Symantec hat in den vergangenen Jahren ein ganzes Portfolio an Sicherheits-Tools für Clients aufgebaut. Dazu gehörten die Produkte "Client Security", "Antivirus", "Wholesecurity" und die "Sygate Enterprise Protection", die sich der Anbieter teilweise durch Firmenübernahmen ins Haus geholt hatte. Das führte zu funktionalen Überschneidungen, auch verfügten die Werkzeuge aufgrund ihrer ursprünglichen Eigenständigkeit über jeweils eigene Verwaltungskonsolen.
Unter Endpoint Protection 11.0 hat Symantec nun das Gros seiner Client-bezogenen Sicherheitsbausteine zusammengefasst. Das Toolset umfasst Sicherheitsfunktionen zur Abwehr von Malware, Spyware und Rootkits, ferner eine Desktop-Firewall, ein Intrusion Prevention System (IPS) für den Netzverkehr, ein Host-basierendes Intrusion Prevention System (HIPS) sowie NAC-Support (Network Access Control) für die Zugangskontrolle. Funktional deckt die Suite damit nahezu alles ab, was für einen runden Client-Schutz erforderlich ist. Fast alle Sicherheitsvorkehrungen von Endpoint Protection sind darauf ausgerichtet, den Angriff von Dritten auf das Gerät zu kontrollieren oder zu unterbinden.
Die Architektur der Suite
Die Architektur des Toolsets orientiert sich an den heute gängigen Konzepten: Durch einen zentralen Management-Server werden die zu schützenden Geräte verwaltet, konfiguriert und die jeweiligen Ergebnisse wieder eingesammelt. Die Konfigurationseinstellungen, aber auch die von den Geräten gesammelten Statuswerte hinterlegt das Tool in einer Datenbank. Hierbei handelt es sich entweder um die integrierte Datenbank oder – bei mehr als 1000 zu überwachenden Geräten – um einen Microsoft-SQL-Server. Eine weitere zentrale Komponente stellt die Verwaltungskonsole dar, die mit dem Management-Server kommuniziert. Alle drei Bausteine können beliebig auf einen oder mehrere Rechner verteilt werden. Für größere Umgebungen lassen sich auch mehrere Management-Server mit einer zentralen Datenbank einrichten. Ferner besteht die Möglichkeit, an verschiedenen Standorten mehrere Management-Server und jeweils lokale Datenbanken, die dann repliziert werden, zu betreiben.
Die Sicherheitssuite unterscheidet zwischen "managed" und "unmanaged" Clients. Als managed werden vom zentralen Management-Server verwaltete Clients bezeichnet, während unmanaged Clients keinen Kontakt mehr zu ihrem zentralen Verwaltungs-Server haben. Das mag zwar die Ausnahme sein, ist aber denkbar. Eine Mischform zwischen beiden Varianten ist die "Client-Control"-Methode. Hierbei wird durch den zentralen Server der Client-Agent (meist mit einer Grundkonfiguration) auf das zu sichernde Gerät ausgerollt, die Verwaltung erfolgt jedoch ausschließlich lokal durch den Client selbst. Als Clients sind - im Sinne von Endpoint Protection - auch Server-Systeme zu verstehen, denn für das Toolset macht es keinen Unterschied, ob es Client-Desktops, Client-Notebooks oder Server-Systeme in die Überwachung einbezieht. Auf den zu überwachenden Client-Geräten kommen spezielle Agenten zum Einsatz, die mit dem Management-Server kommunizieren.
So wurde getestet
Wir haben die Sicherheitssuite auf einem AMD Athlon 64/3400+ mit 2.2 Gigahertz Taktfrequenz und 2 Gigabyte RAM getestet. Nach dem Setup der Software und dem Einrichten des Management-Servers, der Datenbank und der Verwaltungskonsole aktualisierten wir die Definitionen der Virensignaturdateien von der Symantec-Website. Anschließend erzeugten wir ein Feature-Set für die Agenten der zu überwachenden Geräte und verteilten sie auf die Zielsysteme (Windows Server 2003 und Windows XP Professional). Zur Prüfung des Virenscanners verwendeten wir verschiedene Testviren und Malware. Weitere Tests bezogen das HIPS ein. Ferner definierten wir unterschiedliche Standorte für die Testgeräte und verknüpften sie mit entsprechenden Profilen. Über die Ergebnisse unserer Tests ließen wir uns per E-Mail benachrichtigen.
Für unseren Test richteten wir den Management-Server samt Datenbank und der Verwaltungskonsole auf einem Rechner mit Windows Server 2003, SP1 ein. Als verwaltete Clients verwendeten wir Testrechner mit Windows XP und Windows Server 2003. Darüber hinaus unterstützt Endpoint Protection auch Clients mit den Betriebssystemen Windows 2000 Professional und Server (jeweils mit SP3) sowie Windows Vista und Windows Server 2003. Ab Windows XP gilt das sowohl für 32-Bit- als auch 64-Bit-Systeme.
Einfaches Setup
Das Setup selbst benötigt lediglich einige zentrale Angaben etwa zum Zielverzeichnis. Im Test installierten wir den Management-Server samt Datenbank und Verwaltungskonsole manuell. Die Clients können zwar auch direkt von der gelieferten CD installiert werden, was der Hersteller allerdings nur empfiehlt, wenn der Client keine Kommunikation zum Management-Server benötigt (Stand-alone-Betrieb). Bei größeren IT-Infrastrukturen mit Tausenden Geräten sollten die Client-Agenten vom Verwaltungs-Server aus im Push-Verfahren installiert werden.
Nach dem Setup des Management-Servers fragt ein Assistent die weiteren Konfigurationseinstellungen ab und richtet dann die Datenbank ein. Ein anderer Assistent hilft bei der Migration bestehender Symantec-Tools wie der Antivirus Corporate Edition. Alles zusammen ist einer knappen Viertelstunde zu bewerkstelligen. Anschließend startet die Verwaltungskonsole, die modern und aufgeräumt ist und sich an den heute gängigen grafischen Benutzeroberflächen orientiert.
Die Administration
Die Verwaltung ist in mehrere Bereiche untergliedert: Unter der Rubrik "Start" findet sich ein Übersichtsbildschirm mit den wichtigsten aktuellen Ereignissen und dem Zustand des von Endpoint Protection überwachten Gesamtsystems. Dieses Dashboard lässt sich weitgehend konfigurieren und liefert rasch einen umfassenden Überblick über das System. In der Rubrik "Überwachung" finden sich weitere Details zu den Systemen. Unter "Bericht" werden spontane Ad-hoc-Berichte und die regelmäßig zu generierenden Statusberichte zusammengefasst und verwaltet. Die Konfigurationen aller Sicherheitsfunktionen werden unter "Richtlinien" gebündelt. Hier erfolgen die Definitionen zur Arbeitsweise der Firewall und des IPS sowie aller übrigen Sicherheitseinrichtungen.
Symantec Endpoint Protection 11.0
Preis (zuzüglich Mehrwertsteuer): Symantec Endpoint Protection 11.0 kostet 44 Euro pro Lizenz bei 100 Lizenzen, 31,50 Euro pro Lizenz bei 1000 Lizenzen.
Plus
+ Gute Integration der Symantec-Sicherheits-Tools in einer Konsole;
+ weitreichende Konfigurationen erlauben eine Anpassung an spezifische Gegebenheiten;
+ umfangreiches Set an Sicherheitstechniken;
+ Unterstützung mehrerer Profile für unterschiedliche Standorte von Notebooks.
Minus
- Gezielte Suche nach einer Bedrohung (etwa Virus) nicht möglich;
- rollenbasierende Verwaltung mit anpassbaren Arbeitsumgebungen wird nur bedingt unterstützt;
- die Verteilung der Client-Agenten kann nicht aus der Management-Konsole erfolgen. Stattdessen muss ein separates Tool verwendet werden.
Die letzten beiden Rubriken sind mit "Clients" und "Admin" überschrieben. Unter Clients werden die zu verwaltenden Rechnersysteme integriert. Eine Anbindung an das Active Directory oder LDAP-Verzeichnisse (Lightweight Directory Access Protocol) ist machbar, aber nicht erforderlich. Möglich ist auch ein Mischbetrieb, bei dem bestimmte Definitionen aus dem Active Directory abgegriffen werden, während andere lokale im Endpoint-Protection-Server verwaltet werden. Der Bereich "Admin" schließlich widmet sich der Verwaltung und Konfiguration des Management-Servers und der Datenbank.
Aktualisierung der Signaturen
Aktuelle Definitionen von Virensignaturen und Antispyware werden direkt durch Symantec bereitgestellt und automatisiert über das "LiveUpdate" von der Website des Anbieters geladen. Dies war im Test innerhalb weniger Minuten abgeschlossen.
Client-Geräte müssen mit einem Client-Agenten versorgt werden - dazu gilt es, in der Verwaltungskonsole ein Installationspaket zu definieren. Dessen Umfang beziehungsweise "Feature-Set" orientiert sich an den gewünschten Sicherheitseinrichtungen wie Desktop-Firewall, Virenscanner oder IPS. Das konfigurierte Feature-Set ist anschließend als Exe- oder MSI-Datei (Microsoft Installer) zu exportieren und in einem Verzeichnis zu hinterlegen. Verteilung und Setup der Client-Agenten können demnach über beliebige Werkzeuge zur Softwareverteilung erfolgen. In unserem Test erzeugten wir für das gewählte Feature-Set eine MSI-Datei und setzten anschließend den mitgelieferten Assistenten zur Verteilung ein, der seine Aufgabe anstandslos und flott erledigte. Warum die Verteilung der Agenten in einen separaten Assistenten ausgelagert ist, erschließt sich allerdings nicht. Besser wäre, die Verteilung in die zentrale Verwaltungskonsole zu integrieren. Die Einrichtung des Agenten wird auf dem Client in der Taskleiste rechts unten eingeblendet. Im Management-Server meldete sich ein neu eingerichteter Client nach wenigen Sekunden.
Zur Prüfung des Virenscanners und seiner Logik griffen wir auf verschiedene Testviren und Malware von www.testvirus.de zurück. Sämtliche im Test verwendeten Schadroutinen wurden von dem integrierten Scanner korrekt erkannt und entfernt. Die Qualität der Virenerkennung lässt sich damit allerdings nicht messen, da alte und bekannte Viren in der Regel von allen Scannern erkannt und eliminiert werden. Die Wirkkraft eines Virenscanners lässt sich eher an der Reaktionsgeschwindigkeit des Herstellers beim Auftreten neuer Viren ablesen. Informationen hierzu bieten verschiedene einschlägige Web-Seiten - etwa vom SANS Institute, vom European Institute for Computer Anti-Virus Research (EICAR) oder von Virus Bulletin. Um auch Zero-Day-Attacken und aktuelle Bedrohungen abzuwehren, haben sich IPS etabliert. Symantecs Endpoint Protection hat hierzu diverse Sicherheitsvorkehrungen integriert. Die als HIPS bezeichnete Funktionssammlung umfasst Applikations- und Gerätekontrolle und überwacht beziehungsweise unterbindet die Nutzung bestimmter Dateitypen.
Sicherheit – je nach Einsatzszenario
Mobile Geräte wie Notebooks sind auf den Einsatz in wechselnden Umgebungen und an verschiedenen Standorten ausgelegt. Ins Firmennetz integriert sollen sie sich hinsichtlich der Sicherheitskonzepte anders verhalten als im Stand-alone-Betrieb. Im Netz wird man sie den Sicherheitseinrichtungen und -regularien des Betriebsstandorts unterwerfen, während sie sich als eigenständige Geräte mit Internet-Anschluss selbständig um alle Security-Belange kümmern müssen. Symantec Endpoint Protection trägt den wechselnden Einsatzszenarien Rechnung und erlaubt für ein Gerät die Definition unterschiedlicher Standorte. Was als Kriterium dafür verwendet wird, lässt sich flexibel bestimmen - im Test war es ein anderes IP-Segment. Für die beiden Standorte erzeugten wir für unsere Testrechner zwei Profile, die sich im Hinblick auf die Nutzung von Applikationen, Dateierweiterungen und den Gerätezugang unterschieden. Je nach zugewiesener IP-Adresse, die als Indiz für LAN-Betrieb oder Internet-Nutzung gewertet wurde, verhielten sich die Geräte erwartungsgemäß. Auch erlaubten wir den Devices, sofern sie als extern galten, die Signaturdateien direkt über Symantecs LiveUpdate zu beziehen. Im LAN wiederum wurden diese von einem zentralen Server bereitgestellt. Auch dieses Verhalten war korrekt und schlüssig.
Die Vorgaben für die Untersuchung der Geräte werden durch LiveUpdate bereitgestellt, das alle bis dato bekannten Sicherheitsbedrohungen umfasst. Eine Eingrenzung auf eine gerade aktuelle Bedrohung ist indes nicht möglich, würde bei akuten Problemen den Scan-Durchlauf aber beschleunigen. Der Scan kann in den Betriebsarten "Quick", "Full" oder "Custom Scan" erfolgen.
Rollenbasierende Verwaltung lässt Wünsche offen
Wie erwähnt umfasst Endpoint Protection unterschiedliche Sicherheitsfunktionen wie Firewall oder Virenscanner - deren Verwaltung obliegt allerdings häufig verschiedenen Personen. Oder es wird zwischen operativem Monitoring mit eng begrenztem Aufgabenfeld und übergreifender Administration unterschieden, was eine rollenbasierende Verwaltung erforderlich macht. Letztere unterstützt Endpoint Protection allerdings nur in Form von Administrationsgruppen, die dann wiederum an bestimmte Organisationseinheiten gebunden werden können. Dies erlaubt beispielsweise die Trennung der Verwaltung für Server, Desktops oder Standorte und Abteilung. Derzeit nicht realisierbar (aber für die Folgeversion geplant) ist die funktionale Trennung der Verwaltung etwa in "Virenscan", "HIPS" oder "Firewall".
Um beim Monitoring der IT-Infrastruktur nicht permanent die Überwachungskonsolen im Blick haben zu müssen, werden verschiedene Warnmechanismen wie E-Mails oder das Ausführen einer Exe- beziehungsweise Batch-Datei verwendet. Wir ließen uns im Test beim Überschreiten von Sicherheitsschwellwerten - etwa durch einen Virenansturm - via E-Mail alarmieren. Sowohl das Einrichten der Verbindung zum Mail-Server als auch der nachfolgende Versand von Nachrichten erfolgte problemlos.
Fazit
Mit Endpoint Protection 11.0 hat Symantec sein Portfolio an Sicherheitswerkzeugen für Clients geordnet. Hierzu hat der Hersteller die jeweils besten Tools aus seinen bisherigen Produkten extrahiert und in einem neuen Kontext zusammengefasst. Im Test erwies sich die Komposition als zuverlässig. Die ehemals getrennten Funktionen sind gut in eine gemeinsame Oberfläche integriert. Setup, Bedienung und Logiken der gemeinsamen Konsole sind schlüssig und erlauben ein flottes Arbeiten. Eine rollenbasierende Verwaltung und selektive Scan-Möglichkeiten je nach Bedrohungslage würden das Toolset jedoch abrunden und im Ernstfall eine schnellere Aussage ermöglichen. (kf)