Die Überwachung der virtuellen und physischen Maschinen in einer IT-Infrastruktur erfolgt durch die Symantec Endpoint Protection (SEP). Als Endpunkte - im Sinne von Endpoint Protection - sind Serversysteme und auch Clients gemeint, denn für das Tool-Set macht es keinen Unterschied, ob es ein Serversystem in einer virtuellen Maschine oder einen Client-Desktop überwacht. Die Reaktionen mögen natürlich unterschiedlich sein, doch das ist eine Frage der Konfiguration. SEP unterstützt alle gängigen Desktop- beziehungsweise Server-Betriebssysteme wie Windows 7 oder Windows Server 2008 R2. In der Betriebsphase unterscheidet das Sicherheitswerkzeug prinzipiell nach "managed" und "unmanaged" Clients.
In unserem ersten Workshop sind wir bereits auf die Überwachung der Server-Hosts mittels der Symantec-Lösung Critical System Protection eingegangen. In diesem Beitrag erweitern wir die Sicherheitsanforderungen auf die Endgeräte einer IT-Infrastruktur. So geht der Workshop nun auf den Schutz der virtuellen beziehungsweise physischen Gastsysteme ein. Das können Notebooks, Desktop oder Server sein.
Symantec Endpoint Protection einrichten
Die Architektur von Symantec Endpoint Protection orientiert sich an den heute gängigen Konzepten. Durch einen zentralen Managementserver werden die zu schützenden Geräte verwaltet, konfiguriert und die Ergebnisse von ihnen wieder eingesammelt.
Das Setup selbst ist schnell vorgenommen und benötigt lediglich einige zentrale Angaben, etwa zum Zielverzeichnis des Managementservers. Die Konfigurationseinstellungen, aber auch die von den überwachten Geräten gesammelte Statuswerte, hinterlegt das Programm in einer angeschlossenen Datenbank.
Die dritte zentrale Komponente stellt die Verwaltungskonsole dar, die mit dem Managementserver kommuniziert. Alle drei Bausteine können beliebig auf einen oder mehrere Rechner verteilt werden.
Managementserver konfigurieren
Nach dem Betätigen des Buttons für das Setup des Managementservers startet ein Assistent, der die weiteren Konfigurationseinstellungen für einen Standort abfragt.
Das geschieht in einem Dialog mit dem Anwender und erfordert kein Spezialwissen. Im Anschluss daran wird eine Datenbank eingerichtet.
Datenbank konfigurieren
Nun müssen Sie die Datenbank konfigurieren. Hierbei kann entweder die integrierte Datenbank oder eine vorhandene MS SQL-Server-Instanz verwendet werden. Letztere wird dann notwendig, wenn mehr als 1000 Geräte überwacht werden sollen. Für größere Enterprise-Umgebungen sind auch mehrere Managementserver mit einer zentralen Datenbank einzurichten.
Ferner besteht die Möglichkeit, an verschiedenen Standorten mehrere Managementserver und jeweils lokale Datenbanken, die dann repliziert werden, zu betreiben. Alles in allem erlaubt die Sicherheitssammlung einen Betrieb auf einem einzigen Server, aber auch verteilt auf mehrere Standorte inklusive Server und Datenbanken.
Die Verwaltungskonsole von Symantec Endpoint Protection
Nach dem Start der Managementkonsole erhalten Sie einen Übersichtsbildschirm. Unter Home findet sich ein Dashboard mit den wichtigsten aktuellen Ereignissen und dem Zustand des gesamten von Endpoint Protection überwachten Systems. Dieses Dashboard kann weitgehend konfiguriert werden und liefert einen umfassenden und schnellen Überblick über das Gesamtsystem.
Unter der Endpoint Protection fasst Symantec den Großteil seiner Client-bezogenen Sicherheitsbausteine zusammen. Das Tool-Set umfasst die Sicherheitsfunktionen zur Abwehr von Viren, Spyware, Rootkits und Malware, ferner eine Desktop-Firewall, ein Intrusion-Prevention-System für den Netzwerkverkehr, ein Host-basiertes Intrusion-Prevention-System sowie den NAC-Support für die Zugangskontrolle. Funktional ist somit nahezu alles vorhanden, was man für den Schutz der Server benötigt.
Die angezeigten Informationen kann der Anwender über die Buttons View Details oder Edit an seine individuellen Erfordernisse anpassen.
Die Überwachungsmonitore
Endpoint Protection umfasst wie erwähnt unterschiedliche Sicherheitskonzepte wie Firewall und Virenscanner. Häufig obliegt diese Verwaltung auch unterschiedlichen Personen. Oftmals setzt man dabei auf eine Trennung in operatives Monitoring mit eng begrenztem Aufgabenfeld und eine übergreifende Administration.
Dazu ist eine rollenbasierte Verwaltung erforderlich. Diese wird von Endpoint Protection durch Administrationsgruppen ermöglicht. Eine Administrationsgruppe wiederum kann dann an eine Organisationseinheit gebunden werden. Dies erlaubt beispielweise die Trennung der Verwaltung für Server, Desktops oder Abteilungen. Eine funktionale Trennung der Verwaltung beispielsweise in Virenscan, HIPS oder Firewall oder dergleichen ist noch nicht machbar.
Hinter dem Button Monitors verbergen sich alle sicherheitsrelevanten Informationen für den Anwender. Hier kann der Nutzer beim Punkt Summary type festlegen, welche Daten für eine mögliche Analyse wichtig sind.
Berichte und Auswertungen
Unter Reports werden spontane Ad-hoc-Berichte oder die regelmäßig zu generierenden Statusberichte zusammengefasst und verwaltet. Diese können mittels Print direkt ausgedruckt oder per Save abgespeichert werden.
Sicherheitsrichtlinien erzeugen
Die Konfigurationen aller Sicherheitsfunktionen fasst das System unter Richtlinien zusammen. Hier erfolgen die Definitionen zur Arbeitsweise der Firewall sowie der Intrusion Prevention, und auch alle weiteren Sicherheitseinrichtungen werden hierüber gesteuert.
Clients und Admin
Die letzten beiden Rubriken sind mit Clients und Admin umschrieben. Unter Client werden die zu verwaltenden Rechnersysteme integriert und verwaltet. Eine Anbindung an das Active Directory oder LDAP-Verzeichnisse ist machbar, aber nicht notwendig.
Möglich ist auch ein Mischbetrieb, bei dem bestimmte Definitionen aus dem Active Directory abgegriffen werden, andere allerdings lokal im Endpoint Protection Server verwalten werden. Der Bereich Admin schließlich beschäftigt sich mit der Verwaltung und Konfiguration des Managementservers und der Datenbank. Die Ausführung der Tasks ist intuitiv und leicht durchführbar. Zusätzliche Erklärungen sind in der Regel nicht notwendig.
Signaturen aktualisieren
Unter Clients / Install Packages muss der Anwender zuerst die Sicherheitsdefinitionen festlegen, die der Client stets aktualisieren muss, damit dieser sicher arbeitet.
Im ersten Schritt müssen Sie deshalb die Virensignaturen und Antispyware aktualisieren. Sie werden direkt durch Symantec bereitgestellt und automatisiert von deren Website geladen. Symantec spricht in diesem Zusammenhang von LiveUpdate. Das Laden der aktuellen Definitionen erfordert natürlich eine Internetanbindung, sollte aber schnell abgeschlossen sein.
Rollout des Client-Agenten
Um auch Client-Geräte verwalten zu können, müssen diese zuerst mit einem Client-Agenten versorgt werden. Dazu ist in der Verwaltungskonsole ein Installationspaket zu definieren. Die Inhalte dieses Verwaltungspakets orientieren sich an den gewünschten Sicherheitseinrichtungen. Dies sind beispielsweise die Funktion für die Desktop-Firewall, des Virenscanners oder des Intrusion Prevention Systems.
Symantec spricht hier auch von einem Feature-Set. Das konfigurierte Feature-Set ist anschließend als EXE- oder MSI-Datei (Microsoft Installer) zu exportieren und in einem Verzeichnis zu hinterlegen. Die Verteilung und der Setup der Client-Agenten können folglich auch über jegliche Softwareverteilungswerkzeuge erfolgen.
Schutz für virtuelle Umgebungen
Symantec hat die Endpoint Protection für den Einsatz auf virtuellen Plattformen angepasst. So unterstützt die Anti-Malware-Software White-Lists für virtuelle Standard-Images und errichtet lokal einen Insight-Cache. Dies erfolgt durch die Optionen Enable Virtual Image Exception for Auto-Protect und Enable Virtual Image Exception for Adminstrator-Defined Scans.
Außerdem unterstützt die Symantec-Sicherheitssoftware Random-Scans und -Updates und managt virtuelle Clients. Als Managed Client werden jene bezeichnet, die unter der Verwaltung des zentralen Managementservers stehen. Ein Unmanaged Client wäre einer, der keinen Kontakt mehr zu seinem zentralen Verwaltungsserver hat. Durch diese Funktionen wird die Last auf einem virtuellen Host reduziert. Es werden weniger Ressourcen für den Virus-Scan belegt, sodass das System schneller arbeitet und mehr virtuelle Instanzen unterstützen kann. (hal)