Symantec hat in den vergangenen Jahren ein ganzes Portfolio an Sicherheits-Tools für Clients aufgebaut. Dazu gehörten die Produkte "Client Security", "Antivirus", "Wholesecurity" und die "Sygate Enterprise Protection", die sich der Anbieter teilweise durch Firmenübernahmen ins Haus geholt hatte. Das führte zu funktionalen Überschneidungen, auch verfügten die Werkzeuge aufgrund ihrer ursprünglichen Eigenständigkeit über jeweils eigene Verwaltungskonsolen.
Unter Endpoint Protection 11.0 hat Symantec nun das Gros seiner Client-bezogenen Sicherheitsbausteine zusammengefasst. Das Toolset umfasst Sicherheitsfunktionen zur Abwehr von Malware, Spyware und Rootkits, ferner eine Desktop-Firewall, ein Intrusion Prevention System (IPS) für den Netzverkehr, ein Host-basierendes Intrusion Prevention System (HIPS) sowie NAC-Support (Network Access Control) für die Zugangskontrolle. Funktional deckt die Suite damit nahezu alles ab, was für einen runden Client-Schutz erforderlich ist. Fast alle Sicherheitsvorkehrungen von Endpoint Protection sind darauf ausgerichtet, den Angriff von Dritten auf das Gerät zu kontrollieren oder zu unterbinden.
Die Architektur der Suite
Die Architektur des Toolsets orientiert sich an den heute gängigen Konzepten: Durch einen zentralen Management-Server werden die zu schützenden Geräte verwaltet, konfiguriert und die jeweiligen Ergebnisse wieder eingesammelt. Die Konfigurationseinstellungen, aber auch die von den Geräten gesammelten Statuswerte hinterlegt das Tool in einer Datenbank. Hierbei handelt es sich entweder um die integrierte Datenbank oder – bei mehr als 1000 zu überwachenden Geräten – um einen Microsoft-SQL-Server. Eine weitere zentrale Komponente stellt die Verwaltungskonsole dar, die mit dem Management-Server kommuniziert. Alle drei Bausteine können beliebig auf einen oder mehrere Rechner verteilt werden. Für größere Umgebungen lassen sich auch mehrere Management-Server mit einer zentralen Datenbank einrichten. Ferner besteht die Möglichkeit, an verschiedenen Standorten mehrere Management-Server und jeweils lokale Datenbanken, die dann repliziert werden, zu betreiben.
Die Sicherheitssuite unterscheidet zwischen "managed" und "unmanaged" Clients. Als managed werden vom zentralen Management-Server verwaltete Clients bezeichnet, während unmanaged Clients keinen Kontakt mehr zu ihrem zentralen Verwaltungs-Server haben. Das mag zwar die Ausnahme sein, ist aber denkbar. Eine Mischform zwischen beiden Varianten ist die "Client-Control"-Methode. Hierbei wird durch den zentralen Server der Client-Agent (meist mit einer Grundkonfiguration) auf das zu sichernde Gerät ausgerollt, die Verwaltung erfolgt jedoch ausschließlich lokal durch den Client selbst. Als Clients sind - im Sinne von Endpoint Protection - auch Server-Systeme zu verstehen, denn für das Toolset macht es keinen Unterschied, ob es Client-Desktops, Client-Notebooks oder Server-Systeme in die Überwachung einbezieht. Auf den zu überwachenden Client-Geräten kommen spezielle Agenten zum Einsatz, die mit dem Management-Server kommunizieren.
So wurde getestet
Wir haben die Sicherheitssuite auf einem AMD Athlon 64/3400+ mit 2.2 Gigahertz Taktfrequenz und 2 Gigabyte RAM getestet. Nach dem Setup der Software und dem Einrichten des Management-Servers, der Datenbank und der Verwaltungskonsole aktualisierten wir die Definitionen der Virensignaturdateien von der Symantec-Website. Anschließend erzeugten wir ein Feature-Set für die Agenten der zu überwachenden Geräte und verteilten sie auf die Zielsysteme (Windows Server 2003 und Windows XP Professional). Zur Prüfung des Virenscanners verwendeten wir verschiedene Testviren und Malware. Weitere Tests bezogen das HIPS ein. Ferner definierten wir unterschiedliche Standorte für die Testgeräte und verknüpften sie mit entsprechenden Profilen. Über die Ergebnisse unserer Tests ließen wir uns per E-Mail benachrichtigen.
Für unseren Test richteten wir den Management-Server samt Datenbank und der Verwaltungskonsole auf einem Rechner mit Windows Server 2003, SP1 ein. Als verwaltete Clients verwendeten wir Testrechner mit Windows XP und Windows Server 2003. Darüber hinaus unterstützt Endpoint Protection auch Clients mit den Betriebssystemen Windows 2000 Professional und Server (jeweils mit SP3) sowie Windows Vista und Windows Server 2003. Ab Windows XP gilt das sowohl für 32-Bit- als auch 64-Bit-Systeme.