Testbericht: Sicherheitssoftware auf dem Server
10. April 2012Weder für Administratoren noch für die Anwender ist heute wohl noch eine Frage, ob sie eine Antivirus- und Sicherheitslösung auf ihren Systemen installieren. Die entscheidende Frage ist vielmehr, welche der vielen Lösungen den eigene Ansprüchen und Vorstellungen genügt. Wir stellen eine Software vor, die noch nicht so bekannt ist, aber mit ihren Features und Möglichkeiten eine durchaus interessante Alternative für den professionellen Einsatz darstellt. Die hier vorgestellte Software-Suite bietet Endpoint Malware Protection, die vom Server aus auf die Client-Systeme im Netz ausgerollt und auch überwacht werden kann.
Ein IT-Verantwortlicher, der diese Verantwortung natürlich auch für die Sicherheit der Systeme in seinem Netzwerk wahrnehmen muss, steht dabei vor mehreren kritischen Entscheidungen: Übergibt er beispielsweise den Schutz auf den Workstations allein den Anwendern, so kann er nie sicher sein, wie gut die Systeme wirklich geschützt sind.
Auf der anderen Seite ist heute kaum noch möglich, einen Mitarbeiter der IT mit der Software zu den einzelnen Systemen zu schicken, der dann auf diesen die Sicherheitslösung entsprechend einspielt und konfiguriert. Jedenfalls dann nicht, wenn sich in dem Netzwerk mehr als 10 oder 15 Systeme befinden, die gewartet und überwacht werden müssen.
Was die Sicherheitsstrategie verlangt…
Dabei verlangt aber eine moderne Sicherheitsstrategie, dass die Sicherheit der einzelnen Systeme – im Sine einer sogenannten End point security – auch direkt auf den Systemen gewährleistet ist. Deshalb sollte die Sicherheitslösung dem Administrator die Möglichkeit bieten, seine Client-Rechner von einer zentralen Stelle im Netzwerk aus nicht nur mit den entsprechenden Sicherheits- und AV-Lösungen auszurüsten, sondern diese auch zu verwalten und zu kontrollieren.
Der amerikanische Anbieter GFI-Software bietet mit seiner Lösung Vipre Antivirus Business ein Paket an, das genau diese Ansprüche erfüllen soll. Wir haben uns diese Lösung einmal näher angeschaut, wobei es uns bei diesem Test vor allen Dingen um die administrativen Aspekte und den Einsatz der Lösung in der täglichen Praxis ging: Den Test auf eine große Schar entsprechender Viren, Malware und anderer bösartiger Bedrohungen überlassen wir professionellen Laboren, die sich auf diese Thematik spezialisiert haben.
Das eine derartige professionelle Software die Standardtests beispielsweise mit dem EICAR-Teststring, der von der European Expert Group for IT-Security zum Download zur Verfügung steht, ist für uns selbstverständlich. Die Testdateien wurden von der Vipre-Software dann natürlich auch entdeckt (Bild 5 zeigt dieses Beispiel auf einem unserer Client-Testsysteme im Testlabor von NT4Admins).
Die Lösung im Überblick: Komponenten und Dienste
Die von uns getestete Lösung Vipre Business in der Version 5.0.4943 besteht grundsätzlich aus mehreren Hauptkomponenten, die der Administrator bei der Installation teilweise auch auswählen kann:
- Administrationskonsole: Sie dient als zentrale Schnittstelle und kann unter anderem zum Ausrollen und Verwalten der Agenten auf den Client-Systemen eingesetzt werden.
- Datenbank: Die Software arbeitet mit einer integrierten Datenbank, die bei der Erstinstallation mit auf das System kommt. Sie kann aber auch mit Microsofts SQL Server beziehungsweise SQL Express zusammenarbeiten. Der Hersteller rät zu dieser Lösung, wenn mehr 1500 Agenten zum Einsatz kommen.
- Vipre-Standortdienst (VSD): Die ist eine der Komponenten, die bei der Installation nicht abgewählt werden können. Dieser Dienst regelt nämlich den Datenverkehr zwischen der Administrationskonsole, der Datenbank und den Agenten auf den Systemen.
- Agenten: Client-Software, die auf den zu schützenden Systemen ausgerollt und über die zentrale Konsole verwaltet wird.
Es kommen dann noch eine einige weitere spezielle Begriffe hinzu, mit denen sich der Administrator vertraut machen sollte, wenn er diese Lösung auf seinen Systemen einsetzen möchte. So ist bei der Software immer wieder die Rede von einem „Standort“. Als Standardort bezeichnet die Lösung all die physikalischen Systeme, auf denen der entsprechende Dienst VSD aktiv ist.
Das ist wird dann auch im sogenannten „Dashboard“ (Bild 2) der Administrationskonsole durch die Spalte Standortnavigator sofort sehr deutlich. Ein weiterer wichtiger Begriff sind bei dieser Software die Richtlinien, ein Konzept, das allen Windows-Administratoren wohl vertraut sein dürfte. Ähnlich wie auch beim Active Directory enthalten auch die Vipre-Richtlinien Konfigurationen.
Der Administrator kann hier auf vorgefertigte Richtlinien zurückgreifen oder selbst welche nach den Bedürfnissen und Bestimmungen seiner Firma erstellen und diese dann den entsprechenden Agenten zuteilen. So wird es dann relativ leicht möglich, beispielsweise alle mobilen Notebook-Systeme mit speziell auf diesen Einsatzzweck angepassten Agenten auszustatten.
Als zusätzliche Komponente steht dann auch noch eine Berichtsanzeige zur Verfügung, die als eigenständige Anwendung mit auf dem System kommt (ein Systemverwalter kann hier aber entscheiden, ob er dieses zusätzliche Programm mit auf dem Server haben möchte). Dieses Reporting-Tool, das in der aktuellen Version der Software sehr viele Möglichkeiten zur Erstellung unterschiedlicher Berichte aufweist, kann zudem auch auf mehreren Systemen im Netz zum Einsatz kommen.
Schließlich können die Systemverwalter noch zusätzliche sogenannte Aktualisierungsserver im Netzwerk einrichten. Mit ihrer Hilfe können Agenten dann beispielsweise in größeren Installationen auf lokaler Ebene aktualisiert und deren Richtlinien entsprechend konfiguriert werden.
Installation und Inbetriebnahme der Software
Als Betriebssystem können für die Verwaltungskonsole nach Angaben des Herstellers Windows-Systeme ab Windows SP sowie Rechner unter Windows Vista ab SP2 und Windows 7 (alle jeweils in der 32- oder 64-Bit-Version) zum Einsatz kommen. Bei den Server-Systemen können der Windows Server 2003 ab SP1 und der Windows Server 2008 SP2 und Windows Server 2008 R2 Verwendung finden. Für den Einsatz auf der Server-Core-Variante des Windows Server 2008 ist die Lösung nicht geeignet.
Die Hardware-Anforderungen, die der Hersteller für die Software angibt, sind durchaus moderat, obwohl GFI explizit darauf hinweist, dass diese als das absolute Minimum gelten und es sinnvoll ist, stärkere Systeme zu verwenden: Es wird ein Intel Pentium-III-Prozessor mit mindestens 400 MHz verlangt, der einen Hauptspeicher von 512 MByte besitzt.
Zudem benötigt die Software einen freien Plattenplatz von mindestens 300 MByte. Neben der Empfehlung bei mehr als 250 Agenten explizit einen SQL- oder SQL-Express-Server zu installieren verlangt die Software ein installiertes MDAC 2.6 SP2 (Microsoft Data Access Components) oder höher sowie das .NET Framework 3.5 SP1.
Die Agenten können auf den gleichen Windows-Versionen zum Einsatz kommen wie zuvor aufgelistet, wobei hier ergänzend noch die Plattformen unter Windows 2000 Server SP4 RU1 und Windows 2000 Professional SP4 RU1 sowie Systeme unter Windows Embedded for Point of Service (WEPOS) hinzukommen. Die Lösung ist also sowohl von der Server- als auch von den Client-Komponenten strikt auf Windows-Plattformen ausgerichtet – wer andere Systeme beispielsweise unter Mac OS X oder Linux in seinem Netzwerk zu betreuen hat, wird sie mit Vipre Business nicht schützen können.
Wir haben für diesen Bericht die aktuelle Version 5.0.4943 von der Web-Seite des Anbieters heruntergeladen. Dabei handelt es sich lediglich um eine kompakte circa 45 MByte große ausführbare Datei. Diese wurden in unserer Testumgebung auf einem Windows Server 2008 R2 mit Service Pack 1 installiert. Wie schon bei den Tests mit vorherigen Versionen dieser Software waren wir auch dieses Mal positiv davon überrascht, wie einfach und problemlos die Installation dieser Server-Software vonstattengeht: Die Software hat sich dabei unter anderem auch die etwas ältere Version 3.5 des .NET-Frameworks heruntergeladen und installiert, da unser Server schon mit der aktuellen Version 4.0 dieser Bibliothek ausgestattet war.
Die Installation verlief auf unserem Server-System problemlos, sieht man einmal davon ab, dass der Anwender schon wie bei der vorherigen Version der Software der Lizenzschlüssel erst dann eingeben kann, wenn sich die Software komplett auf dem System befindet: Wir würde es logischer und der Sache dienlicher finden, wenn dieser Schlüssel gleich zu Beginn abgefragt würde.
Eine interessante Eigenart konnte uns dieses Release der Software dabei aber dann noch liefern: Der Konfigurationsassistent bietet an, andere AV-Programme, die sich auf dem System befinden und möglicherweise Probleme verursachen könnten, zu deinstallieren. Allerdings zählte die Lösung bei unserem Server, auf dem sich zu diesem Zeitpunkt keine AV-Lösung befand, nur eine ganze Reihe populärer Softwarelösungen auf, die es entfernen könnte. Bei einem derart professionellen Tool sollte doch der Administrator selbst entscheiden, wie und was von dem Server entfernt wird: Dass sich zwei unterschiedliche Sicherheitslösungen auf einem System zumeist schon wegen der Systembelastung durch zwei AV-Engines in der Regel nicht gut vertragen, werden IT-Profis wissen und hier entsprechend selbst Vorsorge tragen.
Die Software kommt auf die Client-Systeme
Zu den wichtigsten Aufgaben einer derartigen Lösung gehört ohne Zweifel das „Rollout“ der Agenten auf die Client-Systeme im Netz: Nur wenn dieser Vorgabe problemlos und möglichst automatisiert ablaufen kann, ist die Lösung dazu geeignet dem Administrator einen großen Teil der Arbeitslast abzunehmen. Insgesamt konnte die Software dabei einen positiven Eindruck hinterlassen: War es beim Testen der vorherigen Versionen der Lösung noch einige Male zu Schwierigkeiten mit der Windows-Firewall gekommen, so hat der Hersteller dieses Problem jetzt in den Griff bekommen.
Die entsprechenden Einträge in der Firewall, die es dem VSD (Vipre Standort Dienst) ermöglichen, mit den Clients zu kommunizieren, wurden automatisch richtig angelegt. Ein kleiner Kritikpunkt bleibt hier aber in Hinblick auf die Deinstallation der Lösung bestehen – diese „Löcher“ in der Firewall sind auch nach der kompletten Deinstallation der Software (bei uns immer ein Teil eines umfassenden Tests) noch in der Firewall vorhanden und müssen vom Administrator per Hand wieder geschlossen werden. Das ist sicher ein Fall, der in der täglichen Praxis nicht so häufig auftauchen wird, aber hier sollte es doch möglich sein, diesen Einstellungen bei der Deinstallation wieder zurück zu nehmen.
Die Agenten können entweder direkt per manuellen Push aus der Konsole heraus oder auch automatisch verteilen. Gibt es im eigenen Netz zu große Probleme beim Ausrollen der Software oder sprechen andere Gründe gegen diesen Weg der Verteilung, so kann die Lösung auch nach den Vorgaben des Administrators ein entsprechendes MSI-Paket (Microsoft Software Installation – das Standardformat zur Softwareinstallation auf Windows-Systemen) zusammenstellen. Ein derartiges Softwarepaket kann dann beispielsweise per USB-Stick oder über eine Netzwerkfreigabe auf das Zielsystem gelangen und dort installiert werden. Auch diese Art der Installation — die wir auf einem Netbook-System getestet haben — funktionierte ohne Probleme.
Das Ausrollen der Agenten
Das Finden der Client-Systeme funktioniert – wie bei derartigen Lösungen durchaus üblich – am einfachsten und schnellsten dann, wenn die Lösung in einer Active-Directory-Umgebung zum Einsatz kommt. Hier hatten wir keinerlei Probleme die Agenten auf unterschiedliche Windows-7-Systeme auszurollen und zu installieren. Aber natürlich kann eine solche Lösung auch in kleineren Netzwerken verwendet werden, bei denen keine AD-Infrastruktur zum Einsatz kommt.
Dann kann sich der Administrator die entsprechenden Windows-Systeme, die beispielsweise in einer Arbeitsgruppe zu finden sind, ebenfalls anzeigen lassen und ihnen einen Agenten zuordnen. Bei unserem Test-Aufbau klappte dies allerdings nur dann völlig reibungslos, wenn dazu die Anmeldedaten des lokalen Administrators des jeweiligen Client-Systems zum Einsatz kamen: Bei dem Versuch, sich mit den Credentials eines anderen Mitglieds der Gruppe Administratoren auf dem System anzumelden, scheiterte die Software reproduzierbar.
Wichtig hierbei auch: Wer die Lösung in Arbeitsgruppen-Umgebungen einsetzt und die Agenten mit Hilfe der Push-Methode verteilen möchte, muss mit statischen IP-Adressen arbeiten. Das im gute PDF-Format mitgeliefert Handbuch, das lobenswerter Weise komplett in deutscher Sprache zur Verfügung steht, weist aber ausführlich auf diese Umstände hin und erläutert die Zusammenhänge. Da aber eine solche Lösung zweifelsohne in der Regel in Umgebungen eingesetzt wird, die den Verzeichnisdienst AD verwenden, dürfte die Verteilung der Agenten in der Regel kein größeres Problem darstellen.
Die Richtlinien machen den Unterschied
Wie schon bei den Vorgängerversionen der Software sind es auch hier wieder die Sicherheitsrichtlinien (Policies) der Software, die dem Administrator seine Arbeit deutlich vereinfachen und erleichtern können. Diese Richtlinie enthalten dabei alle Einstellungen und Konfigurationen für die Agenten, die ihr der Systemverwalter dann über die Konsole zuweist. Dabei bringt die Lösung bereits vorkonfigurierte Richtlinien mit, anhand derer dann eigene Richtlinien – beispielsweise für das Verhalten der Agenten auf den mobilen Systemen im eigenen Netzwerk – festgelegt werden können.
Dabei stehen standardmäßig neben der Standardrichtlinie auch noch verschiedene Vorlagenrichtlinien zur Verfügung. Weiterhin stellt der Anbieter auf seiner Web-Seite noch Vorlagenrichtlinien zum Download bereit, die sich dann beispielsweise direkt an die „Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows“ von den Microsoft-Supportseiten halten.
Unter Einsatz der Richtlinien, bei denen es sich um Dateien im XML-Format handelt, die auch entsprechend im- und exportiert werden können, ist ein Administrator dann in der Lage, sehr fein granuliert die Arbeitsweise der Agenten-Software auf dem Zielsystem zu bestimmen. Er kann dabei natürlich auch Policies für bestimmte Gruppen von Anwendern oder Endgeräten explizit festlegen und von der Software durchsetzen lassen. Wichtig ist es hierbei zu wissen, dass die Standardrichtlinie vom System zunächst so konfiguriert ist, dass sie mit der „am wenigsten aufdringlichen Mindesteinstellung arbeitet“, wie es im Handbuch heißt.
Das bedeutet dann aber auch, dass fast alle Fähigkeiten des Clients bei dieser Richtlinie zunächst einmal nicht aktiviert sind. Dazu gehören unter anderem sowohl der Aktivschutz als auch E-Mail-Anti-Virus, die Windows-Firewall und das Sicherheitscenter. Administratoren sollten diese Standardrichtlinie also unbedingt und ausschließlich nur als Vorlage verwenden, mit der sie dann das Verhalten der Agenten an die Bedürfnisse ihrer IT-Umgebung anpassen. Auf diese Tatsache wird zum Glück im Handbuch sehr deutlich hingewiesen, so dass es Administratoren, die diese Unterlagen durcharbeiten, nicht wie uns gehen wird: Wir hatten uns zunächst natürlich gewundert, warum ein derart ausgerollter Agent so völlig ohne Einfluss auf dem Client-System bliebt.
Insgesamt steht für diese Konfiguration grundsätzlich eine sehr große Auswahl an unterschiedlichen Optionen und Möglichkeiten zur Verfügung, so dass es sich bei einer ersten Konfiguration unbedingt empfiehlt, eine vorhandene Richtlinie als Vorlage zu verwenden und dann die entsprechenden Einstellungen auszuwählen, wie in Bild 6 gezeigt. Auf diese Weise ist es beispielsweise möglich, einen genauen Zeitplan für manuelle Scans anzulegen, die Behandlung von E-Mail-Anhängen zu konfigurieren oder die verschiedenen Ebenen für einen Echtzeitschutz einzurichten.
Fazit: Gute Alternative für den Einsatz im Windows-Netzwerk
Die Lösung Vipre Business 5 konnte uns in diesem Praxistest überzeugen: Gerade die Art und Weise, wie sie es dem Administrator ermöglicht, mit Hilfe der Richtlinien auch unterschiedliche Endsysteme mit einem seinen Vorgaben entsprechenden Schutz auszustatten, erleichtert die tägliche Arbeit deutlich. Auch der sehr schmale „Footprint“ der Agenten auf den Client-Systemen hat uns gut gefallen – so war es beispielsweise auch möglich, etwas schwächere Systeme mit der Lösung auszustatten. Sehr gut hat es uns bei dieser Version auch gefallen, dass Anbieter GFI nicht nur die Software vollständig lokalisiert hat, sondern dass auch die entsprechenden Handbücher (wenn auch nur in einer PDF-Version) vollständig in deutscher Sprache vorliegen: Dies erleichtert den Umgang mit der Software doch deutlich.
Wer auf der Suche nach einer Sicherheitslösung für sein Windows-Netzwerk ist und dabei nicht unbedingt auf die „Großen“ der AV-Branche festgelegt ist, sollte unbedingt einen Blick auf die Lösung von GFI werfen, die sich uns im Testbetrieb als gute Alternative präsentiert hat.
Die Lösung steht grundsätzlich in zwei Versionen zur Verfügung: Vipre Antivirus Business und Vipre Antivirus Business Premium. Dabei kann die Premium-Version unter anderem zusätzlich mit einer eigenen Firewall-Lösung, einem zusätzlichen Pishing-Schutz und einem Web-Filter-Schutz aufwarten. Von beiden Versionen kann von der Web-Seite des Anbieters GFI jeweils eine Testversion heruntergeladen werden, die alle Funktionalitäten für 30 Tage zur Verfügung stellt. Der Anbieter gibt einen Grundpreis von 20,18 Euro pro Lizenz bei Kauf eines Paketes von Vipre Antivirus Business für fünf Nutzer an. Dieser Preis beinhaltet Update und Support für ein Jahr. Weitere Staffelungen für größere Installationen stehen ebenfalls zur Verfügung. Für die Premium-Version liegt dieser Grundpreis dann bei 24,99 Euro. Auch ein 24×7-Support steht gegen Aufpreis jeweils zur Verfügung.