Sophos liefert mit dem Sophos Computer Security Scan eine Scan-Lösung, mit den sich bis zu 200 Windows-PCs im Netzwerk von einer zentralen Konsole aus auf Malware und andere unerwünschte Software überprüfen lassen. Praktischerweise gibt es eine kostenlose Variante dieses Scanners, die sich 31 Tage lang nutzen lässt. Um an den Scanner zu kommen, muss man das Formular auf dieser Website ausfüllen, anschließend erhält man Benutzername, Passwort und den Download-Link. Die eigentliche Datei ist nicht groß, sie umfasst knapp 8 MByte.
Installation und Serverstart
Die Installation der Software ist simpel: Ein Doppelklick entpackt die Datei, anschließend startet automatisch der Installationshelfer. Ist die grundlegende Einrichtung abgeschlossen, öffnet sich der eigentliche Scanner. Im ersten Schritt legt man fest, wie der Client auf die anderen Endpunkte verteilt wird; zur Wahl steht eine Installation per ActiveDirectory oder über andere Methoden.
Der Scanner verbindet sich anschließend mit den Servern von Sophos, um aktuelle Informationen zu digitalen Bedrohungen herunterzuladen. Dabei schwillt der benötigte Platz auf knapp 400 MByte an. Sind die notwendigen Daten heruntergeladen, wählt man die Scan-Optionen. Insgesamt bietet der Scanner sechs verschiedene Kategorien:
-
Malware: Schadprogramme wie Viren, Würmer, Trojaner etc.
-
Rootkits: Schadsoftware, die sich tief ins Betriebssystem gegraben hat und mit normalen Scans nicht sichtbar ist.
-
Verdächtige Dateien: Datenpakete, die zwar noch nicht als Malware klassifiziert sind, allerdings ein verdächtiges Verhalten aufweisen.
-
Adware und PUAs: im Unternehmen im Allgemeinen unerwünschte Dateien, die aber keine Malware sind.
-
Controled Applications: Legitime Anwendungen, die man allerdings im Unternehmen eventuell blockieren möchte.
-
Controled Devices: Speicher- und Netzwerkgeräte, auf die der Zugriff gesperrt werden soll.
Jeder dieser Punkte lässt sich einzeln an - oder abwählen, je mehr Funktionen Sie überprüfen, desto länger dauert der eigentliche Scan-Vorgang. Am unteren Ende des Assistenten kann man zudem noch festlegen, welchen Port die Applikation nutzen soll und ob der Scan die CPU stärker auslasten soll.
Endpunkt einrichten, Report erstellen
Im nächsten Schritt erhält man die Informationen, wo sich das Installationspaket befindet. Neben der MSI-Datei sind im Ordner auch eine Konfigurationsdatei, eine simple Textdatei namens Config.ini und ein Order mit weiteren Zusatzdateien enthalten. Insgesamt ist der Order mit der Installationsdatei rund 100 MByte groß. Nach der Installation sollte sich der Client direkt mit dem Server verbinden und den Scan starten.
Im Test schlug das allerdings mehrfach fehl, sodass wir einige zusätzliche Einstellungen vornehmen mussten. Solange der Scan nicht per ActiveDirectory durchgeführt ist, muss bei Clients mit Windows Vista und höher die Benutzerzugriffskontrolle (UAC) deaktiviert werden. Das ist natürlich alles andere als gut für die Sicherheit, wo möglich, sollte man den Scan per AD durchführen. Außerdem muss der Dienst "Remoteregistrierung" aktiviert sein. Unter Windows XP muss die einfache Dateifreigabe aktiv sein. Alle Informationen dazu finden sich in der FAQ von Sophos. Zusätzlich muss natürlich die Firewall den Traffic zwischen den Endpunkten zulassen.
Im Test wollte die Verbindung dennoch nicht klappen. Ein Blick in die Config.ini zeigte eine mögliche Lösung: Unter "hostename" war der Computername des PCs eingetragen. Sobald wir diese durch die direkte IP ersetzten, klappte die Verbindung zwischen Endpunkt und Scan-Server einwandfrei. Der Nutzer am Client-PC merkt im Normalfall übrigens nicht, dass der Computer überprüft wird. Für Scans während der Arbeitszeit sollte man allerdings auf eine erhöhte CPU-Auslastung verzichten.
Das Wichtigste nach dem Scan ist der Report. Sobald die Überprüfung abgeschlossen ist (oder abgebrochen wird), erstellt Sophos Computer Security Scan einen HTML-Bericht. Dieser ist erfreulich umfangreich - und komplett auf Deutsch. Zu jedem der überprüften Bereiche liefert Sophos eine kurze Zusammenfassung und anschließend einen genauen Überblick.
Fazit
Der Scanner von Sophos ist ein praktisches Tool, besitzt allerdings auch einige Einschränkungen. So muss man beispielsweise bei jedem Start des Servers die Zugangsdaten erneut eingeben, ein automatischer Scan ist damit nicht möglich. Kein Wunder, ansonsten würde Sophos wahrscheinlich zu viele Kunden der kostenpflichtigen Premium-Lösung verlieren.
Die Software punktet aber, wenn man sich einen allgemeinen Überblick über den Zustand der verwalteten PCs verschaffen möchte. Vor allem die Funktionen rund um potenziell unterwünschte Programme sind interessant, sieht man so doch schnell, was die Nutzer neben den notwendigen Tools noch so alles installieren.
Der Schwerpunkt liegt bei Sophos nicht beim Aufspüren von Malware und weiteren bösartigen Programmen. Besonders praktisch ist, dass sich der Scanner auch neben herkömmlichen Anti-Malware-Produkten verwenden kann. Die Lösung ergänzt außerdem den Corporate Software Inspector von Secuina, den TecChannel bereits hier vorgestellt hat. (mec)