sich auch für manuelle Scan-Durchläufe vornehmen und es ist ebenfalls möglich, die Scans mit einem Scheduler nach Zeitplan durchzuführen. Was die Scans angeht, bleibt die Software also keine Funktionen schuldig. Über die Spyware-Steuerung schließen die Administratoren Anwendungen vom Scan aus und weitere Einstellmöglichkeiten befassen sich mit dem Quarantänemanagement (mit ausgeführten Aktionen), dem Scannen von s (mit Virensuche in Archiven und Berichten bei Infektionen) und dem Überwachen des Datenverkehrs, also dem Analysieren der via HTTP übertragenen Informationen. Um den Web-Verkehr abzusichern, bringt die Software übrigens eine so genannte Browsing Protection für die Browser Google Chrome, Mozilla Firefox, Microsoft Internet Explorer und Opera mit und unterstützt damit wohl alle zur Zeit unter Windows relevanten Browser. 5

6 Ebenfalls von Interesse sind die Firewall- Einstellungen. Die F-Secure Firewall kennt insgesamt fünf vordefinierte Profile, es ist aber möglich, beliebig viele eigene anzulegen und so das Sicherheitsniveau in einer Vielzahl unterschiedlicher Situationen (im Büro, zu Hause, im Hotel, etc.) festzulegen. Bei Bedarf wechselt das System die Profile auch automatisch, was in der Praxis sehr sinnvoll ist. Die Regeln für die Firewall arbeiten mit Bestandteilen wie Protokollen, Alarm- Settings und ähnlichem. Es ist auch möglich, Dienste wie etwa FTP nach Protokoll- und Portangaben zu überwachen. Bei der Anwendungssteuerung legen die zuständigen Mitarbeiter Regeln für bekannte Applikationen fest und definieren, wie das System mit nicht bekannten Anwendungen verfahren soll, die die gesicherten Hosts an den Server melden. An dieser Stelle lassen sich auch automatische Entscheidungen anlegen, die Nachfragen bezüglich des Umgangs mit den Applikationen selbstständig beantworten, etwa durch das Ablehnen oder Zulassen von Software-Aktionen. Diese Funktion automatisiert einen Großteil der Abfragen und nimmt den Endanwendern viel Arbeit ab. Weitere Konfigurationsoptionen befassen sich mit dem Prozessüberwachungssystem Deepguard und dem Browser- Schutz mit einer automatischen Blockierfunktion von schädlichen Websites und Web-Seiten mit Exploits. Ebenfalls zum Browser-Schutz gehört eine Funktion, die Bewertungen der Websites in Suchmaschinenergebnisse einblendet, damit der Benutzer gleich sieht, ob ein Klick darauf gefährlich ist oder nicht. Es gibt auch eine White-List mit vertrauenswürdigen Sites. Ebenfalls von Interesse ist wohl die Funktion zum Versenden von Alarmmeldungen. Das geht über , den Policy Manager, die lokale Benutzeroberfläche, das Ereignisprotokoll und das Syslog. Im Test ergaben sich dabei keine Schwierigkeiten und es sind damit alle Alert-Funktionen vorhanden, die ein Administrator im Unternehmensnetz brauchen kann. Was die Konfiguration der zentralen Verwaltung angeht, so legen die IT-Mitarbeiter hier fest, ob die Benutzer auf den Clients Up- und Downloads vorübergehend aussetzen dürfen oder nicht (etwa um Bandbreite zu sparen) und ob sie die Client-Software selbstständig deinstallieren dürfen oder nicht. Damit sorgen die Administratoren für ein einheitliches Sicherheitsniveau im Unternehmen. Die nächsten Konfigurationsmenüs sind schnell erläutert, denn sie liefern eine Statusübersicht mit Listen zu Clients und dem Zustand der darauf laufenden Dienste. Dazu kommen Informationen zu automatischen Updates, den letzten Vireninfektionen (mit infizierten Objekten, Name der Infektion etc.), dem Zeitstempel des letzten vom Internet Shield entdeckten Angriffs (mit Quellenangabe) und dem Zeitstempel der Richtliniendatei. Unter Alarme findet sich im Gegensatz dazu eine Liste mit den Alarmmeldungen der letzten Tage. Darüber hinaus stehen den Anwendern an gleicher Stelle auch Berichte etwa Scan-Reports zur Verfügung. Punkte zur Installation des Clients und zum Aktualisieren der Virendefinitionen sowie zum Scannen nach Viren- und Spyware auf den geschützten Systemen schließen den Leistungsumfang der Konsole ab. Was die Installation des Clients angeht, so unterstützt die Software neben den bereits genannten Funktionen noch eine automatische Suche nach Hosts und Domänen und das Importieren registrierter Hosts. Es ist zudem möglich, die Setup-Datei lediglich auf die Hosts zu übertragen. Zusätzlich zur Navigation über die Baumstruktur bietet das Verwaltungswerkzeug eine Icon-Leiste an, die die allerwichtigsten Funktionen, wie etwa Alarme oder das Übertragen von Installationspaketen bereitstellt. Dazu kommt eine klassische Menüzeile, über die relevante Befehle wie etwa zur Richtlinienverwaltung ebenfalls zugänglich sind. Die Menüleiste enthält zudem ein paar neue Funktionen, wie etwa zum Ändern der Zugangspassphrase. An dieser Stelle ist das Reporting von besonderem Interesse. F-Secure liefert mit dem Policy Manager insgesamt 31 vordefinierte Reports (zum Beispiel für einzelne Produkte wie Deepguard, die Antiviruskomponente und so weiter) mit, die teilweise grafische Elemente enthalten und auch über ein Web-Interface zur Verfügung stehen. Die Reports lassen sich bei Bedarf automatisch und nach Zeitplan durchführen. Auch hier bleibt die Lösung dem Administrator also keine wichtigen Funktionen schuldig. Der Leistungsumfang des Clients Ruft ein Anwender auf seinem System die Client-Software auf, so landet er zunächst auf einer Statusseite, die Aufschluss gibt über den aktuellen Zustand der Dienste für den Schutz des Computers (Viren/Spyware, Deepguard, geplante Scans), der Netzwerkverbindung (mit der Firewall- Konfiguration, hier kann man auch das Die Client-Komponente von F-Secure hält den Anwender über den Status seines Systems auf dem Laufenden 6

7 Profil wechseln) und des Internetzugriffs (mit Surferschutz). Auch bei F-Secure haben die Administratoren jederzeit die Möglichkeit, den Endanwendern den Zugriff auf das Client-Interface zu untersagen. Tun sie das nicht, so bietet die Sicherheitslösung den Benutzern noch die Option, ihre Rechner beziehungsweise einzelne Ordner darauf nach Viren und Spyware zu durchsuchen, Berichte einzusehen, Updates einzuspielen, die Firewall-Konfiguration zu bearbeiten, zentrale Richtlinien manuell zu importieren, Daten aus der Quarantäne wiederherzustellen, Programme zuzulassen oder zu blockieren und diverse Statistiken aufzurufen. Letztere geben unter anderem Aufschluss über die letzte erfolgreiche Updateprüfung, gescannte Dateien, zugelassene und blockierte Programme und so weiter. Abgesehen davon können die Anwender auch noch Einstellungen zur Funktionsweise der Client-Software vornehmen. Dabei ist es möglich, die Settings folgender Komponenten anzupassen: Viren- und Spyware- Schutz, Deepguard, geplante Scans, manuelle Scans, Firewall, Anwendungssteuerung, Eindringschutz, Dialerschutz, Protokolle, Browser-Schutz, automatische Updates, Policy-Manager-Proxy, Netzwerkverbindung, Datenschutz und Zentralverwaltung. Bei der Zentralverwaltung benötigt die Software Angaben zur URL des Management- Servers und ähnliches. Zusammenfassung Der Policy-Manager von F-Secure führte im Test zuverlässig seine Arbeit durch, ohne dass es dabei zu unliebsamen Überraschungen kam. Die Software verfügt über einen großen Funktionsumfang an dieser Stelle seien exemplarisch die Browsing- Schutzfunktionen für Googles Chrome, Mozillas Firefox, Microsofts Internet Explorer und Opera genannt. Die Konfiguration ging locker von der Hand und an der Übersichtlichkeit der Managementkonsole und der Reporting-Funktionen gibt es nichts zu meckern. Was die Leistung angeht, so benötigte der Client für den Systemstart bis zum Öffnen des Eigene Dateien -Ordners eine Minute und neun Sekunden. Der zugesicherte Speicher im laufenden Betrieb betrug KByte und die Auslagerungsdatei war 333 MByte groß (unter Last KByte und 481 MByte). Der Scan des Windows-Ordners nahm zehn Minuten in Anspruch, der Scan des ganzen Systems dauerte elf Minuten und der Scan des Antivirus-Testordners ging in 41 Minuten über die Bühne. Zum Herüberkopieren unseres Programmordners benötigte der Client mit F-Secure 38 Minuten und der Testordner mit Archivbomben und Malware verursachte für die F-Secure-Lösung keine Schwierigkeiten. In Bezug auf die Usability kamen wir zu dem Ergebnis, dass zum Start eines manuellen Scans auf allen Systemen im Netz vier Arbeitsschritte erforderlich sind. Das Sperren einer Anwendung nimmt sechs Arbeitsschritte in Anspruch das Erzeugen eines Reports über die Vireninfektionen der letzten 30 Tage einen. Der Managementaufwand hält sich also in Grenzen. Kaspersky Administration Kit Die Verwaltungskomponente des Kaspersky Administration Kit (wir testeten Version ) läuft unter Windows 2000 und neuer. Die Software unterstützt die Sprachen Deutsch, Englisch, Französisch, Italienisch, Russisch und Spanisch. Was die Hardwareanforderungen angeht, so benötigt das Produkt mindestens 256 MByte RAM und ein GByte Speicherplatz auf der Festplatte. Die Clientkomponente lag uns in der Version vor. Sie steht für Linux und alle Windows Varianten ab Windows 2000 zur Verfügung. Zu den unterstützten Sprachen gehören Deutsch, Englisch, Estnisch, Französisch, Italienisch, Japanisch, Polnisch, Portugiesisch, Spanisch, Russisch, Tschechisch und Türkisch. Der Client verlangt nach 20 MByte freiem Speicherplatz auf der Harddisk. Installation und Inbetriebnahme Der Installationswizard für den Kaspersky Administration Kit wird keinen Administratoren vor unüberwindliche Hindernisse stellen. Der einzige Setup-Schritt, der sich von den anderen Produkten unterscheidet besteht darin, die Zahl der zu schützenden Rechner anzugeben. Dabei offeriert das Tool Installationen mit einem bis zu 100 PCs, Umgebungen mit 100 bis 1000 Rechnern und Netzwerke mit mehr als 1000 Computern. Wir entschieden uns für die kleinste Variante, woraufhin die Lösung automatisch den Microsoft SQL Server 2005 Express als Datenbank mit einspielte. Die Installation der Management-Komponente dauerte insgesamt sechs Minuten und wir benötigten dazu 17 Arbeitsschritte. Nach dem Abschluss des Setups startet automatisch ein Assistent, der den zuständigen Mitarbeitern bei der Erstkonfiguration der Lösung hilft. Dieser verlangt nach der Lizenz, hilft bei der Konfiguration der E- Mail-Alerts und lädt die aktuellen Updates aus dem Netz herunter. Wenn das erledigt ist, kann es an die Verteilung der Client- Software gehen. Der dafür vorgesehene Wizard bietet den IT-Verantwortlichen zunächst eine Auswahl des zu installierenden Pakets an (Server oder Workstation) und fragt dann, ob er die Software in der Gruppe der verwalteten Computer oder auf bestimmten, nach Name und IP-Adresse ausgewählten, Zielsystemen installieren soll. Ansonsten legt der Administrator noch fest, ob nach dem Setup ein Neustart des Clients erfolgt und ob die Software inkompatible Anwendungen beispielsweise Antivirus-Produkte anderer Hersteller von dem Client entfernt. Nach der Angabe der Logindaten für einen Installationsaccount läuft die Setup-Routine durch. Das Installationspaket bringt 62,529 KByte mit, der Setup-Vorgang nahm zehn Minuten in Anspruch und wir mussten dazu 16 Arbeitsschritte durchführen. Eine Besonderheit fiel uns beim Test noch auf: Das Installationsprogramm benötigt nicht nur nach dem Einspielen des Clients einen Neustart, sondern auch nach dem ersten 7

8 Aktualisieren der Erkennungsmuster. Bei Bedarf lässt sich die Client-Software sowohl via Push-Install verteilen, als auch über Login-Skripte, Gruppenrichtlinien, -Installationspakete und Web-basierte Setup-Vorgänge. Die Managementkonsole Die Kaspersky-Managementkonsole kommt als MMC-Snapin und verfügt dementsprechend über eine Baumstruktur auf der linken Seite, über die sich alle relevanten Konfigurationspunkte aufrufen lassen. Mit ihrer Hilfe sind die Administratoren dazu in der Lage, sich mit Kaspersky-Verwaltungsservern in ihrem Netz zu verbinden und Übersichtsseiten aufzurufen, die sie über die Zahl der verwalteten und nicht verwalteten Systeme aufklären und Aufschluss über den Schutzstatus und den Status der Virensuche geben. Dazu kommen noch Informationen über den Update-Status und eine Ereignisanzeige. Darüber hinaus ist es an gleicher Stelle auch möglich, die Client-Software im Netz zu verteilen und den Schnellstart- Assistenten nochmals aufzurufen. Unterhalb der Server stehen die weiteren Funktionen in diversen Knoten zur Verfügung. Unter Verwaltete Computer rufen die zuständigen Mitarbeiter Reports zur Virenaktivität auf, legen Gruppenstrukturen an und nehmen diverse Einstellungen vor, beispielsweise um inaktive Clients automatisch aus dem System zu löschen. Darüber hinaus stehen Übersichten über die Gruppen mit den darin gültigen Richtlinien zur Verfügung und es ist möglich, die Update-Einstellungen zu ändern. Standardmäßig führt die Software alle zwei Stunden ein Update durch. Der interessanteste Bereich der Managementkonsole ist aber sicher die Richtlinienkonfiguration, da sie es ermöglicht, die einzelnen Funktionen der Software zu beeinflussen. Zur Richtlinienkonfiguration gehört auch das Einrichten von Benachrichtigungen beispielsweise beim Auftreten kritischer Ereignisse. Die Software sieht es sogar vor, Richtlinien in Dateien zu exportieren um sie an anderen Orten verfügbar zu machen. Die Richtlinienkonfiguration unterscheidet übrigens zwischen Servern und Workstations, was in vielen Umgebungen Sinn ergibt. Gehen wir nun im Detail auf den Funktionsumfang der Software ein: Im Rahmen der Richtlinien definieren die zuständigen Mitarbeiter den Zeitraum, während dessen das System Berichte und Quarantäneobjekte speichert und legen die zu überwachenden Netzwerkports fest. Darüber hinaus konfigurieren sie vertrauenswürdige Zonen und aktivieren den Antivirus-Schutz sowie die Erkennung der Bedrohungstypen schädliche Programme, potentiell unerwünschte Programme (PUPs) und Pack- Archive mit mehrfach gepackten Objekten. Beim Mail-Antivirus untersucht die Lösung den Datenverkehr mit ICQ, IMAP, MSN, POP und SMTP. Außerdem bietet die Software Plugins für Outlook, Outlook Express und The Bat. Es gibt auch die Option, Anlagen nach bestimmten Dateitypen zu filtern. An Aktionen nach einem Virenfund unterstützt das Produkt Zugriff verweigern, Desinfizieren, Löschen wenn Desinfektion nicht möglich und Vorgehen beim Benutzer erfragen. Der proaktive Schutz sichert das System gegen Keylogger, versteckte Treiberinstallationen, Veränderungen der Hosts-Datei und ähnliches. Darüber hinaus überwacht diese Funktion die Registry. Ebenfalls von Interesse sind die Anti-Hacker-Features. Diese erkennen Angriffe, blockieren bei Bedarf angreifende Hosts automatisch und umfassen zudem die Konfiguration der Firewall. Was die Firewall angeht, so ermöglicht das Kaspersky-Produkt das Erstellen von Regeln für Pakete und Anwendungen und die Arbeit mit Zonen (für alle Funktionalitäten stehen den Anwendern drei Profile zur Verfügung, nämlich aktiv, inaktiv und mobil ). Die Zugriffskontrolle unterbindet auf Wunsch die Autostartfunktion und hilft beim Blockieren von USB-Speichern, PCMCIA-Geräten,Produkten, die am seriellen beziehungsweise parallelen Port hängen und so weiter. Der Datei-Antivirus versetzt die IT-Mitarbeiter im Gegensatz dazu in die Lage, Dateien abhängig von ihrem Format und ihrer Erweiterung zu untersuchen und Schutzbereiche wie Alle Wechseldatenträger oder Alle Festplatten zu definieren. Im Test empfanden wir diese Funktionsdefinition als sehr übersichtlich. Über die Leistungseinstellungen aktivieren die zuständigen Mitarbeiter die heuristische Analyse sowie das Untersuchen von Archiven und ähnliche Vorgänge. Der Web-Antivirus wiederum arbeitet mit einer Datenbank für verdächtige Adressen und für Phishing-Sites. Außerdem können die Administratoren auch eine White List mit vertrauenswürdigen Adressen anlegen. Die letzten beiden Punkte der Richtliniendefinition befassen sich mit der Anti-Spy- Funktion (mit Dialer-Schutz) und dem Anti-Spam-Feature, das mit Black- und White-Lists arbeitet und einen Bayes-Filter mitbringt. Zum Anti-Spam ist zu sagen, das alle anderen Hersteller in unserem Test der Meinung sind, Anti-Spam-Funktionen seien eine Sache, die auf dem Gateway lau- Übersichtlich: Das Dashboard des Kaspersky Administration Kit 8

9 Auch die Client-Komponente von Kaspersky hinterließ im Test einen aufgeräumten Eindruck fen müsse. Nur Kaspersky beruft sich darauf, dass auch kleinere und mittlere Unternehmen zu seinen Kunden gehören, die oft keine Gateway-Anti-Spam-Lösung haben. Deswegen bietet dieser Hersteller die Anti-Spam-Funktionalität mit an und überlässt seinen Kunden die Wahl, was wohl für viele Administratoren ein wichtiger Punkt sein mag. Gehen wir jetzt noch kurz auf die restlichen Funktionen des Kaspersky Administration Kit ein. Über die Gruppenaufgaben lassen sich beispielsweise Updates und Scans auf Gruppenebene ausführen, während die Client-Computer-Liste eine Übersicht über die verwalteten Computer gibt und es ermöglicht, weitere Rechner zum System hinzuzufügen. An gleicher Stelle erstellen und starten die zuständigen Mitarbeiter auch Aufgaben auf Client-Ebene, sehen Ereignisse ein und rufen einen Remote-Desktop auf. Interessanter ist der Punkt zu den Protokollen und Benachrichtigungen, denn hier stehen diverse Statistiken (beispielsweise zur Virenaktivität) und Protokolle wie das Fehlerprotokoll zur Verfügung. An gleicher Stelle gibt es die Option, Benachrichtigungen per Mail, Net Send und SNMP zu definieren. Bei Bedarf startet das Produkt im Benachrichtigungsfall auch eine ausführbare Datei, den Alerts sind hier also praktisch keine Grenzen gesetzt. Unterhalb des genannten Knotens finden sich dann die definierten Reports (insgesamt wurden zehn vordefiniert) mit grafischen Darstellungen, Listenübersichten und ähnlichem. Falls nötig können die IT-Mitarbeiter jederzeit eigene Reports generieren. Diverse Aufgaben zum Versand von Protokollen, zum Herunterladen von Updates und zum Suchen von Viren gehören genauso zum Leistungsumfang der Managementlösung wie Optionen zum Anzeigen von Client-Systemen nach bestimmten Eigenschaften, wie zum Beispiel veralteten Virenerkennungsmustern. Hier können sich die Administratoren genau über den Zustand bestimmter Systeme informieren. Abgesehen davon stellt das Verwaltungswerkzeug noch einen Knoten mit nicht zugeordneten Computern zur Weiterverarbeitung bereit und bietet allgemeine Administrationsoptionen zum Anzeigen der Quarantäne, zum Hinzufügen von Lizenzen und so weiter. Die Client-Software Die Kaspersky-Lösung ist genau wie die anderen Produkte dazu in der Lage, den Anwendern auf den Client-Rechnern den Zugriff auf die Sicherheits- Komponenten zu unterbinden. Diese Funktion wurde standardmäßig aktiviert. Steht der Zugriff offen, so haben die Benutzer die Möglichkeit, sich über die einzelnen Schutzfunktionen wie Datei- Antivirus, Mail-Antivirus, Web-Antivirus, Anti-Spam, prokativen Schutz, Anti-Spyware, Anti-Hacker und Zugriffssowie Gerätekontrolle zu informieren. Alle Funktionen lassen sich an dieser Stelle auch konfigurieren und die entsprechenden Dienste starten und stoppen. Es besteht sogar die Option, Berichte über die einzelnen Features einzusehen. Dazu kommen Listen mit den untersuchten Dateien, den aktiven Bedrohungen, den Quarantäneobjekten und den abgewehrten Angriffen. Was die Virensuche angeht, so bietet die Software eine vollständige und eine schnelle Suche, die sich standardmäßig auf den Systemspeicher, die Autostart-Objekte und die Bootsektoren beschränkt. Bei Bedarf können die Anwender aber auch Suchläufe definieren, die sich mit spezifischen Ordnern oder Dateien befassen. In Bezug auf die clientseitigen Einstellungen haben die Benutzer unter anderem die Möglichkeit, vertrauenswürdige Zonen zu definieren, bestimmte Funktionen wie dem Datei-Antivirus oder den proaktiven Schutz zu aktivieren beziehungsweise auszuschalten, Updates durchzuführen und spezifische Client-Settings anzupassen. Zu letzteren gehört beispielsweise die Option, geplante Aufgaben bei Akkubetrieb nicht durchzuführen, eine auf Notebooks unverzichtbare Funktion. Zusammenfassung Auch bei der Arbeit mit dem Administration Kit von Kaspersky traten im Test keine Probleme auf. Die Software bietet einen beeindruckenden Funktionsumfang. Sie ist beispielsweise die einzige Lösung im Test, die auch Anti-Spam- und Antiphishing- Funktionen auf Client-Seite umfasst. Selbstverständlich unterstützt die Lösung auch NAC-Funktionen. Das Konfigurationswerkzeug ließ sich ohne große Anlernzeit bedienen und die vorhandenen Protokoll- und Alertfunktionen werden jeden IT-Verantwortlichen zufrieden stellen. In Bezug auf die Leistung benötigte unser Testclient für den Boot-Vorgang eine Minute und acht Sekunden, der virtuelle Arbeitsspeicher war 242,588 KByte groß und die Auslagerungsdatei arbeitete mit einem Volumen von 226 MByte (unter Last 9

10 KByte sowie 290 MByte). Das Kopieren unseres Testordners mit Software und einer Größe von 3,2 GByte von einem Server auf den Testclient nahm 47 Minuten in Anspruch, der Windows-Ordner-Scan zwölf Minuten, der komplette Systemscan 17 Minuten und der Scan unseres im Kasten beschriebenen Testordners zwei Stunden und fünf Minuten. Was die Usabilty angeht, so benötigt ein Administrator zum Starten eines manuellen Scans auf allen Rechnern im Netz zwölf Arbeitsschritte (dabei wird ein entsprechender Job angelegt) und das Blocken einer Anwendung nimmt zehn Arbeitsschritte in Anspruch. Der Virus-Report über alle Virenereignisse der letzten 30 Tage steht nach nur einem Arbeitsschritt bereit. Symantec Endpoint Protection 11 Die Endpoint Protection 11 (im Test kam Version zum Einsatz) von Symantec arbeitet mit den Client-Betriebssystemen Linux sowie Windows 2000 und neuer. Zu den unterstützten Sprachen gehören Chinesisch, Deutsch, Englisch, Französisch, Japanisch, Koreanisch, Polnisch, Portugiesisch, Russisch, Spanisch und Tschechisch. Auf Hardwareseite benötigt der Client 600 MByte Festplattenplatz und das Installationspaket kommt auf eine Größe von 98,341 KByte. Die Managementumgebung läuft auf Windows 2000 oder neuer und kommt in den gleichen Sprachen wie der Client. Sie verlangt acht GByte Festplattenplatz und ein GByte RAM. Installation Von allen Produkten im Test ließ sich die Managementkonsole von Symantec Endpoint Protection am schnellsten installieren. Wir benötigten dazu lediglich drei Minuten und es waren für den Vorgang sieben Arbeitsschritte erforderlich. Auch bei der Setup-Routine von Symantec gibt es wenig zu sagen, erwähnenswert ist lediglich, dass die Administratoren den Port für die Kommunikation zwischen Server und Clients frei definieren können. Wenn die Installation durchgelaufen ist, startet ein Konfigurationsassistent, der die Datenbank einrichtet und ein Administratorkonto zum Einloggen wissen möchte. Danach kann es schon an die Verteilung der Client-Software mit dem Migrations- und Verteilungsassistenten gehen. Dieser möchte zunächst einmal wissen, ob er die Client- Komponente auf Rechnern im Netz installieren, oder Symantec Antivirus migrieren soll. Entscheiden sich die zuständigen Mitarbeiter für das Setup, so fragt der Wizard nach einem Namen für die Gruppe oder einem vorhandenen Installationspaket. Nach der Definition des Gruppennamens wir hatten zu diesem Zeitpunkt ja noch kein Installationspaket vorbereitet und mussten deshalb diese Option wählen konnten wir selektieren, welche Funktionen im Netz verteilt werden sollten. Zur Auswahl standen dabei Antivirus/Antispy, Schutz (für POP, SMTP, Outlook und Notes), Netzwerkbedrohungsschutz, Anwendungs- und Gerätesteuerung sowie proaktiver Truscan-Bedrohungsscan. Nachdem wir alle Funktionen ausgewählt hatten, mussten wir noch angeben, ob wir ein Installationspaket für 32- oder für 64- Bit-Systeme erstellen wollten und ob das System sämtliche Daten in eine EXE-Datei packen sollte. Danach ging es an die Angabe von Installationsoptionen wie automatisches oder unbeaufsichtigtes Setup, den Zielordner und ähnliches. Zum Schluss gaben wir den Zielcomputer mit Login- Daten an, anschließend ging das Client- Paket raus. Man kann die Installation alternativ auch über Group-Policies und Login-Scripts durchführen. Im Test nahm der Setup-Vorgang fünf Minuten in Anspruch und benötigte 16 Arbeitsschritte. Der Symantec Endpoint Protection Manager nach der Installation Die Managementkonsole Die Konsole von Symantec arbeitet mit einer Iconleiste auf der linken Seite, rechts befindet sich der Arbeitsbereich. Nach dem Login landet der Administrator zunächst in einem Dashboard, das Aufschluss gibt über die Aktionen der Software, den Sicherheitsstatus, die pro Stunde aufgetretenen Risiken, die Verteilung der Virendefinitionen und die überwachten Anwendungen. Dazu kommen Links zu den wichtigsten Reports. Unter Überwachung erhalten die IT-Verantwortlichen grafische Übersichten über proaktive Bedrohungsscans, Angriffsziele, Angriffsquellen und die Risikoverteilung. An gleicher Stelle finden sich auch die Protokolle. Deren Anzeige lässt sich Filtern, beispielsweise nach Domäne, Zeiträumen, Benutzer und ähnlichem. Auf diese Weise erhalten die Administratoren nur die Informationen, die sie wirklich interessieren. Es gibt Protokolle über den Computerstatus, Risiken, Scans, den Netzwerkbedrohungsschutz und ähnliches. Informationen über den Status einzelner Befehle (wird durchgeführt, abgebrochen, etc.) gehören ebenfalls zum Leistungsumfang des Überwachungsmenüs, genau wie Benachrichtigungen (beispielsweise neues Risiko erkannt ), die sich bei Bedarf auch filtern lassen. Unter den Berichten finden die zuständigen Mitarbeiter insgesamt 54 vordefinierte 10

11 Einträge, bei Bedarf lassen diese sich auch an spezifische Bedürfnisse anpassen. Das System unterschiedet zwischen Schnellberichten und geplanten Berichten. Unter den Schnellberichten ist es möglich, Informationen zu Themen wie Risiko, Überwachung, Anwendungs- und Gerätesteuerung, Computerstatus und Netzwerkbedrohungsschutz einzuholen. Dabei gibt es die Option, Filter wie Ereignistyp und Domäne zu verwenden und den Zeitraum einzugrenzen. Die geplanten Berichte ermöglichen das Erstellen von Reports per Zeitplan und das automatische Verschicken der Daten an E- Mail-Empfänger. Im Test ergaben sich dabei keinerlei Schwierigkeiten. Die Richtlinienkonfiguration befasst sich wie bei den anderen Sicherheits-Suites auch mit den Einstellungen, die das Verhalten des Security-Clients festlegen. Richtlinien lassen sich bei Bedarf auch exportieren und importieren. Es gibt Richtlinien für verschiedene Funktionsbereiche. Dazu gehört etwa Virenschutz und Antispyware mit Scans, der Autoprotect-Funktion für das Dateisystem und den Mail-Verkehr, den durchzuführenden Aktionen (Bereinigen, Quarantäne, etc.), den abzusetzenden Benachrichtigungen, den Einstellungen für proaktive Bedrohungsscans, der Protokollbehandlung und ähnlichem. Die Firewall-Richtlinien umfassen das Regelwerk in Tabellenform, mit Name, Anwendung, Host, Zeitraum, Dienst, Adapter, Aktion, Protokoll und so weiter. Auch hier lassen sich Benachrichtigungen konfigurieren. Das System ist sogar dazu in der Lage, zusätzliche Funktionen, wie zum Beispiel eine Fingerabdruckmaskierung für Betriebssysteme zur Verfügung zu stellen. Im Test funktionierte letztere im Rahmen eines Nmap-Scans problemlos. In diesem Zusammenhang müssen wir erwähnen, dass Symantec bis zu 64 verschiedene Profile für den Einsatz von Clients in unterschiedlichen Netzwerken unterstützt diese Funktion nennt sich Location Awareness. Die Bedingungen für die Auswahl des aktiven Profils lassen sich sogar mit und und oder verknüpfen, beispielsweise Wenn die Gateway-Adresse lautet und der DNS-Server ist, dann wähle Profil B, ansonsten Profil A. Es sind sogar Mehrfachabfragen möglich, damit erhält der Administrator ein extrem leistungsfähiges Werkzeug für die Profilselektion in die Hand. Weitere Richtlinien befassen sich mit der Steuerung der Intrusion Prevention (mit der Erkennung von Portscans und dem automatischen Blockieren von Angreiferadressen) und der Anwendungs- und Gerätesteuerung (mit Schreibschutz für Wechselmedien, einer Blockierfunktion für USB-Geräte, Black- und Whitelists, etc.), Dazu kommen das Live-Update (mit Zeitplan, standardmäßig sucht das System alle vier Stunden nach neuen Pattern) und die zentralen Ausnahmen (Dateien, Ordner und so weiter). Um die Pattern-Updates zu den Clients zu bekommen, stellt Symantec übrigens eine Vielzahl an Möglichkeiten bereit, um auch den Datenfluss über Netze mit schwachem Durchsatz sicher zu stellen. Dazu gehören unter anderem Updates über die Infrastruktur von Akamai und das Anlegen lokaler Repositories. Die nächsten Konfigurationsmenüs befassen sich mit den Clients und Clientgruppen (hier kann man unter anderem auf den Systemen Befehle wie Scans durchführen und Content verteilen aktivieren) und der Administration. Letztere übernimmt die Konfiguration der Konsole selbst mit Administratorkonten und ähnlichem. Zusätzlich haben die Administratoren noch die Option, für die oben genannte Location Awareness verschiedene Standorte zu definieren. Diese umfassen unter anderem Protokoll-Settings und Live-Update-Einstellungen für verschiedene Downloadpläne. Die Richtlinien lassen sich den Standorten dann im Betrieb zuweisen. Die Server-Settings mit der Konfiguration des Mail-Servers, des Verzeichnisservers (Active Directory beziehungsweise LDAP) und ähnlichem runden den Leistungsumfang der Managementkonsole ab. Die Client-Software Haben die Endanwender Zugriff auf die Client-Komponente der Security-Suite, so können sie auch bei dem Symantec-Produkt zunächst auf eine Statusseite zugreifen, die Aufschluss über den nächsten geplanten Scan, die Signaturversionen und den aktuellen Zustand der einzelnen Funktionen (Viren- und Antispyware-Schutz, proaktiver Bedrohungsschutz und Netzwerkbedrohungsschutz) gibt. Dazu kommen diverse Optionen wie Scan ausführen, Protokoll anzeigen und so weiter. Darüber hinaus stehen den Anwendern falls die IT-Abteilung diese Funktionalität freigegeben hat diverse Einstellungsmöglichkeiten zur Verfügung. Dazu gehören unter anderem Ausnahmen im Dateisystem und Settings für die Schutzfunktion für E- Mails. Zusätzlich haben die Benutzer die Option, mit der Client-Software nach Trojanern, Keyloggern und Würmern zu suchen, Benachrichtigungen anzuzeigen, Prüfungsintervalle zu definieren, Anwendungen zuzulassen oder zu blockieren und Scans zu definieren. Last but not least können die User auch Ausnahmen von Sicherheitsrisiken anlegen, die Quarantäne anzeigen, automatische Updates definieren (das ist beim Ein Blick auf die Security-Client-Komponente von Symantec 11

12 Betrieb mit dem zentralen Management- Server nicht nötig, da dieser Updates zum Client pusht) und Protokolle wie das Virenprotokoll einsehen. Zusammenfassung Auch die Suite von Symantec die genau wie die anderen Produkte NAC- Funktionalitäten mitbringt kann mit einem großen Leistungsumfang überzeugen und bringt ein einfach bedienbares Konfigurationsinterface mit. Hier gefielen uns besonders die sehr ausgereiften Profilfunktionen für den Einsatz von Clients in unterschiedlichen Umgebungen, die Symantec als Location Awareness bezeichnet. Auch die große Zahl unterschiedlicher Möglichkeiten zum Durchführen von Updates hinterließ einen positiven Eindruck, da sie auch über schlechte Netze wie zum Beispiel Modemverbindungen im Ausland dafür sorgt, dass die Clients auf dem aktuellen Stand bleiben. Was die Leistung angeht, so benötigte unser Testrechner für den Systemstart mit dem Symantec Client eine Minute und elf Sekunden. Der virtuelle Arbeitsspeicher hatte eine Größe von KByte, die Auslagerungsdatei arbeitete mit 271 MByte (unter Last KByte und 372 MByte). Der Scan des Windows- Ordners nahm 18 Minuten in Anspruch, der volle Systemscan 35 Minuten und der Scan unseres Testfolders drei Stunden und 24 Minuten. Zum Herüberkopieren des Programmordners vom Server benötigte das System 29 Minuten. In Bezug auf die On-Demand-Scans müssen wir an dieser Stelle erwähnen, dass die Default-Einstellungen von Symantec deutlich weiter gehen, als die der anderen Testkandidaten. Das System scannt üblicherweise alle Dateien und untersucht Archive sowie den Systembereich immer mit. Deswegen sind die Scan-Zeiten hier deutlich länger als bei den übrigen Produkten im Test. Da es unfair wäre, dies unkommentiert stehen zu lassen, haben wir an dieser Stelle unsere Regel mit den Default-Einstellungen durchbrochen und die Scans testweise mit Settings wiederholt, die näher an den Einstellungen der anderen Testkandidaten lagen. Mit dieser Konfiguration betrug beispielsweise die Dauer für einen Scan des Windows-Ordners zwölf Minuten, was schon eher im für diese Produkte üblichen Bereich liegt. Der Umgang mit dem Archivbomben- und Malware- Ordner bereitete der Symantec-Lösung keine Schwierigkeiten. Noch kurz zur Usabilty: Ein Administrator muss vier Arbeitsschritte durchführen, um einen manuellen Scan auf allen Rechnern im Netz zu starten. Zum Sperren einer Anwendung sind elf Arbeitsschritte erforderlich und zum Aufrufen eines Reports über die Virenereignisse der letzten 30 Tage zehn. Fazit Alle in diesem Test vorgestellten Produkte haben ihre Vorteile. Was die Leistung angeht, so geben sich die Lösungen von F- Secure, Sophos und Symantec nicht viel. Lediglich die Scans von Kaspersky dauern bei vergleichbarer Konfiguration geringfügig länger. Diese Tatsache darf man nicht zu hoch bewerten, denn in den meisten Umgebungen wird es egal sein, ob ein Scan fünf Minuten länger in Anspruch nimmt oder nicht, solange er im Hintergrund läuft und die Anwender währenddessen an ihren Maschinen weiterarbeiten können. Beim Kopieren des Programmeordners von einem Server auf den Client, kommen wir sowieso zu einer etwas anderen Reihenfolge: Hier ist Symantec mit 29 Minuten am schnellsten, vor Sophos mit 36 Minuten und F-Secure mit 38 Minuten. Das Schlusslicht bildet auch hier Kaspersky mit 47 Minuten. Wichtiger als die Performance ist unserer Meinung nach sowieso der Verwaltungsaufwand, also die Arbeit, die die Administratoren in das Management der Sicherheitslösung stecken müssen. Hier sind die Bewertungskriterien in Bezug auf Übersichtlichkeit und Usability leider immer etwas subjektiv. Wenn ein IT-Verantwortlicher bei einer Verwaltungskonsole einen Arbeitsschritt braucht, um einen häufig benötigten Report aufzurufen und bei einer anderen zehn, so stellt sich die Frage, ob das gleichermaßen für alle Reports gilt und welcher Report nun in welcher Umgebung am wichtigsten ist. Deswegen sollte jeder IT-Mitarbeiter unsere diesbezügliche Bewertung mit Vorsicht genießen und in Hinblick auf seine eigenen Bedürfnisse hinterfragen. Uns kam es im Test so vor, dass alle Konsolen so aufgebaut wurden, dass ein IT-Fachmann ohne Probleme und lange Anlernzeit damit klar kommt. Es gab also keine wirklich schlechte Managementkomponente und wir erreichten mit allen unser Ziel. Am besten gefielen uns aber die Lösungen von Sophos und F-Secure, weil sie uns am klarsten gegliedert erschienen. Was den Funktionsumfang angeht, so kann Kaspersky in bestimmten Umgebungen damit punkten, dass es die einzige Lösung mit einer Anti-Spam-Komponente ist, während bei Symantec vor allem die ausgefeilte Location Awareness in Auge sticht. Sophos und F-Secure bringen auch jeweils ihre Highlights mit, wie etwa die übersichtliche Managementkonsole und die Browser-Unterstützung beim Web-Schutz. Generell gilt, dass es bei den getesteten Produkten keine wesentlichen Unterschiede bei der Leistung und Bedienbarkeit gibt, dass es sich für viele Administratoren aber auszahlen wird genau zu analysieren, auf welche Funktionalitäten sie im Detail besonderen Wert legen. Ein Paar Unterschiede existieren bei den Suites nämlich schon und diese können in manchen Umgebungen durchaus entscheidend sein. Impressum Herausgeber: Institut zur Analyse von IT-Komponenten (IAIT) Dr. Götz Güttich Tel.: 02182/ Fax: 02182/ Web: Blog: 12