System Center Endpoint Protection (SCEP) gehörte ursprünglich zur Forefront-Familie. Seit der Version 2012 von System Centers ist der Schutz der Endgeräte ein Bestandteil des System Center Configuration Managers. Der Name Forefront steht, ähnlich wie Office, für eine Familie an Produkten. Unter dieser Dachmarke bündelt Microsoft seine Sicherheitsprodukte. Der Begriff wurde ursprünglich zusammen mit den Tools für Client Security und Server Security eingeführt.
Das Threat Management Gateway (TMG) umfasst eine Application-Firewall, ein VPN-Gateway und einen Proxy für den Zugriff auf das Internet. Das Unified Access Gateway (UAG), ein weiterer Baustein von Forefront, sichert den Zugang von Geräten aus dem Internet zum Unternehmensnetz ab. Der Identity Manager 2010 übernimmt die Verwaltung und den Schutz der Benutzeridentitäten. Endpoint Protection hat den Schutz der Endgeräte vor Viren, Spyware, Rootkits und weiterer Malware im Visier. Zu Forefront gehören ferner Malware-Scanner für Viren und Sypware, Anti-Spam, eine Firewall, Virtual Private Networks (VPNs) und ähnliche Sicherheitseinrichtungen. Eingeschlossen ist zudem eine Konfiguration der Windows-Firewall und die Überwachung ihrer Funktionen.
Die Umgruppierung von Endpoint Protection aus der Security-Suite Forefront in das System Center ist ebenfalls sinnvoll und orientiert sich an der Arbeitsweise der Administratoren. Der Configuration Manager und sein Vorgänger, der System Management Server, waren von jeher das Werkzeug für die Verwaltung der Clientd-Dsktops. Zu seinem Funktionsumfang gehören Aspekte wie etwa das Roll-out von Software oder beispielsweise die Inventarisierung der Rechner samt Hard- und Softwarebausteinen. Insofern ist diese Umgruppierung nur folgerichtig. Denn letztendlich macht es wenig Unterschied, ob der Administrator beispielweise einen Rechner hinsichtlich installierter Servicepacks oder Virensignaturdateien untersucht. Auch die Verteilung von Software-Updates oder Malware-Scannern ist im Kern vergleichbar.
Der Configuration Manager umfasst all die Vorkehrungen, die erforderlich sind, um Rechner zu inventarisieren, sie in Gruppen zusammenzufassen oder Pakete zu schnüren, die dann auf die Client-Desktops verteilt werden. Zusätzlich übernimmt er die Verteilung und Installation dieser Pakte auf die Zielsysteme - und seit der Version 2012 des System Centers eben auch für die Sicherheitseinrichtungen der Endpoint Protection.
System Center und die Endpoint Protection
System Center Configuration Manager (SCCM) hat aufgrund seiner langen Tradition einen großen Anwenderkreis. Seine Wurzeln liegen im System Management Server (SMS). Durch die Neuausrichtung der Funktionen wurde SMS zu SCCM. Die Rolle von System Center 2012 Endpoint Protection (SCEP) liegt in der Gewährleitung der Systemsicherheit. Durch diese neue Architektur von SCEP und dessen Einbettung in den SCCM werden erstmals Funktionen der Systemverwaltung mit jenen der Sicherheit verschmolzen. Da der SCEP auf dem SCCM aufsetzt, benötigen Sie, um eine SCEP-Umgebung einzurichten, eine funktionierende SCCM-2012-Umgebung. SCEP arbeitet also nicht mit dem Vorgänger, dem SCCM 2007, zusammen. Unternehmen, die den SCEP einsetzen wollen, müssen daher vorab ihre SCCM-Umgebung auf die Version 2012 heben. Das Upgrade von FEP 20120 auf SCEP 2012 wird aber unterstützt.
Das Rollenmodell des SCCM
Nach der Installation des SCCM müssen, sofern noch nicht geschehen, noch ein paar Vorarbeiten erfolgen. Dazu gehören Anpassungen zur Integration in das Active Directory, mitunter ist auch das AD-Schema zu erweitern. Ferner muss der Administrator den SCCM-Verwaltungsbaum mit den unterschiedlichen Rollen und Standorten einrichten. Aufschluss über diese Arbeiten sind dem Handbuch des SCCM beziehungsweise der Microsoft-Website zu entnehmen.
Microsoft unterstützt im SCCM seit mehreren Versionen ein rollenbasiertes Betriebsmodell. Durch Rollen zerlegt man den gesamten Funktionsumfang einer SCCM-Installation in mehrere Module, die separat betrieben und überwacht werden können. Dies erhöht generell die Flexibilität des Gesamtsystems und erlaubt auch eine bessere Skalierung. Beim SCCM werden diese Rollen als "Points" bezeichnet.
Im Management Point etwa erfolgt die zentrale Verwaltung, das Management des SCCM, der Reporting Point liefert Bericht und Auswertungen, und der Distribution Point dient für die eigentliche Verteilung der Softwarepakete auf die Client; er wird, um die Netze nicht zu überlasten, naturgemäß nahe bei den Clients stehen. Hinzu kommt ein Service Point zur Unterstützung für den PXE-Boot bei der Client-Installation. Der State Migration Point dient zur Migration von Rechnersystemen.
Die Kommunikation mit den verwalteten Clients (und auch Servern) erfolgt durch den SCCM-Client, ein Softwaremodul, das die Aufträge des SCCM-Servers entgegennimmt und ausführt. Genau genommen handelt es sich beim Client wiederum um mehrere unabhängige Agenten. Gesteuert werden diese allerdings durch den Anker des allgemeinen SCCM-Clients. Eines dieser Module stellt der SCEP-Client dar. Um SCEP einzusetzen, muss er im ersten Schritt durch SCCM verteilt werden. Der SCEP-Client nimmt die Aufträge vom SCEP-Server entgegen und arbeitet sie ab. Die Konfiguration einer System-Center-Umgebung beginnt mit dem Einrichten des SCEP-Points. In dieser Hinsicht orientiert sich SCEP am Rollenaufbau und an den Konzepten der "SCCM-Points".
Um den SCEP -Point einzurichten, muss dieser als Rolle definiert werden. Unter der Rubrik Site Configuration / Site System Rolles sind diese Rollen in der SCCM-Verwaltungskonsole zu bestimmen und zu konfigurieren. Anschließend muss die Option SCEP aktiviert werden. Dies geschieht über den Eintrag der Default Client Policy. Neben der Default-Policy sind natürlich benutzerspezifische Policies nach Nutzergruppen konfigurierbar. Der SCEP-Client kommuniziert mit dem SCEP-Server auf dem SCCM. Sofern auf dem Client-Gerät bereits eine frühere Version eines Virenscanners oder die Module des SCEP-Vorgängers liegen, müssen diese vorher deinstalliert werden. Dies kann auch durch den SCEP-Setupprozesse erfolgen. Der Großteil der SCEP-Verwaltung geht durch einen Eintrag im SCEP unter der Rubrik Computer Management des SCCM vonstatten.
Die Verwaltung durch das SCCM
Für den SCCM-Administrator sind der Aufbau und die Konsole des SCCM sicherlich bekannt. Neu in der Version 2012 ist aber das GUI des SCCM. Dieses orientiert sich nun amRibbon-Style, das Microsoft mit Office vor wenigen Jahren einführte. Unter Assets and Compliance befinden sich beispielsweise die Einträge für User, Devices, User Collections, Device Collections, User State Migration und - ganz unten in der Liste - Endpoint Protection. Dieser Eintrag ist neu, alle anderen waren bereits in den Vorgängerversionen vorhanden, wenngleich auch ein wenig abgewandelt.
Unter Endpoint Protection finden Sie nun die Einträge Antimalware Policy und Firewall Policy. Bevor eine Policy auf die Benutzersysteme ausgerollt werden kann, muss noch der Endpoint Protection Client installiert werden. Dieser befindet sich unter dem Eintrag Default Client Setting Policy. Anschließend können Sie damit beginnen, spezifische Sicherheits-Policies auf die Benutzergeräte zu verteilen. Um eine neue Policy für Benutzer anzuwenden, ist die Option der Antimalware Policy aus dem Menübaum aufzurufen. Die Default Policy wird, ganz ihrem Namen entsprechend, als Standard-Policy auf alle Geräte ausgerollt. Daneben lassen sich Policies selbst definieren und an die spezifischen Anforderungen anpassen.
Policy-Roll-out durch SCCM Collections
Die Operationen des SCCM werden in der Regel immer auf eine Gruppe an Geräten angewandt. Eine solche Ansammlung an Geräten wird im SCCM als "Collection" bezeichnet. Durch eine Collection können beispielsweise all jene Geräte, die veraltete Virensignaturen aufweisen, gemeinsam erneuert werden. Collections sind für eine effiziente Verwaltung der Geräte unerlässlich und bündeln gleichartige Systeme in einen größeren Verbund. Ansonsten müssten alle Operationen einzeln auf die Geräte angewandt werden, was den Verwaltungsaufwand erhöhen würde. Collections lassen sich nun auch auf die Sicherheitskriterien der Geräte anwenden. Um die Verwaltung zu vereinfachen, hat Microsoft beim SCCM die wichtigsten Collections bereits dazugepackt.
Dies sind beispielsweise Collections für jene Geräte, die als "gesund" (healthy) bezeichnet werden. Die Geräte, mit denen der SCEP-Server derzeit, aus welchen Gründen auch immer, keine Verbindung hat, bilden eine weitere Collection. Ferner gibt es eine Collection für all jene Geräte, die den SCEP-Client installiert haben. Auch eine Collection über den Malware-Zustand der Geräte ist bereits vordefiniert.
Roll-out des SCEP-Clients durch das System Center
Um den Endpont-Protection-Client (EP) auf das Zielsystem auszurollen, werden die Standardfunktionen des SCCM herangezogen. Dieser kennt beispielweise eine Funktion, die als "Distribute Software" bezeichnet wird. Wie bereits oben erwähnt, macht es für den SCCM und auch den Administrator im Prinzip keinen Unterschied, welche Software mit dem SCCM verteilt wird. Das Prinzip gilt für das Office-Paket ebenso wie für einen EP-Client oder einen Virenscanner.
Zu den wichtigsten Parametern beim Verteilen von Software zählt, was zu verteilen ist, wohin und wann. Das "Was" wird im SCCM durch ein Paket beschrieben. Der EP-Client wird daher als SCCM Paket bereitgestellt. Das "Wohin" wird durch eine Collection bestimmt, und das "Wann" legt den Zeitpunkt der Verteilung fest. Die eigentliche Verteilung der Software erfolgt beim SCCM durch das Zusammenspiel des SCCM, seiner Distribution Points und der SCCM-Agenten auf den Zielsystemen. Diese Komponenten kommuniziert mit dem SCCM-Server. Die Anwender sind von diesem Verteilungsprozess nicht berührt. Dennoch kann es sein, dass Meldungen beim Anwender erscheinen oder der Rechner des Anwenders neu gestartet werden muss. Daher wird im SCCM in der Regel vorher eine Meldung versandt.
Diese wird in ein "Advertisement" gepackt. Durch das Advertisement wird also der Benutzer über die bevorstehende Änderung unterrichtet. Der Administrator sollte deshalb vorab eine Meldung an die Benutzer ausgeben, wenn Sicherheits-Updates verteilt werden. Auch bezüglich dieses Advertisements orientiert sich Endpoint Protection an den von SCCM her bekannten Arbeitsabläufen und Vorgaben. Die erstellten Softwarepakete und ihre Advertisements finden sich beispielweise im SCCM unter der Rubrik Software Distribution. Dies gilt analog auch für die durch SCEP erstellen Sicherheitspakete.
Die Client-Sicht auf Endpoint Protection
Der SCCM ist die Verwaltungskonsole für die Endpoint Protection. Er umfasst Funktionen zur Definition von Policies und deren Roll-out auf die Endpunkt, die Clients oder auch Server. Diese Verwaltungstätigkeiten erfolgen unsichtbar für den Benutzer auf der SCCM-Konsole. Nach dem Roll-out der Policies findet der Benutzer auf dem Client diese Richtlinien in seiner Betriebsumgebung.
Im Startmenü befindet sich ein entsprechender Eintrag. Ferner ist in der Taskleiste rechts ein Symbol für Endpoint Protection eingeblendet. Dieses gibt, wenn Sie mit der Maus darüberfahren, einen kurzen Hinweis zum Status des Gerätes und darüber, ob eine Bedrohung besteht oder nicht. Der Benutzer hat aber auch die Möglichkeit, die Arbeitsweise von SCEP zu beeinflussen. Nach Aktivierung der Client-seitigen Verwaltungsoberfläche durch den Benutzer öffnet sich ein Konfigurationsdialog. Dieser ermöglicht es dem Anwender des Gerätes, die Arbeitsweise des Security-Tools im Rahmen der vorgegebenen Policies zu beeinflussen.
Die vier Tabs dieser Konfigurationsmaske sind überschrieben mit Startseite, Aktualisieren, Verlauf und Einstellungen. Die Startseite gibt einen kurzen Überblick zum aktuellen Zustand des Gerätes. Ferner werden hier die wichtigsten Scanoptionen eingeblendet. Durch Druck auf den Knopf Aktualisieren kann der Anwender die neuesten Konfigurationsdateien und Anti-Malware-Kennungen vom Server laden. Der Großteil der Konfiguration findet sich unter dem Tab Einstellungen. Hier kann der Anwender beispielsweise bestimmen, wann die Scanläufe erfolgen sollen, welche Dateien gescannt werden sollen oder welche Aktionen durchgeführt werden sollen, wenn eine Bedrohung erkannt wird. EP beinhaltet den periodischen Scan von Dateien oder Laufwerken, kann aber auch Echtzeitscans durchführen. Auch diese lassen sich an dieser Stelle vom Anwender detaillierter definieren. (hal)