Pakete für das Absichern von Client-Rechnern:
Test: Drei Client-Security-Suites unter der Lupe

von Bernd Reder (bernd.reder@networkcomputing.de), Dirk Jarzyna

Share
11.03.2009

Client-Security-Suites vereinen die wichtigsten Sicherheitsfunktionen für Client-Computer in einem Programmpaket. Leider implementieren nicht alle Hersteller notwendige Features so sorgfältig, wie das eigentlich sein sollte. Das zeigt unser Test von drei Sicherheitspaketen.

(Fortsetzung des Artikels von Seite 4)

Network Computing testete Client-Security-Suites der drei großen Hersteller F-Secure [1], McAfee [2] und Symantec [3]. Diesen drei Produkten ist gemeinsam, dass sie auf kleine bis mittelgroße Unternehmen zielen. Das Produkt von McAfee fiel in dieser Zusammenstellung etwas aus dem Rahmen, da es sich um einen gehosteten Security-Service handelt.

Beim Test von Anwendungs-Suites stellt Network Computing immer wieder fest, dass von den etwa fünf Hauptfunktionen, die eine Suite erfüllen soll, drei oder vier tatsächlich gut implementiert sind, während eine oder zwei nur rudimentär vorhanden und nur eingeschränkt brauchbar sind.

Zudem fällt immer wieder auf, dass einige Hersteller Schwierigkeiten damit haben, bei all der Funktionsvielfalt der einzelnen Komponenten die zentralen grafischen Schnittstellen übersichtlich und intuitiv bedienbar zu gestalten. Client-Security-Suites bilden da leider keine Ausnahme. So konnte von den drei getesteten Suites in diesem Punkt nur eine auf ganzer Linie überzeugen.

F-Secure Client Security 8

F-Secure hat es geschafft, die Speicherplatzbelegung ihrer Client-Security-Applikation um mehr als ein Drittel zu reduzieren. Auf einem Windows-XP-System nutzt das Programm in der Grundkonfiguration im Ruhezustand rund 36,5 MByte.


F-Secure-Client-Security zeichnet durch
umfangreiche Ausstattung, hohe
Performance und minimalen Memory-
Footprint aus. Im Test erlaubte sich das
Produkt keine Schnitzer.

Das kommt nicht nur der Leistung des Programms, sondern der Gesamt-Systemperformance zugute. Trotz der Integration neuer Features sind Installation und Konfiguration des für Unternehmens-Desktop- und -Laptop-Computer vorgesehenen Programms einfach geblieben.

Die Setup-Routine installiert Antivirus- und Anti-Spyware-Schutz 8.30, den Internet-Schutzschild 6.20, E-Mail-Scanning 6.00, Web-Datenverkehrs-Scanning 2.01 und Systemsteuerung 2.09.

Installation dauert zwei bis drei Minuten

Leider ist nach der Installation ein Neustart des Computers erforderlich. Das ist aber auch der einzige Haken, der während des ersten, kurzen Tests des Produkts zu bemerken war.

Die gesamte Installation ist in zwei bis drei Minuten erledigt. Zu konfigurieren gibt es eigentlich nichts, denn das Programm arbeitet bereits mit den Voreinstellungen ausgezeichnet.

Direkt nach dem ersten Start prüft es umgehend, ob Updates vorhanden sind und installiert diese bei Bedarf sofort nach. Und dabei bleibt es auch: Das Programm aktualisiert sich selbstständig, falls der Administrator beziehungsweise Benutzer an der Voreinstellung nichts ändert.

Cloud-Technik schützt vor neuartigen Bedrohungen

Neu in Version 8 ist F-Secure-Deepguard 2.0. Dank dieser neuen »In-the-Cloud«-Technik sind F-Secure-Benutzer innerhalb von 60 Sekunden nach der ersten Bestätigung einer neuen Bedrohung geschützt. Eine Neighbour-Cast genannte Technik ermöglicht eine skalierbare und schnelle Peer-to-Peer-Datenbank-Update-Distribution im LAN.

Client-Security 8 bietet vollständigen IPv6-Schutz und unterstützt auch die 64-Bit-Version von Windows Vista. Eine zentrale Verwaltung mehrerer Installationen ist mit dem enthaltenen F-Secure-Policy-Manager möglich.

Gefällig ist die wenig aufdringliche Art des Programms. Aktualisierungen führt es automatisch im Hintergrund durch, ohne den Benutzer mit Meldungen zu belästigen oder ihn zu irgendwelchen Bestätigungen aufzufordern. Sollte sich ein Benutzer doch einmal durch Downloads und Aktualisierungen gestört fühlen, kann er diese Aktionen jederzeit anhalten.

Keine nervigen Meldungen und Anfragen

F-Secure-Client-Security hält sich generell mit Meldungen zurück und beschränkt sich auf das Notwendigste. Das Programm wird beispielsweise dann aktiv, wenn ein Programm versucht, aufs Internet zuzugreifen.

In diesem Fall zeigt F-Secure dem Benutzer ein Fenster mit einer kurzen Beschreibung des Programms und einem Hinweis darauf, ob das Programm beziehungsweise das Vorhaben des Programms als gefährlich anzusehen sind. Außerdem macht die Software dem User einen Vorschlag, was dieser unternehmen sollte. Der Nutzer kann sich daraufhin weitere Details anzeigen lassen, das Programm zulassen oder dessen Aktivitäten unterbinden.

Selbstverständlich lässt sich auch dafür sorgen, dass die Anwendungssteuerung von F-Secure dieses Programm zukünftig erkennt und nicht mehr meldet. Eine interessante Eigenschaft ist, dass F-Secure Änderungen an Anwendungen bemerkt und auf die beschriebene Art meldet. So musste während des Tests beispielsweise Firefox nach einem Update erneut zugelassen werden.

Auch von den Firewall- und Intrusion-Prevention-Aktivitäten des Programms bekommt der Benutzer so gut wie nichts mit. F-Secure filtert zuverlässig im Hintergrund, blockiert unerwünschte Verbindungsversuche aus dem Internet und protokolliert alles gewissenhaft.

Regelbasierte Firewall

Die Firewall arbeitet auf Basis von Regeln. Diese kann der Benutzer auf einfache Weise selbst definieren, falls ihm die bereits automatisch eingestellten Rules nicht reichen sollten.

Eine solche Regel beschreibt beispielsweise, welche Dienste für welche Adressen in welcher Richtung zuzulassen oder abzulehnen sind. Der Benutzer definiert, ob das Programm bei einer Regelverletzung einen Alarm auslöst, die Regelverletzung protokolliert oder zusätzlich ein Pop-up-Fenster öffnet.

F-Secure hat bereits viele Dienste beziehungsweise Protokolle vorgegeben; weitere lassen sich recht einfach hinzufügen.

Keine Probleme beim Check von E-Mails

F-Secure-Client-Security prüft ein- und ausgehende E-Mails auf Viren und Spyware. Dieses Scanning funktioniert auf Anhieb auch mit Outlook und Outlook-Express. Wir erwähnen dies hier explizit, weil es in der Vergangenheit genau damit beim Einsatz mancher Antiviren-Programme Probleme gab, beispielsweise bei Produkten von Symantec,.

Das Programm führt ein Echtzeit-Scanning für alle oder definierte Dateien durch und scannt den kompletten Computer in regelmäßigen Abständen. Der Benutzer kann diese Checks mithilfe eines Zeitplans steuern. Darüber überprüft die Software Web-Datenverkehr und entfernt daraus Viren.

Die grafische Schnittstelle des Programms besitzt ein angenehmes Design und ist einfach zu bedienen. Allerdings kommt es nach der Auswahl einer Aktion gelegentlich zu kurzen Verzögerungen, beispielsweise wenn der Benutzer die erweiterten Einstellungen öffnet.

Auf die Funktionalität des Produkts wirkt sich das nicht aus, aber einige Benutzer könnte es stören. Die von F-Secure-Client-Security gelieferten Berichte und Statistiken sind adäquat.

Symantec Endpoint Protection 11.0

Symantec-Endpoint-Protection, kurz SEP, vereinigt Symantec-Antivirus, Anti-Spyware, eine Firewall, Intrusion-Prevention sowie Geräte- und Anwendungskontrolle in einem Paket.

Wer das Produkt aus dem Internet herunterlädt, statt es auf Datenträgern zu kaufen, muss etwas mehr Zeit einplanen als bei Angeboten anderer Hersteller. Denn mit 390 MByte ist die Download-Datei relativ groß.


Symantec-Endpoint-Protection ist ein
leistungsfähiges Client-Security-Produkt,
das jedoch Schwächen bei der
Benutzerführung offenbarte.

SEP benötigt nur einen Agenten für alle Symantec-Endpoint-Protection-Komponenten und die (optionale) Symantec-Network-Access-Control. Zur Verwaltung dient eine zentrale Konsole.

Beim Setup muss sich der Administrator entscheiden, ob er die Endpoint-Protection-Clients unter zentraler Verwaltung oder als eigenständige Systeme ausführen möchte.

Im ersten Fall hat er zunächst die Endpoint-Protection-Manager-Software auf einem Server zu installieren und anschließend die Endpoint-Protection-Client-Software zu verteilen. Im zweiten Fall installiert er die Endpoint-Protection-Client-Software direkt von CD oder aus der Download-Datei heraus auf den Client-Computern.

Einfache Installation von Management- und Client-Software

Der Endpoint-Protection-Manager benötigt zwingend Microsoft-Internet-Information-Services. Der Funktionsumfang dieser Management-Software entspricht in etwa derjenigen des F-Secure-Policy-Managers. Die Installation sowohl der Management- als auch der Client-Software ist leicht und nicht besonders zeitaufwändig.

Auf den ersten Blick scheint gleich nach der Installation alles zu laufen. Aber der Administrator sollte genauer hinsehen, denn anders als beim F-Secure-Produkt sind bei SEP nicht alle Funktionen standardmäßig eingeschaltet.

Bei einigen Funktionen mag das sinnvoll sein, beispielsweise beim Netbios-Schutz. Denn Netbios wird ja nicht in jedem Netz ausgeführt.

Fragwürdig ist es jedoch, dem Administrator die Aufgabe aufzubürden, Funktionen wie die Netzwerkanwendungsüberwachung oder das Anti-MAC-Spoofing erst zu suchen und dann manuell zu aktivieren. F-Secure hat das besser gelöst: Dort arbeitet beispielsweise die Anwendungsüberwachung von vornherein.

Zwei Wege zur Autorisierung von Anwendungen

Da gerade von Anwendungsüberwachung die Rede ist: SEP führt eine Liste der Anwendungen, für die es den Internetzugriff entweder zulässt oder verweigert. Diese Liste ist nach der Installation noch leer. Das heißt, der Administrator oder Benutzer muss von Hand Anwendungen hinzufügen.

Das kann er auf zwei Arten tun: Bei der ersten lässt sich der Benutzer die Netzwerkaktivitäten seit Installation der Client-Software anzeigen. SEP führt darin unter anderem alle seitdem gestarteten Anwendungen auf. Durch einen Klick mit der rechten Maustaste wählt der Benutzer dann Zulassen oder Blockieren.

Im zweiten Fall kann fragt der Client beim Anwender nach, ob eine Applikation ausgeführt werden darf. Diesen Weg halten wir für eleganter.

Dummerweise sah es im Test aber so aus, als würde SEP in der Voreinstellung alle Anwendungen zulassen. Egal, welche Anwendung wir ausführten, SEP erlaubte ihr, auf das Internet zuzugreifen.

Die Anwendungssteuerung funktioniert nur, wenn der erste Weg eingeschlagen wurde. Denn neben »Zulassen« und »Blockieren« kann der Benutzer dort auch noch »Nachfragen« auswählen. Sobald er dies getan hat, fragt der Client beim Start der Anwendung tatsächlich nach – nur ist es dann eigentlich nicht mehr nötig. Denn warum sollte sich ein Benutzer später noch einmal fragen lassen, wenn er die Sache gleich entscheiden kann?

Kein Alarm bei Port-Scans

Weitere Ungereimtheiten: Es gelang nicht, SEP bei erkannten Port-Scans zu veranlassen, Alarm auszulösen oder diese Aktivitäten wenigstens zu protokollieren. Und das, obwohl unter »Intrusion Prevention« explizit die Erkennung von Port-Scans aktiviert war.

Möglicherweise erkennt SEP tatsächlich, ob Netzwerk-Ports gescannt werden. Wenn der Anwender aber nichts davon erfährt, ist das wenig hilfreich.

Die Firewall arbeitet, wie die von F-Secure, mit Regeln und ist vergleichbar zuverlässig und gut konfigurierbar. Allerdings ist nicht auf Anhieb erkennbar, an welcher Stelle der Benutzer Regeln konfigurieren oder modifizieren kann.

Wenig intuitive Benutzeroberfläche

Unter dem Menüpunkt »Einstellungen ändern« findet der Benutzer zwar beim »Netzwerkbedrohungsschutz« auch eine Registerkarte »Firewall«. Diese erlaubt aber nur recht grobe Einstellungen, beispielsweise das Einschalten des Netbios-Schutzes oder des Anti-MAC-Spoofings. Zu den eigentlich an dieser Stelle erwarteten Firewall-Regeln gelangt der Benutzer, indem er im Menü »Status« auf die »Optionen«-Schaltfläche der Netzwerkbedrohungen klickt.

Das hat mit einer intuitiven Benutzung wenig zu tun. Dies gilt übrigens für die gesamte grafische Schnittstelle. Diese ist optisch zwar gelungen, verlangt für eine geschmeidige Navigation aber eine gewisse Routine.

Das Viren-Scanning, darunter die Prüfung ein- und ausgehender Mails, funktionierte auch in Verbindung mit Outlook einwandfrei. SEP scheint sich bei Mailanhängen allerdings mehr Zeit zu lassen als F-Secures Produkt.

SEP protokolliert fleißig und viel. Eine nette Funktion verbirgt sich im Datenverkehrsprotokoll der Firewall: Der Benutzer kann sich direkt aus dem Protokoll heraus mit einem Mausklick die Reverse-Route zu einer bestimmten IP-Adresse anzeigen lassen und mit einem weiteren Mausklick eine Whois-Abfrage starten, um den Besitzer dieser IP-Adresse zu ermitteln.

Um automatische Updates kümmert sich das den meisten Administratoren bekannte »Symantec Live Update«. Daran gibt es nichts auszusetzen.

McAfee Total Protection for Small Business

Für Unternehmen, die zwischen zehn und hundert Computer schützen müssen, empfiehlt McAfee ihr Produkt »McAfee Total Protection for Small Business«. Das Besondere daran ist, dass es ein gehosteter Sicherheitsdienst ist.


Der McAfee-Total-Protection-Dienst
bremst den Computer aus, die Firewall
ist kaum konfigurierbar und der E-Mail-
Schutzdienst für viele kleinere
Unternehmen nicht nutzbar.

Das hat Vor- und Nachteile. Vorteilhaft ist, dass sich die einmal installierte Software stets automatisch über das Internet aktualisiert. Der Administrator erhält eine einzelne, auf Webtechnik basierende Management-Konsole, die er überall dort aufrufen kann, wo ein Internetzugriff via Internet-Explorer möglich ist.

Diese Konsole, das McAfee-Security-Center, zentralisiert die Installation, Konfiguration, Berichterstellung, Updates und Gruppenverwaltung. Für die Installation notwendiger Software auf den Clients sendet der Administrator den Benutzern lediglich einen Link.

Um sich an das Total-Protection-Schutzsystem anzuschließen, müssen die Benutzer lediglich einmal auf diesen Link zu klicken. Das startet den Download der Software.

Schneller Internet-Zugang erforderlich

Damit zu einem der Nachteile dieser Lösung: Jeder zu schützende Computer sollte über eine schnelle Internetverbindung verfügen. Ein weiterer Nachteil ist die Abhängigkeit von McAfees Servern, auf denen die Software, die Konsole, Berichte et cetera gespeichert sind.

McAfee-Total-Protection bietet in der Standardversion Antiviren- und Antispyware-Schutz, einen grundlegenden E-Mail-Schutz für Outlook-Anwendungen, Desktop-Firewall-Funktionen, automatische Sicherheits-Updates und das McAfee-Security-Center als zentralisierte Verwaltungskonsole für die Berichterstellung und Konfigurationssteuerung.

Die integrierte Web-Security warnt Benutzer, wenn diese im Begriff sind, gefährliche Web-Sites zu besuchen. Der McAfee-Site-Advisor testet zudem Web-Sites und liefert den Usern während des Browsens Sicherheitseinstufungen der besuchten Internet-Seiten.

Die Advanced-Version des Total-Protection-Dienstes fügt diesen Funktionen einen erweiterten Schutz vor Viren und Spam für beliebige E-Mail-Anwendungen hinzu. Das Produkt unterstützt alle Windows-Desktop- und -Server-Betriebssysteme ab Windows 2000.

Programme arbeiten langsam

Die Idee hinter dem McAfee-Total-Protection-Dienst ist gut, aber im Test zeigte sich, dass das Produkt noch einiger Verbesserungen bedarf.

Die Installation über den übermittelten Link funktionierte problemlos, jedoch dauerte es eine Weile, bis alle Software-Komponenten an ihrem Platz waren. Nach dem Neustart des PCs legte Total-Protection gleich los, indem es Programme abfing, die aufs Internet zugreifen wollten. Im Test waren das beispielsweise der Orbit-Downloader und der Spamfighter-Agent.

In der Voreinstellung bleibt es in einer solchen Situation dem Benutzer überlassen, den Zugriffswunsch der jeweiligen Applikation zuzulassen oder abzulehnen. So haben wir uns das vorgestellt (und nicht wie bei Symantecs Endpoint-Protection). Weniger unserer Vorstellung entsprach allerdings die Geschwindigkeit des Rechners nach Installation und Aktivierung des Produkts: Programme starteten nur noch sehr träge.

Die Funktion des Abfangens von Anwendungen, die aufs Internet zugreifen wollen, führt McAfee unter der Überschrift »Desktop-Firewall« auf. Andere Hersteller reden dabei von Anwendungskontrolle oder -überwachung, was die Sache treffender beschreibt.

Rudimentäre Desktop-Firewall integriert

Das Produkt besitzt aber auch eine »echte« Firewall-Funktion und blockiert unerwünschte Zugriffe aus dem Internet auf den geschützten Computer. Ob die Firewall ordnungsgemäß funktioniert und welche Ereignisse sie blockiert, erfährt der Benutzer beziehungsweise Administrator aber erst, nachdem er in der Security-Center-Konsole eine Richtlinie aktiviert, die eine Protokollierung dieser Ereignisse veranlasst.

Darüber hinaus bietet die Desktop-Firewall nur relativ wenige Konfigurationsmöglichkeiten: Firewall ein- oder ausschalten, Schutzmodus einstellen (nur protokollieren, ohne zu blockieren, den Benutzer fragen oder alle verdächtigen Netzwerkaktivitäten blockieren), den Verbindungstyp auswählen (nicht vertrauenswürdiges Netzwerk, vertrauenswürdiges Netzwerk, benutzerdefiniert) und zulässige Internetanwendungen eintragen.

Im Security-Center kann der Administrator einstellen, ob er selbst oder der jeweilige Benutzer die Firewall-Einstellungen konfigurieren darf. Alles in allem handelt es sich um eine Desktop-Firewall, die nicht gerade Begeisterung auslöst. Die Konkurrenz bietet in dieser Hinsicht mehr.

E-Mail-Schutz nur eingeschränkt verfügbar

Eine der ersten Tätigkeiten, die der Administrator im Security-Center durchführen muss, ist die Aktivierung des E-Mail-Sicherheitsdienstes beziehungsweise -Virenschutzes. Dazu muss der Administrator einige Informationen eingeben, darunter den Domänennamen und den Namen oder die IP-Adresse des Mailservers.

Damit zu einem gravierenden Problem: Um den E-Mail-Schutzdienst tatsächlich nutzen zu können, muss das Unternehmen über eine eigene Mail-Domäne mit statischer IP-Adresse und einen internen oder von einem Internet-Provider gehosteten Mailserver verfügen. Damit ist das Produkt für viele kleinere Unternehmen nicht geeignet.

Fazit

Für den umfassenden Schutz von Client-Computern eignen sich F-Secure-Client-Security und Symantec-Endpoint-Protection gleichermaßen. Allerdings verlangt die Suite von Symantec einen Administrator oder Benutzer, der stärker Hand anlegt als beim F-Secure-Produkt.

Die Selektion der Anwendungen für die Anwendungsüberwachung ist in SEP etwas eigenwillig implementiert, und ob das Produkt nun Port-Scans erkennt oder nicht, blieb im Verborgenen – im Testnetzwerk jedenfalls zeigte es weder eine Nachricht noch einen Protokolleintrag.

Die Navigation in der eigentlich recht gut aussehenden grafischen Schnittstelle gestaltete sich schwerfällig und war kaum intuitiv.

Da sich F-Secure solche Schnitzer nicht erlaubte, setzte sich deren Client-Security-Produkt an die Spitze des Testfeldes und gewann die Auszeichnung »Referenz«. F-Secure-Client-Security war auch das Produkt, das – subjektiv betrachtet – die Performance der Clients am wenigsten beeinträchtigte.

McAfee-Total-Protection for Small Business vermochte in der getesteten Version insgesamt nicht zu überzeugen. Der geladene Dienst bremst den Computer spürbar aus, die Firewall ist kaum konfigurierbar und der E-Mail-Schutzdienst für viele kleinere Unternehmen nicht nutzbar. Eine gute Anwendungsüberwachung, Web-Security-Funktionen und der McAfee-Site-Advisor können diese Schwachpunkte nicht aufwiegen.

[1] http://www.f-secure.de/
[2] http://www.mcafee.de/
[3] http://www.symantec.de/

Verwandte Artikel