Die jüngste Version 8.0 von Sophos Endpoint Security and Control umfasst die Sicherheitswerkzeuge "Sophos Anti-Virus", "Sophos Client Firewall", "Sophos Network Access Control", die "Sophos Enterprise Console" und schließlich die "EM Library", die Software und Updates automatisch von der Sophos-Website lädt. Ebenfalls im Paket sind Funktionen zur Applikationskontrolle.

Die Systemarchitektur der Sophos-Suite entspricht den heute gängigen Konzepten: In einer zentralen Bibliothek, der EM Library, werden Informationen zu Viren-Patterns und Security-Updates gespeichert. Die Inhalte dieser Library holt sich der Anwender direkt von Sophos. Verwaltet wird die Lösung über eine Management-Konsole, die sowohl mit der Bibliothek als auch mit den von der Sophos-Software administrierten Endgeräten verbunden ist. Auf Letzteren werden Agenten installiert, die von ihrem Verwaltungs-Server Richtlinien und Aufträge erhalten. Nach der Ausführung dieser Aufträge liefern sie dem zentralen Verwaltungs-Server ihre Ergebnisse. Er wiederum legt die Statuswerte und Resultate der Untersuchungen in einer von Sophos verwalteten Datenbank ab.

Je nach Softwaremodul unterstützt die Sophos-Lösung neben den Windows-Systemen 95, NT und später weitere Betriebssysteme. Bestimmte Module wie etwa der Sophos-Virenscanner sind auch für Linux- und Macintosh-Rechner verfügbar. Für die Sophos Client Firewall und Network Access Control (NAC) hingegen kommen nur Windows-Betriebssysteme ab Version 2000 in Frage.

Installation und Setup

Die Inbetriebnahme der Sophos Endpoint Security and Control gelingt recht flott. Nach der Prüfung der Systemanforderungen installierten wir im Test zunächst den Server mit der Enterprise Console. Anschließend wurden die Updates dazu von der Sophos-Website geladen.

Zu den ersten Schritten beim Einrichten der Laufzeitumgebung gehört die Definition von Computergruppen: Eine Computergruppe fasst eine Sammlung frei zu definierender Geräte zu einer Verwaltungseinheit zusammen, was nach IP-Segmenten, Abteilungen oder ähnlichen Kriterien erfolgen kann. Anschließend ist das Netz nach den Geräten abzusuchen, die dann den Gruppen zugewiesen werden. Daraufhin richtet der Verwalter den spezifischen Schutz der Geräte ein. Dazu gehören Update-, Anti-Virus- und HIPS- (Host Intrusion Prevention System) sowie Firewall-, NAC- und Application-Control-Policies und die Prüfungen der Sicherheitszustände der Geräte.

Die Gerätesuche nach IP-Adressen bereitete im ersten Durchlauf Probleme. Obwohl der Rechner per Ping erreichbar war, fand die Verwaltungskonsole die Geräte nicht. Eine Rückfrage beim Hersteller klärte die Situation rasch: Aufgrund mangelnder Berechtigungen konnte der Verwaltungs-Server nicht auf die Clients zugreifen, sprich: die nötigen Einträge der Geräte im DNS-Server fehlten. Auch wenn die Sophos-Software dafür nicht verantwortlich ist: Es wäre schön, wenn die vorausgehende Prüfung der Systemanforderungen solche Dinge erkennen würde. Stattdessen wurde gemeldet, dass alle Anforderungen erfüllt waren.

Der Verwaltungsrechner benötigt in jedem Fall einen permanenten Internet-Zugang, um die Updates - etwa die AntivirenSignaturen oder die aktuellen Releases der Antispyware-Routinen - von der Sophos-Website zu laden.

Verwaltungskonsole mit Dashboard

Die Verwaltungskonsole wirkt aufgeräumt und fasst alle wichtigen Funktionen zusammen: Im oberen Bereich hat der Hersteller ein Dashboard integriert, das einen schnellen Überblick über den gesamten Systemstatus liefert. Hier finden sich die Informationen zu den verwalteten Geräten sowie den Alarmen und Richtlinien. Das Dashboard dient als Einstieg - wer mehr Details braucht, muss tiefer gehen. Im unteren Bereich sind die bereits erwähnten Gerätegruppen und Richtlinien zusammengefasst. Letztere gliedern sich in allgemeine Agenten-Richtlinien sowie Regeln für Firewall, Applikationskontrolle, das HIPS und NAC.

Ein Richtliniensatz beschreibt die Aufgaben der jeweiligen Komponente. Beim Virenscanner sind dies etwa Angaben dazu, welche Dateien zu scannen sind und was bei "positivem" Befund mit ihnen geschehen soll. Die Richtlinie wird anschließend auf ein Gerät oder eine Gerätegruppe angewandt. Dies erfolgt durch den Verwaltungs-Server und die Agenten der gewählten Devices. Die jeweiligen Intervalle muss der Anwender einstellen.

Richtlinien können auch kopiert werden. Auf diese Weise lassen sich einmal festgelegte Regeln (sofern sie sich nur geringfügig ändern) schnell auf andere Gruppen übertragen. Um einen Client in die Sicherheitsverwaltung des Sophos-Servers einzubeziehen, sind demnach mehrere Schritte erforderlich. Sind die Geräte gescannt und einer Gruppe zugeordnet, müssen zuerst die Basisagenten verteilt werden. Anschließend gilt es, die Richtlinien für die verschiedenen Sophos-Funktionen zu definieren und auszurollen. Das Verfahren ist schlüssig: Wer mit ähnlichen Produkten gearbeitet hat oder zumindest mit dem Prinzip vertraut ist, dürfte sich schnell zurechtfinden.

Virenscanner, Firewall und Applikationskontrolle

Im Test wurden auf den beiden überwachten Geräten Richtlinien für Virenscanner, Firewall und Applikationskontrolle installiert. Der aktive Virenscanner erkannte die Testviren korrekt und blockierte sie wie gefordert. Was die Firewall betrifft, empfiehlt Sophos eine mehrtägige Lernphase, bevor deren Regeln unternehmensweit ausgerollt werden. Dabei dient ein ausgewähltes Gerät als Prototyp, auf dem Applikations- und Nutzerverhalten protokolliert und aufgezeichnet werden. Anschließend lassen sich die Definitionen über Export- und Import-Funktionen vom ModellClient exportieren und in den Verwaltungs-Server importieren. Die nun auf dem Server vorliegenden Regeln des Prototyps werden dann auf die anderen Endpoints der Gruppe ausgerollt. Auch dieses Szenario ließ sich im Test korrekt nachstellen. Der gleichzeitige Betrieb der Windows Firewalls störte dabei nicht.

Network Access Control (NAC)

Für die Netzzugangskontrolle ist ein softwarebasierender DHCP-Server erforderlich. Darauf ist ein Plug-in von Sophos einzurichten, das dann mit dem Sophos-Agenten auf dem Client kooperiert. Fordert dieser beim Start eine IP-Adresse an, kontrolliert Sophos Endpoint Security and Control die Einhaltung der NAC-Vorgaben. Dazu zählt etwa eine Überprüfung der aktuellen Virensignaturen, der Existenz der Fire wall, der Betriebssystem-Version mit der Einstellung zum automatischen Update oder den Service-Packs. Anhand der Ergebnisse dieses Checks wird der Benutzer einer DHCP-Benutzerklasse zugeordnet. Je nach dieser Einteilung erhält der Anwender dann Zugriff auf die zentralen Netzdienste - oder dieser Zugang wird eingeschränkt. Sophos unterstützt mit NAC alle aktuellen Windows-Betriebssysteme von Version 2000 bis Vista.

Der Bereich Applikationskontrolle ermöglicht die Definition erlaubter beziehungsweise unerlaubter Anwendungen. Sophos hat die wichtigsten Applikationsgruppen - darunter auch E-Mail-Clients, Instant Messaging oder Spiele - bereits definiert. Welche Applikationen zu sperren oder zu gestatten sind, bestimmt der Anwender durch eine einfache Auswahl. Im Test erprobten wir diese Funktion mit mehreren Anwendungen. Nach der Verteilung der Richtlinien auf die Zielsysteme wurden die jeweiligen Applikationen auf den verwalteten Systemen korrekt blockiert.

Etwas irritiert waren wir allerdings, als sich nach dem Aufruf der Windows-Systemdienste auf einem verwalteten XP-Client der Sophos-Virenscanner mit dem Hinweis auf einen Angreifer meldete. Die Meldung lautete: "Datei C:\WINDOWS\SYSTEM32\SPIDER.EXE von Controlled Application MS Windows Games (Typ Game) wurde erkannt". Im Test hatten wir zwar alle vordefinierten Spiele blockiert - die Anzeige der Windows-Dienste in der Systemsteuerung war jedoch sicher nicht darunter. Um die Situation zu klären, kontaktierten wir den Hersteller. Das Verhalten der Sophos-Sicherheitssoftware erwies sich als korrekt: Zur Anzeige der Windows-Dienste wird das Verzeichnis C:\WINDOWS\SYSTEM32 gelesen, in dem sich mit "SPIDER.EXE" auch ein Spiel befindet. Es wurde von Sophos erkannt, obgleich es in diesem Moment nicht gestartet wurde. Nachdem die Erlaubnis erteilt wurde, das Spiel auf dem Client auszuführen, ließen sich auch die Dienste wieder anzeigen.

Dennoch sollte die Meldung der Sicherheitssoftware an dieser Stelle etwas klarer sein - zumal sie dem Anwender präsentiert wird. Verwirrend ist auch, dass das Modul Anti-Virus und nicht etwa der Applikation-Blocker die Meldung präsentierte. Ein Hinweis, dass die Anwendung blockiert wurde, erfolgte nicht. Dieses Beispiel verdeutlicht aber auch die Problematik mit den Sicherheitseinstellungen im Allgemeinen: Für den Administrator (und erst recht für den Endnutzer) ist häufig nicht nachvollziehbar, was im System genau passiert. Dazu ist wohl eine Lernphase - bisweilen mit blindem Vertrauen - notwendig. (kf)