ZENworks Endpoint Security Management

09.05.2008 von Martin Kuppinger

Mit dem ZENworks Endpoint Security Management (ZESM) hat Novell sein Portfolio um das Management von Sicherheitsfunktionen auf Endgeräten erweitert. Das Produkt arbeitet mit Richtlinien, fügt sich aber noch nicht vollständig in die ZENworks-Produktpalette ein.

Das Themenfeld der Endpoint Security ist inzwischen von hoher Bedeutung. Damit werden Lösungen beschrieben, mit denen von zentraler Stelle aus Sicherheitseinstellungen und –Dienste auf den Clients verwaltet werden. Das ist wichtig, weil die Perimeter-Sicherheit beispielsweise durch zentrale Firewalls nicht ausreicht, gleichzeitig ein rein dezentrales Management von Sicherheitseinstellungen in Unternehmensnetzwerken ebenfalls nicht funktioniert, weil es weder verlässlich noch kontrollierbar oder effizient ist.

Novell ist inzwischen auch in diesem Segment aktiv und hat mit dem ZENworks Endpoint Security Management (ZESM) eine Lösung in diesem Bereich auf den Markt gebracht. Wie bei den ZENworks-Produkten üblich wird auch hier mit Richtlinien für die zentrale Administration gearbeitet.

In Bezug auf die Architektur und die Gestaltung der Management-Konsole unterscheidet sich das Produkt allerdings noch erheblich von anderen ZENworks-Lösungen.

Die Architektur

Beim ZESM handelt es sich um eine verteilt arbeitende Lösung, die mit einem dezentralen Client und mehreren zentralen Modulen arbeitet. Der Client ist erforderlich, um die Richtlinien umzusetzen.

Beim Server gibt es mehrere Module:

Management Service: Das ist die zentrale Komponente, die Richtlinien verwaltet, Statusberichte von Clients empfängt und die Authentifizierung durchführt.
Location Assurance Service: Dieses Modul überprüft Netzwerkstandorte auf Basis von Parametern über das Netzwerk, beginnend beiden IP-Adressen. Damit wird sichergestellt, dass die richtigen Einstellungen für unterschiedliche Netzwerke angewandt werden.
Policy Distribution Service: Dieses Modul lässt sich in einer DMZ betreiben und ist die Kommunikationsschnittstelle zwischen den Clients und den anderen Server-Diensten.
Datenbank: Der Management Service arbeitet mit eine Microsoft SQL Server-Datenbank zusammen. Dort werden Richtlinien, Berichte und andere Informationen gespeichert.
LDAP-Verzeichnis: Für die Authentifizierung von Benutzern und Informationen zu diesen ist ein LDAP-Verzeichnis erforderlich. Offiziell werden das Novell eDirectory und das Microsoft Active Directory unterstützt.

Die gesamte Kommunikation zwischen den Komponenten erfolgt verschlüsselt, um Manipulationen an den verteilten Richtlinien zu verhindern.

Die Installation

ZESM lässt sich in mehreren unterschiedlichen Konfigurationen installieren. Neben einer Test-Infrastruktur ohne zentrales Management gibt es die Varianten mit einem und mit mehreren Servern, bei der zumindest der Management Service und der Policy Distribution Service auf getrennten Systemen laufen. Letztere ist diejenige, die in Produktionsumgebungen typischerweise zum Einsatz kommen wird, da sie das größte Maß an Sicherheit bietet.

Für die erfolgreiche Installation sind mehrere Komponenten erforderlich:

Microsoft .NET Framework 1.1 (wird mitgeliefert)
Microsoft SQL Server-Datenbank, auch auf Basis der MSDE
IIS

Falls die SQL Server-Datenbank nicht als Standardinstanz mssqlserver bezeichnet ist, muss eine manuelle Authentifizierung erfolgen. Zu beachten ist zudem, dass die Windows-Authentifizierung nicht unterstützt wird.

Wenn die Voraussetzungen vorhanden sind, ist die Installation sehr einfach. Lästig ist allerdings die wiederholte Eingabe von Parametern für die Verbindung mit der Datenbank, weil diese für jede einzelne Instanz angegeben werden müssen.

Grundeinstellungen

Bevor man die Management-Konsole des ZESM nutzen kann, müssen zunächst einige Grundeinstellungen konfiguriert werden. Zwingend ist die Festlegung der Verzeichnisse, gegen die die Authentifizierung erfolgen soll. Dazu wird automatisch die Anwendung Configuration geladen. Bei Verzeichnisse werden authentifiziert wird das Verzeichnis eingetragen. Der Kontoname muss in LDAP-Notation geschrieben werden.

Verzeichnis: Ein Verzeichnis muss zwingend angegeben und verfügbar sein, um die ZESM-Managementkonsole nutzen zu können.

Ohne Verbindung zu einem Verzeichnisdienst lässt sich die Management-Konsole von ZESM nicht verwenden. Auch bei späteren Zugriffen muss die Verbindung jeweils verfügbar sein.

Im Bereich Infrastruktur und Planung können zusätzliche Parameter für die Kommunikation zwischen dem Distribution Point und dem Management Service und Intervalle für die Replikation und andere Verarbeitungsschritte gesetzt werden.

Funktionsbereiche

Nachdem die Basiskonfiguration abgeschlossen ist, lässt sich die Management-Konsole starten. Die Authentifizierung muss nun erneut in der LDAP-Notation erfolgen, auch wenn standardmäßig ein einfacher Benutzername Administrator vorgeschlagen wird. Bei fehlerhafter Notation stürzt die Anwendung aber ab.

Das Anzeigefenster ist zunächst leer. Der wichtigste Schritt ist die Erstellung einer neuen Richtlinie mit Datei – Neue Richtlinie erstellen.

Umfassend: Die Funktionsbereiche von Richtlinien im ZESM.

Über die ZESM-Richtlinien lassen sich folgende Funktionsbereiche steuern:

Wireless-Steuerung: Mit diesem Teil der Richtlinien lassen sich Regeln für die Nutzung von drahtlosen Netzwerken konfigurieren.
Kommunikationshardware: Damit wird festgelegt, welche Adapter für Wähl- und WLAN-Verbindungen genutzt werden dürfen.
Speichergerätesteuerung: Die Kontrolle der Speichergeräte, die von Nutzern eingesetzt werden dürfen.
USB-Konnektivität: Festlegungen für die Beschränkung von USB-Geräten, auf denen Daten abgelegt werden können.
Datenverschlüsselung: Konfigurationseinstellungen für die Verschlüsselung von Daten.
ZSC-Update: Aktualisierungseinstellungen für den Client.
VPN-Erzwingung: Regeln, die für die Kommunikation die Verwendung eines VPNs (Virtual Private Networks) erzwingen.

Weitere Einstellungen betreffen die Richtlinien selbst, die Standorte und verschiedene andere Aspekte, die mit den Richtlinien in Zusammenhang stehen.

Bei der Liste der Einstellungen wird allerdings auch deutlich, dass es bei ZESM keine integrierten Anti-Viren-Tools gibt. Allerdings kann deren Vorhandensein überprüft werden. ZESM ist auch kein NAC-Werkzeug (Network Access Control) im engeren Sinne, auch wenn sich erweiterte Skripts für die Überprüfung von Clients und die Behebung von erkannten Schwachstellen konfigurieren lassen.

Richtlinieneinstellungen

Bei den allgemeinen Richtlinieneinstellungen sollten zunächst der Name der Richtlinie und eine Beschreibung festgelegt werden. Bei intensiverer Nutzung von ZESM wird man schnell eine größere Zahl von Richtlinien haben, die unterschieden werden müssen.

Die wichtigste Option ist aber Client-Selbstverteidigung aktivieren, mit der die Systemprüfung durch den ZESM-Client aktiviert beziehungsweise deaktiviert wird.

Richtlinien: Die Richtlinien von ZESM auf Clients können optional aktiviert und deaktiviert werden.

Richtlinien lassen sich aber auch von Administratoren mit einem speziellen Kennwort zeitweise deaktivieren, falls ein entsprechendes Kennwort bei Passwort-Außerkraftsetzung angegeben wird. Zusätzlich gibt es aber auch ein spezielles Tool, das temporäre Kennwörter für Benutzer generieren kann, damit diese die Richtlinie zeitweise deaktivieren können. Damit wird verhindert, dass ein solches Kennwort allgemein bekannt wird.

Das Deinstallationspassword sollte in jedem Fall genutzt werden. Das Kennwort wird bei der Installation eingerichtet, lässt sich aber über die Richtlinie steuern.

Schließlich lässt sich noch eine Meldung definieren, die bei Änderungen der Richtlinie angezeigt wird. Damit kann man Benutzer darüber informieren, dass es nun Änderungen – meist weitere Einschränkungen – bei der Systemnutzung gibt.

Standorte

Eines der zentralen Konzepte von ZESM sind die Standorte. Das Verhalten des Systems kann sich je nach Standort unterscheiden. Eine Reihe von Parametern lassen sich abhängig von Standorten konfigurieren. Einige davon finden sich auch bei den allgemeinen Richtlinieneinstellungen, andere gibt es nur bei den Standort-Parametern.

Standort: Je nach Standort kann mit unterschiedlichen Firewall-Einstellungen und Netzwerkkonfigurationen gearbeitet werden.

Auf der Ebene von Standorten lassen sich folgende Bereiche konfigurieren:

Die zulässige Kommunikationshardware, also Adapter für Wähl- und Drahtlosverbindungen.
Die zulässigen Speichergeräte und die Steuerung des Zugriffs auf diese Geräte.
Firewall-Einstellungen für diesen Standort.
Konfiguration von Parametern für die Netzwerkumgebungen.
Verwaltung von drahtlosen Netzwerkgeräten und deren Sicherheit.

Während sich bei den allgemeinen Richtlinieneinstellungen, auf die weiter unten noch im Detail eingegangen wird, die generellen Parameter für alle Standorte setzen lassen, kann man hier spezifisch Sicherheitsfestlegungen für verschiedene Standorte wie das interne Unternehmensnetzwerk und bekannte oder nicht bekannte WLANs treffen.

Standortabhängige Firewall-Einstellungen

Eine der wichtigsten Einstellungen auf der Ebene von Standorten sind die Firewall-Einstellungen. Standardmäßig wird jede Kommunikation zugelassen. Eine Einschränkung ist aber generell, also auch innerhalb der vermeintlich sicheren Unternehmensnetzwerke, sinnvoll. Als Standardverhalten wird dann normalerweise stateful verwendet, um eine Analyse von Paketen mit dem Konzept der stateful inspection durchzuführen, also auch Abfolgen von Paketen zu betrachten.

Firewall: Über die integrierte Firewall lassen sich standortabhängige Sicherheitseinstellungen konfigurieren.

Bei den Firewalls lassen sich Regeln für die Kontrolle von TCP- und UDP-Ports, für vertrauenswürdige respektive nicht akzeptierte IP- und MAC-Adressen sowie Anwendungslisten konfigurieren. Die Anwendungslisten enthalten ausführbare Dateien, die entweder überhaupt nicht oder nur ohne Zugriff auf das Internet laufen dürfen.

Netzwerkeinstellungen auf Standortebene

Um Netzwerke zuverlässig identifizieren zu können, muss man diese analysieren. Mit den Parametern für Netzwerkumgebungen können viele der Infrastrukturdienste zwingend vorgegeben werden. Für Gateways, DNS-Server, DHCP-Server und WINS-Server lassen sich die Adressen in den Richtlinien eintragen.

Netzwerkerkennung: ZESM kann die verwendeten Netzwerke identifizieren.

Die Erkennung lässt sich auf definierte Adapter einschränken, also beispielsweise nur für WLANs. Allerdings sollte man berücksichtigen, dass Benutzer eine Tendenz zur Umgehung solcher Einschränkungen haben, so dass man auch den Bypass beispielsweise durch Verbindung mit einem Ethernet-LAN einschränken sollte.

Wireless-Konfiguration pro Standort

Der in vielen Fällen wichtigste Bereich der standortabhängigen Konfiguration ist der Umgang mit drahtlosen Netzwerken. Dafür gibt es gleich zwei Konfigurationsbereiche. Bei Wi-Fi-Verwaltung lassen sich verwaltete und damit zulässige, angezeigte und generell als unzuverlässig bekannte Zugriffspunkte konfigurieren.

Drahtlos: Die Einstellungen für die zulässigen drahtlosen Netzwerke können vorgegeben werden.

Pro Zugriffspunkt lässt sich auch angeben, unter welchen Bedingungen zu einem anderen Zugriffspunkt gewechselt werden soll. Die Entscheidung kann von der Signalstärke und der Verschlüsselung abhängen.

Im Bereich Wi-Fi-Sicherheit finden sich ergänzende Einstellungen zur erforderlichen Verschlüsselung. Falls die definierte Verschlüsselung nicht verfügbar ist, kann eine optionale, konfigurierbare Meldung angezeigt werden.

Integritäts- und Sanierungsregeln

ZESM selbst enthält, wie ausgeführt, keine Antiviren- oder Antispyware-Funktionen. Es gibt aber die Möglichkeit, Tests durchzuführen, um das Vorhandensein von solcher Software und deren Aktualität auf den Clients zu testen. ZESM kann mit allen Anwendungen in diesem Bereich zusammenarbeiten. Dabei gibt es zwei mögliche Prüfungen:

Die Analyse von Dateien, die vorhanden sein müssen.
Der Test, ob bestimmte Prozesse ausgeführt werden.

Um einen aktuellen Status zu ermitteln, muss die Richtlinie allerdings regelmäßig aktualisiert werden, um beispielsweise auf veränderte Dateigrößen von Signaturdateien zu prüfen.

Komplexe Regeln: Zusätzlich zu den Standardparametern lassen sich bei ZESM auch Skripts für komplexere Prüfungen definieren.

Hier kann man allerdings auch mit den erweiterten Skripts arbeiten. Die unterstützten Skriptsprachen sind JScript und VBScript. Für die Skripts lassen sich Variablen und Ausführungsregeln definieren. Da insbesondere VBScript sehr leistungsfähig ist, lassen sich fast beliebige Prüfungen von Systemen, aber auch automatische Systemanpassungen wie das Kopieren von Dateien oder die Modifikation von Registry-Parametern automatisiert durchführen.

Berichte über den Client-Status

Neben der Steuerung der Sicherheit auf den von ZESM verwalteten Systemen sind in der Regel auch Berichte über den tatsächlichen Zustand dieser Systeme erforderlich. Die erforderlichen Berichte lassen sich im Bereich Einhaltungs-Berichterstellung konfigurieren.

Berichte: Clients können regelmäßig Statusinformationen zu einer Vielzahl von Details rund um die Sicherheit liefern.

Es gibt eine ganze Reihe von Bereichen, zu denen die Clients Informationen an den Distribution Point und von dort an den Management Service liefern können. Das Intervall ist flexibel konfigurierbar. Die Berichtserstellung kann ebenso in Minutenintervallen wie im Abstand von etlichen Tagen erfolgen – entsprechend der jeweiligen individuellen Sicherheitsanforderungen.

Für jeden von ZESM gesteuerten Bereich gibt es mehrere auswählbare Informationsgruppen. Das geht bis hin zu Dateien, die auf ein Wechselgerät kopiert wurden. Bei der Auswahl dieser Berichte muss man allerdings die jeweils gültigen Datenschutzbestimmungen beachten.

Veröffentlichen von Richtlinien

Richtlinien müssen veröffentlicht werden, damit sie wirksam sind. Die Einstellungen dafür finden sich im Register Veröffentlichen. Die Veröffentlichung erfolgt durch Zuweisung der Richtlinie zu einem Benutzer oder einer Organisationseinheit. Die verfügbaren Benutzer, Benutzergruppen und organisatorischen Einheiten werden aus dem oder den definierten Verzeichnissen eingelesen.

Die Zuordnung von Richtlinien zu den Benutzern ist der Standardfall. Optional lassen sich Richtlinien aber durch entsprechende Client-Konfiguration auch den Geräten zuordnen.

Das verwendete Modell der Steuerung ist allerdings etwas unübersichtlich und könnte sicher noch besser gelöst werden. Wie bei fast jedem derzeit verfügbaren Ansatz der richtlinienbasierenden Administration gilt auch hier, dass es eine gute Konzeption für die zu erstellenden Richtlinien braucht.

WLAN-Sicherheit

Bei den globalen Einstellungen für die Richtlinien lassen sich über die speziellen Parameter beispielsweise für Standorte hinaus Grundeinstellungen vornehmen. Viele dieser Festlegungen sind auch wirksam, wenn auf der Ebene der Standorte keine speziellen Anpassungen erfolgen.

Drahtlos: Drahtlosverbindungen lassen sich einschränken und vollständig unterbinden.

Im Bereich Wireless-Steuerung finden sich die Grundeinstellungen für die Steuerung von Drahtlosverbindungen. Die Auswahl von Wi-Fi-Übertragungen deaktivieren blockiert diese völlig. Optional kann man Verbindungen aber auch in eingeschränkter Form zulassen. Dazu zählt die Verhinderung der Nutzung dieser Verbindungen bei bestehender LAN-Verbindung über die Option Wi-Fi deaktivieren, wenn verbunden. Auch Ad-hoc-Verbindungen können unterbunden werden.

Während man bei den WLAN-Einstellungen überlegen muss, was man generell und was nur für ausgewählte Standorte unterbindet, sollte man die Option Adapter-Bridge deaktivieren auf jeden Fall auswählen. Damit wird verhindert, dass ein Windows-Client als Hub im Netzwerk dient und andere Verbindungen weiterleitet.

Kommunikations-Hardware

Sicherheitsprobleme entstehen häufig, weil man potenzielle Schwachstellen einfach übersieht. Ein gutes Beispiel dafür sind die verschiedenen Kommunikationsschnittstellen neben den LAN- und WLAN-Adaptern, die es heute bei vielen neuen Rechnern gibt.

Hardware deaktivieren: Komponenten, die unter dem Aspekt der Sicherheit kritisch sind, lassen sich auch deaktivieren.

Mit ZESM lassen sich Schnittstellen wie FireWire oder diejenigen für Infrarot- und Bluetooth-Verbindungen vollständig deaktivieren. Das ist in den allermeisten Fällen auch empfehlenswert, weil darüber potenziell Zugriffe erfolgen können, die kaum kontrollierbar sind.

Falls bestimmte Mitarbeiter die Möglichkeit für einen flexiblen Datenaustausch und den Aufbau kleiner Netzwerke benötigen, sind kontrollierte WLAN-Fähigkeiten in jedem Fall sinnvoller als diese Schnittstellen. FireWire ist insofern noch eine Ausnahme, als es teilweise auch für die Nutzung spezieller Speichergeräte benötigt wird.

Speichergeräte steuern

Die Steuerung der Nutzbarkeit von Speichergeräten ist entsprechend auch eine der wichtigsten Funktionen im System. Mit den Optionen bei Speichergerätesteuerung lassen sich Die Zugriffe auf CD- und DVD-Laufwerke, andere Wechseldatenträger und auch Listen von bevorzugten Geräten steuern. Diese Listen lassen sich aus dem aktuellen System automatisch generieren, aber auch importieren.

Gerätezugriff: Der Zugriff auf Wechseldatenträger lässt sich einschränken.

Wichtig ist dabei die Möglichkeit, den Zugriff nur lesend zuzulassen, um beispielsweise Daten importieren zu können. Allerdings besteht in diesem Fall schon wieder ein Risiko der Installation nicht zugelassener Anwendungen, das sich allerdings über die normalen Berechtigungen und Rollen auf Systemebene beschränken lässt.

In jedem Fall überlegenswert ist die Beschränkung der AutoPlay-Funktionalität, mit der definierte Start-Anwendungen beim Laden eines Wechseldatenträgers direkt gestartet werden.

USB-Geräte sichern

Immer wichtiger wird auch die Einschränkung von USB-Verbindungen, da diese Geräte einfach verfügbar und ausgesprochen leistungsfähig sind – und damit auch der einfachste Weg, um Daten aus Netzwerken zu entfernen.

USB-Sicherheit: Die Verwendung von USB-Geräten lässt sich gezielt einschränken.

Die obere Ebene enthält die allgemeinen Einstellungen. Bei diesen wird gesteuert, ob überhaupt mit USB-Geräten gearbeitet werden darf und falls ja, mit welchen Gruppen von Geräten.

Wichtiger sind aber die erweiterten Einstellungen. Mit diesen kann man genau steuern, welche spezifischen Geräte mit definierten IDs in welcher Form genutzt werden dürfen.

Die Beschränkung von USB-Geräten stellt aber immer einen Spagat dar zwischen der flexiblen Verwendung von Peripherie-Geräten auf der einen Seite und der Einschränkung der Sicherheit auf der anderen.

Daten verschlüsseln

Wer noch mehr Sicherheit benötigt, kann Dateien auch gezielt verschlüsseln lassen. Die Schlüssel werden automatisch verwaltet und verteilt. Sie stehen jeweils den Benutzern zur Verfügung, die Richtlinien der gleichen Gruppe verwenden. Für den Austausch von Informationen mit anderen Benutzern kann das Einschränkungen bedeuten.

Verschlüsselung: Daten lassen sich gezielt und automatisch verschlüsseln.

Bei den Einstellungen zur Datenverschlüsselung kann man zunächst entscheiden, ob die Funktion überhaupt zum Einsatz kommen soll. Für die lokalen Festplatten lassen sich spezielle Ordner für verschlüsselte Informationen definieren. Außerdem kann man die Verschlüsselung auch für Wechseldatenträger erzwingen.

Bei diesen Einstellungen wird allerdings auch deutlich, dass Benutzer die Sicherheitseinstellungen umgehen können, indem sie Daten in anderen, nicht verschlüsselten Ordnern speichern. Ein Ersatz für Konzepte wie den Windows Vista BitLocker oder Verschlüsselungsfunktionen auf Festplattenebene sind diese Mechanismen daher nicht. Dafür sind sie durch das automatisierte Schlüsselmanagement relativ einfach nutzbar.

VPNs erzwingen

Um nicht nur die Rechner, sondern auch die Kommunikation zu einem zentralen Netzwerk zu schützen, kann man die Verwendung eines VPNs (Virtual Private Networks) erzwingen. Diese Funktion lässt sich pro Standort aktivieren.

VPN: Die Verwendung von VPNs kann zwingend vorgeschrieben werden.

Für jedes konfigurierte VPN muss man ein oder mehrere Server angeben. Bei den erweiterten Einstellungen lassen sich anschließend Details zu der Verbindung konfigurieren. Dazu gehören auch Ausnahmen, um eine Verbindung beispielsweise bei nicht verfügbaren VPN-Servern umgehen zu können.

Außerdem lassen sich auch die Adapter konfigurieren, die für den Aufbau von VPN-Verbindungen verwendet werden sollen.

Warnmeldungen

Um schnell über kritische Stati der verwalteten Systeme informiert zu werden, kann man Warnmeldungen konfigurieren. Im Register Warnmeldungen findet sich eine Reihe vordefinierter Meldungen, die man anpassen kann. Für jede Meldung gibt es Konfigurationseinstellungen, mit denen der Schwellwert konfiguriert wird. Außerdem müssen die Meldungen dort explizit aktiviert werden.

Warnungen: Warnmeldungen für kritische Ereignisse auf Clients lassen sich gezielt definieren.

Dabei ist zu beachten, dass die Standard-Schwellwerte in vielen Situationen zu niedrig sind. Es macht beispielsweise wenig Sinn, eine Warnung für das Kopieren von Daten auf Datenträger bereits bei 1.000.000 Bytes, also knapp einem MByte, auszulösen, weil Dateien heute im Durchschnitt einfach sehr viel größer sind.

Statusberichte

Neben den Warnmeldungen, die im laufenden Betrieb beim Auftreten eines Fehlers angezeigt werden, gibt es auch eine Reihe von Berichten, die genutzt werden können.

Berichte: ZESM unterstützt eine ganze Reihe vorkonfiguriert Berichte.

Es gibt für jeden Bereich, für den sich Sicherheitseinstellungen konfigurieren lassen, auch Berichte, die zusammenfassende Informationen anzeigen. Bedauerlicherweise sind die Standardberichte aber nicht erweiterbar. Eine Berichtsfunktionalität, mit der man eigene Berichte erstellen kann, wäre wünschenswert.

Bei Bedarf kann man aber auf die SQL Server-Datenbank direkt zugreifen und sich dort Berichte erzeugen lassen, beispielsweise mit den Reporting-Werkzeugen des Microsoft SQL Server selbst oder mit speziellen Reporting-Tools von Drittanbietern.

Der Client

ZESM arbeitet verteilt. Daher braucht es neben den Server-Komponenten und den zentralen Richtlinien, die ausführlich beschrieben wurden, auch eine Client-Komponente. Diese muss auf allen zu verwaltenden Clients installiert werden, wobei die Distribution mit Softwareverteilungslösungen wie beispielsweise ZENworks Configuration Management erfolgen kann.

Der Client lässt sich über Richtlinieneinstellungen automatisch aktualisieren, sobald er einmal installiert ist. Vom Client aus können Pakete mit aktuellen Statusinformationen automatisch generiert werden. Außerdem gibt es Funktionen für das Management von Schlüsseln und für die Prüfung auf aktualisierte Richtlinien.

Nach der Installation sind allerdings in den meisten Situationen keine manuellen Eingriffe der Benutzer erforderlich. Es empfiehlt sich aber, die in den Richtlinien konfigurierbaren Warnmeldungen zu nutzen, falls es zu funktionalen Einschränkungen für die Benutzer kommen kann.

ZESM bietet noch etliche weitere Funktionen wie eine gezielte Steuerung der Verschlüsselung zwischen den verschiedenen Komponenten und Management-Dienste für die verschiedenen Module. Damit lassen sich flexibel Sicherheitskonzepte aufbauen, wobei immer noch ergänzende Lösungen wie Antiviren-Tools und NAC erforderlich sind, um eine optimale Sicherheit zu erreichen.

Einen großen Wermutstropfen gibt es aber: Windows Vista wird vom aktuellen Release des ZESM zumindest offiziell noch nicht unterstützt. Es dürfte aber nicht mehr allzu lange dauern, bis es von Novell ein Update gibt, das dann auch mit Windows Vista eingesetzt werden kann.