Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Business Security Test 2019 (August - November)

Datum November 2019
Sprache Deutsch
Letzte Revision 15. Dezember 2019

Mit Real-World-Schutz, Malware-Schutz, Leistung und verbesserten Real-World-Tests & Produktbewertungen


Datum der Veröffentlichung 2019-12-16
Datum der Überarbeitung 2019-12-15
Prüfzeitraum August - November 2019
Anzahl der Testfälle 844 Real-World
1.278 Schutz vor Malware
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Dies ist der zweite Halbjahresbericht unserer Business-Haupttestreihe 2019, der die Ergebnisse des Business-Real-World-Protection-Tests (August-November), des Business-Malware-Protection-Tests (September), des Business-Performance-Tests (Oktober) sowie die Produktbewertungen enthält.

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Sie müssen sich entscheiden, ob Sie ein Paket für ein lokales Netzwerk mit Server-Installation oder eine vollständig cloudbasierte Lösung wählen. Beides hat seine Vor- und Nachteile, und vieles hängt von Ihrer bestehenden Infrastruktur und Ihren Arbeitsmethoden ab. Es gibt keinen Grund, warum ein Ansatz von Natur aus besser ist als ein anderer.

Am größeren Ende des Marktes bieten CrowdStrike, Endgame und FireEye allesamt außergewöhnlich leistungsfähige Werkzeuge. Wie gut sie zu Ihrem Unternehmen passen, sowohl wie es heute ist als auch wie Sie es in den nächsten fünf Jahren ausbauen wollen, muss sorgfältig geplant werden. Sowohl in der Planungs- als auch in der Einführungsphase sind externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungs- und Betreuungsaufwand. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Paketen völlig unterscheidet. Endgame bietet gleichwertige High-End-Fähigkeiten für große Unternehmen.

McAfee bietet eine Konsole mit umfangreichen Funktionen, die neben dem Endpunktschutz auch zur Verwaltung vieler anderer Produkte verwendet werden kann. Dies bedeutet, dass eine gewisse Schulung und Einarbeitung erforderlich ist, um das Beste daraus zu machen, aber die investierte Zeit wird sich lohnen. Daher wird sie am besten in Unternehmen eingesetzt, die über die entsprechenden IT-Ressourcen verfügen, um die Vorteile der Konsole voll auszuschöpfen.

Microsoft's Intune deckt den Bereich vom KMU-Markt bis zum größten globalen Unternehmen ab, wie man es erwarten würde, da Microsoft es intern einsetzt. Es verfügt über eine übersichtliche, leicht verständliche Benutzeroberfläche und lässt sich hervorragend in Active Directory und die gesamte Palette der richtliniengesteuerten AD-Lösungen integrieren. Für viele Kunden, die sich auf die Microsoft-Unternehmensplattform konzentrieren, bietet diese Lösung als Teil einer vollständig verwalteten Gesamtlösung erhebliche Vorteile.

Cisco bietet ein Produkt mit einer Fülle von Funktionen. Die gut gestaltete Konsole macht es leicht, das Wesentliche zu finden, auch wenn es etwas Einarbeitungszeit braucht, um das Produkt optimal zu nutzen.

SparkCognition präsentiert anspruchsvolle Funktionen in einer übersichtlichen, leicht zu navigierenden Konsole.

Kaspersky und Sophos bieten leistungsstarke, einfach zu verwaltende Produkte, die sich für KMUs und größere Unternehmen gleichermaßen eignen.

Für kleinere Unternehmen bieten Avast, Bitdefender, ESET, Fortinet, K7, Panda und Seqrite starke und kohärente Lösungen. Sie alle sind auch für größere Unternehmen geeignet und ermöglichen so ein Wachstum des Unternehmens.

Die Einfachheit und Übersichtlichkeit von VIPRE macht es zu einer sehr guten Wahl für kleinere Unternehmen mit begrenzten IT-Ressourcen, obwohl es viel Raum für Wachstum lässt.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 1903 64-bit getestet:

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und so haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren. Etwa die Hälfte der Hersteller liefert ihre Produkte mit optimalen Standardeinstellungen aus, die sofort einsatzbereit sind, und wir haben daher keine Einstellungen geändert. Die Cloud- und PUA-Erkennung war bei allen Produkten aktiviert. Wir beziehen derzeit keine PUA in unsere Malware-Tests ein.

Nachfolgend haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Änderungen) aufgeführt:

Bitdefender: "HyperDetect", "Device Sensor" und "EDR-Sensor" deaktiviert.

Cisco: alles aktiviert.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive".

Endgame: Aktivierte Software- und Hardware-Schutzoptionen: alle aktiviert; Geschützte Anwendungen: "Browser", "Microsoft Suite" (einschließlich Fltdr.exe und EQNEDT32.exe), "Java" und "Adobe". Malware (beim Ausführen und beim Schreiben): On – Prevent mode; Process Injection: “On – Prevent mode”; Optionen: alle aktiviert; Schwellenwert "Aggressiv". Schädliche Verhaltensweisen: alle aktiviert; Credential Dumping: aktiviert; Ransomware: deaktiviert. Beachten Sie, dass die Einstellungen in der neueren Version umbenannt/neu geordnet wurden.

FireEye: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

Fortinet: Real-Time protection, FortiSandbox, Webfilter und Application Firewall (für die Verwendung von Detect & Block Exploits) aktiviert.

McAfee: "Email attachment scanning" aktiviert; "Real Protect" aktiviert und auf Empfindlichkeit "high" eingestellt, "read/write scan of Shadow Copy Volumes" deaktiviert, "Access Protection" und "Exploit Prevention" deaktiviert.

Microsoft: Cloud-Schutzniveau auf "High" eingestellt.

Sophos: "Web Control" und "Protect against data loss" deaktiviert.

SparkCognition: alle "Policy Settings" und alle "Attack Vectors" Einstellungen aktiviert.

Trend Micro: Verhaltenskontrolle: "Monitor new encountered programs downloaded through web" aktiviert; "Certified Safe Software Service for Behaviour monitoring" aktiviert; "Smart Protection Service Proxy" aktiviert; "Use HTTPS for scan queries" aktiviert; Sicherheitsstufe der Web-Reputation auf "Medium" gesetzt; "Send queries to Smart Protection Servers" deaktiviert; "Block pages containing malicious script" aktiviert; Echtzeit-Scan eingestellt auf "All scannable files", "Scan compressed files to Maximum layers 6"; "CVE exploit scanning for downloaded files" aktiviert; "ActiveAction for probable virus/malware" auf Quarantäne eingestellt; Bereinigungstyp auf "Advanced cleanup" eingestellt und "Run cleanup when probable virus/malware is detected" aktiviert; "Block processes commonly associated with ransomware" aktiviert; "Anti-Exploit Protection" aktiviert; alle "Suspicious Connection Settings" aktiviert und auf Blockieren eingestellt.

Avast, ESET, K7, Kaspersky, Panda, Seqrite, Symantec, VIPRE: Standardeinstellungen.

Informationen über zusätzliche Drittanbieter-Engines/Signaturen, die von einigen der Produkte verwendet werden: Cisco, FireEye, Seqrite und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen).

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen, dazu, dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen und damit ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte unter Beweis stellen.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware bereits auf der Festplatte vorhanden ist oder z. B. über das lokale Netzwerk oder ein Wechseldatenträger in das Testsystem gelangt, anstatt direkt aus dem Internet.

Zusätzlich zu jedem der Schutztests wird ein False Positives Test durchgeführt, um zu prüfen, ob ein Produkt legitime Software fälschlicherweise als schädlich identifiziert.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Dieser zweite Halbjahresbericht 2019 enthält auch die Ergebnisse des neuen Enhanced Real-World Test (Schutz vor fortgeschrittenen persistenten Bedrohungen), der die Produkte hinsichtlich ihrer Fähigkeit bewertet, anspruchsvolle Angriffe wie dateilose Bedrohungen und Exploits zu blockieren. Vor allem Unternehmen sind häufig Ziel solcher Angriffe. Diese Art von Audit wurde häufig von Analysten und CISOs gefordert. Folglich wird sie ein wertvoller Indikator dafür sein, ob die Sicherheitsprodukte für Unternehmen ihren Ansprüchen gerecht werden.

Im Jahr 2020 wird der erweiterte Praxistest ein separater Test sein (nicht Teil der Haupttestreihe), der einen eigenen Bericht enthält.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (August-November)

Die nachstehenden Ergebnisse basieren auf einem Testsatz, der aus 844 Testfällen (wie bösartigen URLs) besteht, die von Anfang August 2019 bis Ende November 2019 getestet wurden.

  Blockiert User Dependent Kompromittiert SCHUTZQUOTE
[Blocked % + (User Dependent %)/2]*
False-Positives (FPs)
Panda
844 100% 15
Bitdefender 844 100% 25
Microsoft 837 7 99.6% 45
Kaspersky, Sophos
840 4 99.5% 0
ESET 840 4 99.5% 1
VIPRE 840 4 99.5% 4
K7 836 8 99.1% 3
Seqrite 828 14 2 98.9% 16
Avast 832 12 98.6% 1
Fortinet 832 12 98.6% 4
McAfee 832 12 98.6%
5
SparkCognition 828 16 98.1%
1
Endgame 821 23 97.3%
26
Cisco 820 24 97.2%
1
CrowdStrike 814 30 96.4% 6
FireEye 772 72 91.5% 0

Malware Protection Test (September)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

False Positives (False Alarm) Test mit gängiger Business-Software

Es wurde auch ein Fehlalarmtest mit gängiger Unternehmenssoftware durchgeführt. Wie erwartet, hatten alle getesteten Produkte Null Fehlalarme bei gängiger Unternehmenssoftware.

  Malware-Schutzrate Fehlalarme bei gängiger Business-Software
Avast. SparkCognition, Trend Micro 100% 0
Microsoft, Panda, Seqrite 99.9% 0
Bitdefender, Endgame, K7, McAfee, Sophos 99.8% 0
Symantec, VIPRE 99.7% 0
Cisco 99.5% 0
Fortinet, Kaspersky 99.4% 0
ESET 99.3% 0
FireEye* 96.2% 0
Crowdstrike 96.0% 0

*Während des Malware-Protection-Tests wurde ein FireEye-Produktfehler entdeckt, der dazu führte, dass einige Erkennungen nicht durchgeführt wurden. Der Fehler wurde jetzt behoben.

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen Fehlalarmtest mit Non-Business Software und ungewöhnlichen Dateien durchgeführt. Dies dient vor allem als zusätzliche Information, insbesondere für Unternehmen, die häufig ungewöhnliche Non-Business Software oder selbst entwickelte Software verwenden. Die Ergebnisse haben keinen Einfluss auf das Gesamtergebnis des Tests oder auf die Auszeichnung als zugelassenes Geschäftsprodukt. Die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben.

FP-Rate
Anzahl der FPs auf
Non-Business-Software
Sehr niedrig
0 - 5
Low
6 - 15
Mittel/Durchschnitt
16 - 25
High
26 - 50
Sehr hoch
51 - 100
Auffallend hoch
> 100
  FP-Rate mit Non-Business-Software
Avast, Bitdefender, Cisco, ESET, Fortinet, K7, Kaspersky, Seqrite, Symantec Sehr niedrig
CrowdStrike, FireEye, McAfee, Microsoft, Panda, Sophos Low
Endgame, Trend Micro, VIPRE Medium
SparkCognition High
Sehr hoch
Auffallend hoch

Leistungstest (Oktober)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformance im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter Kopieren von Dateien Archivieren /
Wiederherstellen
Installieren /
Deinstallieren von
Anwendungen
Starten von Anwendungen Download von Dateien Browsen von Websites
Erster Durchlauf Nachfolgender Durchlauf Erster Durchlauf Nachfolgender Durchlauf
Avast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Bitdefender perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
Cisco perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast
CrowdStrike perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Endgame perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
ESET perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
FireEye perf-level-mediocre perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Fortinet* perf-level-mediocre perf-level-veryfast perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast
K7 perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Kaspersky perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
McAfee perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Microsoft perf-level-fast perf-level-fast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Panda perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Seqrite perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
Sophos perf-level-fast perf-level-fast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
SparkCognition perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
VIPRE perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast

*Fortinet hat uns mitgeteilt, dass Fehler in der getesteten Version zu einer erhöhten Systembelastung geführt haben. Die Möglichkeit, einige neu eingeführte Einstellungen in Version 6.2.0 zu ändern (die eine erhöhte Auswirkung auf die Performance haben), wird im nächsten Build (6.2.2) hinzugefügt, ebenso wie die Fehlerbehebungen.

Key Langsam perf-level-mediocre Mittelmäßig perf-level-fast Schnell perf-level-veryfast Sehr schnell

PC Mark Tests

Um einen branchenweit anerkannten Performance Test durchzuführen, haben wir die PC Mark 10 Professional Edition Testsuite verwendet. Nutzer, die den PC Mark 10 Benchmark verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie im Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i7-8550U Rechner mit 8GB RAM und SSD-Laufwerk

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

AV-C ScorePC Mark ScoreImpact Score
1.ESET9099.30.7
2.Avast9097.92.1
3.K78899.32.7
4.Kaspersky8898.13.9
5.Endgame8599.06.0
6.McAfee8598.56.5
7.Panda8597.87.2
8.CrowdStrike8597.57.5
9.Bitdefender8398.98.1
10.Seqrite8398.68.4
11.VIPRE8098.811.2
12.Microsoft8098.612.4
13.SparkCognition8097.013.0
14.Sophos7098.421.6
15.FireEye7098.321.7
16.Cisco7097.222.8
17.Fortinet6597.627.4

Erweiterter Praxistest (August-November)

Nachfolgend finden Sie die Ergebnisse für die 15 in diesem Test verwendeten Angriffe. Bitte beachten Sie, dass die Ergebnisse nur für die verwendeten Produktversionen und Einstellungen gelten.

  Test-Szenarien
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 FPs Ergebnis
Avast N 14
Bitdefender N 15
CrowdStrike N 12
ESET N 15
FireEye N 12
Kaspersky N 15
Sophos N 9

 

Key    
Threat erkannt, keine C2-Session, System geschützt 1 Punkt
Kein Alert angezeigt, aber keine C2-Session aufgebaut, System geschützt 1 Punkt
Threat nicht erkannt, C2-Session aufgebaut 0 Punkte

 

Unserer Meinung nach sollte das Ziel eines jeden AV/EPP/EDR-Systems darin bestehen, APTs oder andere Malware so früh wie möglich zu erkennen und zu verhindern. Mit anderen Worten: Wenn die APT vor, bei oder kurz nach der Ausführung erkannt wird und somit die Öffnung eines Befehls- und Kontrollkanals verhindert wird, besteht keine Notwendigkeit, Aktivitäten nach der Ausnutzung zu verhindern. Ein guter Einbrecheralarm sollte ausgelöst werden, wenn jemand in Ihr Haus einbricht, und nicht erst, wenn er anfängt, Dinge zu stehlen.

Ein Produkt, das bestimmte Funktionen (z. B. E-Mail-Anhänge, Skripte) in unserem FP-Test blockiert, würde nicht zertifiziert werden. Keines der getesteten Produkte zeigte jedoch ein solches Verhalten in den Fehlalarm-/Funktionsblockierungsszenarien, die in diesem speziellen Test verwendet wurden.

Wenn ein benutzerabhängiger Alarm angezeigt würde, würden wir einen halben Punkt vergeben. In diesem speziellen Test gab es jedoch keine solchen Fälle.

Beobachtungen zu Unternehmensprodukten

In diesem Abschnitt berichten wir über alle zusätzlichen Informationen, die für die Leser von Interesse sind. Ein Beispiel könnte ein Programm mit EDR-Funktionen sein, das eine Art von Erkennung meldet, ohne sie tatsächlich zu blockieren. In diesem Test gab es zwar keine derartigen Fälle, aber andere interessante Punkte werden im Folgenden erwähnt.

Avast: In drei Fällen gab es keinen Alarm, aber auch keine stabile C2-Sitzung.

Bitdefender: Fast alle Erkennungen erfolgten beim Zugriff, d.h. bevor die Bedrohung ausgeführt wurde.

CrowdStrike: Alle Erkennungen erfolgten während der Ausführung der Bedrohungen. Die Fälle #4, #5 und #11 zeigten keine Warnung auf dem Client (obwohl sie blockiert wurden), wurden aber in der Web-Konsole gemeldet.

ESET, Kaspersky: Alle Bedrohungen wurden blockiert: die meisten während der Ausführung und einige wenige, bevor die Bedrohung ausgeführt wurde (On-Access).

FireEye: In einem Fall gab es keinen Alarm, aber auch keine stabile C2-Sitzung.

Sophos: Die meisten Bedrohungen wurden während der Ausführung blockiert.

Interessierte Leser können den vollständigen Bericht hier finden: https://www.av-comparatives.org/tests/enhanced-real-world-test-2019-enterprise/

Produkt Reviews

Auf den folgenden Seiten finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Rezensionen keine Testergebnisse berücksichtigen. Wir bitten die Leser daher, sich sowohl die Rezension als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir betrachten zunächst die Art des Produkts, d.h. ob die Konsole cloud- oder serverbasiert ist, und welche Art von Geräten/Betriebssystemen geschützt und verwaltet werden können.

Der nächste Abschnitt befasst sich mit der Installation und Bereitstellung des Produkts. Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen). Der nächste Schritt - der für alle Produkte gilt - besteht darin, den Verwaltungsagenten und die Endpoint-Protection-Software auf den Client-PCs zu installieren.

Die Überprüfung geht dann zur laufenden Nutzung über, d.h. zu den alltäglichen Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen.

Schließlich werfen wir einen Blick auf die auf dem Client installierte Endpunktschutz-Software. Hier prüfen wir, ob der Endpunktbenutzer Aufgaben wie Scans und Updates selbst durchführen kann oder ob solche Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden.

Avast Business Antivirus Pro Plus

Fazit

Avast Business Antivirus Pro Plus ist ein starkes Cloud-basiertes Produkt, das sich an kleine bis mittlere Unternehmen richtet. Die Benutzeroberfläche ist klar und übersichtlich, und die Standardeinstellungen sind für kleinere Unternehmen sinnvoll. Ein nicht technisch versierter Benutzer sollte keine Probleme haben, das Programm zu installieren und die Ereignisse zu verfolgen. Es ist wahrscheinlich eher für kleinere Unternehmen gedacht. Dennoch verfügt es über Gruppierungs- und Profilfunktionen zum Schutz größerer Bestände. Uns gefiel die unkomplizierte Art der Plattform.

Über das Produkt

Avast Business Antivirus Pro Plus verwendet eine Cloud-basierte Konsole zur Verwaltung der Endpunkt-Software. Das Produkt schützt Windows-Clients, Windows-Server und macOS-Geräte. Zu den Funktionen für Windows-Clients gehören Anti-Spam, Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Für Windows Server werden Exchange- und SharePoint-Sicherheit angeboten. Eine Patch-Verwaltungsfunktion ist für alle Windows-Computer enthalten. Für die automatische Installation von Patches ist jedoch eine Avast Patch Management-Lizenz erforderlich.

Start und Betrieb

Es muss keine Serverkomponente installiert werden, da die Anwendung über eine cloudbasierte Konsole ausgeführt wird. Sie erstellen das Konto, wenden die entsprechende Lizenzierung an und fügen dann Geräte hinzu. Die Bereitstellung kann per Remote-Push, durch Herunterladen eines Installationspakets oder durch Senden eines Download-Links per E-Mail erfolgen. Das Installationsprogramm wird in zwei Größen angeboten, die beide sehr einfach zu bedienen sind. Es gibt eine Light-Version mit einer Größe von etwa 6 MB, bei der es sich lediglich um einen Downloader handelt. Die Vollversion ist rund 300 MB groß und kann offline ausgeführt werden. Die Light-Version ist ideal für kleinere Netzwerke, die Vollversion ist besser für größere Installationen geeignet, um den Internetverkehr zu minimieren. Der Assistent bietet die Möglichkeit, vorhandene AV-Produkte der Konkurrenz zu entfernen.

Alltägliches Management

Auf der Serverkonsole gibt es auf der linken Seite eine Reihe von Hauptmenüs. Diese sind: Dashboard, Notifications, Devices, Tasks, Patches, Device Settings, Reports, Subscriptions. Help & Support und General Settings befinden sich am unteren Rand.

Die Standardseite Dashboard gibt einen umfassenden und klaren Überblick über die Installation und ihren Verlauf. Sie sehen, wie viele Lizenzen Sie bereitgestellt haben, wie viele noch auf ihre Aktivierung warten, wann der letzte Scan durchgeführt wurde und wie viele Bedrohungen gefunden wurden. Die Statusanzeige am oberen Rand der Seite warnt vor Problemen, z. B. vor veralteten Computern oder Malware-Funden. Für den nicht fachkundigen Administrator ist dies ein einfacher und beruhigender Überblick. Es gibt auch Zusammenfassungen der Situationen bei der Patch-Verwaltung, der Betriebssystemverteilung und der Erkennung von Bedrohungen.

Notifications fasst alle wichtigen Ereignisinformationen an einem Ort zusammen. Sie können ein Malware-Ereignis auch von hier aus in die Virus Chest (Quarantäne) auf dem betroffenen Computer übertragen. Der Bereich Notifications Settings ist umfassend. Hier können Sie festlegen, wie Benachrichtigungen in einer Vielzahl von Szenarien gehandhabt werden sollen. Besonders gut gefallen hat uns die Option "“if not read then send email notification" (Wenn nicht gelesen, dann E-Mail-Benachrichtigung senden), die für jede Einstellung auf "instantly" (sofort), "batched end of week" (gebündelt am Ende der Woche) oder "never" (nie) eingestellt werden kann. Damit haben Sie die Kontrolle darüber, wie Sie bei einem Ereignis benachrichtigt werden. So können Sie sicherstellen, dass Sie nicht mit Informationen überschwemmt werden, die nicht unmittelbar relevant sind.

Avast Business Antivirus Pro Plus

Die Registerkarte Devices (Screenshot oben) zeigt die Konfiguration jedes Geräts, die Lizenzierung und die Zeit zudem das Gerät zuletzt gesehen wurde. Sie können Geräte in Gruppen zusammenfassen und Einstellungen und Richtlinien über diese Gruppe anwenden.

Tasks ist ein leistungsfähiger Planerbereich. Hier kann der Administrator Aufgaben erstellen, um bestimmte Ereignisse auszuführen. Führen Sie zum Beispiel jeden Tag um 14 Uhr einen kurzen Scan durch. Sie können damit auch eine kurze Nachricht an Ihre Geräte senden, das Gerät aktualisieren und es auch herunterfahren. Es handelt sich um einen einfachen Aufgabenmanager, der jedoch nützliche Funktionen für kleine Büros und Organisationen bietet.

Zum Zeitpunkt der Erstellung dieses Artikels (September 2019) war Patches als "neue" Funktion in der Menüspalte der Konsole markiert. Sie überwacht den Status der installierten Anwendungen und weist darauf hin, wenn neuere Versionen verfügbar sind. Dabei werden sowohl Anwendungen von Microsoft als auch von Drittanbietern berücksichtigt. Die Statusanzeige am oberen Rand des Dashboards warnt, wenn auf einem Gerät kritische oder unkritische Patches fehlen. Über einen Link gelangen Sie auf die Seite Patches, auf der Sie sehen, welche Geräte betroffen sind. Wenn Sie auf ein Gerät klicken, wird eine Liste der fehlenden Patches angezeigt, zusammen mit praktischen Download-Links.

Mit Device Settings können Sie eine Einstellungsvorlage erstellen, die dann auf eine Gruppe von Geräten angewendet wird. Hier haben Sie Zugriff auf alle Kontrollfunktionen für das Gerät. So können Sie festlegen, dass die Dateiprüfung eingeschaltet ist, der Antispam-Dienst läuft, die Firewall aktiviert sein muss usw. Über diese Vorlagen können Sie Richtlinien auf Geräte anwenden.

Die Registerkarte Reports bietet Zugang zu allen Statistiken über das System und seine Benutzer. Sie können sich hier einen Überblick verschaffen und es ist ein besserer und umfassenderer Überblick als die Dashboard-Ansicht. Unser einziger Kritikpunkt ist, dass wir keine Möglichkeit gefunden haben, ein PDF dieser Seite per E-Mail zu versenden oder in einer Datei zu speichern, was ein nützlicher Tagesbericht gewesen wäre.

Wie zu erwarten, zeigt Subscriptions die Produktlizenzen an, die Sie derzeit besitzen, und wie viele davon Sie genutzt haben.

Help & Support bietet Links zu verschiedenen Support- und Dokumentationsartikeln, darunter ein Benutzerhandbuch für die Konsole. Diese ist übersichtlich, umfassend und gut erschlossen, auch wenn es an Screenshots mangelt.

Unter General Settings können Sie die Systemzeitzone ändern. Sie können auch einen lokalen Server für Bereitstellungen und Updates erstellen und die Datenbank einer anderen Avast-Konsole importieren.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware bietet eine breite Palette von Funktionen, ähnlich wie eine normale Desktop-Lösung für Endbenutzer. Die Benutzer können Scans und Updates durchführen. Die zentralen Richtlinien bestimmen, was sie ändern oder anpassen können. Standardmäßig können Windows-Standardbenutzerkonten alle Schutzfunktionen deaktivieren. Admins können dies verhindern, indem sie die Kennwortschutzfunktion in der Konsole aktivieren.

Avast Business Antivirus Pro Plus

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine anderen Maßnahmen ergreifen, als die Warnung zu schließen.

Avast Business Antivirus Pro Plus

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Bitdefender Endpoint Security Elite

Fazit

An Bitdefender Endpoint Security Elite gibt es viel zu mögen. Das Design der Verwaltungskonsole ist sehr übersichtlich. Relevante Aufgaben sind in Gruppen zusammengefasst, und der Einführungsassistent macht die Installation einfach. Besonders gut gefallen hat uns die Dashboard-Funktionalität. Die Funktion Policies gibt einen klaren Überblick über die Regeln, die auf die Endpunkte angewendet werden.

Über das Produkt

Bitdefender Endpoint Security Elite verwendet eine Cloud-basierte Konsole zur Verwaltung der Endpunktschutz-Software. Es werden Desktops und Server mit Windows, macOS und Linux unterstützt.

Start und Betrieb

Die Einrichtung der Haupt-Cloud-Konsole ist sehr einfach: Erstellen Sie ein Cloud-Konto, melden Sie sich an und schon haben Sie eine Arbeitsumgebung.

Das erste, was Sie bei der Anmeldung sehen, ist der Essential Steps wizard. Es handelt sich dabei um einen vierstufigen Prozess, der Sie dabei unterstützt, so schnell wie möglich mit der Arbeit zu beginnen. Zu jedem Feld gibt es ausführliche Erklärungen, um zu erläutern, was der jeweilige Schritt bewirkt.

Schritt 1 ist Install Protection, mit dem Sie den Schutz direkt auf dem Computer installieren können, an dem Sie gerade arbeiten. Sie können auch einen Installationslink per E-Mail an entfernte Benutzer senden. Alternativ können Sie die Remote Installation-Funktion verwenden, um den Endpunkt-Client aus der Ferne auf Netzwerkcomputern zu installieren. Um dies zu ermöglichen, müssen Sie einen "Relay"-Computer installieren, der als bridgehead fungiert.

Schritt 2 besteht darin, die Security Policies zu erstellen, die in Ihrem Unternehmen verwendet werden sollen. Damit können Sie für jedes Zielgerät oder jede Gruppe von Geräten einen vorgefertigten Satz von Betriebsanforderungen definieren.

Schritt 3 besteht darin, entsprechende Benutzerkonten zu erstellen. Dies sind administrative Accounts für die Verwaltung der Plattform. Die Rollen können hier >Company Administrator, Network Administrator, Reporter und Custom sein. Ein Reporter könnte z.B. eine Helpdesk-Rolle sein und kann Berichte über Aktivitäten einsehen, ohne Benutzer oder die Unternehmensstruktur ändern zu können.

Schritt 4 ist Reporting, wo Ihnen gezeigt wird, wie Sie geeignete Berichte über die Aktivitäten in Ihrem Netzwerk erstellen können.

Wenn Sie diese Schritte durchlaufen haben, sollten Sie über ein eingerichtetes und verwaltetes Netzwerk verfügen.

Alltägliches Management

Die Konsole ist besonders klar und übersichtlich. Dies trägt dazu bei, dass sich das Produkt sowohl für kleinere Unternehmen mit begrenzter IT-Unterstützung als auch für größere Organisationen eignet. Die Hauptkonsole hat eine Menüstruktur auf der linken Seite. Die Elemente sind Dashboard, Incidents, Network, Risk Management, Policies, Reports, Quarantine, Accounts und Sandbox Analyzer.

Das Dashboard gibt Ihnen einen sofortigen Überblick über die Installation und die Leistung der Clients. Jedes Panel wird hier als "Portlet" bezeichnet und kann angeklickt werden, um weitere Informationen zu erhalten. Insgesamt gibt es drei Seiten mit Portlets. Besonders gut gefallen hat uns, dass die Portlets nach Belieben neu angeordnet, ergänzt und gestaltet werden können. Dank der umfangreichen Funktionen des Dashboard können Sie schnell und einfach die gewünschten Informationen finden.

Incidents ermöglicht es Ihnen, die im Netzwerk entdeckten Bedrohungen zu überprüfen und zu untersuchen.

Bitdefender Endpoint Security Elite

Die Hauptseite Network zeigt Ihnen alle verwalteten Geräte in Ihrem Netzwerk, geordnet in Gruppen, die Sie selbst erstellen können (Screenshot oben). Auf der Unterseite Packages können Sie Verteilungspakete konfigurieren. Auf der Unterseite Tasks können Sie Aufgaben wie Scans und Updates erstellen, die einmal oder mehrmals auf bestimmten Geräten oder Gruppen ausgeführt werden können.

Die Seite Risk Management zeigt eine Aufschlüsselung der Risiken nach Faktoren wie Datum, Schweregrad und Anzahl der betroffenen Endpunkte.

Unter Policies definieren Sie die operativen Gruppen innerhalb Ihrer Organisation und wenden dann Richtlinien auf sie an. Hier gibt es eine Fülle von Möglichkeiten. Sie können die Firewall-Funktionalität, den Anwendungsbetrieb und den Gerätezugriff (z. B. das Sperren von USB-Laufwerken) steuern. Sie können auch Regeln für Exchange Server festlegen.

Mit Reports können Sie sich einen Überblick über die Geschehnisse verschaffen, und zwar nach Funktionsgruppen oder nach Aufgabenbereichen.

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit zu wählen, was mit diesen Dateien geschehen soll.

Mit Konten können Sie die Aktivitäten der eingerichteten Benutzerkonten überwachen.

Der Sandbox Analyzer liefert eine Aufschlüsselung der unbekannten Dateien, die von der Sandbox-Funktion analysiert wurden, mit einem Schweregrad von 0 (völlig harmlos) bis 30 (eindeutig bösartig).

Wenn Sie auf das Glockensymbol in der oberen rechten Ecke klicken, öffnet sich das Fenster Notifications. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie ein Element genauer betrachten, erhalten Sie eine klare Beschreibung des Ereignisses. Besonders gut gefallen hat uns die Meldung über einen Malware-Ausbruch. So wurde uns mitgeteilt, dass "mindestens 28% von insgesamt X Endpunkten mit Y-Malware infiziert wurden". So lassen sich einzelne Vorfälle leicht von einer netzwerkweiten Pandemie abgrenzen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware ist eine einfache Anwendung mit einer übersichtlichen Oberfläche. Sie zeigt deutlich an, was vor sich geht, mit Details zu durchgeführten Updates, aktivierten Modulen und Programmen, die durch die Firewall zugelassen sind. Die Benutzeroberfläche ermöglicht es dem Benutzer, nach Updates zu suchen und einen Scan zu starten. Die Benutzer können auch die Einstellungen des Programms einsehen, aber die Standardrichtlinie verhindert, dass Änderungen vorgenommen werden können. Sie können die Sprache der Benutzeroberfläche ganz einfach über das Menü der Systemablage ändern.

Bitdefender Endpoint Security Elite

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

Bitdefender Endpoint Security Elite

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Cisco Advanced Malware Protection for Endpoints

Fazit

Die ersten Schritte mit Cisco Advanced Malware Protection for Endpoints (AMP) sind sehr einfach. Die Konsole erfordert keine Einrichtung, und die Bereitstellung der Client-Software ist schnell und einfach. Klare und farbige Balken- und Doughnut-Diagramme fassen die wichtigsten Informationen zusammen. Was die erweiterte Überwachung und Verwaltung betrifft, so stehen hier zahlreiche Funktionen zur Verfügung. Das Design der Konsole macht die verschiedenen Funktionen leicht zugänglich. Allerdings kann es einige Zeit dauern, bis das volle Potenzial des Produkts ausgeschöpft ist, was von verschiedenen Faktoren wie Größe und Komplexität Ihrer Umgebung, Anwendungsfällen usw. abhängt. Für Unternehmen, die über entsprechendes IT-Personal verfügen, bietet es eine Fülle von Funktionen zur Überwachung, Untersuchung und Abwehr von Sicherheitsbedrohungen.

Über das Produkt

Cisco AMP bietet Malware-Schutz für Windows, macOS, Linux, Android und Apple iOS-Geräte. Diese werden alle über eine cloudbasierte Konsole verwaltet.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie rufen einfach die URL auf und melden sich an. Installateure für Desktop-Systeme finden Sie, indem Sie auf Management\Download Connector klicken. Der Einrichtungsprozess ist sehr schnell und einfach und erfordert nur ein paar Klicks. Wir weisen darauf hin, dass Windows Defender auf Windows-Desktop-Systemen nicht automatisch deaktiviert wird, wenn die Cisco-Endpunktsoftware installiert wird.

Alltägliches Management

Die Cloud-Konsole wird über eine einzige Menüleiste am oberen Rand der Seite gesteuert. Die Seite Dashboard hat eine Reihe von Unterseiten, die über eine Reihe von Registerkarten am oberen Rand zugänglich sind. Analysis, Outbreak Control, Management and Accounts sind Dropdown-Menüs. Jede Seite hat etwa 10 einzelne Punkte.

Die Overview Seite des Dashboards ist wahrscheinlich der beste Ausgangspunkt, um eine Zusammenfassung wichtiger Informationen zu erhalten. Sie ist in der obigen Abbildung zu sehen. Eine Zahlenreihe am oberen Rand zeigt Statistiken für Elemente wie erkannte Bedrohungen, unter Quarantäne gestellte Elemente und gefährdete Geräte. Darunter befindet sich eine Reihe von Feldern mit farbigen Balken- und Doughnut-Diagrammen. Diese zeigen Kompromittierungen, Bedrohungen, Schwachstellen, Dateianalysen, Betriebssystemverteilung, Netzwerkbedrohungen und den Status von AV-Definitionen. So erhalten Sie eine sehr klare Zusammenfassung der wichtigsten Informationen. Sie können ganz bequem auf den Titel eines dieser Felder klicken, um eine Detailseite für dieses Element aufzurufen.

Cisco Advanced Malware Protection for Endpoints

Die oben abgebildete Seite Computers wird über das Menü Management aufgerufen. Auch hier finden Sie oben eine Reihe von Statistiken, z. B. über Computer mit Fehlern oder solche, die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Wenn Sie auf das Pluszeichen eines Geräts klicken, wird ein detailliertes Informationsfenster angezeigt. Hier werden Informationen wie Betriebssystemversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Zugriffs angezeigt. Von hier aus können Sie auch die Isolierung eines Computers starten oder beenden. Die Geräteliste kann über die Registerkarten oben nach Betriebssystemtyp eingegrenzt werden. Sie können die Geräteliste auch nach verschiedenen Details filtern. Dazu gehören bestimmte Betriebssystemversionen, Gruppen oder Definitionsstatus, indem Sie oben auf Filters klicken.

Das Menü Management enthält eine Reihe von weiteren Standardfunktionen. Es gibt Groups, Policies, Exclusions und deployment Optionen. Es gibt auch eine Quick Start Anleitung in Form eines Videos, in dem die Funktionen und die Verwendung des Produkts erklärt werden.

Im Menü Analysis finden Sie Funktionen zur Untersuchung von Angriffen. Events zeigt eine Liste von Bedrohungen an, denen geschützte Geräte ausgesetzt sind. Dazu gehören der Zugriff auf riskante Websites, das Herunterladen bösartiger Dateien und der Versuch, verdächtige Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z. B. die IP-Adresse und der Port der bedrohten Website sowie der Hash der bösartigen Datei. Auf diese Weise können Sie Maßnahmen gegen die Bedrohungen ergreifen, z. B. die Datei oder Website auf eine schwarze Liste setzen und/oder die Isolierung des Endpunkts für die Triage einleiten. Wenn Sie hier mit der rechten Maustaste auf den Hash einer Datei klicken, haben Sie die Option Investigate in Cisco Threat Response.

Dadurch wird eine separate Konsole geöffnet, die zusätzliche Analysedaten liefert. Cisco teilt uns mit, dass dies sowohl Informationen von Sicherheitsdiensten anderer Anbieter als auch von Cisco selbst enthält. Die Seite Detections/Quarantine ist ähnlich. Sie filtert die Informationen jedoch auf tatsächliche Malware-Begegnungen herunter. Auf der Seite File Analysis können Sie die Informationen noch weiter aufschlüsseln. Hier werden die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als bösartig angezeigt. Auf der Seite Threat Root Cause können Sie sehen, welche legitimen Programme an den Malware-Begegnungen beteiligt waren. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen wie chrome.exe oder explorer.exe gestoßen sind. Auf der Seite Prevalence wird die Anzahl der Geräte angezeigt, die von einer bestimmten Bedrohung betroffen sind. Unter Vulnerable Software werden Programme mit bekannten Sicherheitslücken aufgelistet. Es gibt auch CVE-ID und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen. Unter Reports finden Sie einen sehr detaillierten Wochenbericht. Dieser deckt zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen ab. Diese werden mit farbigen Balken- und Doughnut-Diagrammen veranschaulicht.

Das Menü Outbreak Control bietet Optionen zum Blockieren oder Whitelisting bestimmter Anwendungen und IP-Adressen. Außerdem gibt es benutzerdefinierte Erkennungsoptionen. Mit diesen können Sie die Installation jedes Programms blockieren, das Sie als schädlich oder unerwünscht im Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware verfügt über eine sehr einfache grafische Benutzeroberfläche, mit der die Benutzer Scans durchführen und die Protokolle anzeigen können. Diese beiden Funktionen werden in separaten, größeren Fenstern geöffnet. Die Benutzer können auch die Einstellungen einsehen, die jedoch standardmäßig gesperrt sind. Der Benutzer hat die Wahl, welche Scans er durchführen möchte. Die Optionen sind Flash Scan (laufende Prozesse), Custom Scan, Full Scan und Rootkit Scan.

Cisco Advanced Malware Protection for Endpoints

Malware wird beim Kopieren der Datei erkannt und unter Quarantäne gestellt. Standardmäßig erfolgt die Erkennung unbemerkt, d. h. der Benutzer wird nicht benachrichtigt. Die Endpunktsoftware kann jedoch per Richtlinie so konfiguriert werden, dass Benachrichtigungen angezeigt werden.

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

CrowdStrike Endpoint Protection Platform Standard Bundle

Fazit

CrowdStrike Falcon ist eine sehr umfassende Plattform. Sie bietet AV-Dienste innerhalb einer Organisation und eine umfassende Reihe von Erkennungs- und Analysediensten. Wir weisen darauf hin, dass CrowdStrike Falcon als vollständig verwalteter Dienst verfügbar ist. Dies wäre ideal für Unternehmen, die eine Lösung wünschen, bei der sie sich um nichts kümmern müssen. Ansonsten richtet sich die Lösung an größere Unternehmen und ist nicht wirklich ein Produkt, das man einfach einsetzen und vergessen kann. Die grundlegenden täglichen Überwachungs- und Verwaltungsaufgaben sind auch ohne detaillierte Kenntnisse einfach genug. Die Funktionen des Produkts sind jedoch so ausgereift, dass sich die Investition von Lernzeit auszahlen wird. CrowdStrike teilt uns mit, dass Lernmodule online oder über externe Berater verfügbar sind.

Über das Produkt

Crowdstrike Falcon ist eine Plattform zum Schutz von Endgeräten. Mit ihr können Sie proaktiv nach bösartigen Aktivitäten und Angreifern suchen. Die Cloud-basierte Verwaltungskonsole kann von der Cloud aus über jeden modernen Browser ausgeführt werden. Die Endpunktschutzsoftware gibt es für Windows/Linux-Clients und -Server sowie für macOS.

Start und Betrieb

Die Verwaltung erfolgt über eine Cloud-Konsole und erfordert keine Geräte vor Ort. Die Bereitstellung des Client-"Sensors" ist hier recht einfach. Sie beruht auf dem Download des entsprechenden Installationspakets. Die automatische Bereitstellung von Sensoren, z. B. über den Windows System Center Configuration Manager, ist ebenfalls möglich. Auf macOS-Clients müssen Sie nach der Installation einen Terminalbefehl ausführen. Details dazu finden Sie in der Dokumentation. Nach der Installation ist der Falcon Sensor für den Endbenutzer nahezu unsichtbar. Die Docker-Unterstützung ermöglicht die Installation des Falcon-Agenten auf Hosts, auf denen Docker läuft. Der Einsatz in einer Organisation erfordert Planung und geeignete Tools. Dazu gehört auch die Vorbereitung der entsprechenden Richtlinienebenen, die auf die Benutzer anzuwenden sind. Sobald diese Arbeit erledigt ist, sollte die Bereitstellung recht einfach sein.

Alltägliches Management

Die Verwaltungskonsole basiert auf einem Webbrowser, wie Sie es von einer Cloud-basierten Lösung erwarten würden. Für die Anmeldung ist eine Zwei-Faktor-Authentifizierung erforderlich, und es gibt Unterstützung für Single-Sign-On-Lösungen. Auf der linken Seite befindet sich ein Menü mit Schaltflächen. Sie können es erweitern, indem Sie auf das Falken-Symbol oben links klicken. Die wichtigsten Punkte sind Activity, Investigate, Hosts, Configuration, Dashboards, Discover, Intelligence, Users und Support.

Die Activity Seite ist die erste Anlaufstelle. Hier gibt es ein aussagekräftiges Dashboard, das die wichtigsten Punkte im Blick hat. Gute Grafiken zeigen die Entdeckungen nach Szenario in den letzten 30 Tagen. Sie können auf das Untermenü Detections klicken, um weitere Details zu sehen. Sie erhalten eine leistungsfähige Berichtsinfrastruktur mit einer guten Auswahl an Filteroptionen. Sie können auch unter Quarantäne gestellte Dateien und Echtzeit-Antwortsitzungen untersuchen.

Das Menü Investigate führt Sie zu einer umfassenden Suchfunktion. Diese umfasst Hosts, Hashes, Benutzer, IP-Adressen, Domänen und die Suche nach Ereignissen. Damit sollen die jüngsten spezifischen Probleme im gesamten Netzwerk aufgespürt werden. Die Standardeinstellung ist 24 Stunden, mit voreingestellten Filtern für bis zu 60 Tage, und es sind Anpassungsoptionen verfügbar.

CrowdStrike Endpoint Protection Platform Standard Bundle

Die oben abgebildete Seite Hosts listet alle Host-Installationen nach Version und Plattform auf. Sie gibt sofort Aufschluss darüber, welche Hosts offline oder nicht verbunden sind. Von hier aus können Sie zum Menü Sensor Download gehen und Sensorinstallationen für alle Plattformen herunterladen.

Das Menü Configuration ist das Herzstück des richtliniengesteuerten Prozesses in CrowdStrike Falcon. Von hier aus erstellen Sie Richtliniendefinitionen, die alle Aspekte der AV- und Präventionsprozesse der Plattform abdecken. Und dann wenden Sie diesen Prozess auf Gruppen von Installationen an. Sie können hier auch verschiedene Richtlinien für Windows-, Mac- und Linux-Clients erstellen.

Das Menü Dashboards zeigt eine ausführliche Zusammenfassung an. Es gibt detaillierte Grafiken für Entdeckungen nach Szenario und Schweregrad sowie die Top 10 der Benutzer, Hosts und Dateien mit den meisten Entdeckungen. Dies ist nur die Spitze eines sehr tiefen Eisbergs, der eine umfassende Analyse ermöglicht. Sie können nach fast allem suchen und auf diese Weise herausfinden, was während eines Ausbruchs passiert ist. Dazu gehört, wo etwas eingedrungen ist, wie es versucht hat, ausgeführt zu werden, welche Prozesse es verwendet hat und wie es eingedämmt wurde. Das ist nichts für schwache Nerven, aber es bietet ein sehr leistungsfähiges Paket von Prüfungs- und Analysewerkzeugen.

Das Menü Discover ermöglicht es Ihnen, Geräte, Benutzer und Anwendungen im Netzwerk zu erkennen. Sie können nach Anwendungsinventar, Anlagen, Mac-Adressen, Konten und anderem app- und prozessbasierten Inventar suchen. Sie können auch Informationen zu Benutzerkonten überprüfen, einschließlich Domänen-/Lokalkonten und deren Kennwortrücksetzungsstatus.

Das Menü Intelligence bietet einen Überblick über die aktuelle Bedrohungslandschaft. Sie können diese nach verschiedenen Faktoren kategorisieren. Beispiele sind die geografische Herkunft der Bedrohung, die Zielbranche und das Zielland. Sie können sogar die Motivation der Angreifer sehen, z. B. kriminell oder hacktivistisch. Jede Bedrohung wird anhand dieser Parameter detailliert dargestellt. Wenn Sie auf View Profile der Bedrohung klicken, wird eine umfassende Analyse und Erklärung dieser spezifischen Bedrohung angezeigt. Dies ist eine umfassende Ressource, die ungewöhnlich und höchst willkommen ist.

Im Menü User können Sie Profile für Konsolenbenutzer erstellen. Es gibt bereits vorgefertigte Rollen für Endpoint Manager, Event Viewer, Administrator, Analyst, Investigator, Real Time Responder, und andere. Sie können diese Rollen auf bestehende Arbeitsstrukturen abbilden oder bei Bedarf neue Rollen selbst erstellen.

Der CrowdStrike Store ermöglicht es Ihnen, die Fähigkeiten der Falcon-Plattform mit einer Vielzahl von sofort einsatzbereiten Partner-Apps und Add-Ons zu erweitern.

Software zum Schutz von Windows-Endgeräten

In den Standardeinstellungen ist die Windows-Desktop- und Server-Schutzsoftware für den Benutzer unsichtbar. Malware wird bei der Ausführung erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

CrowdStrike Endpoint Protection Platform Standard Bundle
Endgame Protection Platform

Fazit

Endgame richtet sich an größere Unternehmen, die Präventions- und EDR-Funktionen benötigen. Der Einsatz erfordert eine gewisse Planung und Schulung, was bedeutet, dass es sich nicht um eine Lösung handelt, die Sie einfach installieren und dann vergessen können. Für größere Unternehmen, die über die entsprechenden Ressourcen verfügen, bietet Endgame jedoch eine umfassende Palette an Funktionen.

Über das Produkt

Die Endgame-Endpunktschutzplattform bietet Maßnahmen zur Prävention, Erkennung und Reaktion. Sie verfügt über Funktionen zur Bedrohungsjagd, um gezielte Angriffe zu stoppen. Die Verwaltungskonsole kann über die Cloud auf jedem modernen Browser ausgeführt werden. Die Bereitstellung vor Ort ist ebenfalls eine Option. Die Plattform unterstützt Windows-, Linux-, Mac- und Solaris-Clients und -Server.

Start und Betrieb

Wir haben die cloudbasierte Infrastruktur von Endgame verwendet. Dazu müssen Sie lediglich die URL aufrufen und sich bei der Verwaltungskonsole anmelden. Die Bereitstellung des Client-"Sensors" kann auf zwei Arten erfolgen: in-band oder out-of-band.

In-Band ist derzeit nur für Windows möglich. Der Administrator installiert den Sensor direkt auf Windows-Clients oder -Servern über die Endgame-Verwaltungsplattform. Der Administrator kann das Netzwerk nach nicht überwachten Endpunkten durchsuchen und den Sensor nach Eingabe der Anmeldeinformationen für diesen Endpunkt installieren.

Die Out-of-Band-Installation wird für alle Betriebssysteme unterstützt. Bei der Out-of-Band-Installation können Sie den Sensor mit einem Verwaltungstool wie dem Microsoft System Center Configuration Manager bereitstellen. Sie können auch manuell installieren, nachdem Sie ein Installationspaket von der Seite Administration/Sensor heruntergeladen haben.

Das Installationsprogramm wird vom Administrator an einen Endpunkt übertragen und von einem erhöhten Befehlszeilenfenster aus ausgeführt. Dazu müssen Sie eine bestimmte Befehlszeilensyntax verwenden (siehe Dokumentation). Ein Doppelklick auf die .exe-Datei löscht sie einfach.

Alltägliches Management

Die Verwaltungskonsole verfügt über sechs Menüpunkte auf der linken Seite. Das Dashboard gibt einen Überblick über den Status des gesamten Bestands an Client-Geräten und meldet, wie viele Warnungen zu einem bestimmten Zeitpunkt anstehen. Außerdem werden Top-Warnungen, Exploits, Malware und dateilose Warnungen angezeigt, so dass ein umfassender Überblick über das Geschehen möglich ist. Jedes dieser Elemente kann angeklickt werden, um weitere Informationen zu erhalten.

Endgame Protection Platform

Die Seite Endpoints (siehe oben) gibt einen Überblick über alle verwalteten Clients. Sie können sie nach Name, IP-Adresse, Betriebssystemversion, angewandter Richtlinie, Sensorversion, Alarmen und Gruppen auswählen und sortieren. Von hier aus können Sie eine Reihe von Endpunkten auswählen und dann Aufgaben für sie ausführen. Dazu gehören die Anwendung einer neuen Richtlinie, die Erkennung neuer Endpunkte und die Markierung/Deinstallation/Löschung von Endpunkten aus dem Katalog.

Alerts führt Sie in das Herz der Plattform. Hier erhalten Sie eine Liste aktueller Ereignistypen wie die Verhinderung der Ausführung bösartiger Dateien oder die Erkennung von Dateien. Der Katalog der Ereignisse kann nach Ereignistyp, Betriebssystem, IP-Adresse, Host und Datum sortiert und kategorisiert werden. Am wichtigsten ist die Möglichkeit, ein Ereignis einem Benutzer zuzuweisen, um diesen Alarm zu verwalten und sicherzustellen, dass er angemessen behandelt wird.

Wenn Sie auf ein Ereignis klicken, gelangen Sie auf die Seite Alert Details für dieses Ereignis. Hier sehen Sie viele weitere Details über das Ereignis, wo es begann, was es getan hat und die Analyse der Malware, falls zutreffend. Hier können Sie Take Action: Die Optionen umfassen Download Alert, Resolve, Dismiss, Start Investigation, Isolate Host, Download File, Delete File oder Whitelist Items. Von besonderem Interesse ist hier die Funktion Start Investigation, mit der Sie einen Hunt erstellen können. Ein Hunt kann mehrere Informationsquellen abdecken, z.B. Firewall-Regeln, Treiber, Netzwerk, Persistenz, Prozess, Registry, Medien oder Systemkonfiguration. Er ermöglicht es Ihnen, das Netzwerk nach Informationen zu durchsuchen, die für Ihre Anfrage relevant sind.

Eine Schlüsselkomponente ist die Funktion Ask Artemis, die eine Abfrage in natürlicher Sprache ermöglicht. Sie können einfach eine Frage eingeben, und Artemis wird versuchen, sie zu lösen.

Der Menüpunkt Investigations zeigt eine Liste der laufenden Untersuchungen, wer ihnen zugewiesen ist, welche Endpunkte involviert waren und so weiter. Dies ist sehr wichtig, um zu verstehen, wie die aktuelle Analyse voranschreitet.

Reporting bietet einen einfachen Überblick über Alarmtypen und Endpunkte in grafischer Form.

Schließlich bietet der Menüpunkt Administration Zugriff auf die Funktionen Policy Settings, Users, Sensors, Alerts, Whitelist und Platform. Auf der Seite Policy Settings können Sie Richtlinien für Ereignisse wie Privilegieneskalation, Prozessinjektion und Zugriff auf Anmeldeinformationen festlegen. So können Sie beispielsweise festlegen, welche Richtlinie bei der Ausführung von Malware angewendet werden soll. Soll sie erkannt oder verhindert werden? Erlauben Sie die Selbstinjektion oder erkennen Sie die DLL-Injektion und so weiter? Dies ist ein Maß an Macht und Kontrolle, das weit über das normale Antivirus-Programm hinausgeht.

Software zum Schutz von Windows-Endgeräten

Die Schutzsoftware für Windows-Desktops und -Server ist für den Benutzer praktisch unsichtbar. Malware wird beim Kopieren von Dateien erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Sie erscheint in Form eines Banners, das über den Bildschirm läuft. Der Benutzer kann keine anderen Maßnahmen ergreifen, als die Warnung zu schließen.

Endgame Protection Platform
ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Fazit

Das ESET Endpoint Protection Advanced Cloud-Paket ist sehr gut für den KMU-Markt geeignet. Das Produkt ist sehr flexibel und skalierbar gestaltet. Es ist einfach genug für ein Unternehmen mit 25 Benutzern, aber auch anspruchsvoll genug, um mit größeren Netzwerken zurechtzukommen. Die Konsole ist in kürzester Zeit einsatzbereit, und die einfache Menüstruktur macht die Navigation sehr einfach. Wir fanden die Schnittstelle sehr intuitiv und konnten die Client-Software problemlos einrichten und verwalten. Die Möglichkeit, verschiedene Elemente der Konsole individuell anzupassen, ist sehr willkommen. Wir haben auch festgestellt, dass die Konsole sehr schnell reagiert, wenn es um die Anzeige von Warnmeldungen geht. Insgesamt stellt sie eine sehr attraktive Option für kleine und mittlere Unternehmen dar.

Über das Produkt

Wie der Name schon sagt, enthält ESET Endpoint Protection Advanced Cloud eine cloudbasierte Verwaltungskonsole. Es gibt eine Endpunktschutz-Software für Windows-Clients, Windows-Dateiserver und macOS-Clients. Für die Windows- und macOS-Clients haben Sie die Wahl zwischen Endpoint Antivirus und Endpoint Security. Letztere beinhaltet eine Webkontrollfunktion und ESETs Netzwerkschutzmodul. Mit der Lizenz können Sie auch unverwalteten Schutz für Linux- und Android-Geräte installieren.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie öffnen einfach die URL und geben Ihre Anmeldedaten ein. Wenn Sie sich zum ersten Mal anmelden, können Sie den Standort (Land) des zu verwendenden Rechenzentrums auswählen. Es wird auch empfohlen, eine Zwei-Faktor-Authentifizierung einzurichten, aber das ist optional. Als Nächstes werden Sie vom Startassistenten aufgefordert, Installationspakete zu erstellen. Natürlich können Sie diesen Vorgang abbrechen und zu einem späteren Zeitpunkt wieder aufnehmen. Nach Beendigung des Assistenten wird ein Lernprogramm gestartet. Es ist sehr kurz und einfach und zeigt Ihnen die wichtigsten Bereiche der Konsolenoberfläche. Um die Client-Software zu installieren, müssen Sie zunächst Installationspakete auf der Seite Installers erstellen. Dazu müssen Sie zunächst ein Produkt auswählen. Sie können die Optionen PUA-Erkennung und ESET Live Grid-Feedback aktivieren oder deaktivieren oder den Assistenten dazu veranlassen, diese während der Installation abzufragen. Sprache, Gruppe und Richtlinie können ebenfalls festgelegt werden.

Sobald Sie ein Installationsprogramm erstellt haben, können Sie es direkt von der Konsole aus per E-Mail an die Benutzer senden. Alternativ können Sie es herunterladen und über eine Netzwerkfreigabe oder einen Wechseldatenträger verteilen oder das Tool zur Massenverteilung verwenden. Wenn Sie das Installationsprogramm auf einem Zielcomputer ausführen, können Sie im Setup-Assistenten die Sprache der Benutzeroberfläche auswählen. Ansonsten müssen Sie keine Auswahl treffen, und die Installation ist mit ein paar Klicks abgeschlossen. Es ist auch möglich, den ESET Management Agent über ein Microsoft Active Directory- oder System Center Configuration Manager-Skript zu installieren und dann die Endpunktsoftware über die Konsole zu pushen. Diese Auswahl an Bereitstellungsmethoden bedeutet, dass das Produkt sowohl für kleinere als auch für größere Netzwerke gut geeignet ist.

Alltägliches Management

Sie finden alle Hauptfunktionen der Konsole in einer einzigen Menüspalte auf der linken Seite. Die Konsole öffnet sich auf der Seite Dashboard/Computers, die im obigen Screenshot zu sehen ist. Hier erhalten Sie einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen auf einen Blick. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und gefährlichen Computern sehen. Der Zeitpunkt der letzten Verbindung und der letzten Aktualisierung wird ebenfalls angezeigt, ebenso wie die Verteilung der verschiedenen Betriebssysteme. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassbar. Sie können sie verschieben, in der Größe verändern und unter anderem den Diagrammtyp ändern. Weitere Registerkarten auf der Seite Dashboard ermöglichen Ihnen die Vergrößerung von Antiviren- oder Firewall-Bedrohungen, ESET-Anwendungen und Vorfällen.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Die Seite Computers ist oben abgebildet. Sie gibt Ihnen einen Überblick über alle verwalteten Geräte im Netzwerk; Sie können auf den Eintrag eines Computers klicken, um detailliertere Informationen über dieses Gerät zu erhalten. Dazu gehört u. a. eine detaillierte Hardware-Inventarisierung. Sie können die Computer auch in Gruppen organisieren und Aufgaben wie Scans und Updates durchführen. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Computers with outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen.

Die Seite Threats zeigt Informationen über alle Bedrohungen an, die von allen verwalteten Geräten im Netzwerk erkannt werden. Sie können auf den Eintrag einer beliebigen Bedrohung klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus anzuzeigen.

Reports bietet eine breite Palette an vorkonfigurierten Szenarien wie Active Threats und Last Scan. Das Ausführen eines Berichts zu einem dieser Szenarien ist so einfach wie das Klicken auf die entsprechende Kachel auf der Seite. Sie können auch eigene Berichtsszenarien erstellen, wenn Sie möchten. Berichte können geplant werden, und Sie können die Sprache festlegen.

Mit Tasks können Sie eine Vielzahl von Aktionen für einzelne Geräte oder Gruppen durchführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z. B. die Installation von Windows Updates und das Herunterfahren des Computers.

Policies enthält eine praktische Liste vorkonfigurierter Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Sie können auch eigene Richtlinien erstellen, wenn Sie möchten.

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

Auf der Seite Quarantine sehen Sie alle Dateien, die unter Quarantäne gestellt wurden, sowie nützliche Details wie den Hash, den Bedrohungstyp (Trojaner, PUA, Testdatei) und die Anzahl der betroffenen Computer.

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Windows-Endpunktschutz-Client

Standardmäßig verfügt die Windows-Desktop-Schutzsoftware über eine vollständige grafische Benutzeroberfläche. Diese hat eine ähnliche Funktionalität wie ein Antivirenprogramm für Verbraucher. Die GUI ist einfach und übersichtlich gestaltet. Alle Funktionen sind über ein einziges Menü auf der linken Seite des Fensters leicht zugänglich. Benutzer können Updates und Scans durchführen sowie Protokolle und unter Quarantäne gestellte Dateien einsehen. Windows-Standardbenutzer können jedoch weder den Schutz deaktivieren noch Elemente aus der Quarantäne wiederherstellen. Wenn Sie möchten, können Sie über die Konsole eine Richtlinie festlegen, um die grafische Benutzeroberfläche für jedes Gerät oder jede Gruppe zu deaktivieren; in diesem Fall ist für den Benutzer keine Oberfläche sichtbar.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist ihrem Desktop-Pendant sehr ähnlich. Allerdings werden auf der Startseite zusätzliche Systeminformationen bereitgestellt. Die Funktion Log Files hat ebenfalls einen eigenen Eintrag in der Menüspalte.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator
FireEye Endpoint Security

Fazit

FireEye Endpoint Security ist eine äußerst leistungsfähige Plattform. Sie umfasst signaturbasierte, verhaltensbasierte und Machine-Learning-Engines. Eine der Hauptstärken liegt in der Erfassung von Daten vom Agenten zur Analyse und anschließenden Entscheidungsfindung. Auf diese Weise kann der Administrator Bedrohungen aufspüren und untersuchen, die sich der ersten Erkennung entziehen könnten.

Dieser tiefe Einblick ermöglicht Analysen und Reaktionen in den größten Unternehmen. Der Einstieg ist jedoch mit erheblichen Kosten für die Schulung verbunden. Diese ist sowohl für die Erstkonfiguration als auch für den laufenden Betrieb erforderlich. Um den größtmöglichen Nutzen aus FireEye Endpoint Security zu ziehen, sollten die Sicherheitsteams einige Kenntnisse über Untersuchungen haben. Alternativ kann FireEye auch mit seiner Managed Defence-Praxis helfen. Die Lösung sollte jedoch ein hohes Maß an Einblicken und operativem Management bieten, das dem Stand der Technik entspricht.

Über das Produkt

FireEye Endpoint Security bietet Endpoint Protection mit Erkennung und Reaktion. Es gibt eine cloudbasierte Verwaltungskonsole. Das Produkt ist für die größten Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance. Es sind Agenten für Windows-Clients und -Server, macOS und verschiedene Linux-Distributionen verfügbar.

Start und Betrieb

Die Cloud-Konsole erfordert keine nennenswerte Installation. Client-Installationsprogramme können über das Menü Admin/Agent Versions heruntergeladen und auf den Client-Rechnern bereitgestellt werden.

Die Verwaltungskonsole unterscheidet sich deutlich von einem herkömmlichen zentralisierten AV-Produkt. Der Schwerpunkt liegt auf der Erkennung und Reaktion. Dazu gehört die Erfassung von Daten von Clients, die Analyse dieser Daten und die entsprechende Reaktion darauf.

Die Plattform verfügt über ein äußerst leistungsfähiges und umfangreiches Instrumentarium zur Informationsbeschaffung. Diese ermöglichen es Ihnen, umfassende Abfragen fast jeder Art zu erstellen. Diese werden dann an die Clients weitergeleitet. Die Analyse dieser Informationen ist der Kern des Serverprodukts.

Man könnte FireEye als ein einfaches AV-Paket betrachten, bei dem die Engines Malware verarbeiten, sobald sie gefunden wird. Die wahre Stärke liegt jedoch in den Analyse- und Eindämmungsfunktionen.

Sobald die Agenten bereitgestellt sind, ist nur noch wenig Arbeit zur Konfiguration der Plattform erforderlich. Natürlich können Sie eigene Richtlinien erstellen, wenn Sie dies wünschen. Es ist jedoch wahrscheinlich, dass die globalen Standardeinstellungen die Grundlage für die Bereitstellung bilden werden.

Für kleinere Organisationen gibt es bei der Ersteinrichtung nicht viel Hilfestellung. Das Produkt ist eindeutig auf die professionellere, größere Organisation ausgerichtet. Außerdem wird davon ausgegangen, dass für den Einsatz Schulungen und Beratung erforderlich sind.

Alltägliches Management

FireEye Endpoint Security

Die Verwaltungskonsole ist kein Werkzeug, in das man gelegentlich hineinschnuppert. Um ihre enorme Leistungsfähigkeit zu erschließen, muss man genau wissen, was die Plattform bietet und wie man es erreicht. Hier gibt es wenig Hilfestellung. Das Produkt richtet sich vor allem an große Unternehmen, für die Schulungen und Beratung angeboten werden. Unter diesem Gesichtspunkt ist es kein Produkt für KMU.

Zunächst einmal müssen Sie verstehen, was FireEye zu erreichen versucht. Es stützt sich auf die Erkennung von Threats sowie die Sammlung und Analyse von Daten. Der Schwerpunkt liegt dabei auf der Erfassung von Informationen, der Analyse und der Berichterstellung. Dies ermöglicht dem Administrator, Informationen von einer Vielzahl von Client-Rechnern zu sammeln. Die Informationen können dann verarbeitet werden, so dass Sie auf dieser Grundlage Maßnahmen ergreifen können.

Auf der ersten Seite finden Sie eine grundlegende Übersicht über den Status der eingesetzten Agenten. Hier können Sie weitere Details abrufen. Für eine laufende Ansicht ist dies wahrscheinlich ausreichend. Richtig interessant wird es, wenn Sie die Abschnitte Hosts, Enterprise Search, Acquisitions und Rules genauer betrachten. Die wesentliche Komponente ist hier der Aufbau von Suchroutinen, um das Gesuchte zu finden. Sie können den Einschluss des Geräts anfordern. Dies sperrt den Benutzer aus und informiert ihn über die zentralisierte Verwaltungskontrolle. Sie können dann herausfinden, was vor sich geht. Die Möglichkeit, ein Gerät zu sperren, ist eine Schlüsselkomponente für den Umgang mit einem weit verbreiteten Malware-Ereignis.

Es sollte nicht unterschätzt werden, wie viel technisches und Systemwissen erforderlich ist, um das Beste daraus zu machen. Dies ist keine Kritik. In der Tat ist es für einen hartgesottenen IT-Administrator eine große Stärke, Zugang zu dieser Ebene der Abfrage und Analyse des Netzwerks zu haben.

Software zum Schutz von Windows-Endgeräten

Die Schutzsoftware für Windows-Desktops und -Server verfügt über keine Benutzeroberfläche. Malware wird beim Kopieren von Dateien erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

FireEye Endpoint Security
Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Fazit

Das Fortinet Enterprise Management Server-Paket ist ein starkes Produkt. Es richtet sich wahrscheinlich an größere Organisationen. Es ist einfach einzusetzten, könnte aber für kleinere Unternehmen bessere Hilfestellung bieten. Es gibt einige willkommene grafische Berichte, aber es könnte mehr Hilfe bei der Analyse des Netzwerkstatus geben. Für den täglichen Betrieb wäre eine Einarbeitungszeit sinnvoll, um das Produkt optimal nutzen zu können.

Über das Produkt

Die serverbasierte Konsole heißt FortiClient Enterprise Management Server (EMS) und der Client heißt FortiClient. Für die Konsole ist ein Windows Server-Betriebssystem (2008 R2) oder höher erforderlich. Es gibt Endpunktschutz-Software für Windows-Clients und -Server, Mac OS X und Linux.

Start und Betrieb

EMS ist ein lokales, serverbasiertes Produkt. Die Installation der Verwaltungskonsole ist sehr einfach und erfordert fast keine Benutzerinteraktion. Der Zugriff auf die Konsolenfunktionen kann über eine Desktop-Verknüpfung (spezielles Fenster) oder einen Webbrowser erfolgen. Sobald die Konsole eingerichtet ist, müssen Sie einige Aufgaben ausführen, bevor der Client bereitgestellt werden kann. Die Echtzeitschutzfunktion der Endpunktschutzsoftware ist in der Standardrichtlinie deaktiviert. Es ist jedoch sehr einfach, sie unter Endpoint Profiles/Default einzuschalten.

Anschließend können Sie den Client auf dem Desktop installieren. Das Installationsprogramm kann durch Aufrufen der URL des Servers oder www.forticlient.com heruntergeladen werden. Wenn Sie die Setup-Datei vom Server erhalten, wird sie automatisch mit EMS verbunden. Andernfalls müssen Sie den Endpunkt-Client auf jedem Rechner mit dem Server verbinden. Dazu geben Sie einfach die IP-Adresse des Servers ein und klicken auf Connect. Auf der Serverseite gibt es gute Berichte über entdeckte Geräte, die nicht Teil der Verwaltungsstruktur sind, und es ist einfach, dies zu beheben. Die Ansicht Dashboard/FortiClient Status bietet einen klaren und übersichtlichen Überblick über den Status des Netzwerks.

Das Anlegen von Benutzern für die Verwaltungskonsole ist relativ einfach. Einem Benutzer können granulare Berechtigungen zugewiesen werden. Dazu gehören das Erstellen, Aktualisieren und Löschen verschiedener Einstellungen sowie die Möglichkeit, Endpunkte zu verwalten. Schließlich können Sie hier auch Berechtigungen für die Richtlinienverwaltung zuweisen. Sie können hier also einen relativ fein abgestuften Satz von Berechtigungen für verschiedene Verwaltungsebenen erstellen.

Für kleinere Unternehmen gibt es bei der Ersteinrichtung nicht viel Hilfestellung. Das Produkt richtet sich eindeutig an größere Organisationen, für die Schulungen und Beratung angeboten werden.

Alltägliches Management

Die Enterprise Management Server-Konsole hat eine recht übersichtliche Benutzeroberfläche. Sie würde von einem größeren Bildschirm profitieren. Es gibt ein einziges Menü auf der linken Seite. Wenn Sie hier auf ein Element klicken, wird die rechte Seite des Fensters aufgefüllt. Die Seite Dashboard/FortiClient Status bietet einen grafischen Überblick über den Plattform- und Client-Status. Sie können sich durch die Elemente klicken, um weitere Daten zu erhalten, aber es ist nicht immer klar, welche Details aufgedeckt wurden. Nehmen wir zum Beispiel unsere "2 infected endpoints": Wir klicken uns durch und erhalten eine Ansicht der beiden Geräte. Aber auch hier gibt es wenig, was einem sagt, was mit diesen Geräten tatsächlich los ist. Hier wäre mehr Klarheit hilfreich, wenn es um Probleme und Ausbrüche geht.

Die Seite Vulnerability Scan enthält eine interessante Reihe von "Ampel"-Anzeigen. Diese reichen von grün (niedrig) über gelb (mittel) bis orange (hoch) und rot (kritisch). Darunter befindet sich eine Reihe von Schaltflächen, mit denen Sie auswählen können, was gemeldet werden soll. Zum Beispiel werden Betriebssystem, Browser, MS Office und Dienste angezeigt. Wenn Sie die Maus über diese Schaltflächen bewegen, wird die grafische Darstellung der Ampel aktualisiert. Es ist jedoch nicht klar, was die Daten bedeuten, bis Sie tatsächlich auf eine Schaltfläche klicken. Es handelt sich um eine nützliche Schnittstelle, die durch ihre Implementierung etwas beeinträchtigt wird.

Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Auf der Seite Endpoints (siehe oben) können Sie sich den Status aller Endpunkte ansehen. Es wird versucht, diese Seite grafisch zu gestalten, aber einige der Symbole könnten in ihrer Bedeutung klarer sein.

Mit Endpoint Profile können Sie die Richtlinie erstellen, die auf den Computer eines Benutzers übertragen werden soll. Es ist recht einfach und offensichtlich, was hier getan werden muss. Es gibt eine Schaltfläche Basic/Advanced, die hilfreich ist, wenn Sie sich mit den Details befassen oder bei einer vereinfachten Ansicht bleiben möchten.

Schließlich ermöglichen Administration und System Settings die Kontrolle über die grundlegenden Einstellungen der Plattform.

Es ist ziemlich einfach, Berichte darüber zu erhalten, was passiert, und bei Bedarf Scans oder Abhilfemaßnahmen einzuleiten. Die Benutzeroberfläche ist recht gut gestaltet, könnte aber noch etwas Feinschliff vertragen, um sie übersichtlicher zu machen. Eine stärkere Trennung der Einrichtung von der täglichen Arbeit und von der Systemverwaltung wäre ebenfalls hilfreich.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software bietet ein Programmfenster mit Statusinformationen. Benutzer können Scans durchführen, aber keine Einstellungen ändern.

Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine anderen Maßnahmen ergreifen, als die Warnung zu schließen.

Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

K7 Cloud Endpoint Security

Fazit

K7 Cloud Endpoint Security wurde für Unternehmen aller Größenordnungen entwickelt, ist aber aufgrund seiner Benutzerfreundlichkeit besonders für kleinere Unternehmen geeignet. Dank der Cloud-basierten Konsole und des sehr einfachen Installationsprozesses ist es sehr schnell und einfach einzurichten. Die Verwaltungskonsole ist sehr leicht zu navigieren, und der Endpunkt-Client ermöglicht es den Benutzern, Scans und Updates sehr einfach durchzuführen. Ein kleiner Verbesserungsvorschlag wäre, von dem Dashboard-Panel aus Links zu den entsprechenden Detailseiten einzufügen. Insgesamt ist das Programm jedoch sehr einfach und intuitiv zu bedienen.

Über das Produkt

K7 Cloud Endpoint Security verwendet eine cloudbasierte Verwaltungskonsole zur Verwaltung der Endpoint Protection Software für Windows-Clients und -Server.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie rufen einfach die URL auf und melden sich an. Die Bereitstellung von Endpunktschutzsoftware ist fast genauso einfach. Sie müssen lediglich die Seite Settings aufrufen, ein Installationspaket herunterladen und dieses dann ausführen. Der Einrichtungsassistent ist sehr einfach, es müssen keine Auswahlmöglichkeiten getroffen werden. So können Sie den Client mit nur ein paar Klicks installieren.

Alltägliches Management

Der Zugriff auf alle Funktionen der Konsole erfolgt über eine einzige Menüleiste am oberen Rand des Fensters. Wenn Sie sich anmelden, öffnet sich die Konsole auf der Seite Dashboard, die einen Überblick über den Systemstatus bietet. Es gibt verschiedene Detailpanels, die erkannte Bedrohungen, blockierte Websites, Verletzungen der Hardwarerichtlinien, Geräteverbindungsstatistiken, die Anzahl der Geräte, auf denen bestimmte Windows-Versionen laufen, und eine Zeitleiste der erkannten Bedrohungen anzeigen. Leider gibt es keine Links zu weiteren Informationen. Wenn Sie weitere Details zu einem dieser Punkte finden möchten, müssen Sie andere Seiten aufrufen.

Auf der Seite Groups der Konsole werden die von Ihnen erstellten Gerätegruppen aufgelistet. Es gibt Links zu den Richtlinien, die auf jede Gruppe angewendet werden, und eine Liste von Aufgaben, die Sie auf alle Gruppenmitglieder anwenden können.

Auf der Seite Devices, die in der Abbildung unten gezeigt wird, werden die einzelnen Computer im Netzwerk aufgelistet. Über die Links in der Spalte "Actions" können Sie die Gruppe eines Computers ändern, Endpoint Security deinstallieren oder seine Details anzeigen.

K7 Cloud Endpoint Security

Auf der Seite Policies können Sie die Einstellungen für die Endpunkt-Software steuern. Diese sind übersichtlich in Gruppen wie Anti-Virus, Behaviour Protection, Firewall, Web Filtering und Device Control geordnet.

Auf der Seite Policies können Sie die Einstellungen für die Endpunktsoftware steuern. Diese sind bequem in Gruppen wie Anti-Virus, Behaviour Protection, Firewall, Web Filtering und Device Control geordnet.

Unter Actions können Sie Aufgaben erstellen, die auf einzelnen Computern oder Gruppen ausgeführt werden. Zu den verfügbaren Aufgaben gehören eine Reihe von Scans und ein Client-Update.

Die Seite Settings könnte besser "Installation" heißen, da ihre einzige Funktion darin besteht, Ihnen das Herunterladen von Installationspaketen für die Endpunktschutzsoftware zu ermöglichen.

Die Seite Reports bietet eine sehr einfache Möglichkeit, Berichte über Elemente wie erkannte Bedrohungen und Schwachstellen sowie Scanergebnisse zu erstellen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktopschutzsoftware verfügt über ein Fenster mit einer Komponentenstatusanzeige. Damit können Benutzer Definitions-Updates und eine Vielzahl von Scans durchführen. Standardmäßig sind jedoch keine Einstellungen für den Benutzer zugänglich. Dies kann vom Administrator in der Richtlinie geändert werden, falls dies gewünscht wird.

K7 Cloud Endpoint Security

Sollte der Benutzer versehentlich versuchen, Malware auf das System zu kopieren, wird diese sofort beim Zugriff erkannt und gelöscht. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

K7 Cloud Endpoint Security

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Kaspersky Endpoint Security for Business Select

Fazit

Kaspersky Endpoint Security for Business Select ist ein leistungsstarkes und anspruchsvolles Produkt. Es richtet sich an mittelständische und größere Unternehmen. Es bietet eine sehr gute plattformübergreifende Unterstützung und eine duale Schnittstelle. Die webbasierte Konsole bietet eine Fülle von Funktionen. Die Menüstruktur ist überschaubar. Es ist jedoch eine gewisse Einarbeitungszeit erforderlich, um das Beste daraus zu machen.

Über das Produkt

Kaspersky Endpoint Security for Business Select nutzt serverbasierte Verwaltungsfunktionen. Es unterstützt die Verwaltung von Endpunkt-Software für Windows-, Mac- und Linux-Desktops sowie Windows- und Linux-Server. Es gibt auch Unterstützung für mobile Android- und iOS-Geräte. Es ist eine duale Verwaltungsschnittstelle verfügbar. Benutzer haben die Wahl zwischen einer webbasierten Konsole (siehe Screenshot oben) und einer MMC-basierten Konsole. Wir haben uns in diesem Test die webbasierte Konsole angesehen. Eine Beschreibung der MMC-basierten Konsole finden Sie im Bericht zu unserem Business Security Test vom Juli 2019. Benutzer können die verschiedenen Oberflächen vergleichen, um zu entscheiden, welche ihren Bedürfnissen am besten entspricht.

Start und Betrieb

Die Installation der Verwaltungskonsole ist für einen erfahrenen Administrator ein unkomplizierter Prozess. Es wird eine SQL-Datenbank benötigt, z. B. der kostenlose Microsoft SQL Server Express. Wenn Sie möchten, können Sie sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Wenn Sie die webbasierte Konsole zum ersten Mal starten, wird optional ein kurzes Lernprogramm angezeigt. Darin werden die wichtigsten Funktionen hervorgehoben und jeweils kurz beschrieben. Anschließend führt Sie der Quick Start Wizard durch die Erstkonfiguration. Die Schritte sind: Produktaktivierung, Konfiguration von Benachrichtigungen und Proxy-Server-Einstellungen. Schließlich können Sie mit dem Protection Deployment Wizard die Installation der Remote-Push-Software einrichten. Sie können die Clients auch manuell installieren (dafür gibt es drei verschiedene Methoden).

Alltägliches Management

Die Konsolenfunktionen sind in zwei Menüleisten am oberen Rand der Seite angeordnet. Die obere Menüleiste zeigt die Hauptfunktionsbereiche an. Diese sind Monitoring & Reporting, Devices, Users & Roles, Discovery & Deployment, und Operations. Die untere Menüleiste ermöglicht den Zugriff auf die Unterseiten der einzelnen Hauptmenüpunkte. In einigen Fällen öffnen die Einträge in der unteren Menüleiste Dropdown-Listen mit weiteren Einträgen.

Die Seite Monitoring and Reporting bietet einen grafischen Überblick über wichtige Elemente. Dazu gehören der Schutzstatus, neue Geräte sowie Details zu Bedrohungen und infizierten Geräten. Siehe dazu den Screenshot oben. Auf der Seite Reports können Sie eine Vielzahl von Berichten zu Themen wie Schutzstatus, Bereitstellung, Updates und Bedrohungen erstellen. Diese können über eine vorkonfigurierte Liste einfach aufgerufen werden.

Auf der Seite Notifications finden Sie eine Liste der letzten Warnungen. Sie können diese nach Themen filtern, z.B. Bereitstellung, Geräte oder Schutz.

Die Registerkarte Devices auf der Seite Managed Devices listet verwaltete Computer zusammen mit dem Status der wichtigsten Komponenten auf. Sie können die Liste nach Kriterien wie Betriebssystem, Echtzeitschutz oder zuletzt gesehen filtern. Wenn Sie einzelne Geräte auswählen, können Sie Aufgaben für sie ausführen. Dazu gehören Installation, Deinstallation oder Änderung der Gruppenmitgliedschaft.

Kaspersky Endpoint Security for Business Select

Auf der Seite Policies and Profiles können Sie neue Konfigurationsrichtlinien erstellen und anwenden. Device Selections bietet erweiterte Filteroptionen für die Auswahl von Clients.

Unter Users & Roles sehen Sie eine Liste vordefinierter Konsolenbenutzer sowie lokale Windows- und Domänenkonten für die Windows-Computer im Netzwerk. Diesen kann eine von 16 verschiedenen Verwaltungsrollen für die Konsole zugewiesen werden, was einen sehr granularen Zugriff ermöglicht.

Discovery & Deployment enthält verschiedene Funktionen zur Erkennung von nicht verwalteten Geräten im Netzwerk und zur Bereitstellung von Software auf diesen Geräten. Der Quick Start Wizard kann von hier aus erneut gestartet werden. Auf der Seite Device Selections können Sie Geräte in vorkonfigurierten Gruppen suchen. Beispiele sind Databases are outdated und Devices with Critical status.

Die Registerkarte Operations bietet unter anderem einen Überblick über die Lizenzierung, Repositories und die Quarantänefunktionen. Die Backup-Funktion scheint eigentlich eine Standard-Quarantänefunktion zu sein. Hier wurde Malware gefunden, die auf Client-PCs entdeckt wurde. Allerdings gibt es eine separate Quarantine-Funktion, die nach unserem Test leer war. Die Online-Wissensdatenbank von Kaspersky erklärt die Funktionen dieser beiden Elemente: https://help.kaspersky.com/KSC/11/en-US/12429.htm

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktopschutzanwendung ist auf die zentrale Verwaltung durch IT-Mitarbeiter und nicht auf die lokale Verwaltung durch den Endbenutzer ausgerichtet. Folglich können die Benutzer die Einstellungen anzeigen, aber nicht ändern. Das Programmfenster ist im Wesentlichen eine umfassende Statusanzeige. Es zeigt den Sicherheitsstatus und die Erkennungsstatistiken für die verschiedenen beteiligten Technologien an. Dazu gehören das maschinelle Lernen, die Cloud-Analyse und die Verhaltensanalyse. Wie in der Konsole ist die Backup-Funktion Teil der Quarantänefunktion. Wir weisen darauf hin, dass Benutzer über das Kontextmenü im Windows Explorer Scans von Laufwerken, Ordnern oder Dateien durchführen können.

Kaspersky Endpoint Security for Business Select

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Es wird keine Warnung angezeigt. Die Benutzeroberfläche der Server-Schutzsoftware ist mit der des Clients identisch.

McAfee Endpoint Security with ATP and ePolicy Orchestrator Cloud

Fazit

ePolicy Orchestrator Cloud von McAfee ist zweifellos leistungsstark und bietet als Teil einer breiteren McAfee Managed Platform eine Menge. Allerdings erfordert die Verwaltung der ePolicy Orchestrator Cloud-Konsole eine gewisse Einarbeitung. Wir hatten den Eindruck, dass der Funktionsumfang bedeutet, dass die alltäglichen Verwaltungsfunktionen nicht so leicht zu finden sind wie bei weniger anspruchsvollen Produkten. Es handelt sich jedoch um ein Produkt, das die anfängliche Lernphase durch spätere einfachere Verwaltungsabläufe belohnen wird.

Über das Produkt

Dies ist eine Cloud-basierte Verwaltungskonsole mit Desktop-AV-Paket. Endpoint Security ist ein Client, der auf dem Desktop läuft, mit Clients für macOS und Windows. Es gibt eine webbasierte Konsole namens ePolicy Orchestrator Cloud. Das Cloud-basierte Produkt richtet sich an Unternehmen mit bis zu 10.000 Benutzern. Es gibt Clients für Windows-Clients und -Server sowie für macOS. Es wird eine großzügige 60-tägige Testphase angeboten, so dass Sie das Produkt vor dem Kauf ausgiebig testen können.

Start und Betrieb

Der Zugang zum Webportal erfolgt einfach über eine Standard-Kombination aus Benutzername und Passwort. Die Benutzeroberfläche ist recht modular aufgebaut, je nach Ihrer aktuellen Aufgabe. Ganz oben befindet sich ein Dropdown-Menü. Dann gibt es Hauptmenüpunkte von Dashboards, Getting Gestartet, Systeme, und Abfragen & Berichte. Der beste Ort, um damit anzufangen, ist die Getting Started Menü. Hier erhalten Sie eine sehr einfache Seite, auf der Sie das Installations-Client-Paket für die Plattform, die Sie gerade verwenden, herunterladen können.

Die Ausführung des Installationspakets für den Endpunktschutz ist schnell und einfach. Zu Beginn wird nur der Agent selbst installiert. Die ausgewählten Schutzkomponenten werden dann heruntergeladen und in einem Zeitraum von etwa 20 Minuten automatisch installiert.

Alltägliches Management

Die Webkonsole ist sinnvollerweise in mehrere Hauptarbeitsbereiche unterteilt. Die Standardseite Dashboards bietet eine breite Palette von Berichten und Ansichten. Dazu gehören Bereiche wie Compliance Status, Protection Summary und Web Control Activity. Auf der Registerkarte Systems, die unten abgebildet ist, werden alle Installationen mit ihrem Status, ihrer IP-Adresse und dem Zeitstempel der letzten Kommunikation aufgelistet.

McAfee Endpoint Security with ATP and ePolicy Orchestrator Cloud

Ein Aspekt der grafischen Benutzeroberfläche ist hier unklar. Alle Datums-/Zeitstempel in der Verwaltungskonsole scheinen auf die östliche Zeitzone (Sommerzeit) eingestellt zu sein. Wir sind der Meinung, dass es für den Erstbenutzer alles andere als offensichtlich ist, wie er die Zeitzone in eine lokale Zeitzone ändern kann.

Auf der Registerkarte Dashboards steht eine breite Palette von Berichten und Ansichten zur Verfügung, und bei jeder dieser Ansichten können Sie sich zu weiteren Daten durchklicken. Wir fanden diese Funktionalität brauchbar, wenn auch nicht ganz so intuitiv, wie wir es uns gewünscht hätten.

Es sei darauf hingewiesen, dass die Nutzung von ePO Cloud im Allgemeinen umso einfacher wird, je mehr Sie sich mit der Software vertraut machen. Admins, die ePO Cloud zum ersten Mal verwenden, sollten bedenken, dass sich die Zeit, die sie in das Erlernen der Funktionsweise investieren, später auszahlen wird. Es gibt eine Reihe von Möglichkeiten, wie die täglichen Aufgaben durch Automatisierung erleichtert werden können. Sie können die Benutzeroberfläche auch anpassen, indem Sie z. B. häufig genutzte Funktionen in die Quick-Links-Leiste am oberen Rand einfügen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware bietet Scan- und Aktualisierungsfunktionen und zeigt den Status der einzelnen Schutzkomponenten an. Die meisten anderen Kontrollen - wie die Ereignisprotokolle und die Quarantäne - sind für Standardbenutzer standardmäßig deaktiviert.

McAfee Endpoint Security with ATP and ePolicy Orchestrator Cloud

Malware wird beim Kopieren der Datei erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

McAfee Endpoint Security with ATP and ePolicy Orchestrator Cloud

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Microsoft Windows Defender Antivirus for Business with Intune

Fazit

Die Intune Cloud-Konsole hat ein sehr klares, modernes Design. Sie lässt sich sehr einfach über die einzelne Menüleiste auf der linken Seite navigieren. Die Live-Kacheln auf der Dashboard-Seite bieten einen guten Überblick über die Sicherheitslage. Die integrierten Links ermöglichen es dem Administrator, weitere Informationen zu finden und die erforderlichen Maßnahmen zu ergreifen. Der Management-Agent lässt sich in kleineren Unternehmen leicht manuell einrichten. In größeren Unternehmen können Sie ihn auch über Gruppenrichtlinien bereitstellen. Intune kann zur Verwaltung von Tausenden von Geräten verwendet werden. Seine intuitive, leicht zu navigierende Oberfläche macht es zu einer ausgezeichneten Wahl.

Über das Produkt

Intune ist ein cloudbasierter Dienst. Er bietet Unternehmen ein Security-Management für ihre Geräte, Apps und Daten. Die abgedeckten Plattformen sind Windows Desktop, Windows Mobile, macOS, iOS und Android. Dieser Bericht behandelt die Verwendung von Microsoft Intune zur Verwaltung der standardmäßigen Antivirus- und Security-Funktionen von Windows. Bitte beachten Sie, dass eine duale Verwaltungsoberfläche verfügbar ist. In dieser Überprüfung haben wir die oben gezeigte klassische Schnittstelle behandelt.

Start und Betrieb

Da die Verwaltungskonsole cloudbasiert ist, ist keine Installation erforderlich. Auf den Clients muss ein Management-Agent bereitgestellt werden. Danach können Sie sie über die Konsole überwachen und steuern. Der Agent ist leicht unter Admin/Client Software Download zu finden. Sie können ihn mit ein paar Klicks manuell auf dem Client installieren. Bei größeren Netzwerken kann der Administrator die Software mithilfe von Gruppenrichtlinien automatisch bereitstellen.

Bei Windows 10- und Windows 8.1-Clients ist der Antivirus-Client von Microsoft bereits in das Betriebssystem integriert. Es ist keine weitere Software-Installation erforderlich. Bei Windows 7-PCs ist der Antivirus-Client hingegen nicht vorinstalliert, sondern steht als Update zur Verfügung. Wenn der Intune-Verwaltungsagent auf einem Windows 7-Client ohne AV-Schutz installiert wird, wird das Update für den Microsoft AV-Client automatisch installiert.

Alltägliches Management

Die Navigation in der Intune-Konsole erfolgt über eine sehr übersichtliche Menüspalte auf der linken Seite. Die Dashboard (Home)-Seite zeigt den Status der verschiedenen Komponenten mit Live-Kacheln an. Die Kachel Endpoint Protection zeigt die Anzahl der Geräte mit gelösten und nicht gelösten Malware-Erkennungen an. Diese werden grafisch als farbkodierte Balkendiagramme dargestellt. Andere Kacheln liefern Informationen über Warnings/Critical Alerts und Device Health. Ein Klick auf ein Element innerhalb einer Kachel, wie z.B. Warnings, öffnet die entsprechende Detailseite für das betreffende Element.

Unter Groups können Sie die verwalteten Computer sehen. Dort finden Sie Details wie das Betriebssystem sowie Datum und Uhrzeit der letzten Aktualisierung. Die Seite Protection bietet einen detaillierteren Überblick über Malware-Erkennungen, den Gerätestatus und die am häufigsten erkannte Malware. Außerdem gibt es eine Liste aller Malware-Elemente, die im Netzwerk entdeckt wurden. Alerts zeigt Details zu allen sicherheitsrelevanten Warnungen an, einschließlich Berichten über fehlgeschlagene Client-Software-Installationen.

Software zum Schutz von Endgeräten

Die genaue Beschaffenheit der GUI der Windows-Desktop-Schutzsoftware ist abhängig von der auf dem PC installierten Windows-Version. Aktuelle Windows 10-Clients (Builds 1809, 1903) haben die Oberfläche des Windows Defender Security Center. Diese ist unten abgebildet:

Microsoft Windows Defender Antivirus for Business with Intune

Ältere Versionen von Windows, einschließlich Windows 7 und 8.1, verwenden dieselbe Benutzeroberfläche wie Microsoft Security Essentials. Diese ähnelt der eines typischen Antivirenprogramms für Verbraucher. Alle Varianten ermöglichen es dem Benutzer, Malware-Definitionen zu aktualisieren und vollständige, schnelle, benutzerdefinierte und über das Kontextmenü durchgeführte Scans durchzuführen.

Malware wird beim Kopieren der Datei erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

Microsoft Windows Defender Antivirus for Business with Intune

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist im Wesentlichen die gleiche wie die des Desktop-Pendants. Allerdings sind die Komponenten Account protection, Device performance & health und Family options nicht in Windows Server enthalten.

Panda Endpoint Protection Plus on Aether

Fazit

Panda Endpoint Protection Plus auf Aether ist ein sehr starkes Produkt. Es ist leistungsstark genug für größere Organisationen, aber auch einfach genug für kleinere Unternehmen. Es ist sehr einfach einzurichten, da es keinen Server vor Ort benötigt. Es gibt eine ausgezeichnete, sehr übersichtliche und nützliche Verwaltungskonsole. Diese verfügt über einen klaren Installations- und Bereitstellungsablauf. Besonders beeindruckt waren wir von der sauberen und übersichtlichen Gestaltung der Benutzeroberfläche und der Geschwindigkeit, mit der sie zu bewältigen war.

Über das Produkt

Dies ist ein über eine Cloud-Konsole verwaltetes System. Es gibt Geräte-Clients für Windows-Server, Windows/Linux-PCs und mobile Android-Geräte. Die Desktop-Client-Software verfügt über eine einfache Schnittstelle, über die Benutzer Updates und verschiedene Scans durchführen können. Es eignet sich für Organisationen jeder Größe.

Start und Betrieb

Das Produkt wird über eine Cloud-basierte Konsole verwaltet, die keine Installation erfordert. Die Bereitstellung erfolgt über die Schaltfläche Add Computers auf der Seite Computers. Sie können das Installationsprogramm direkt herunterladen oder auf Send by email klicken, wodurch eine E-Mail-Nachricht mit einem Link zum Herunterladen und Installieren geöffnet wird. Dies funktioniert für Windows, Linux und Android. Der Benutzer klickt auf den bereitgestellten Link, um den Client zu installieren, und dieser wird dann automatisch lizenziert. Bei beiden Installationsmethoden können Sie den Client vorab einer Verwaltungsgruppe zuweisen.

Alltägliches Management

Der Schutzstatus und der Verlauf der Bedrohungserkennung werden auf der Seite Status/Security angezeigt, die standardmäßig geöffnet wird. Es gibt hervorragende Grafiken für erkannte Bedrohungen. Dazu gehören Malware-Typen, Erkennungsursprung und blockierte URLs. Dies bietet einen soliden täglichen Überblick über die Probleme. Uns hat besonders gut gefallen, dass die Seite einen Überblick über den Status gibt, aber auch die Möglichkeit bietet, sich für detailliertere Informationen durchzuklicken. Wenn Sie zum Beispiel auf die Hauptgrafik Protection Status klicken, gelangen Sie auf die Seite Computers. Die Quarantänefunktion der Konsole wird durch Klicken auf Threats detected by the Antivirus aufgerufen.

Die Registerkarte Status enthält eine linke Menüspalte, über die Sie weitere Statusseiten öffnen können.

Web access and spam zeigt Kategorien von Websites, wie Webmail, Spiele und Business, auf die Benutzer zugegriffen haben. Mit Executive Report können Sie schnell Berichte erstellen. Zu den Themen gehören Lizenzstatus, Sicherheitsstatus, Erkennungen sowie Webzugriff und Spam. Sie können eine oder alle dieser Kategorien auswählen und den Zeitraum und die Computergruppen festlegen. Licenses ist selbsterklärend. Ein Abschnitt namens My Lists bietet einfache, aber nützliche Übersichten über verschiedene Aspekte des Netzwerks. Es gibt Links zu Hardware und Software von verwalteten Computern sowie Listen von ungeschützten Arbeitsstationen und Servern. Diese Liste ist anpassbar, und es können eine Reihe weiterer Kategorien hinzugefügt werden. Dazu gehören der Status des Computerschutzes, die von AV erkannten Bedrohungen und der Webzugriff nach Computer.

Die Registerkarte Computers (siehe unten) listet die Computer im Netzwerk auf. Sie können nach verschiedenen Kriterien filtern, darunter Betriebssystem, Hardware und installierte Software. Sie können die Computer auch nach Verwaltungsgruppen anzeigen.

Panda Endpoint Protection Plus on Aether

Auf dieser Seite werden alle geschützten Computer und mobilen Geräte angezeigt. Sie ist sehr übersichtlich gestaltet und zeigt die wichtigsten Informationen an. In einer Windows-ähnlichen Ordnerstruktur auf der linken Seite können Sie die Geräte nach Gruppen anzeigen.

Über die Registerkarte Settings/Users können Sie Konsolenbenutzer erstellen und ihnen volle Kontrolle oder nur Lesezugriff zuweisen. Im Abschnitt Security können Sie separate Sicherheitsrichtlinien für Computer und mobile Android-Geräte festlegen. Unter My Alerts können Sie E-Mail-Benachrichtigungen für verschiedene Elemente einrichten. Dazu gehören Erkennungen von Malware und Phishing, nicht lizenzierte/unverwaltete/ungeschützte/unlizenzierte Computer und Installationsfehler. Auf anderen Einstellungsseiten können Sie Updates, Proxy-Server usw. verwalten.

Auf der Registerkarte Tasks können Sie zeitgesteuerte Überprüfungen einrichten.

Software zum Schutz von Windows-Endgeräten

Die Software zum Schutz des Windows-Desktops ermöglicht den Zugriff auf solide Endbenutzerfunktionen wie Full Scan, Critical Areas Scan und Custom Scan. Der Benutzer kann eine Synchronisierung der Updates über das Systemtray-Menü erzwingen. Es gibt jedoch keinen Zugriff auf die Einstellungen.

Panda Endpoint Protection Plus on Aether

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

Panda Endpoint Protection Plus on Aether

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Seqrite Endpoint Security Cloud

Fazit

Seqrite Endpoint Security Cloud bietet eine einfach zu bedienende Cloud-Konsole. Es gibt eine Auswahl an unkomplizierten Bereitstellungsmethoden. Das macht die Nutzung für kleine Unternehmen einfach, aber es gibt auch genügend Funktionalität für größere Unternehmen. Es ist eine gute Wahl für kleine Unternehmen mit Expansionsplänen.

Über das Produkt

Seqrite Endpoint Security Cloud bietet Endpunktschutz für Windows-, macOS- und Linux-Clients sowie für Windows-Server. Zu den zusätzlichen Funktionen gehören Data Loss Prevention und Asset Management. Wie der Name schon sagt, ist die Verwaltungskonsole Cloud-basiert. Somit ist der Dienst von jedem modernen Browser aus zugänglich.

Start und Betrieb

Für die Konsole ist keine Einrichtung erforderlich, da sie cloudbasiert ist. Sie rufen einfach die URL auf und melden sich an. Es gibt drei Optionen für die Bereitstellung der Endpunktschutzsoftware für Clients. Sie sind alle bequem über dieselbe Seite zugänglich. Sie können ein Installationspaket von der Konsole herunterladen und es auf den Client-PCs ausführen. Alternativ können Sie einen Link zum Installationsprogramm direkt von der Konsole aus per E-Mail an die Benutzer senden. Die dritte Möglichkeit besteht darin, ein Remote-Installationspaket herunterzuladen und auszuführen, um die Software auf Clients im LAN zu verteilen.

Alltägliches Management

Alle wichtigen Funktionen der Konsole befinden sich in einem einzigen Menüfeld auf der linken Seite. Dieses kann aufgeklappt werden, um den Text der Menüpunkte anzuzeigen, oder eingeklappt werden, um nur die Symbole anzuzeigen. Die Konsole wird auf der Seite Dashboard geöffnet. Diese bietet einen Überblick über den Sicherheitsstatus des Systems. In den oberen Feldern wird die Gesamtzahl der Endpunkte im Netzwerk angezeigt und wie viele davon geschützt und infektionsfrei sind. Andere Bereiche verwenden Linien- oder Doughnut-Diagramme, um den Infektionsstatus, den Aktualisierungsstatus, die letzte Verbindungszeit der Endpunkte und die Betriebssystemverteilung anzuzeigen. Sie können einzelne Bereiche verschieben oder löschen, um Ihr eigenes, individuelles Dashboard zu erstellen. Wenn Sie auf einen Abschnitt in einem der Diagramme klicken (z. B. auf die zuletzt verbundenen Endpunkte), wird ein Detailfenster für dieses Element angezeigt.

Seqrite Endpoint Security Cloud

Unter der Überschrift Computer (siehe oben) werden unter Status einzelne Geräte aufgelistet und wichtige Informationen angezeigt. Dazu gehören die angewandte Richtlinie, der Aktualisierungsstatus und die letzte Verbindungszeit. Sie können auf dieser Seite ganz einfach Aufgaben ausführen, indem Sie Computer auswählen und dann das Menü Client Actions verwenden, um Scans, Updates usw. durchzuführen.

Auf der Seite Deployment können Sie vorkonfigurierte Installationsprogramme für Clients herunterladen. Sie können auch Ihre eigenen angepassten Installationsprogramme erstellen oder die E-Mail-/Ferninstallationsoptionen auf derselben Seite nutzen.

Mit Policies können Sie vorhandene Richtlinien und die Geräte, die sie anwenden, sehen. Sie können auch die Details jeder Richtlinie sehen und jede Richtlinie als Grundlage für die Anpassung duplizieren.

Unter Configurations finden Sie Optionen für die Funktionen zur Gerätesteuerung und Anwendungssteuerung. Sie können auch den Installationspfad für Windows-Clients angeben.

Reports bietet eine Reihe von vorkonfigurierten Berichten, wie z.B. Virus Scan, Web Security and Firewall. Sie können auch Ihren eigenen benutzerdefinierten Bericht von Grund auf neu erstellen.

Der Admin-Bereich umfasst Dinge wie Lizenzen, Konsolenbenutzer und ihre spezifischen Rollen sowie Benachrichtigungen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware verfügt über eine voll ausgestattete grafische Benutzeroberfläche. Sie verfügt über die gleichen Funktionen wie ein typisches Antivirenprogramm für Verbraucher. Das Design ist klar und modern, mit einer einzigen Reihe von Kacheln für die wichtigsten Funktionen. Die Benutzer können Schnell-, Voll-, benutzerdefinierte, Speicher- und Startzeit-Scans durchführen. Standardbenutzer können jedoch keine Einstellungen des Programms ändern.

Seqrite Endpoint Security Cloud

Malware wird beim Kopieren der Datei entdeckt und gelöscht. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Meldung wird nach einigen Sekunden geschlossen.

Seqrite Endpoint Security Cloud

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Sophos Intercept X Advanced

Fazit

Die Verwaltungskonsole ist sehr leistungsfähig und übersichtlich gestaltet. Der größte Teil des Produkts funktioniert auf klare und konsistente Weise. Für einen einigermaßen erfahrenen Systemadministrator ist es einfach zu implementieren, bereitzustellen und zu verwalten. Für neue Systemadministratoren kann der Umfang der in der Konsole verfügbaren Funktionen dazu führen, dass wesentliche AV-Verwaltungsaufgaben etwas schwieriger zu finden sind.

Über das Produkt

Sophos Intercept X Advanced verwendet eine Cloud-Konsole (Sophos Central), um Windows-Clients und -Server sowie macOS-Clients zu verwalten. Das Paket enthält Intercept X, das neuronale Netzwerkanalysen von Malware verwendet. Es bietet Schutz vor Ransomware und Exploits sowie zusätzliche Browser-Sicherheit. Es gibt auch Funktionen zur Untersuchung und Entfernung.

Start und Betrieb

Das Produkt wird vollständig über eine cloudbasierte Konsole verwaltet. Die Lizenzen werden auf diese Konsole angewendet und können dann an die Client-Computer verteilt werden. Die Installation des Clients ist sehr einfach. Sie können das Installationspaket herunterladen und von dort aus installieren oder es über die von Ihnen gewählte Verwaltungsschnittstelle ausgeben.

Geräte können Gruppen zugewiesen werden (wie Sie es erwarten würden) und übernehmen zentral definierte Richtlinien. Benutzer werden automatisch in Sophos Central erstellt, wenn sie ein von Sophos geschütztes Gerät verwenden. Sie können auch über CSV importiert und über eine Active Directory-Anwendung synchronisiert werden. Ein Benutzerkonto wird auch verwendet, um den Zugriff auf die Sophos Management-Funktionen zu steuern. Ein Benutzer kann hier als User, SuperAdmin, Admin, Help Desk und Read-only klassifiziert werden. Dies ermöglicht eine mehrschichtige Konfiguration der Verwaltung der Sophos Plattform. Es gibt eine Reihe von Funktionen, die auf Richtlinien angewendet werden können. Dazu gehören die Sperrung von Web-URLs, die Kontrolle von Peripheriegeräten und die Verwaltung der Anwendungsausführung.

Alltägliches Management

Die Sophos Central Dashboard-Ansicht ist recht übersichtlich. Sie bietet eine übersichtliche Benutzeroberfläche, die einen Überblick über alle Systeme und Schutzfunktionen bietet. Hier können Sie sehen, wie viele Endpunkte aktiv sind, die neuesten Warnungen und Statistiken über die Verwaltung des Web-URL-Zugriffs.

Unter dem Punkt Alerts finden Sie eine Liste aller aufgetretenen Alarme. Sie können nach Description, Count und Actions sortieren.

Logs and Reports zeigt eine Sammlung von Standardberichten. Ein bemerkenswerter Bericht ist Policy Violators. Hier werden die Benutzer angezeigt, die am häufigsten versucht haben, auf gesperrte Websites zuzugreifen.

People (Computerbenutzer) und Global Settings tun das, was Sie erwarten würden.

Devices zeigt die verwalteten Geräte im Netzwerk an. Diese sind in drei verschiedene Seiten unterteilt: Computers, Mobile Devices, Servers, wie unten gezeigt:

Sophos Intercept X Advanced

Endpoint Protection führt Sie zu einer weiteren Reihe von Benutzeroberflächen und Menüs. Auch hier gibt es Seiten für die Menüpunkte Dashboard, Logs und Reports, People und Computers. Hier können Sie auch Richtlinien und Einstellungen konfigurieren und Endpunkt-Installationspakete herunterladen.

Windows-Endpunktschutz-Software

Die Windows Desktop Protection Software verfügt über eine grafische Benutzeroberfläche mit einer umfassenden Statusanzeige. Sie ermöglicht es dem Benutzer auch, Scan-Aufgaben auszuführen. Die Registerkarte Status zeigt den allgemeinen Sicherheitsstatus an und bietet Zusammenfassungen der neuesten Bedrohungsarten. Die Registerkarte Events listet die letzten Malware-Erkennungen auf. Über die Schaltfläche Scan auf der Seite Status können Benutzer einen vollständigen Systemscan durchführen. Alternativ können sie im Windows Explorer mit der rechten Maustaste auf eine Datei, einen Ordner oder ein Laufwerk klicken und dann im Kontextmenü auf Scan with Sophos Anti-Virus klicken.

Sophos Intercept X Advanced

Malware wird beim Kopieren der Datei entdeckt und gelöscht. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Meldung wird nach einigen Sekunden geschlossen.

Sophos Intercept X Advanced

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

SparkCognition DeepArmor Endpoint Protection Platform

Fazit

SparkCognition DeepArmor EPP ist sehr einfach einzurichten. Die Konsole ist cloudbasiert, und der Bereitstellungsprozess ist einfach. Die Verwaltungskonsole hat ein sehr klares Design, das den Administrator nicht überfordert. Um das Produkt optimal zu nutzen, braucht man zweifellos einige Zeit, aber die Benutzeroberfläche macht diesen Prozess so einfach wie möglich.

Über das Produkt

SparkCognition verwendet eine cloudbasierte Konsole zur Verwaltung der Endpoint Protection Software. Es gibt Clients für Windows-, Mac- und Linux-Systeme.

Start und Betrieb

Die Konsole muss nicht installiert werden, da sie cloudbasiert ist. Die Bereitstellung der Endpunktschutz-Software ist für alle Plattformen ähnlich. Sie laden einfach das entsprechende Installationsprogramm von der DeploymentSeite der Konsole herunter und führen es auf dem jeweiligen Client-Gerät aus. Dies ist ein sehr unkomplizierter Prozess. Windows-Clients können Sie mit dem System Center Configuration Manager oder der PowerShell installieren.

Alltägliches Management

Wenn Sie sich bei der Konsole anmelden, sehen Sie das Alerts Dashboard (Screenshot oben). Hier finden Sie eine Zusammenfassung der jüngsten Bedrohungen. Das Devices Dashboard zeigt eine gerätezentrierte Übersicht. Es zeigt Ihnen die Gesamtzahl der Geräte in Ihrem Netzwerk, die Gruppenzugehörigkeit, die gefährdeten Geräte, den Verbindungsstatus der Geräte und die Verteilung der verschiedenen Endpunkt-Agent-Versionen. Der Titeltext für jeden Dashboard-Bereich ist ein Link zu weiteren Details. Wenn Sie zum Beispiel auf Medium Risk Devices klicken, wird eine Liste der Geräte mit diesem Status angezeigt.

SparkCognition DeepArmor Endpoint Protection Platform

Auf der Seite Devices können Sie einzelne Computer in Ihrem Netzwerk sehen. Sie können diese als Kacheln anzeigen, wie oben gezeigt, oder als einfache Liste. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Scans durchführen, die Gruppenzugehörigkeit ändern oder sie aus der Konsole entfernen. Es ist möglich, die angezeigten Geräte mithilfe der Dropdown-Listen oben auf der Seite zu filtern. Sie können nach Gerätegruppe, Verbindung, Geräterisiko, Geräteplattform oder Geräteversion filtern.

Auf der Seite Alerts werden die letzten Warnungen zusammen mit Details angezeigt. Dazu gehören der Dateiname der Malware, die Art der Erkennung, der Erkennungsname, die Wahrscheinlichkeit, dass die Datei tatsächlich bösartig ist, der Name des betroffenen Geräts, der Zeitpunkt der Erkennung, die ergriffenen oder erforderlichen Maßnahmen und der Datei-Hash. Untergeordnete Registerkarten auf der Detailseite jeder Datei zeigen alle Erkennungen der Datei im gesamten Netzwerk (Occurrences). Es gibt auch weitere Details zu der Datei sowie das Gerät, auf dem sie entdeckt wurde. Die Schaltfläche Take Action bietet die Optionen Remote Remediate, Remote Restore und External Remediate. Diese ermöglichen es dem Administrator, sofortige Maßnahmen zu ergreifen.

Das Menü Administration enthält die Untermenüs Users, Device Policies, Device Groups, Global lists, Audit logs und Reporting. Unter Users können Sie Konsolenadministratoren hinzufügen, bearbeiten und entfernen, denen unterschiedliche Zugriffsstufen (Admin, Manager oder Auditor) zugewiesen werden können. Unter Device Policies können Sie einzelnen Geräten oder Gruppen vorkonfigurierte Einstellungen zuweisen. Letztere können Sie auf der Seite Device Groups verwalten. Mit Device Policies können Sie auch Whitelist-Ordner definieren, d. h. Ordner, die Sie von der Malware-Erkennung ausschließen möchten. Unter Global Lists können Sie außerdem Whitelists für Dateien und Zertifikate sowie Blacklists für Dateien erstellen. Eine Liste der An- und Abmeldungen von Administratoren finden Sie unter Audit Logs. Auf der Seite Reporting können Sie Berichte für bestimmte Gruppen oder alle Geräte erstellen. Sie können den Zeitraum auswählen, für den der Bericht erstellt werden soll, und bestimmen, wer ihn erhalten soll.

Auf der Seite Deployment finden Sie Installationsprogramme für Windows, macOS und verschiedene Linux-Distributionen. Auch das User Guide ist hier zu finden. Die Seite Support schließlich verweist auf die Support-Seite des Herstellers.

Software zum Schutz von Windows-Endgeräten

Der Endpunktschutz-Client verfügt über eine grafische Benutzeroberfläche, über die Benutzer einzelne Dateien und Ordner überprüfen können. Auf der Startseite werden die zuletzt entdeckten Bedrohungen aufgelistet, während eine umfassendere Liste auf der Seite Warnungen zu finden ist. Die Seite Einstellungen zeigt die aktuellen Konfigurationsoptionen für das Programm an. In der Standardeinstellung sind diese für alle Benutzer deaktiviert.

SparkCognition DeepArmor Endpoint Protection Platform

Malware wird bei der Ausführung erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

SparkCognition DeepArmor Endpoint Protection Platform

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

VIPRE Endpoint Security Cloud

Fazit

Dieses Produkt besticht durch ein klares Design, einfache Betriebsabläufe und starke Berichtsfunktionen. Selbst ein weniger erfahrener Benutzer kann den Agenten einsetzen und das Netzwerk verwalten. Das Produkt zeigt, was klares Denken und ein guter Einsatzablauf bewirken können. Es gibt eine aussagekräftige Berichterstattung und einen klaren Prozess für den täglichen Betrieb.

Über das Produkt

VIPRE Endpoint Security Cloud verwendet eine cloudbasierte Konsole, um Windows- und macOS-Clients sowie Windows-Server zu verwalten. VIPRE Endpoint Security ist der Client, der auf dem Desktop läuft. VIPRE teilt uns mit, dass der Cloud-Service auf der Amazon AWS-Cloud läuft und dass dies Effizienz, Skalierbarkeit und Wachstum bringt.

Start und Betrieb

Der Zugriff auf das Webportal erfolgt unkompliziert über eine Standard-Anmeldekombination aus Benutzername und Passwort (eine Zwei-Faktor-Authentifizierung ist ebenfalls möglich). Die Benutzeroberfläche besticht sofort durch ihr klares und übersichtliches Design. Die erste Seite, die Sie sehen, verfügt über einen Getting Started Bereich. Dieser deckt das Einrichten von Agenten, das Anlegen von Benutzern und das Einstellen von entsprechenden Richtlinien ab. Der nächste Abschnitt befasst sich mit fortgeschritteneren Themen nach der Einrichtung. Dazu gehören Dashboard, Devices, Exclusions, Notifications und Reports. Über einen Link auf der Seite Getting Started gelangt man zur Seite Deploy Agents der Konsole. Von hier aus können Sie Installationsprogramme für die Endpunktsoftware herunterladen oder die E-Mail-Funktion verwenden, um Links an Benutzer zu senden. Wir weisen darauf hin, dass auf der Seite ein entsprechender Hinweis erscheint, wenn eine neue Version des Agenten-Installationsprogramms zur Verfügung gestellt wird. Sie können die neue Version entweder für alle Geräte freigeben oder sie zunächst auf einigen Testrechnern ausprobieren.

Alltägliches Management

Sobald Sie die Endpunkt-Software auf Ihren Geräten installiert haben, kommen die Menüs auf der linken Seite ins Spiel. Der Abschnitt Monitor umfasst das Dashboard, das einen direkten Überblick über den Status aller Clients bietet. Es ist offensichtlich, welche Clients überwacht werden müssen, wie viele Geräte und Bedrohungen es gibt und wie die Versionsnummern der eingesetzten Geräte lauten.

Quarantine gibt einen guten Überblick über die Quarantäneaktionen der letzten Woche. Sie können das Berichtszeitfenster leicht erweitern, indem Sie offensichtliche Optionen wie "Letzte 24 Stunden", "Letzte 3 Tage" und so weiter verwenden. Die Berichte sind klar und übersichtlich und zeigen, auf welchen Geräten Probleme aufgetreten sind und mit welchen Malware-Quellen.

Mit Reports können Sie die Daten detaillierter untersuchen, z.B. nach Client, nach Malware, nach durchgeführten Aktionen oder nach Richtliniendefinition. Alle diese Funktionen sind klar und übersichtlich, aber eher für die Verwendung über die Webkonsole konzipiert. Über das Menü System können Sie Benachrichtigungen und Berichte einrichten, die gesendet werden sollen.

VIPRE Endpoint Security Cloud

Der nächste Abschnitt ist Manage, der Devices (siehe oben) umfasst. Hier wird angezeigt, welche Geräte im Einsatz sind und welchen Betriebsstatus sie haben. Für jedes Gerät oder jede Gruppe können Sie Richtlinien zuweisen, einen Scan durchführen, die Definitionen aktualisieren, das Gerät neu starten oder den Agenten löschen.

Mit Policies können Sie steuern, wie die Clients arbeiten dürfen und welche Sicherheitsrichtlinien sie anwenden. Hier gibt es eine breite Palette von Anpassungsmöglichkeiten, aber die Default Enterprise Einstellungen werden wahrscheinlich für die meisten Benutzer geeignet sein. Hier können Sie den Benutzern erlauben, mit dem VIPRE-Client zu interagieren. Sie können ihnen zum Beispiel erlauben, Objekte per Rechtsklick zu scannen, oder erzwingen, dass USB-Geräte beim Einstecken gescannt werden.

Mit Exclusions können Sie Ausschlusslisten mit Dateien, Pfaden, Ordnern usw. erstellen, die von der Überprüfung ausgeschlossen werden. Dazu kann beispielsweise ein gemeinsam genutzter Speicherplatz gehören, der anders als der normale Speicher verwaltet wird.

Der Bereich Setup schließlich umfasst Systemeinstellungen und alle wichtigen Standardeinstellungen der Plattform. Unter Deploy Agents können Sie ein Agenten-Installationspaket herunterladen, ein Richtlinien-Installationsprogramm erstellen und Benutzer per E-Mail einladen. Mit Profile können Sie die Zwei-Faktor-Authentifizierung aktivieren.

Die Webkonsole beeindruckt sowohl bei der Ersteinrichtung und Bereitstellung als auch bei der laufenden Verwaltung. Die Standardeinstellungen sind sinnvoll, die Bildschirme klar und übersichtlich, und es ist offensichtlich, was sie meldet und wie gesund die Clients sind. Es ist einfach, die Clients dazu zu bringen, zentral verwaltete Aufgaben auszuführen, und auch die Konfiguration der Richtlinien ist einfach. Das Anlegen von Benutzern ist einfach, und sie können die Rolle eines Administrators oder Analysten haben. Letzteres könnte beispielsweise für einen Helpdesk-Mitarbeiter geeignet sein.

Es ist einfach, fortlaufende Berichte zu erstellen, und Sie müssen keinen Mailserver angeben, über den sie gesendet werden sollen - dies wird für Sie erledigt.

Wir würden sagen, dass die Plattform für jede Unternehmensgröße geeignet ist, von einem kleinen Unternehmen mit ein paar Arbeitsplätzen bis hin zu einer viel größeren Organisation. Die Benutzeroberfläche der Verwaltungskonsole war bei den Tests stets ansprechend. Sie ist darauf ausgelegt, mit Tausenden von Desktops und einer großen Anzahl von Ereignissen umzugehen.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software ist einem Antivirus-Programm für Privatanwender sehr ähnlich. Standardmäßig können die Benutzer Scans und Updates ausführen und die Quarantäne einsehen. Sie können jedoch keine Einstellungen ändern oder unter Quarantäne gestellte Elemente wiederherstellen. Administratoren können den Benutzern erweiterte oder eingeschränkte Funktionen zur Verfügung stellen, indem sie die entsprechende Richtlinie über die Konsole ändern.

VIPRE Endpoint Security Cloud

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine anderen Maßnahmen ergreifen, als die Warnung zu schließen.

VIPRE Endpoint Security Cloud

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

In diesem Business Security Test und Review erreichte Award-Levels

Wie in den vergangenen Jahren vergeben wir unsere Auszeichnung "Approved Business Product" an qualifizierte Produkte. Da wir nun zwei Tests für Unternehmensprodukte pro Jahr durchführen, werden qualifizierte Produkte im Juli (für die Tests im Zeitraum März-Juni) und im Dezember (für die Tests im Zeitraum August-November) separat ausgezeichnet.

Um im Dezember 2019 als "Approved Business Product" von AV-Comparatives zertifiziert zu werden, müssen die getesteten Produkte mindestens 90% im Malware Protection Test mit null Fehlalarmen auf gängiger Unternehmenssoftware und mindestens 90% im gesamten Real-World Protection Test (d.h. über einen Zeitraum von vier Monaten) mit weniger als hundert Fehlalarmen auf jeder sauberen Software/Webseite (und mit null Fehlalarmen auf gängiger Unternehmenssoftware) erreichen. Die getesteten Produkte müssen außerdem keine größeren Leistungsprobleme aufweisen und alle gemeldeten Fehler behoben haben, um die Zertifizierung zu erhalten.

Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und daher mit dem AV-Comparatives Approved Business Security Product Award für Dezember 2019 ausgezeichnet wurden.

APPROVED
AvastAPPROVED
BitdefenderAPPROVED
CiscoAPPROVED
CrowdStrikeAPPROVED
EndgameAPPROVED
ESETAPPROVED
FireEyeAPPROVED
FortinetAPPROVED
K7APPROVED
KasperskyAPPROVED
McAfeeAPPROVED
MicrosoftAPPROVED
PandaAPPROVED
SeqriteAPPROVED
SophosAPPROVED
SparkCognitionAPPROVED
VIPREAPPROVED

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2019 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstands von AV-Comparatives vor einer Veröffentlichung erlaubt. Dieser Bericht wird von den Teilnehmern unterstützt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Bericht enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2019)