Symantec strafft Client-Security

Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
"Endpoint Protection 11" fasst Werkzeuge für die Desktop- und Notebook-Sicherheit zusammen.

Unter Endpoint Protection 11 hat Symantec nun das Gros seiner Client-bezogenen Sicherheitsbausteine zusammengefasst. Das Toolset umfasst Sicherheitsfunktionen zur Abwehr von Malware, Spyware und Rootkits, ferner eine Desktop-Firewall, ein Intrusion Prevention System (IPS) für den Netzverkehr, ein Host-basierendes Intrusion Prevention System (HIPS) sowie NAC-Support (Network Access Control) für die Zugangskontrolle. Funktional deckt die Suite damit nahezu alles ab, was für einen runden Client-Schutz erforderlich ist. Fast alle Sicherheitsvorkehrungen von Endpoint Protection sind darauf ausgerichtet, den Angriff von Dritten auf das Gerät zu kontrollieren oder zu unterbinden.

Fazit

Mit Endpoint Protection 11 hat Symantec seine Sicherheitswerkzeuge für Clients geordnet. Hierzu hat der Hersteller die jeweils besten Tools aus seinen bisherigen Produkten extrahiert und in einem neuen Kontext zusammengefasst. Im Test erwies sich die Komposition als zuver-lässig. Die ehemals getrennten Funktionen sind gut in eine gemeinsame Oberfläche integriert. Setup, Bedienung und Logiken der gemeinsamen Konsole sind schlüssig und erlauben ein flottes Arbeiten. Eine rollenbasierende Verwaltung und selektive Scan-Möglichkei-ten je nach Bedrohungslage würde jedoch im Ernstfall eine schnellere Bewertung ermöglichen.

So wurde getestet

Wir haben die Sicherheitssuite auf einem AMD Athlon 64/3400+ mit 2,2 Gigahertz Taktfrequenz und 2 GB RAM getestet. Nach dem Setup der Software und dem Einrichten des Management-Servers, der Datenbank und der Verwaltungskonsole aktualisierten wir die Definitionen der Viren-signaturdateien von der Symantec-Website. Anschließend erzeugten wir ein Feature-Set für die Agenten der zu überwachenden Geräte und verteilten sie auf die Zielsysteme (Windows Server 2003 und Windows XP Professional). Zur Prüfung des Virenscanners verwendeten wir verschiedene Testviren und Malware. Weitere Tests bezogen das HIPS ein. Ferner definierten wir unter-schiedliche Standorte für die Testgeräte und verknüpften sie mit entsprechenden Profilen. Über die Ergebnisse unserer Tests ließen wir uns per E-Mail benachrichtigen.

Symantec Endpoint Protection 11

Preis (zuzüglich Mehrwertsteuer): Symantec Endpoint Protection 11 kostet 44 Euro pro Lizenz bei 100 Lizenzen, 31,50 Euro pro Lizenz bei 1000 Lizenzen.

Gute Integration der Symantec-Sicherheits-Tools in einer Konsole;

weitreichende Konfigurationen;

umfangreiches Set an Sicherheitstechniken;

mehrere Profile für unterschiedliche Standorte von Notebooks.

Gezielte Suche nach einer Bedrohung (etwa Virus) nicht möglich;

rollenbasierende Verwaltung mit anpassbaren Arbeitsumgebungen wird nur bedingt unterstützt;

die Verteilung der Client-Agenten kann nicht aus der Management-Konsole erfolgen. Stattdessen muss ein separates Tool verwendet werden.

Die Architektur der Suite

Die Sicherheitssuite unterscheidet zwischen "managed" und "unmanaged" Clients. Als managed werden vom zentralen Management-Server verwaltete Clients bezeichnet, während unmanaged Clients keinen Kontakt mehr zu ihrem zentralen Verwaltungs-Server haben. Das mag zwar die Ausnahme sein, ist aber denkbar. Eine Mischform zwischen beiden Varianten ist die "Client-Control"-Methode. Hierbei wird durch den zentralen Server der Client-Agent (meist mit einer Grundkonfiguration) auf das zu sichernde Gerät ausgerollt, die Verwaltung erfolgt jedoch ausschließlich lokal durch den Client selbst. Als Clients sind - im Sinne von Endpoint Protection - auch Server-Systeme zu verstehen, denn für das Toolset macht es keinen Unterschied, ob es Client-Desktops, Client-Notebooks oder Server-Systeme in die Überwachung einbezieht. Auf den zu überwachenden Client-Geräten kommen spezielle Agenten zum Einsatz, die mit dem Management-Server kommunizieren.

32- und 64-Bit-Windows

Für unseren Test richteten wir den Management-Server samt Datenbank und der Verwaltungskonsole auf einem Rechner mit Windows Server 2003, SP1 ein. Als verwaltete Clients verwendeten wir Testrechner mit Windows XP und Windows Server 2003. Darüber hinaus unterstützt Endpoint Protection auch Clients mit den Betriebssystemen Windows 2000 Professional und Server (jeweils mit SP3) sowie Windows Vista und Windows Server 2003. Ab Windows XP gilt das sowohl für 32-Bit- als auch 64-Bit-Systeme.

Einfaches Setup

Das Setup selbst benötigt lediglich einige zentrale Angaben etwa zum Zielverzeichnis. Im Test installierten wir den Management-Server samt Datenbank und Verwaltungskonsole manuell. Die Clients können zwar auch direkt von der gelieferten CD installiert werden, was der Hersteller allerdings nur empfiehlt, wenn der Client keine Kommunikation zum Management-Server benötigt (Stand-alone-Betrieb). Bei größeren IT-Infrastrukturen mit Tausenden Geräten sollten die Client-Agenten vom Verwaltungs-Server aus im Push-Verfahren installiert werden.

Nach dem Setup des Management-Servers fragt ein Assistent die weiteren Konfigurationseinstellungen ab und richtet dann die Datenbank ein. Ein anderer Assistent hilft bei der Migration bestehender Symantec-Tools wie der Antivirus Corporate Edition. Alles zusammen ist in einer knappen Viertelstunde zu bewerkstelligen. Anschließend startet die Verwaltungskonsole, die modern und aufgeräumt ist und sich an den heute gängigen grafischen Benutzeroberflächen orientiert.

Die Administration

Die Verwaltung ist in mehrere Bereiche untergliedert: Unter der Rubrik "Start" findet sich ein Übersichtsbildschirm mit den wichtigsten aktuellen Ereignissen und dem Zustand des von Endpoint Protection überwachten Gesamtsystems. Dieses Dashboard lässt sich weitgehend konfigurieren und liefert rasch einen umfassenden Überblick über das System. In der Rubrik "Überwachung" finden sich weitere Details zu den Systemen. Unter "Bericht" werden spontane Ad-hoc-Berichte und die regelmäßig zu generierenden Statusberichte zusammengefasst und verwaltet. Die Konfigurationen aller Sicherheitsfunktionen werden unter "Richtlinien" gebündelt. Hier erfolgen die Definitionen zur Arbeitsweise der Firewall und des IPS sowie aller übrigen Sicherheitseinrichtungen.

Die letzten beiden Rubriken sind mit "Clients" und "Admin" überschrieben. Unter Clients werden die zu verwaltenden Rechnersysteme integriert. Eine Anbindung an das Active Directory oder LDAP-Verzeichnisse (Lightweight Directory Access Protocol) ist machbar, aber nicht erforderlich. Möglich ist auch ein Mischbetrieb, bei dem bestimmte Definitionen aus dem Active Directory abgegriffen werden, während andere lokale im Endpoint-Protection-Server verwaltet werden. Der Bereich "Admin" schließlich widmet sich der Verwaltung und Konfiguration des Management-Servers und der Datenbank.

Aktualisierung der Signaturen

Aktuelle Definitionen von Virensignaturen und Antispyware werden direkt durch Symantec bereitgestellt und automatisiert über das "LiveUpdate" von der Website des Anbieters geladen. Dies war im Test innerhalb weniger Minuten abgeschlossen.

Client-Geräte müssen mit einem Client-Agenten versorgt werden - dazu gilt es, in der Verwaltungskonsole ein Installa-tionspaket zu definieren. Dessen Umfang beziehungsweise "Feature-Set" orientiert sich an den gewünschten Sicherheitseinrichtungen wie Desktop-Firewall, Virenscanner oder IPS. Das konfigurierte Feature-Set ist anschließend als Exe- oder MSI-Datei (Microsoft Installer) zu exportieren und in einem Verzeichnis zu hinterlegen. Verteilung und Set-up der Client-Agenten können demnach über beliebige Werkzeuge zur Softwareverteilung erfolgen. In unserem Test erzeugten wir für das gewählte Feature-Set eine MSI-Datei und setzten anschließend den mitgelieferten Assistenten zur Verteilung ein, der seine Aufgabe anstandslos und flott erledigte. Warum die Verteilung der Agenten in einen separaten Assistenten ausgelagert ist, erschließt sich allerdings nicht. Besser wäre, die Verteilung in die zentrale Verwaltungskonsole zu integrieren.

Testviren für den Scanner

Zur Prüfung des Virenscanners und seiner Logik griffen wir auf verschiedene Testviren und Malware von www.testvirus.de zurück. Sämtliche im Test verwendeten Schadroutinen wurden von dem integrierten Scanner korrekt erkannt und entfernt. Die Qualität der Virenerkennung lässt sich damit allerdings nicht messen, da alte und bekannte Viren in der Regel von allen Scannern erkannt und eliminiert werden. Die Wirkkraft eines Virenscanners lässt sich eher an der Reaktionsgeschwindigkeit des Herstellers beim Auftreten neuer Viren ablesen. Informationen hierzu bieten verschiedene einschlägige Web-Seiten - etwa vom SANS Institute (www.sans.org), vom European Institute for Computer Anti-Virus Research (Eicar/www.Eicar.org) oder von Virus Bulletin (www.virusbtn.com).

Um auch Zero-Day-Attacken und aktuelle Bedrohungen abzuwehren, haben sich IPS etabliert. Symantecs Endpoint Protection hat hierzu diverse Sicherheitsvorkehrungen integriert. Die als HIPS bezeichnete Funktionssammlung umfasst Applikations- und Gerätekontrolle und überwacht beziehungsweise unterbindet die Nutzung bestimmter Dateitypen.

Mobile Geräte wie Notebooks sind auf den Einsatz in wechselnden Umgebungen und an verschiedenen Standorten ausgelegt. Ins Firmennetz integriert, sollen sie sich hinsichtlich der Sicherheitskonzepte anders verhalten als im Stand-alone-Betrieb. Im Netz wird man sie den Sicherheitseinrichtungen und -regularien des Betriebsstandorts unterwerfen, während sie sich als eigenständige Geräte mit Internet-Anschluss selbständig um alle Security-Belange kümmern müssen. Symantec Endpoint Protection trägt den wechselnden Einsatzszenarien Rechnung und erlaubt für ein Gerät die Definition unterschiedlicher Standorte. Was als Kriterium dafür verwendet wird, lässt sich flexibel bestimmen - im Test war es ein anderes IP-Segment. Für die beiden Standorte erzeugten wir für unsere Testrechner zwei Profile, die sich im Hinblick auf die Nutzung von Applikationen, Dateierweiterungen und den Gerätezugang unterschieden. Je nach zugewiesener IP-Adresse, die als Indiz für LAN-Betrieb oder Internet-Nutzung gewertet wurde, verhielten sich die Geräte erwartungsgemäß. Auch erlaubten wir den Devices, sofern sie als extern galten, die Signaturdateien direkt über LiveUpdate zu beziehen. Im LAN wiederum wurden diese von einem zentralen Server bereitgestellt. Auch dieses Verhalten war korrekt und schlüssig.

Verwaltung ist ausbaufähig

Die Vorgaben für die Untersuchung der Geräte werden durch LiveUpdate bereitgestellt, das alle bis dato bekannten Sicherheitsbedrohungen umfasst. Eine Eingrenzung auf eine gerade aktuelle Bedrohung ist indes nicht möglich, würde bei akuten Problemen den Scan-Durchlauf aber beschleunigen. Der Scan kann in den Betriebsarten "Quick", "Full" oder "Custom Scan" erfolgen.

Wie erwähnt umfasst Endpoint Protection unterschiedliche Sicherheitsfunktionen wie Firewall oder Virenscanner - deren Verwaltung obliegt allerdings häufig verschiedenen Personen. Oder es wird zwischen operativem Monitoring mit eng begrenztem Aufgabenfeld und übergreifender Administration unterschieden, was eine rollenbasierende Verwaltung erforderlich macht. Letztere unterstützt Endpoint Protection allerdings nur in Form von Administrationsgruppen, die dann wiederum an bestimmte Organisationseinheiten gebunden werden können. Dies erlaubt beispielsweise die Trennung der Verwaltung für Server, Desktops oder Standorte und Abteilung. Derzeit nicht realisierbar (aber für die Folgeversion geplant) ist die funktionale Trennung der Verwaltung etwa in "Virenscan", "HIPS" oder "Firewall".

Um beim Monitoring der IT-Infrastruktur nicht permanent die Überwachungskonsolen im Blick haben zu müssen, werden verschiedene Warnmechanismen wie E-Mails oder das Ausführen einer Exe- beziehungsweise Batch-Datei verwendet. Wir ließen uns im Test beim Überschreiten von Sicherheitsschwellwerten - etwa durch einen Virenansturm - via E-Mail alarmieren. Sowohl das Einrichten der Verbindung zum Mail-Server als auch der nachfolgende Versand von Nachrichten erfolgte problemlos. Die Langfassung des Beitrags finden Sie unter http://www.computerwoche.de/1850617. (kf)