Sicherheits-Management

Forefront Endpoint Protection 2010 will Microsoft gänzlich neu entwickelt haben. Der jüngste Spross der Forefront-Familie umfasst Funktionen zum Erkennen und Eliminieren von Malware, Rootkits, Spyware und anderen Bedrohungen. Für das Anti-Malware-Modul weisen AV-Comparatives-Tests eine hohe Erkennungsrate (PDF) sowie eine tiefe Falsch-positiv-Rate (PDF) bei gleichzeitig geringer Systemlast aus. Die Software hat – anders als der Vorgänger Forefront Client Security – keinen eigenen Verwaltungsserver mehr. Vielmehr operiert sie im Kontext des System Center Configuration Manager (SCCM). Durch die Einbettung werden erstmals Funktionen der Systemverwaltung mit jenen der Sicherheit vereint. Das ist durchaus sinnvoll, denn es kann eine Arbeitserleichterung für Administratoren bedeuten. So ist das primäre Ziel des SCCM das Bereitstellen und Managen von Clients, wozu nach Microsoft-Logik auch Sicherheitseinstellungen wie Passworte, die Firewall und der Virenscanner mitsamt aktueller Signaturen gehören.

Für den Test von Endpoint Protection bildete Microsofts Hyper-V 2.0 auf Windows Server 2008 R2 virtuell zwei Server nach: Der Endpoint-Protection-Server wurde auf der Maschine des SCCM installiert. In grösseren Szenarien oder bei mehr Last kann der Endpoint-Protection-Server auch auf eigener Hardware ausgeführt werden. Weiter stellte ein Server mit Active Directory und den Namensdiensten die infrastrukturellen Grundlagen bereit. Die Schar der Clientgeräte mit unterschiedlichem Aktualisierungsstand repräsentierten ein Endpoint-Protection-Client sowie ein Computer mit der Vorgängerversion Forefront Client Security. Letzterer sollte im Test auf die neue Software aktualisiert werden. Um Anwendern den Umstieg zu vereinfachen, liefert Microsoft alle Software mit, um zuerst Forefront Client Security zu deinstallieren und hernach die neue Version auf die Zielsysteme zu verteilen. Beides klappte im Test tadellos. Für das Ausrollen der Endpoint-Protection-Clients werden die Standardfunktionen des SCCM herangezogen. Dabei macht es für SCCM keinen Unterschied, welche Software verteilt wird. Das Vorgehen ist gleich für ein Office-Paket ebenso wie für einen Endpoint-Protection-Client oder einen Virenscanner. Die Anwender sind von dem Verteilungsprozess nicht berührt. Dennoch kann es der Fall sein, dass der Endbenutzer eine Meldung bekommt oder sein Rechner neu gestartet werden muss. Daher wird im SCCM in der Regel im Vorfeld ein «Advertisement» versandt. Der Anwender kann dann das Verteilen blockieren oder auch auf einen späteren Zeitpunkt verschieben. Dies gilt analog auch für durch Endpoint Protection erstellte Sicherheitspakete. Auf der nächsten Seite lesen Sie, wie Endpoint Protection Administratoren die Arbeit erleichtert.

Endpoint Protection wird grösstenteils über den Eintrag «FEP collections» in der Rubrik «Computer Management» des SCCM verwaltet. Um das Management zu vereinfachen, hat Microsoft dem SCCM die wichtigsten «Collections» bereits beigepackt. Dies sind zum Beispiel Collections jener Clients oder Server, die als «gesund» (healthy) bezeichnet werden. Die Geräte, mit denen der Endpoint-Protection-Server derzeit – aus welchen Gründen auch immer – keine Verbindung hat, bilden eine weitere Collection. Auch eine Collection über den Malware-Zustand der Geräte ist vordefiniert. Ferner gibt es eine Collection für alle jene Geräte, die den Endpoint-Protection-Client installiert haben. An alle anderen lässt sich der Client selbstredend nativ mithilfe von SCCM verteilen. Weitere Konfigurationsoptionen und Steuerungsmöglichkeiten offeriert der Ast «Forefront Endpoint Protection 2010» im SCCM-Baum. Er ist in die Rubriken «Policies», «Alerts» und «Reports» unterteilt. Administratoren können hier Assistenten-unterstützt und in einem mehrstufigen Dialog eigene Sicherheits-Policies definieren, die SCCM später ausrollt. Zu den wichtigsten Konfigurationsangaben zählen dabei die Anzahl der Scandurchläufe pro Tag, die Aktionen beim Entdecken von Malware oder welche Dateien und Verzeichnisse bei einem Scan ausgenommen werden sollen. Auch hier hat Microsoft Policies bereits vorkonfiguriert: Dazu gehört eine «Default Server Policy», die für eine regelmässige Prüfung der Rechner auf Malware-Infektionen sorgt. Der zweite Abschnitt sind «Alerts». Die Alarme sind durch Konfigurationsparametern zu definieren, so dass Endpoint Protection selbständig zwischen systemkritischen Meldungen und reinen Statusnachrichten unterscheiden kann, bevor Alerts an nachgeschaltete Überwachungssysteme oder den Administrator weitergeleitet werden. Der dritte Bereich sind «Reports»; hier lassen sich Berichte und Auswertungen über die Bedrohungslage erstellen, verwalten und verteilen. Auf einem übergeordneten Dashboard schliesslich hat der Administrator den Überblick über die wichtigsten Statuswerte zu den von Endpoint Protection verwalteten Geräten. Das Fazit und die Testdetails lesen Sie auf der nächsten Seite.

Mit Forefront Endpoint Protection schliesst Microsoft seine Lücke der Sicherheitstools um die Komponente für die Endgeräte. Das Werkzeug kümmert sich um den Schutz der Clients und Server vor den wichtigsten Sicherheitsbedrohungen, indem es Malware-Scanner integriert. Als zusätzliche Schutzkomponente fungiert die Windows-Firewall auf den jeweiligen Rechnern, die in Endpoint Protection eingebunden sind. Die Verwaltung von Endpoint Protection erfolgt durch die Integration in System Center. Damit schlägt Microsoft die Brücke von der allgemeinen Geräteverwaltung hin zu Sicherheitsthemen. Dies ist nur folgerichtig. Die Anforderungen bezüglich der Sicherheit sind, neben der Systemkonfiguration, lediglich Sonderformen der Verwaltung. Dies macht es auch für die Administration einfacher. Er kann nun die Sicherheitsaspekte seiner Clients in der gleichen Art und Weise verwalten, wie er es von Configuration Manager kennt. Indes ist die Software auf Windows-Umgebungen beschränkt.

Testdetails Microsoft Forefront Endpoint Protection 2010

Preis: keine Angabe Plus: einheitliches Management vereinfacht Administration Minus: beschränkt auf Microsoft-Infrastruktur, setzt SCCM voraus Info: www.microsoft.ch/forefront Testversion: kostenlos herunterladen Alternative: Symantec Endpoint Security integriert sich ebenfalls in System Center Configuration Manager und unterstützt zusätzlich Linux sowie Mac. Das will Microsoft noch nachliefern. Symantecs Tool bringt zudem eine Schnittstellenkontrolle mit, die Endpoint Protection dem Betriebssystem überantwortet.