Landesk Security Suite 8 im Test
Wachsames Auge auf Server und PCs
Mit der Security Suite 8 bietet der Client-Verwaltungsspezialist Landesk nun auch eine eigenständige Lösung für das Sicherheitsmanagement in Client-/Server-Netzwerken an. Neben dem bereits von der Management-Suite 8 bekannten Patch-Tool umfasst die Software Werkzeuge für das Aufspüren von Spyware und Sicherheitslücken. Zudem blockiert sie netzwerkweit unerwünschte Anwendungen und IP-Verbindungen.
Server und Clients in einem Unternehmensnetzwerk vor Bedrohungen aus dem Internet wirksam zu
schützen, erfordert umfangreiche Sicherheitsmechanismen. Der auf die Verwaltung von
Client-/Server-Netzwerken spezialisierte Hersteller Landesk hat deshalb bereits vor einiger Zeit
eine Patch-Verteilung in die Landesk-Management-Suite integriert. Dieses Tool war allerdings nicht
einzeln, sondern nur als Add-on erhältlich. Nun hat der Hersteller die Management-Suite 8.5 um
zusätzliche Funktionen erweitert, um Spyware und Sicherheitslücken aufspüren sowie Anwendungen und
IP-Verbindungen blockieren zu können. Die Security Suite ist nicht nur als Add-on zur Gesamtlösung
erhältlich, sondern auch als Stand-alone-Produkt. Für das erste Jahr kostet sie 59 Dollar pro
Knoten, in den Folgejahren jeweils 29 Dollar. Die Management-Suite 8.5 kostet 89 Dollar je
Knoten.
Management-Suite als Basis
Die Landesk Security Suite verwaltet Rechner, die mit den Betriebssystemen Windows NT, 2000,
2003, Linux, Solaris oder Macintosh laufen. Beim Setup wird die Management-Suite 8.5 automatisch
mitinstalliert. Die Inventarisierungs- und Benachrichtigungsfunktionen der Management-Suite stehen
so auch in der Security Suite zur Verfügung. Um die Management-Suite in vollem Umfang zu nutzen,
ist lediglich eine Lizenzfreischaltung erforderlich. Installiert ein Anwender die Management-Suite
ohne Security Suite, dann scannt das Security- und Patch-Management-Tool nur nach Landesk-Updates
und individuell konfigurierten Parametern.
Für den LANline-Test wurde die Landesk Security Suite 8 auf einem Windows-2003-Server
installiert. Das Setup prüft zunächst, ob die von der Suite benötigten Softwarekomponenten auf dem
System vorhanden sind. Bei dem Testserver fehlte der Internet-Information-Server, den wir deshalb
vor der eigentlichen Installation aufspielten. Falls auf dem Rechner noch kein SQL-Server vorhanden
ist, erstellt das Setup eine MSDE-Datenbank (MS SQL-Server Desktop Engine). Diese Option kam im
Test zum Einsatz. Die anschließende Installation der Security Suite war nach wenigen Minuten
abgeschlossen.
Vertraute grafische Verwaltungsoberfläche
Die grafische Verwaltungsoberfläche der Security Suite gleicht der der Management-Suite. Das
wichtigste Tool ist der Sicherheits- und Patch-Manager. Er scannt die verwalteten Geräte auf
Sicherheitsrisiken und sucht unter anderem nach Spyware, bekannten Schwachstellen,
Konfigurationsfehlern und verbotenen Anwendungen. Zudem umfasst die Suite einen
Connection-Control-Manager, der den Zugriff auf Geräte über Netzwerk- und andere I/O-Verbindungen
überwacht und einschränken kann. Die bisher in die Management-Suite integrierte Patch-Verwaltung
benötigte einen eigenen Agent auf den Clients. Mit der neuen Version 8.5 hat Landesk den Security-
und Patch-Scanner in den Standardagenten der Management-Suite integriert. In Windows-Umgebungen
lässt sich der Agent von zentraler Stelle aus über das Netzwerk auf die Zielsysteme verteilen. Für
den LANline-Test haben wir den Agent auf einen Windows-2003-Server und eine Windows-XP-Workstation
aufgespielt.
Zentralisierte Patch-Verwaltung
Der Patch-Manager überprüft, ob auf den verwalteteten Rechnern die aktuellsten Patches für die
Betriebssysteme und Anwendungen installiert sind. Dabei legt der Systemverwalter für die jeweilige
Betriebssystem- oder Gerätekategorie den gewünschten Patch-Zustand fest. Die Security-Suite sorgt
dann für die Nachinstallation fehlender Patches – entweder sofort oder manuell durch den
Administrator.
Landesk betreibt ein eigenes Testzentrum, in dem der Anbieter neue Hotfixes und Patches für
Betriebssysteme und Anwendungen testet und freigibt. Wenn die Security-Suite auf einem Rechner das
Fehlen von Patches feststellt, lädt sie diese von der Landesk-Webseite oder der Site des
Herstellers herunter, falls sie auf dem Landesk-Server noch nicht vorhanden sind. Hat der
Administrator die Auto-Fix-Funktion aktiviert, installiert ein Werkzeug die Patches sofort
automatisch. Dieses Tool kann auch ein Rollback von installierten Hotfixes durchführen.
Bei dem anschließend durchgeführten Scan eines Windows-2003-Servers erkannte der Security-
und-Patch-Manager, dass fünf Microsoft-Patches fehlten, darunter drei kritische. Die
Autofix-Funktion war zu diesem Zeitpunkt noch nicht aktiviert. Deshalb wurde ein
Aktualisierungs-Job konfiguriert, der diese Patches zehn Minuten später automatisch
installierte.
Zur Verbreitung der Patches dienen die Verteilmechanismen der Management-Suite. Der Hersteller
hat zwei Techniken entwickelt, um die Softwareverteilung zu beschleunigen und die Netzwerkbelastung
zu reduzieren.
Verteilmechanismen
Mit Targeted Multicast wählt ein Landesk-Server automatisch in jedem IP-Subnetz einen Rechner
aus, der als Zwischenverteiler fungiert. Die zu installierende Software wird dadurch nur einmal an
die Verteilstationen übertragen und von dort aus weiterverteilt. Die Dateien kopiert Landesk dabei
auf Block-Level, sodass sich die Übertragung nach einer Unterbrechung nahtlos fortsetzen lässt. Die
Peer-Download-Technik reduziert ebenfalls die Belastung des Netzwerks: Rechner, die offline waren,
fragen zunächst bei ihren Nachbarn nach, ob es zwischenzeitlich Software-Updates gegeben hat. Falls
ja, erhalten sie die neuen Pakete direkt vom Nachbarrechner.
Neue Sicherheitsfunktionen
Als Ergänzung zum Patch-Management hat Landesk in die Security Suite 8 weitere nützliche
Funktionen integriert; sie sollen dem Administrator helfen, das Netz vor Missbrauch zu schützen.
Der Erkennung von Sicherheitsrisiken dienen Beschreibungsdateien, die alle wichtigen Informationen
zur jeweiligen Bedrohung enthalten. Der Administrator kann zudem eigene Bedrohungsszenarien
definieren. Dabei legt er auch fest, ob der Scan lediglich nach Sicherheitslücken sucht oder ob die
Suite festgestellte Mängel auch gleich repariert. Die Beschreibungsdateien lassen sich im
XML-Format ex- und importieren. Damit sie immer auf dem aktuellen Stand sind, aktualisiert die
Lösung diese Dateien wie auch die Patch-Informationen bei jedem Security-Scan über das Internet.
Wenn die Suite erstmals zum Einsatz kommt, sollte der Administrator zunächst den Download-Knopf
angeklicken, um von der Landesk-Website die benötigten Patches und Beschreibungsdateien zu
laden.
Auf dem Testsystem richteten wir ein Scan aller sicherheitsrelevanten Bedrohungen mit
automatischer Korrektur ein. Dabei stellt der Administrator ein, ob der Scan für den Anwender
sichtbar ist oder unbemerkt im Hintergrund abläuft. Zudem sind verschiedene Reboot-Optionen
wählbar. Ein Zeitplaner führt diesen Task in den festgelegten Intervallen durch. Auf den
verwalteten Rechnern lässt sich der Sicherheits-Scanner über das Landesk-Icon auch manuell starten.
Die Security Suite listete nach dem Scan des Testsystems die festgestellten Sicherheitslücken und
fehlenden Patches akribisch auf. Für den Sicherheits- und Patch-Manager stehen zahlreiche
Berichtsvorlagen zur Verfügung. Zu jedem Bedrohungsszenario bietet die Software mehrere
Standard-Reports, die per Mausklick abrufbar sind.
Spyware aufspüren und beseitigen
Um Spyware zu entdecken, überprüft der Security-Scan alle Dateien inklusive Registrierung,
Systemdateien, Prozessen und Cookies. Der Administrator kann dabei vorgeben, dass gefundene
Spyware-Tools automatisch zu entfernen sind. Beim Testsystem erkannte die Software das
Spyware-Programm Alexa, das sich unbemerkt auf den Server geschlichen hatte. Es erfasst unter
anderem die besuchten Webseiten und die aktuelle IP-Adresse des Rechners. Die Reparaturfunktion der
Security-Suite beseitigte es. Auch für Bedrohungen durch andere Sicherheitslücken lassen sich
Reparaturmaßnahmen definieren und per Zeitplan regelmäßig ausführen. Bei Linux-, Unix- und
Macintosh-Rechnern muss der Administrator die Reparaturarbeiten auf dem betroffenen System manuell
durchführen.
Ausführung unerwünschter Anwendungen verhindern
Die Landesk Security Suite kann die Ausführung unerwünschter Anwendungen, die in einer
Negativliste enthalten sind, blockieren. Um diese Funktion zu testen, fügten wir den Media-Player
zur Liste verweigerter Anwendungen hinzu. Wie zu erwarten, ließ sich der Media-Player auf dem
Testserver anschließend nicht mehr starten. Mit dem Connection Control Manager legt der
Administrator fest, dass ein Rechner Verbindungen nur zu bestimmten IP-Adressen aufbauen darf.
Zudem kontrolliert das Tool die Verwendung von I/O-Schnittstellen wie Ports, Modems, Festplatten
und Funkverbindungen. Im Konfigurationsmenü stellt der Systemverwalter ein, für welche Geräte und
Schnittstellen er den Zugriff einschränken will. Im Test erfüllte das CD-ROM-Laufwerk diese Rolle:
Sobald diese Einstellung für den Windows-Testserver aktiviert war, zeigte der Arbeitsplatz das
CD-Laufwerk nicht mehr an. Aus der Datenträgerverwaltung von Windows war es ebenfalls verschwunden.
So war es auch nicht möglich, auf das Laufwerk über die administrative $-Freigabe zuzugreifen.
Die mit der Landesk Security Suite mögliche zentralisierte Patch-Verwaltung sowie die
automatisierbaren Scans auf Sicherheitslücken helfen Administratoren dabei, die Sicherheit von
Servern und PCs auf dem aktuellen Stand zu halten. Zudem erkennt das Tool Spyware und entfernt sie
von betroffenen Systemen. Setzt ein Unternehmen zudem zuverlässige Virenschutz- und
Firewall-Lösungen ein, sind die wichtigsten Vorkehrungen für den umfassenden Schutz der Servern und
Clients getroffen.
Info: Landesk Tel.: 0800/3352633 Web: www.landesk.com
Lesen Sie mehr zum Thema
