Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Business Security Test 2019 (März - Juni)

Datum Juni 2019
Sprache Deutsch
Letzte Revision 8. Juli 2019

Mit Real-World Protection, Malware Protection und Performance Tests & Produktbewertungen


Datum der Veröffentlichung 2019-07-12
Datum der Überarbeitung 2019-07-08
Prüfzeitraum März - Juni 2019
Anzahl der Testfälle 732 Real-World
1311 Schutz vor Malware
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Dies ist der erste Halbjahresbericht unserer Business-Haupttestreihe 2019, der die Ergebnisse des Business Real-World Protection Test (März-Juni), des Business Malware Protection Test (März), des Business Performance Test (Juni) sowie die Produktbewertungen enthält.

Bitte beachten Sie, dass die Ergebnisse der Business Main-Test Series nicht mit den Ergebnissen der Consumer Main-Test Series verglichen werden können, da die Tests zu unterschiedlichen Zeiten, mit unterschiedlichen Geräten, unterschiedlichen Einstellungen usw. durchgeführt werden.

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Sie müssen sich entscheiden, ob Sie ein Paket für ein lokales Netzwerk mit Server-Installation oder eine vollständig cloudbasierte Lösung wählen. Beides hat seine Vor- und Nachteile, und vieles hängt von Ihrer bestehenden Infrastruktur und Ihren Arbeitsmethoden ab. Es gibt keinen Grund, warum ein Ansatz von Natur aus besser ist als ein anderer.

Am größeren Ende des Marktes bieten CrowdStrike, Endgame und FireEye allesamt außergewöhnlich leistungsfähige Werkzeuge. Wie gut sie zu Ihrem Unternehmen passen, sowohl wie es heute ist als auch wie Sie es in den nächsten fünf Jahren ausbauen wollen, muss sorgfältig geplant werden. Sowohl in der Planungs- als auch in der Einführungsphase sind externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungs- und Betreuungsaufwand. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Paketen völlig unterscheidet. Endgame bietet gleichwertige High-End-Fähigkeiten für große Unternehmen.

McAfee bietet eine Konsole mit umfangreichen Funktionen, die neben dem Endpunktschutz auch zur Verwaltung vieler anderer Produkte verwendet werden kann. Dies bedeutet, dass eine gewisse Schulung und Einarbeitung erforderlich ist, um das Beste daraus zu machen, aber die investierte Zeit wird sich lohnen. Daher wird sie am besten in Unternehmen eingesetzt, die über die entsprechenden IT-Ressourcen verfügen, um die Vorteile der Konsole voll auszuschöpfen.

Microsoft's Intune deckt den Bereich vom KMU-Markt bis zum größten globalen Unternehmen ab, wie man es erwarten würde, da Microsoft es intern einsetzt. Es verfügt über eine übersichtliche, leicht verständliche Benutzeroberfläche und lässt sich hervorragend in Active Directory und die gesamte Palette der richtliniengesteuerten AD-Lösungen integrieren. Für viele Kunden, die sich auf die Microsoft-Unternehmensplattform konzentrieren, bietet diese Lösung als Teil einer vollständig verwalteten Gesamtlösung erhebliche Vorteile.

Cisco bietet ein Produkt mit einer Fülle von Funktionen. Die gut gestaltete Konsole macht es leicht, das Wesentliche zu finden, auch wenn es etwas Einarbeitungszeit braucht, um das Produkt optimal zu nutzen.

SparkCognition präsentiert anspruchsvolle Funktionen in einer übersichtlichen, leicht zu navigierenden Konsole.

Kaspersky und Sophos bieten leistungsstarke, einfach zu verwaltende Produkte, die sich für KMUs und größere Unternehmen gleichermaßen eignen.

Für kleinere Unternehmen bieten Avast, Bitdefender, ESET, Fortinet, K7, Panda und Seqrite starke und kohärente Lösungen. Sie alle sind auch für größere Unternehmen geeignet und ermöglichen so ein Wachstum des Unternehmens.

VIPREDie Einfachheit und Übersichtlichkeit der Software machen sie zu einer sehr guten Wahl für kleinere Unternehmen mit begrenzten IT-Ressourcen, obwohl sie viel Raum für Wachstum lässt. Es ist jedoch auf die Windows-Plattform beschränkt.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 1809 64-Bit getestet:

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und so haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren. Etwa die Hälfte der Hersteller liefert ihre Produkte mit optimalen Standardeinstellungen aus, die sofort einsatzbereit sind, und wir haben daher keine Einstellungen geändert. Die Cloud- und PUA-Erkennung war bei allen Produkten aktiviert. Wir nehmen derzeit keine PUA in unsere Malware-Tests auf. Im Folgenden haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Einstellungsänderungen) aufgeführt:

Bitdefender: "HyperDetect", "Device Sensor" und "EDR-Sensor" deaktiviert.

Cisco: alles aktiviert.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive".

Endgame: Aktivierte Software- und Hardware-Schutzoptionen: “Critical API Filtering”, “Header Protection”, “Malicious Macros”, “Stack Memory”, “Stack Pivot” and “UNC Path”; Protected Applications: “Browser”, “Microsoft Suite”, “Java” and “Adobe”. Exploit Protection: “On – Prevent mode”; Malicious File Configuration: “On” – Protection at File Execution “On”; Options: “Prevent”, “Process execution and loaded modules”, Malware Detection for created and modified files “On”; “Aggressive” threshold.

FireEye: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

Fortinet: Real-Time protection, FortiSandbox, Webfilter und Application Firewall (für die Verwendung von Detect & Block Exploits) aktiviert.

McAfee: "Email attachment scanning" aktiviert; "Real Protect" aktiviert und auf Empfindlichkeit "high" eingestellt, "read/write scan of Shadow Copy Volumes" deaktiviert, "Access Protection" und "Exploit Prevention" deaktiviert.

Microsoft: Cloud-Schutzniveau auf "High" eingestellt.

Sophos: "Web Control" und "Protect against data loss" deaktiviert.

SparkCognition: alle "Policy Settings" und alle "Attack Vectors" Einstellungen aktiviert.

Trend Micro: Verhaltenskontrolle: "Monitor new encountered programs downloaded through web" aktiviert; "Certified Safe Software Service for Behaviour monitoring" aktiviert; "Smart Protection Service Proxy" aktiviert; "Use HTTPS for scan queries" aktiviert; Sicherheitsstufe der Web-Reputation auf "Medium" gesetzt; "Send queries to Smart Protection Servers" deaktiviert; "Block pages containing malicious script" aktiviert; Echtzeit-Scan eingestellt auf "All scannable files", "Scan compressed files to Maximum layers 6"; "CVE exploit scanning for downloaded files" aktiviert; "ActiveAction for probable virus/malware" auf Quarantäne eingestellt; Bereinigungstyp auf "Advanced cleanup" eingestellt und "Run cleanup when probable virus/malware is detected" aktiviert; "Block processes commonly associated with ransomware" aktiviert; "Anti-Exploit Protection" aktiviert; alle "Suspicious Connection Settings" aktiviert und auf Blockieren eingestellt.

Avast, ESET, K7, Kaspersky, Panda, Seqrite, Symantec, VIPRE: Standardeinstellungen.

Informationen über zusätzliche Drittanbieter-Engines/Signaturen, die von einigen der Produkte verwendet werden: Cisco, FireEye, Seqrite und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen).

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen, dazu, dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen und damit ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte unter Beweis stellen.

Unternehmen und Analysten, die an der Überprüfung und den vollständigen Ergebnissen von Symantec und Trend Micro interessiert sind, können uns für ein Angebot kontaktieren.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware nicht direkt aus dem Internet, sondern z.B. über das lokale Netzwerk oder einen Wechseldatenträger in das Testsystem gelangt.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Zusätzlich zu jedem der Schutztests wird ein False Positives Test durchgeführt, um zu prüfen, ob ein Produkt legitime Software fälschlicherweise als schädlich identifiziert.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Der zweite Halbjahresbericht 2019 wird auch die Ergebnisse des neuen Enhanced Real-World Test (Schutz vor Advanced Persistent Threats) enthalten, der die Produkte auf ihre Fähigkeit hin bewertet, anspruchsvolle Angriffe wie dateilose Bedrohungen und Exploits zu blockieren. Vor allem Unternehmen sind häufig Ziel solcher Angriffe. Diese Art von Audit wurde häufig von Analysten und CISOs gefordert. Daher ist sie ein wertvoller Indikator dafür, ob die Sicherheitsprodukte für Unternehmen ihren Ansprüchen gerecht werden.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (März-Juni)

Die nachstehenden Ergebnisse beruhen auf einem Testsatz, bestehend aus 732 Testfälle (wie bösartige URLs), die von Anfang März 2019 bis Ende Juni 2019 getestet wurden.

  Blockiert User Dependent Kompromittiert SCHUTZQUOTE
[Blocked % + (User Dependent %)/2]*
False-Positives (FPs)
Kaspersky
732 100% 0
Bitdefender 732 100% 6
VIPRE 731 1 99.9% 2
Microsoft
730 2 99.9% 24
Sophos 730 2 99.7% 5
McAfee 729 3 99.6% 5
K7 729 3 99.6% 10
Avast 728 4 99.5% 2
Panda 728 4 99.5% 19
CrowdStrike 725 7 99.0% 8
Cisco, ESET
724 8 98.9%
3
SparkCognition
722 10 98.6%
3
Seqrite
719 8 5 98.6%
26
FireEye
720 12 98.4%
2
Endgame 719 13 98.2% 25
Fortinet 718 14 98.0% 5

 

Endgame, K7, Microsoft, Panda und Seqrite hatte eine überdurchschnittlich hohe Anzahl von FPs im Real-World Protection Test.


Malware Protection Test (März)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

False Positives (False Alarm) Test mit gängiger Business-Software

Es wurde auch ein Fehlalarmtest mit gängiger Unternehmenssoftware durchgeführt. Wie erwartet, hatten alle getesteten Produkte Null Fehlalarme bei gängiger Unternehmenssoftware.

  Malware-Schutzrate Fehlalarme bei gängiger Business-Software
Avast, Bitdefender, Panda, Sophos, SparkCognition 99.9% 0
CISCO, Symantec, Trend Micro 99.8% 0
K7, McAfee 99.7% 0
Seqrite 99.6% 0
FireEye, Microsoft 99.5% 0
CrowdStrike, Endgame, VIPRE 99.2% 0
Kaspersky Lab 99.0% 0
Fortinet 98.9% 0
ESET 98.5% 0

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen Fehlalarmtest mit Non-Business Software und ungewöhnlichen Dateien durchgeführt. Dies dient vor allem als zusätzliche Information, insbesondere für Unternehmen, die häufig ungewöhnliche Non-Business Software oder selbst entwickelte Software verwenden. Die Ergebnisse haben keinen Einfluss auf das Gesamtergebnis des Tests oder auf die Auszeichnung als zugelassenes Geschäftsprodukt. Die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben.

FP-Rate
Anzahl der FPs auf
Non-Business-Software
Sehr niedrig
0 - 5
Low
6 - 15
Mittel/Durchschnitt
16 - 25
High
26 - 50
Sehr hoch
51 - 100
Auffallend hoch
> 100
  FP-Rate mit Non-Business-Software
CISCO, ESET, FireEye, Fortinet, Kaspersky Lab, McAfee, Microsoft, Seqrite, Symantec Sehr niedrig
Low
Avast, Bitdefender, K7, Sophos, Trend Micro, VIPRE Medium
Panda, SparkCognition High
CrowdStrike, Endgame Sehr hoch
Auffallend hoch

Performance Test (Juni)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformance im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter Kopieren von Dateien Archivieren /
Wiederherstellen
Installieren /
Deinstallieren von
Anwendungen
Starten von Anwendungen Download von Dateien Browsen von Websites
Erster Durchlauf Nachfolgender Durchlauf Erster Durchlauf Nachfolgender Durchlauf
Avast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Bitdefender perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
Cisco perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
CrowdStrike perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Endgame perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
ESET perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
FireEye perf-level-mediocre perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast
Fortinet perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
K7 perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Kaspersky perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-fast perf-level-veryfast
McAfee perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Microsoft perf-level-fast perf-level-fast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Panda perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Seqrite perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Sophos perf-level-fast perf-level-fast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
SparkCognition perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast
VIPRE perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast

 

Key Langsam perf-level-mediocre Mittelmäßig perf-level-fast Schnell perf-level-veryfast Sehr schnell

 

PC Mark Tests

Um einen branchenweit anerkannten Performance-Test zu ermöglichen, haben wir die PC Mark 10 Professional Edition Testsuite verwendet. Benutzer, die den PC Mark 10 Benchmark[1] verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren, und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie im Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i3-6006U Rechner mit 4GB RAM und SSD-Laufwerk

[1] PC Mark® ist eine eingetragene Marke der Futuremark Corporation / UL.

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

AV-C ScorePC Mark ScoreImpact Score
1.K79099.30.7
2.ESET9099.20.8
3.Seqrite9098.41.6
4.Panda9097.82.2
5.Avast9097.52.5
6.McAfee9097.22.8
7.Endgame8598.66.4
8.Bitdefender8598.16.9
9.CrowdStrike8597.17.9
10.VIPRE8099.011.0
11.Kaspersky8098.311.7
12.Cisco7597.517.5
13.Sophos7596.518.5
14.Microsoft7596.418.6
15.Fortinet7595.219.8
16.SparkCognition7097.322.7
17.FireEye6095.434.6

Produkt Reviews

Auf den folgenden Seiten finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Rezensionen keine Testergebnisse berücksichtigen. Wir bitten die Leser daher, sich sowohl die Rezension als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir betrachten zunächst die Art des Produkts, d.h. ob die Konsole cloud- oder serverbasiert ist, und welche Art von Geräten/Betriebssystemen geschützt und verwaltet werden können.

Der nächste Abschnitt befasst sich mit der Installation und Bereitstellung des Produkts. Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen). Der nächste Schritt - der für alle Produkte gilt - besteht darin, den Verwaltungsagenten und die Endpoint-Protection-Software auf den Client-PCs zu installieren.

Die Überprüfung geht dann zur laufenden Nutzung über, d.h. zu den alltäglichen Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen.

Schließlich werfen wir einen Blick auf die auf dem Client installierte Endpunktschutz-Software. Hier prüfen wir, ob der Endpunktbenutzer Aufgaben wie Scans und Updates selbst durchführen kann oder ob solche Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden.

Avast Business Antivirus Pro Plus

Fazit

Avast Business Antivirus Pro Plus ist ein starkes Produkt für kleine bis mittlere Unternehmen, die eine Lösung suchen, die keine Serverkomponente vor Ort benötigt. Die Benutzeroberfläche ist klar und übersichtlich, und die Standardeinstellungen sind für kleinere Unternehmen sinnvoll. Ein nicht technisch versierter Benutzer sollte keine Probleme haben, das Programm einzusetzen und die Ereignisse zu verfolgen. Es ist wahrscheinlich eher für kleinere Organisationen gedacht. Dennoch verfügt es über Gruppierungs- und Profilfunktionen zum Schutz größerer Bestände. Das Produkt wurde als unkomplizierte Plattform gelobt.

Über das Produkt

Avast Business Antivirus Pro Plus verwendet eine Cloud-basierte Konsole zur Verwaltung von Endpunktschutzlösungen. Das Produkt schützt Windows-Clients, Windows-Server und macOS-Geräte. Zu den Funktionen gehören automatische Software-Updates, Datenvernichtung, Exchange- und SharePoint-Sicherheit sowie Daten- und Identitätsschutz.

Start und Betrieb

Es muss keine Serverkomponente installiert werden, da die Anwendung über eine cloudbasierte Konsole ausgeführt wird. Sie erstellen das Konto, wenden die entsprechende Lizenzierung an und fügen dann Geräte hinzu. Die Bereitstellung kann per Remote-Push, durch Herunterladen eines Installationspakets oder durch Senden eines Download-Links per E-Mail erfolgen. Das Installationsprogramm wird in zwei Größen angeboten, die beide sehr einfach zu bedienen sind. Es gibt eine Light-Version mit einer Größe von etwa 6 MB, bei der es sich lediglich um einen Downloader handelt. Die Vollversion ist rund 300 MB groß und kann offline ausgeführt werden. Die Light-Version ist ideal für kleinere Netzwerke, die Vollversion ist besser für größere Installationen geeignet, um den Internetverkehr zu minimieren. Der Assistent bietet die Möglichkeit, vorhandene AV-Produkte der Konkurrenz zu entfernen.

Alltägliches Management

Auf der Serverkonsole gibt es auf der linken Seite eine Reihe von übersichtlichen Hauptmenüs. Diese sind Dashboard, Notifications, Devices, Tasks, Device Settings, Reports und License.

Die Standardseite Dashboard gibt einen umfassenden und klaren Überblick über die Installation und ihren Verlauf. Sie sehen, wie viele Lizenzen Sie bereitgestellt haben, wie viele noch auf die Aktivierung warten und wie viele Bedrohungen gefunden wurden. Es gibt auch einige grafische Darstellungen dieser Informationen. Es handelt sich um einen einfachen und beruhigenden Überblick für den nicht fachkundigen Administrator.

Notifications fasst alle wichtigen Ereignisinformationen an einem Ort zusammen. Sie können ein Malware-Ereignis auch von hier aus in die Virus Chest (Quarantäne) auf dem betroffenen Computer übertragen. Der Bereich Notifications Settings ist umfassend. Hier können Sie festlegen, wie Benachrichtigungen in einer Vielzahl von Szenarien gehandhabt werden sollen. Besonders gut gefallen hat uns die Option "“if not read then send email notification" (Wenn nicht gelesen, dann E-Mail-Benachrichtigung senden), die für jede Einstellung auf "instantly" (sofort), "batched end of week" (gebündelt am Ende der Woche) oder "never" (nie) eingestellt werden kann. Damit haben Sie die Kontrolle darüber, wie Sie bei einem Ereignis benachrichtigt werden. So können Sie sicherstellen, dass Sie nicht mit Informationen überschwemmt werden, die nicht unmittelbar relevant sind.

Avast Business Antivirus Pro Plus

Die Registerkarte Devices (Screenshot oben) zeigt die Konfiguration jedes Geräts, die Lizenzierung und die Zeit zudem das Gerät zuletzt gesehen wurde. Sie können Geräte in Gruppen zusammenfassen und Einstellungen und Richtlinien über diese Gruppe anwenden.

Tasks ist ein leistungsfähiger Planerbereich. Hier kann der Administrator Aufgaben erstellen, um bestimmte Ereignisse auszuführen. Führen Sie zum Beispiel jeden Tag um 14 Uhr einen kurzen Scan durch. Sie können damit auch eine kurze Nachricht an Ihre Geräte senden, das Gerät aktualisieren und es auch herunterfahren. Es handelt sich um einen einfachen Aufgabenmanager, der jedoch nützliche Funktionen für kleine Büros und Organisationen bietet.

Mit Device Settings können Sie eine Einstellungsvorlage erstellen, die dann auf eine Gruppe von Geräten angewendet wird. Hier haben Sie Zugriff auf alle Kontrollfunktionen für das Gerät. So können Sie festlegen, dass die Dateiprüfung eingeschaltet ist, der Antispam-Dienst läuft, die Firewall aktiviert sein muss usw. Über diese Vorlagen können Sie Richtlinien auf Geräte anwenden.

Die Registerkarte Berichte bietet Zugang zu allen Statistiken über das System und seine Benutzer. Sie können sich hier einen Überblick verschaffen, der besser und umfassender ist als die Ansicht im Dashboard. Unser einziger Kritikpunkt ist, dass wir keine Möglichkeit gefunden haben, ein PDF dieser Seite per E-Mail zu versenden oder in einer Datei zu speichern, was ein nützlicher Tagesbericht gewesen wäre.

Help & Support bietet Links zu verschiedenen Support- und Dokumentationsartikeln, darunter ein Benutzerhandbuch für die Konsole. Diese ist übersichtlich, umfassend und gut erschlossen, auch wenn es an Screenshots mangelt.

Unter General Settings können Sie die Systemzeitzone ändern. Sie können auch einen lokalen Server für Bereitstellungen und Updates erstellen und die Datenbank einer anderen Avast-Konsole importieren.

Software zum Schutz von Windows-Endgeräten

Der Client bietet eine breite Palette von Funktionen, die denen einer normalen Desktop-Lösung für Endbenutzer sehr ähnlich sind. Die Benutzer können Scans und Updates durchführen. Die zentralen Richtlinien bestimmen, was geändert oder angepasst werden kann. Standardmäßig können Windows-Standardbenutzerkonten alle Schutzfunktionen deaktivieren. Admins können dies verhindern, indem sie die Kennwortschutzfunktion in der Konsole aktivieren.

Avast Business Antivirus Pro Plus
Bitdefender Endpoint Security Elite

Fazit

An Bitdefender Endpoint Security Elite gibt es viel zu mögen. Das Design der Verwaltungskonsole ist sehr übersichtlich. Relevante Aufgaben sind in Gruppen zusammengefasst, und der Einführungsassistent macht die Installation einfach. Besonders gut gefallen hat uns die Dashboard-Funktionalität. Die Funktion Policies gibt einen klaren Überblick über die Regeln, die auf die Endpunkte angewendet werden.

Über das Produkt

Bitdefender Endpoint Security Elite verwendet eine Cloud-basierte Konsole zur Verwaltung der Endpunktschutz-Software. Es werden Desktops und Server mit Windows, macOS und Linux unterstützt.

Start und Betrieb

Die Einrichtung der Haupt-Cloud-Konsole ist sehr einfach: Erstellen Sie ein Cloud-Konto, melden Sie sich an und schon haben Sie eine Arbeitsumgebung.

Das erste, was Sie bei der Anmeldung sehen, ist der Essential Steps wizard. Es handelt sich dabei um einen vierstufigen Prozess, der Sie dabei unterstützt, so schnell wie möglich mit der Arbeit zu beginnen. Zu jedem Feld gibt es ausführliche Erklärungen, um zu erläutern, was der jeweilige Schritt bewirkt.

Schritt 1 ist Install Protection, mit dem Sie den Schutz direkt auf dem Computer installieren können, an dem Sie gerade arbeiten. Sie können auch einen Installationslink per E-Mail an entfernte Benutzer senden. Alternativ können Sie die Remote Installation-Funktion verwenden, um den Endpunkt-Client aus der Ferne auf Netzwerkcomputern zu installieren. Um dies zu ermöglichen, müssen Sie einen "Relay"-Computer installieren, der als bridgehead fungiert.

Schritt 2 besteht darin, die Security Policies zu erstellen, die in Ihrem Unternehmen verwendet werden sollen. Damit können Sie für jedes Zielgerät oder jede Gruppe von Geräten einen vorgefertigten Satz von Betriebsanforderungen definieren.

Schritt 3 besteht darin, entsprechende Benutzerkonten zu erstellen. Dies sind administrative Accounts für die Verwaltung der Plattform. Die Rollen können hier >Company Administrator, Network Administrator, Reporter und Custom sein. Ein Reporter könnte z.B. eine Helpdesk-Rolle sein und kann Berichte über Aktivitäten einsehen, ohne Benutzer oder die Unternehmensstruktur ändern zu können.

Schritt 4 ist Reporting, wo Ihnen gezeigt wird, wie Sie geeignete Berichte über die Aktivitäten in Ihrem Netzwerk erstellen können.

Wenn Sie diese Schritte durchlaufen haben, sollten Sie über ein eingerichtetes und verwaltetes Netzwerk verfügen.

Alltägliches Management

Die Konsole ist besonders klar und übersichtlich. Dies trägt dazu bei, dass sich das Produkt sowohl für kleinere Unternehmen mit begrenzter IT-Unterstützung als auch für größere Organisationen eignet. Die Hauptkonsole hat auf der linken Seite eine klare und übersichtliche Menüstruktur. Die Elemente sind Dashboard, Vorfälle, Netzwerk, Policies, Reports, Quarantine, und Accounts.

Das Dashboard gibt Ihnen einen sofortigen Überblick über die Installation und die Leistung der Clients. Jedes Panel wird hier als "Portlet" bezeichnet und kann angeklickt werden, um weitere Informationen zu erhalten. Besonders gut gefallen hat uns, dass die Portlets nach Belieben neu angeordnet, ergänzt und gestaltet werden können. Die starken Fähigkeiten von Dashboard bedeuten, dass Sie schnell und einfach die Informationen finden können, die Sie benötigen.

Incidents ermöglicht es Ihnen, die im Netzwerk entdeckten Bedrohungen zu überprüfen und zu untersuchen.

Bitdefender Endpoint Security Elite

Auf der Seite Netzwerk (siehe oben) können Sie Verteilungspakete konfigurieren. Sie können auch Aufgaben erstellen, die einmal oder mehrmals ausgeführt werden können.

Unter Policies definieren Sie die operativen Gruppen innerhalb Ihrer Organisation und wenden dann Richtlinien auf sie an. Hier gibt es eine Fülle von Möglichkeiten. Sie können die Firewall-Funktionalität, den Anwendungsbetrieb und den Gerätezugriff (z. B. das Sperren von USB-Laufwerken) steuern. Sie können auch Regeln für Exchange Server festlegen.

Mit Reports können Sie sich einen Überblick über die Geschehnisse verschaffen, und zwar nach Funktionsgruppen oder nach Aufgabenbereichen.

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit zu wählen, was mit diesen Dateien geschehen soll.

Mit Konten können Sie die Aktivitäten der eingerichteten Benutzerkonten überwachen.

Wenn Sie auf das Glockensymbol in der oberen rechten Ecke klicken, öffnet sich das Fenster Notifications. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie ein Element genauer betrachten, erhalten Sie eine klare Beschreibung des Ereignisses. Besonders gut gefallen hat uns die Meldung über einen Malware-Ausbruch. So wurde uns mitgeteilt, dass "mindestens 28% von insgesamt X Endpunkten mit Y-Malware infiziert wurden". So lassen sich einzelne Vorfälle leicht von einer netzwerkweiten Pandemie abgrenzen.

Software zum Schutz von Windows-Endgeräten

Der Endpunkt-Client ist eine einfache Anwendung mit einer übersichtlichen Oberfläche. Er zeigt deutlich an, was vor sich geht, mit Details zu durchgeführten Updates, aktivierten Modulen und Programmen, die durch die Firewall gelassen werden. Die Benutzeroberfläche ermöglicht es dem Benutzer, nach Updates zu suchen und einen Scan zu starten. Die Benutzer können auch die Einstellungen des Programms einsehen, aber die Standardrichtlinie verhindert, dass Änderungen vorgenommen werden können. Sie können die Sprache der Benutzeroberfläche ganz einfach über das Menü der Systemablage ändern.

Bitdefender Endpoint Security Elite
Cisco Advanced Malware Protection for Endpoints

Fazit

Die ersten Schritte mit Cisco Advanced Malware Protection for Endpoints sind sehr einfach. Die Konsole muss nicht eingerichtet werden, und die Installation der Client-Software ist schnell und einfach. Klare und farbige Balken- und Doughnut-Diagramme fassen die wichtigsten Informationen zusammen. Was die erweiterte Überwachung und Verwaltung betrifft, so stehen hier zahlreiche Funktionen zur Verfügung. Obwohl die Konsole so gestaltet ist, dass die verschiedenen Funktionen leicht zugänglich sind, würde es einige Zeit in Anspruch nehmen, das volle Potenzial des Produkts auszuschöpfen. Für Unternehmen, die über entsprechendes IT-Personal verfügen, bietet es eine Fülle von Funktionen zur Überwachung, Untersuchung und Abwehr von Sicherheitsbedrohungen.

Über das Produkt

Cisco Advanced Malware Protection for Endpoints (AMP) bietet Malware-Schutz für Windows, macOS, Linux, Android und Apple iOS-Geräte. Diese werden alle über eine Cloud-basierte Konsole verwaltet.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie rufen einfach die URL auf und melden sich an. Installateure für Desktop-Systeme finden Sie durch Klicken auf Management\Download Connector. Der Einrichtungsprozess ist sehr schnell und einfach und erfordert nur ein paar Klicks.

Alltägliches Management

Die Cloud-Konsole wird über eine einzige Menüleiste am oberen Rand der Seite gesteuert. Die Seite Dashboard hat eine Reihe von Unterseiten, die über eine Reihe von Registerkarten am oberen Rand zugänglich sind. Bei Analysis, Outbreak Control, Management and Accounts handelt es sich um Dropdown-Menüs mit jeweils etwa 10 einzelnen Punkten.

Die Overview des Dashboard ist wahrscheinlich der beste Ausgangspunkt, um eine Zusammenfassung wichtiger Informationen zu erhalten. Sie ist in der obigen Abbildung zu sehen. Eine Zahlenreihe am oberen Rand zeigt Statistiken für Elemente wie erkannte Bedrohungen, unter Quarantäne gestellte Elemente und gefährdete Geräte. Darunter befinden sich mehrere Felder mit farbigen Balken- und Doughnut-Diagrammen, die Kompromittierungen, Bedrohungen, Schwachstellen, Dateianalysen, Betriebssystemverteilung, Netzwerkbedrohungen und den Status von AV-Definitionen anzeigen. So erhalten Sie eine sehr klare Zusammenfassung der wichtigsten Informationen. Sie können ganz bequem auf den Titel eines dieser Felder klicken, um eine Detailseite für dieses Element aufzurufen.

Cisco Advanced Malware Protection for Endpoints

Die oben abgebildete Seite Computers wird über das Menü Management aufgerufen. Auch hier finden Sie oben eine Reihe von Statistiken, z. B. über Computer mit Fehlern oder solche, die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Wenn Sie auf das Pluszeichen eines Geräts klicken, wird ein detailliertes Informationsfenster angezeigt, das Informationen wie Betriebssystemversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Zugriffs enthält. Die Geräteliste kann über die Registerkarten am oberen Rand nach Betriebssystemtyp eingeschränkt werden. Sie können die Geräteliste auch nach verschiedenen Details filtern, z. B. nach einer bestimmten Betriebssystemversion, einer Gruppe oder dem Definitionsstatus, indem Sie oben auf Filters klicken.

Das Menü Management enthält eine Reihe anderer Standardfunktionen, wie Groups, Policies, Exclusions und deployment options. Es gibt auch eine Quick Start Anleitung in Form eines Videos, in dem die Funktionen und die Verwendung des Produkts erklärt werden.

Im Menü Analysis finden Sie Funktionen zur Untersuchung von Angriffen. Events zeigt eine Liste der Bedrohungen an, denen geschützte Geräte ausgesetzt sind. Dazu gehören der Zugriff auf riskante Websites, das Herunterladen bösartiger Dateien und der Versuch, verdächtige Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z. B. die IP-Adresse und der Port der bedrohten Website sowie der Hash der bösartigen Datei. So können Sie Maßnahmen gegen die Bedrohungen ergreifen, z. B. die Datei oder Website auf eine schwarze Liste setzen. Wenn Sie hier mit der rechten Maustaste auf den Hash einer Datei klicken, haben Sie die Option Investigate in Cisco Threat Response. Dadurch öffnet sich eine separate Konsole, die zusätzliche Analysedaten liefert. Cisco gibt an, dass dies Informationen von Sicherheitsdiensten von Drittanbietern sowie die eigenen Daten enthält. Die Seite Detections/Quarantine ist ähnlich, filtert die Informationen aber auf tatsächliche Malware-Begegnungen herunter.

Auf der Seite File Analysis können Sie noch weiter in die Tiefe gehen und die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als bösartig einsehen. Auf der Seite Threat Root Cause können Sie sehen, welche legitimen Programme an den Malware-Begegnungen beteiligt waren. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen wie chrome.exe oder explorer.exe gestoßen sind. Auf der Seite Prevalence wird die Anzahl der Geräte angezeigt, die von einer bestimmten Bedrohung betroffen sind. Unter Vulnerable Software werden Programme mit bekannten Schwachstellen aufgelistet, zusammen mit CVE-ID und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen. Schließlich bietet Reports einen sehr detaillierten Wochenbericht, der zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen abdeckt. Diese werden mit farbigen Balken- und Doughnut-Diagrammen veranschaulicht.

Das Menü Outbreak Control bietet Optionen zum Blockieren oder Whitelisting bestimmter Anwendungen und IP-Adressen. Es gibt auch benutzerdefinierte Erkennungsoptionen, mit denen Sie die Installation jedes Programms blockieren können, das Sie als schädlich oder unerwünscht im gesamten Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Software zum Schutz von Windows-Endgeräten

Cisco Advanced Malware Protection for Endpoints

Der Windows-Endpunkt-Client verfügt über eine sehr einfache grafische Benutzeroberfläche, mit der die Benutzer Scans durchführen und die Protokolle anzeigen können. Diese beiden Funktionen werden in separaten, größeren Fenstern geöffnet. Die Benutzer können auch die Einstellungen einsehen, die jedoch standardmäßig gesperrt sind. Der Benutzer hat die Wahl, welche Scans er durchführen möchte. Zur Auswahl stehen Flash Scan (laufende Prozesse), Custom Scan, Full Scan und Rootkit Scan. Standardmäßig wird auf das System kopierte Malware stillschweigend erkannt und gelöscht, d. h. ohne dass eine Warnung angezeigt wird. Dies kann jedoch per Richtlinie so konfiguriert werden, dass Benachrichtigungen angezeigt werden.

CrowdStrike Endpoint Protection Platform Standard Bundle

Fazit

CrowdStrike Falcon ist eine sehr umfassende Plattform. Sie bietet nicht nur AV-Dienste innerhalb einer Organisation, sondern auch eine umfassende Reihe von Erkennungs- und Analysediensten. Wir weisen darauf hin, dass CrowdStrike Falcon als vollständig verwalteter Service für Unternehmen erhältlich ist, die eine Lösung zum Schutz ihrer Endgeräte wünschen, bei der sie sich um nichts kümmern müssen. Ansonsten richtet sich die Lösung an größere Unternehmen und ist nicht wirklich ein Produkt, das man einfach installieren und vergessen kann. Grundlegende alltägliche Überwachungs- und Verwaltungsaufgaben sind selbst mit einem minimalen Verständnis der Funktionsweise des Produkts einfach genug. Die Funktionen des Produkts sind jedoch so tiefgreifend, dass es sich lohnt, etwas Zeit in das Lernen zu investieren, um den maximalen Nutzen zu erzielen. CrowdStrike teilt uns mit, dass Lernmodule online oder über externe Berater verfügbar sind.

Über das Produkt

Crowdstrike Falcon ist eine Plattform zum Schutz von Endgeräten. Sie ist für die proaktive Suche nach bösartigen Aktivitäten und Gegnern (Nationalstaaten, eCrime oder Hacktivisten) zuständig. Die Cloud-basierte Verwaltungskonsole kann von der Cloud aus über jeden modernen Browser ausgeführt werden. Die Endpunktschutz-Software wird für Windows-Clients und -Server, macOS und bestimmte Linux-Client- und -Server-Distributionen bereitgestellt.

Start und Betrieb

Die Verwaltungsinfrastruktur wird für Sie in einer Cloud-Konsole vorgefertigt und erfordert keine Geräte vor Ort - nur einen modernen Browser. Die Bereitstellung des Client-"Sensors" ist hier ganz einfach. Sie beruht auf dem Download des für die Zielplattform geeigneten Installationspakets. Unter Windows können Sie eine automatische Sensorbereitstellung wie den Windows System Center Configuration Manager verwenden. Nach der Installation ist der Falcon Sensor für den Endbenutzer fast unsichtbar. Die Docker-Unterstützung ermöglicht die Installation des Falcon-Agenten auf Hosts, auf denen Docker läuft. Die Bereitstellung in einer Organisation erfordert Planung und geeignete Tools. Dazu gehört auch die Vorbereitung der entsprechenden Richtlinienebenen, die auf die Benutzer anzuwenden sind. Sobald diese Arbeit erledigt ist, sollte die Bereitstellung recht einfach sein.

Alltägliches Management

Die Verwaltungskonsole basiert auf einem Webbrowser, wie Sie es von einer cloudbasierten Lösung erwarten würden. Für die Anmeldung ist eine Zwei-Faktor Authentifizierung erforderlich, und Unterstützung für Single Sign-On Lösungen ist verfügbar. Auf der linken Seite befindet sich ein Menü mit Schaltflächen, das durch einen Klick auf das Falken-Symbol oben links erweitert werden kann. Die wichtigsten Punkte sind Activity, Investigate, Hosts, Configuration, Dashboards, Discover, Intelligence, Users, und Support.

Activity ist der erste Ort, an dem man mit der Arbeit beginnt, sobald die Plattform in Betrieb ist. Hier gibt es ein aussagekräftiges Dashboard, das die wichtigsten Punkte im Blick hat. Gute Grafiken zeigen die Entdeckungen nach Szenario in den letzten 30 Tagen, und Sie können hier in das Untermenü Detections klicken, um mehr Details zu sehen. Sie erhalten eine solide Berichtsinfrastruktur mit einer guten Auswahl an Filteroptionen, die hier in den Vordergrund gestellt werden. Sie können hier auch unter Quarantäne gestellte Dateien und Echtzeit-Response-Sessions untersuchen.

Das Menü Investigate führt Sie zu einer umfassenden Suchfunktion. Diese umfasst Hosts, Hashes, Benutzer, IP-Adressen, Domänen und die Suche nach Ereignissen. Damit sollen bestimmte Probleme im gesamten Netzgebiet in der jüngsten Vergangenheit aufgespürt werden. Die Standardeinstellung ist 24 Stunden, es gibt voreingestellte Filter für bis zu 60 Tage, und es sind Anpassungsoptionen verfügbar.

CrowdStrike Endpoint Protection Platform Standard Bundle

Die oben abgebildete Seite Hosts listet alle Host-Installationen nach Version und Plattform auf. Sie gibt sofort Aufschluss darüber, welche Hosts offline oder nicht verbunden sind. Von hier aus können Sie zum Menü Sensor Download gehen und Sensorinstallationen für alle Plattformen herunterladen

Das Menü Configuration ist das Herzstück des richtliniengesteuerten Prozesses in CrowdStrike Falcon. Von hier aus erstellen Sie Richtliniendefinitionen, die alle Aspekte der AV- und Präventionsprozesse der Plattform abdecken. Und dann wenden Sie diesen Prozess auf Gruppen von Installationen an. Sie können hier auch verschiedene Richtlinien für Windows-, Mac- und Linux-Clients erstellen.

Das Menü Dashboards ermöglicht den Zugriff auf die zusammenfassende Ansicht des Nachlasses. Es gibt detaillierte Grafiken für Erkennungen nach Szenario und Schweregrad sowie Identifizierungen der Top 10 Benutzer, Hosts und Dateien mit den meisten Erkennungen. Dies ist nur die Spitze eines sehr tiefen Eisbergs, der eine umfassende Analyse des Geschehens ermöglicht. Sie können nach fast allem suchen und auf diese Weise herausfinden, was während eines Ausbruchs im Netzwerk passiert ist. Dazu gehört, wo etwas eingedrungen ist, wie es versucht hat, ausgeführt zu werden, welche Prozesse es verwendet hat und wie es eingedämmt wurde. Dies alles ist nichts für schwache Nerven, aber es lässt sich nicht leugnen, dass Sie hier über sehr leistungsfähige Prüf- und Analysewerkzeuge verfügen.

Das Menü Discover ermöglicht es Ihnen, Geräte, Benutzer und Anwendungen im Netzwerk zu erkennen. Sie können nach Anwendungsinventar, Anlagen, Mac-Adressen, Konten und anderen app- oder prozessbasierten Inventaren suchen. Sie können auch Informationen zu Benutzerkonten, einschließlich Domänenkonten, lokalen Konten und dem Status der Kennwortrücksetzung überprüfen.

Das Menü Intelligence gibt Ihnen einen Überblick über die aktuelle Bedrohungslage, wie sie von CrowdStrike wahrgenommen wird. Diese kann nach verschiedenen Faktoren kategorisiert werden. Beispiele sind die geografische Herkunft des Threats, die Zielbranche, das Zielland und die Motivation (Spionage/Kriminelle/Aktivisten und Zerstörung). Jedes Threat wird nach diesen Parametern aufgeschlüsselt. Wenn Sie auf View Profile der Bedrohung klicken, gelangen Sie zu einer umfassenden Analyse und Erklärung dieser spezifischen Bedrohung. Dies ist eine umfassende Ressource, die ungewöhnlich und höchst willkommen ist.

Im Menü User können Sie die üblichen Benutzerprofile für Administratoren und andere Tätigkeiten innerhalb der Plattform erstellen. Es gibt bereits vorgefertigte Rollen für Endpoint Manager, Event Viewer, Administrator, Analyst, Investigator, Real Time Responder, und andere. Sie können diese Rollen auf bestehende interne Arbeitsstrukturen abbilden oder bei Bedarf neue Rollen erstellen.

Der CrowdStrike Store ermöglicht es Ihnen, die Fähigkeiten der Falcon-Plattform mit einer Vielzahl von sofort einsatzbereiten Partner-Apps und Add-Ons zu erweitern.

Software zum Schutz von Windows-Endgeräten

Auf dem Endbenutzer-Client ist die Standardeinstellung, dass der Client für den Benutzer unsichtbar ist. Die einzige Ausnahme sind Malware-Warnungen - siehe Screenshot unten.

CrowdStrike Endpoint Protection Platform Standard Bundle
Endgame Protection Platform

Fazit

Endgame richtet sich an größere Unternehmen, die Präventions- und EDR-Funktionen benötigen. Der Einsatz erfordert eine gewisse Planung und Schulung, was bedeutet, dass es sich nicht um eine Lösung handelt, die Sie einfach installieren und dann vergessen können. Für größere Unternehmen, die über die entsprechenden Ressourcen verfügen, bietet Endgame jedoch eine umfassende Palette an Funktionen.

Über das Produkt

Die Endgame-Endpunktschutzplattform bietet Maßnahmen zur Prävention, Erkennung und Reaktion. Sie verfügt über Funktionen zur Bedrohungsjagd, um gezielte Angriffe zu stoppen. Die Verwaltungskonsole kann über die Cloud auf jedem modernen Browser ausgeführt werden. Die Bereitstellung vor Ort ist ebenfalls eine Option. Die Plattform unterstützt Windows-, Linux-, Mac- und Solaris-Clients und -Server.

Start und Betrieb

Wir haben die cloudbasierte Infrastruktur von Endgame verwendet. Dazu müssen Sie lediglich die URL aufrufen und sich bei der Verwaltungskonsole anmelden. Die Bereitstellung des Client-"Sensors" kann auf zwei Arten erfolgen: in-band oder out-of-band.

In-Band ist derzeit nur für Windows möglich. Der Administrator installiert den Sensor direkt auf Windows-Clients oder -Servern über die Endgame-Verwaltungsplattform. Der Administrator kann das Netzwerk nach nicht überwachten Endpunkten durchsuchen und den Sensor nach Eingabe der Anmeldeinformationen für diesen Endpunkt installieren.

Die Out-of-Band-Installation wird für alle Betriebssysteme unterstützt. Bei der Out-of-Band-Installation können Sie den Sensor mit einem Verwaltungstool wie dem Microsoft System Center Configuration Manager bereitstellen. Sie können auch manuell installieren, nachdem Sie ein Installationspaket von der Seite Administrator/Sensor heruntergeladen haben.

Das Installationsprogramm wird vom Administrator an einen Endpunkt übertragen und von einem erhöhten Befehlszeilenfenster aus ausgeführt. Dazu müssen Sie eine bestimmte Befehlszeilensyntax verwenden (siehe Dokumentation). Ein Doppelklick auf die .exe-Datei löscht sie einfach.

Alltägliches Management

Die Verwaltungskonsole verfügt über fünf Hauptmenüpunkte auf der linken Seite. Das Dashboard gibt einen Überblick über den Status des gesamten Bestands an Client-Geräten und meldet, wie viele Warnungen zu einem bestimmten Zeitpunkt aktiv sind. Es bietet auch eine klare Übersicht über die wichtigsten Alarme, Exploits, Malware und dateilose Alarme, so dass ein umfassender Überblick über das Geschehen möglich ist. Jeder dieser Bereiche kann angeklickt werden, um weitere Informationen zu erhalten.

Endgame Protection Platform

Das Menü Endpoints gibt einen Überblick über alle verwalteten Clients. Sie können sie nach Name, IP-Adresse, Betriebssystemversion, angewandter Richtlinie, Sensorversion, Alarmen und Tags auswählen und sortieren. Von hier aus können Sie eine Reihe von Endpunkten auswählen und dann Aufgaben für sie ausführen. Dazu gehören die Anwendung einer neuen Richtlinie, die Erkennung neuer Endpunkte und die Markierung/Deinstallation/Löschung von Endpunkten aus dem Katalog.

Alerts führt Sie in das Herz der Plattform. Hier erhalten Sie eine Liste aktueller Ereignistypen wie die Verhinderung der Ausführung bösartiger Dateien oder die Erkennung von Dateien. Der Katalog der Ereignisse kann nach Plattform, Betriebssystem, IP-Adresse, Host und Datum sortiert und kategorisiert werden. Am wichtigsten ist die Möglichkeit, ein Ereignis einem Benutzer zuzuweisen, um diese Warnung zu verwalten und sicherzustellen, dass sie angemessen behandelt wird.

Wenn Sie auf ein Ereignis klicken, gelangen Sie auf die Seite Alert Details für dieses Ereignis. Hier sehen Sie viele weitere Details über das Ereignis, wo es begann, was es getan hat und die Analyse der Malware, falls zutreffend. Hier gibt es die Möglichkeit Take Action: Die Optionen umfassen Download Alert, Download Timeline, Resolve, Dismiss, Start Investigation, Download File, Delete File oder Whitelist Items. Von besonderem Interesse ist hier die Funktion Start Investigation, mit der Sie einen Hunt erstellen können. Ein Hunt kann mehrere Informationsquellen abdecken, z.B. Firewall-Regeln, Treiber, Netzwerk, Persistenz, Prozess, Registry, Medien oder Systemkonfiguration. Er ermöglicht es, das Netzwerk nach Informationen zu durchsuchen, die für Ihre Anfrage relevant sind. Eine Schlüsselkomponente ist dabei die Ask Artemis-Funktion, eine Abfrage-Engine für natürliche Sprache. Sie können einfach eine Frage eingeben, und Artemis wird versuchen, sie zu beantworten.

Der Menüpunkt Investigations zeigt eine Liste der laufenden Untersuchungen, wer ihnen zugewiesen ist, welche Endpunkte involviert waren und so weiter. Dies ist sehr wichtig, um zu verstehen, wie die aktuelle Analyse voranschreitet.

Schließlich bietet der Menüpunkt Administration Zugriff auf die Funktionen Policy Settings, Users, Sensors, Alerts, Whitelist und Platform. Auf der Seite Policy Settings können Sie Richtlinien für Ereignisse wie Privilegieneskalation, Prozessinjektion und Zugriff auf Anmeldeinformationen festlegen. So können Sie beispielsweise festlegen, welche Richtlinie bei der Ausführung von Malware angewendet werden soll. Soll sie erkannt oder verhindert werden? Erlauben Sie die Selbstinjektion oder erkennen Sie die DLL-Injektion und so weiter? Dies ist ein Maß an Macht und Kontrolle, das weit über das normale Antivirus-Programm hinausgeht.

Software zum Schutz von Windows-Endgeräten

Auf der Client-Seite gibt es praktisch nichts zu sehen, es sei denn, das System erkennt ein Problem. Dann erscheint ein großes Banner auf dem Bildschirm, das den Benutzer darüber informiert, was passiert ist. Aus der Sicht des Benutzers ist die Endgame-Plattform im Wesentlichen unsichtbar und es gibt nichts, mit dem der Benutzer interagieren könnte.

Endgame Protection Platform
ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Fazit

Das ESET Endpoint Protection Advanced Cloud-Paket ist sehr gut für den KMU-Markt geeignet. Das Produkt ist sehr flexibel und skalierbar gestaltet. Es ist einfach genug für ein Unternehmen mit 25 Benutzern, aber auch anspruchsvoll genug, um mit größeren Netzwerken zurechtzukommen. Die Konsole ist in kürzester Zeit einsatzbereit, und die einfache Menüstruktur macht die Navigation sehr einfach. Wir fanden die Schnittstelle sehr intuitiv und konnten die Client-Software problemlos einrichten und verwalten. Die Möglichkeit, verschiedene Elemente der Konsole individuell anzupassen, ist sehr willkommen. Wir haben auch festgestellt, dass die Konsole sehr schnell reagiert, wenn es um die Anzeige von Warnmeldungen geht. Insgesamt stellt sie eine sehr attraktive Option für kleine und mittlere Unternehmen dar.

Über das Produkt

Wie der Name schon sagt, enthält ESET Endpoint Protection Advanced Cloud eine cloudbasierte Verwaltungskonsole. Es gibt eine Endpoint Protection Software für Windows-Clients, Windows-Dateiserver und macOS-Clients. Für die Windows- und macOS-Clients haben Sie die Wahl zwischen Endpoint Antivirus und Endpoint Security; letztere beinhaltet eine Webkontrollfunktion und ESETs Netzwerkschutzmodul. Mit der Lizenz können Sie auch unverwalteten Schutz für Linux- und Android-Geräte installieren.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie öffnen einfach die URL und geben Ihre Anmeldedaten ein. Wenn Sie sich zum ersten Mal anmelden, können Sie den Standort (Land) des zu verwendenden Rechenzentrums auswählen. Es wird auch empfohlen, eine Zwei-Faktor-Authentifizierung einzurichten, aber das ist optional. Als Nächstes werden Sie vom Startassistenten aufgefordert, Installationspakete zu erstellen. Natürlich können Sie diesen Vorgang abbrechen und zu einem späteren Zeitpunkt wieder aufnehmen. Nach Beendigung des Assistenten wird ein Lernprogramm gestartet. Es ist sehr kurz und einfach und zeigt Ihnen die wichtigsten Bereiche der Konsolenoberfläche.

Um die Client-Software zu installieren, müssen Sie zunächst Installationspakete auf der Seite Installers erstellen. Dazu müssen Sie lediglich ein Produkt auswählen. Sie können die Optionen für die PUA-Erkennung und das ESET Live Grid-Feedback aktivieren oder deaktivieren oder den Assistenten veranlassen, diese während der Installation abzufragen. Sprache, Gruppe und Richtlinie können ebenfalls festgelegt werden. Sobald Sie ein Installationsprogramm erstellt haben, können Sie es direkt von der Konsole aus per E-Mail an die Benutzer senden. Alternativ können Sie es herunterladen und über eine Netzwerkfreigabe oder einen Wechseldatenträger verteilen oder das Tool zur Massenverteilung verwenden. Wenn Sie das Installationsprogramm auf einem Zielcomputer ausführen, können Sie im Setup-Assistenten die Sprache der Benutzeroberfläche auswählen. Ansonsten müssen Sie keine Auswahl treffen, und die Installation ist mit ein paar Klicks abgeschlossen. Es ist auch möglich, den ESET Management Agent über ein Microsoft Active Directory- oder System Center Configuration Manager-Skript zu installieren und dann die Endpunktsoftware über die Konsole zu pushen. Diese Auswahl an Bereitstellungsmethoden bedeutet, dass das Produkt sowohl für kleinere als auch für größere Netzwerke gut geeignet ist.

Alltägliches Management

Sie finden alle Hauptfunktionen der Konsole in einer einzigen Menüspalte auf der linken Seite. Die Konsole öffnet sich auf der Seite Dashboard/Computers, die im obigen Screenshot zu sehen ist. Hier erhalten Sie einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen auf einen Blick. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und gefährlichen Computern sehen. Der Zeitpunkt der letzten Verbindung und der letzten Aktualisierung wird ebenfalls angezeigt, ebenso wie die Verteilung der verschiedenen Betriebssysteme. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassbar. Sie können sie verschieben, in der Größe verändern und unter anderem den Diagrammtyp ändern. Weitere Registerkarten auf der Seite Dashboard ermöglichen Ihnen die Vergrößerung von Antiviren- oder Firewall-Bedrohungen, ESET-Anwendungen und Vorfällen.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Die Seite Computers ist oben abgebildet. Sie gibt Ihnen einen Überblick über alle verwalteten Geräte im Netzwerk; Sie können auf den Eintrag eines Computers klicken, um detailliertere Informationen über dieses Gerät zu erhalten. Dazu gehört u. a. eine detaillierte Hardware-Inventarisierung. Sie können die Computer auch in Gruppen organisieren und Aufgaben wie Scans und Updates durchführen. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Computers with outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen.

Die Seite Threats zeigt Informationen über alle Bedrohungen an, die von allen verwalteten Geräten im Netzwerk erkannt werden. Sie können auf den Eintrag einer beliebigen Bedrohung klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus anzuzeigen.

Reports bietet eine breite Palette an vorkonfigurierten Szenarien wie Active Threats und Last Scan. Das Ausführen eines Berichts zu einem dieser Szenarien ist so einfach wie das Klicken auf die entsprechende Kachel auf der Seite. Sie können auch eigene Berichtsszenarien erstellen, wenn Sie möchten. Berichte können geplant werden, und Sie können die Sprache festlegen.

Mit Policies können Sie eine Vielzahl von Aktionen für einzelne Geräte oder Gruppen durchführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z.B. die Installation von Windows Updates und den Neustart des Betriebssystems.

Policies enthält eine praktische Liste vorkonfigurierter Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Sie können auch eigene Richtlinien erstellen, wenn Sie möchten.

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

Auf der Seite Quarantine sehen Sie alle Dateien, die unter Quarantäne gestellt wurden, sowie nützliche Details wie den Hash, den Bedrohungstyp (Trojaner, PUA, Testdatei) und die Anzahl der betroffenen Computer.

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Windows-Endpunktschutz-Client

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Standardmäßig können die Nutzer auf einen vollwertigen Endpunktschutz-Client zugreifen. Dieser hat eine ähnliche Funktionalität wie ein Antivirus-Programm für Privatanwender. Die grafische Benutzeroberfläche ist einfach und übersichtlich gestaltet. Alle Funktionen sind über ein einziges Menü auf der linken Seite des Fensters leicht zugänglich. Nutzer können Updates und Scans durchführen sowie Protokolle und unter Quarantäne gestellte Dateien anzeigen. Windows-Standardbenutzer können jedoch weder den Schutz deaktivieren noch Elemente aus der Quarantäne wiederherstellen. Wenn Sie möchten, können Sie über die Konsole eine Richtlinie festlegen, um die grafische Benutzeroberfläche für ein beliebiges Gerät oder eine Gruppe zu deaktivieren; in diesem Fall ist für den Benutzer keine Oberfläche sichtbar.

Es gibt eine automatische Aktualisierungsfunktion für die Client-Software, die per Richtlinie eingestellt werden kann. Dadurch wird sichergestellt, dass der Endpunktschutz-Client immer auf dem neuesten Stand ist, indem automatisch die neueste Version der Software heruntergeladen und installiert wird, sobald sie verfügbar ist.

FireEye Endpoint Security

Fazit

FireEye Endpoint Security ist eine äußerst leistungsfähige Plattform. Sie umfasst eine signaturbasierte Engine zum Stoppen bekannter Malware, eine verhaltensbasierte Engine und eine Machine-Learning-Engine. Eine zentrale Stärke ist die Erfassung von Daten aus dem Agenten zur Analyse und anschließenden Entscheidungsfindung. Auf diese Weise kann der Administrator Bedrohungen aufspüren und untersuchen, die sich der ersten Erkennung entziehen könnten.

Dieser tiefe Einblick in den Endpunktbetrieb ermöglicht Analysen und Reaktionen in den größten Unternehmen. Der Einstieg in die Lösung ist jedoch mit einem erheblichen Schulungsaufwand verbunden, sowohl für die Erstkonfiguration als auch für die fortlaufende Effektivität des Betriebs. Um FireEye Endpoint Security optimal nutzen zu können, sollten die Sicherheitsteams bereits über Kenntnisse im Bereich Untersuchungen verfügen. Alternativ kann FireEye auch mit seiner Managed Defence-Praxis helfen. Die Lösung sollte jedoch ein hohes Maß an Einblicken und operativem Management bieten, das auf dem neuesten Stand ist.

Über das Produkt

FireEye Endpoint Security bietet Endpoint Protection mit Erkennung und Reaktion. Es gibt eine cloudbasierte Verwaltungskonsole. Das Produkt ist für die größten Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance. Es sind Agenten für Windows-Clients und -Server, macOS und verschiedene Linux-Distributionen verfügbar.

Start und Betrieb

Die Cloud-Konsole erfordert keine nennenswerte Installation. Client-Installationsprogramme können über das Menü Admin/Agent Versions heruntergeladen und auf den Client-Rechnern bereitgestellt werden.

Die Verwaltungskonsole unterscheidet sich deutlich von einem herkömmlichen zentralisierten AV-Produkt. Der Schwerpunkt liegt auf der Erkennung und Reaktion. Dazu gehört die Erfassung von Daten von Clients, die Analyse dieser Daten und die entsprechende Reaktion darauf.

Die Plattform verfügt über ein äußerst leistungsfähiges und umfangreiches Instrumentarium zur Informationsbeschaffung. Diese ermöglichen es Ihnen, umfassende Abfragen fast jeder Art zu erstellen. Diese werden dann an die Clients weitergeleitet. Die Analyse dieser Informationen ist der Kern des Serverprodukts.

Man könnte FireEye als ein einfaches AV-Paket betrachten, bei dem die Engines Malware verarbeiten, sobald sie gefunden wird. Die wahre Stärke liegt jedoch in den Analyse- und Eindämmungsfunktionen.

Sobald die Agenten bereitgestellt sind, ist nur noch wenig Arbeit zur Konfiguration der Plattform erforderlich. Natürlich können Sie eigene Richtlinien erstellen, wenn Sie dies wünschen. Es ist jedoch wahrscheinlich, dass die globalen Standardeinstellungen die Grundlage für die Bereitstellung bilden werden.

Für kleinere Organisationen gibt es bei der Ersteinrichtung nicht viel Hilfestellung. Das Produkt ist eindeutig auf die professionellere, größere Organisation ausgerichtet. Außerdem wird davon ausgegangen, dass für den Einsatz Schulungen und Beratung erforderlich sind.

Alltägliches Management

FireEye Endpoint Security

Die Verwaltungskonsole ist kein Werkzeug, in das man gelegentlich hineinschnuppert. Um ihre enorme Leistungsfähigkeit zu erschließen, muss man genau wissen, was die Plattform bietet und wie man es erreicht. Hier gibt es wenig Hilfestellung. Das Produkt richtet sich vor allem an große Unternehmen, für die Schulungen und Beratung angeboten werden. Unter diesem Gesichtspunkt ist es kein Produkt für KMU.

Zunächst einmal müssen Sie verstehen, was FireEye zu erreichen versucht. Es stützt sich auf das Sammeln und Analysieren von Informationen, auf Fähigkeiten zur Erkennung von Bedrohungen und auf die Arbeit "hinter den Kulissen" auf dem Client. Der Schwerpunkt liegt dabei auf der Erfassung von Informationen, der Analyse und der Berichterstattung. So können die zentralen Administratoren das Sammeln von Informationen von einer Vielzahl von Client-Rechnern initiieren. Die Informationen können dann verarbeitet werden, so dass Sie auf der Grundlage dieser Informationen Maßnahmen ergreifen können.

Auf der ersten Seite finden Sie eine grundlegende Übersicht über den Status der eingesetzten Agenten. Hier können Sie weitere Details abrufen. Für eine laufende Ansicht ist dies wahrscheinlich ausreichend. Richtig interessant wird es, wenn Sie die Abschnitte Hosts, Enterprise Search, Acquisitions und Rules genauer betrachten. Die wesentliche Komponente ist hier der Aufbau von Suchroutinen, um das Gesuchte zu finden. Sie können den Einschluss des Geräts anfordern. Dies sperrt den Benutzer aus und informiert ihn über die zentralisierte Verwaltungskontrolle. Sie können dann herausfinden, was vor sich geht. Die Möglichkeit, ein Gerät zu sperren, ist eine Schlüsselkomponente für den Umgang mit einem weit verbreiteten Malware-Ereignis.

Es sollte nicht unterschätzt werden, wie viel technisches und Systemwissen erforderlich ist, um das Beste daraus zu machen. Dies ist keine Kritik. In der Tat ist es für einen hartgesottenen IT-Administrator eine große Stärke, Zugang zu dieser Ebene der Abfrage und Analyse des Netzwerks zu haben.

Software zum Schutz von Windows-Endgeräten

FireEye Endpoint Security

Der Windows-Client verfügt über keine Benutzeroberfläche. Es gibt nicht einmal ein Statussymbol oder eine Scan-Funktion im Kontextmenü. FireEye zeigt zwar eine Warnmeldung an, wenn Malware gefunden wird (siehe Screenshot oben). Ansonsten ist der Client für den Endbenutzer jedoch unsichtbar. Er ist so konzipiert, dass er vollständig von der zentralen Konsole aus verwaltet wird, ohne dass der Benutzer Eingaben machen muss.

Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Fazit

Das Fortinet Enterprise Management Server-Paket ist ein starkes Produkt, das sich an größere Unternehmen richtet. Es ist relativ einfach zu installieren und zu implementieren, könnte aber für kleinere Organisationen etwas mehr Unterstützung vertragen. Es gibt einige willkommene grafische Berichte, aber wir waren der Meinung, dass hier mehr getan werden könnte, insbesondere um dem Administrator zu helfen, den Status des Netzwerks zu durchschauen. Für den täglichen Betrieb wäre es jedoch von Vorteil, wenn er geschult würde und Zeit zum Lernen hätte, um das volle Verständnis und die volle Leistung zu nutzen.

Über das Produkt

Die serverbasierte Konsole heißt FortiClient Enterprise Management Server (EMS) und der Client heißt FortiClient. Für die Konsole ist ein Windows Server-Betriebssystem (2008 R2) oder höher erforderlich. Es gibt Endpunktschutz-Software für Windows-Clients und -Server, Mac OS X und Linux.

Start und Betrieb

EMS ist ein lokales, serverbasiertes Produkt. Die Installation der Verwaltungskonsole ist sehr einfach und erfordert fast keine Benutzerinteraktion. Sobald die Konsole eingerichtet ist, müssen Sie einige Aufgaben ausführen, bevor der Client bereitgestellt werden kann. Die Echtzeitschutzfunktion der Endpunktschutzsoftware ist in der Standardrichtlinie deaktiviert. Es ist jedoch sehr einfach, sie unter Endpoint Profiles/Default zu aktivieren.

Danach können Sie den Client auf dem Desktop installieren. Sie können das Installationsprogramm herunterladen, indem Sie die URL des Servers oder www.forticlient.com aufrufen. Sie müssen den Endpunkt-Client auf jedem Rechner mit dem Server verbinden. Dazu geben Sie einfach die IP-Adresse des Servers ein und klicken auf Connect. Auf der Serverseite gibt es gute Berichte über entdeckte Geräte, die nicht Teil der Verwaltungsstruktur sind, und es ist einfach, dies zu beheben. Die Ansicht Dashboard/FortiClient Status bietet einen klaren und übersichtlichen Überblick über den Status des Netzwerks.

Die Erstellung von Benutzern für die Verwaltungskonsole ist relativ einfach. Einem Benutzer können granulare Berechtigungen zugewiesen werden, einschließlich der Erstellung, Aktualisierung und Löschung verschiedener Einstellungen und der Möglichkeit, Endpunkte zu verwalten. Schließlich können Sie hier auch Berechtigungen für die Richtlinienverwaltung zuweisen. Eine Organisation sollte also in der Lage sein, hier einen relativ fein abgestuften Satz von Berechtigungen für verschiedene Ebenen der administrativen Rolle zu erstellen.

Für kleinere Organisationen gibt es bei der Ersteinrichtung nicht viel Hilfestellung. Das Produkt richtet sich eindeutig an die professionellere, größere Organisation, die für den Einsatz Schulungen und Beratung erhalten hat.

Alltägliches Management

Die Enterprise Management Server-Konsole hat eine recht übersichtliche Benutzeroberfläche. Sie würde von einem größeren Bildschirm profitieren. Es gibt ein einziges Menü auf der linken Seite. Wenn Sie hier auf ein Element klicken, wird die rechte Seite des Fensters aufgefüllt. Beginnend mit Dashboard/FortiClient Status, gibt es einen ziemlich grafischen Überblick über den Status der Plattform und der Clients. Sie können sich durch die Elemente klicken, um weitere Daten zu erhalten, aber manchmal ist es nicht besonders offensichtlich, welche Details aufgedeckt wurden. Nehmen wir zum Beispiel unsere "2 infizierten Endpunkte": Wir klicken uns durch und erhalten eine Ansicht der beiden Geräte. Aber auch hier gibt es wenig, was mir sagt, was mit diesen Geräten tatsächlich los ist. Hier wäre mehr Klarheit hilfreich, wenn es um Probleme und Ausbrüche geht.

Die Seite Vulnerability Scan bietet eine interessante Reihe von "Ampel"-Anzeigen, von grün "niedrig" über gelb "mittel" bis orange "hoch" und rot "kritisch". Darunter befindet sich eine Reihe von Schaltflächen, mit denen Sie auswählen können, was gemeldet werden soll, z. B. Betriebssystem, Browser, MS Office, Dienste usw. Wenn Sie die Maus über diese Schaltflächen bewegen, wird die grafische Darstellung der Ampel aktualisiert, aber es ist nicht klar, was die Daten bedeuten, bis Sie tatsächlich auf eine Schaltfläche klicken. Dies ist eine nützliche Schnittstelle, die durch ihre Implementierung etwas beeinträchtigt wird.

Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Auf der Seite Endpoints (siehe oben) können Sie sich den Status aller Endpunkte ansehen. Es wird versucht, diese Seite grafisch zu gestalten, aber einige der Symbole könnten in ihrer Bedeutung klarer sein.

Mit Endpoint Profile können Sie die Richtlinie erstellen, die auf den Computer eines Benutzers übertragen werden soll. Es ist recht einfach und offensichtlich, was hier getan werden muss. Es gibt eine Schaltfläche Basic/Advanced, die hilfreich ist, wenn Sie sich mit den Details befassen oder bei einer vereinfachten Ansicht bleiben möchten.

Schließlich ermöglichen Administration und System Settings die Kontrolle über die grundlegenden Einstellungen der Plattform.

Die tägliche Arbeit mit der Plattform ist recht einfach, da man sowohl Berichte über die Vorgänge erhält als auch bei Bedarf Scans oder Abhilfemaßnahmen einleiten kann. Die Benutzeroberfläche ist recht gut gestaltet, könnte aber noch etwas Feinschliff vertragen, um sie übersichtlicher zu gestalten. Eine stärkere Trennung der Einrichtung von der täglichen Arbeit und von der Systemverwaltung wäre ebenfalls hilfreich.

Software zum Schutz von Windows-Endgeräten

Fortinet FortiClient with Enterprise Management Server & FortiSandbox

Nachdem das Client-Installationsprogramm bereitgestellt wurde, übernimmt es vollständig die Sicherheitsrolle von Windows AV. Die dem Client-Benutzer zur Verfügung stehende Funktionalität hängt von der Richtlinie ab, erlaubt dem Benutzer jedoch standardmäßig, Scans durchzuführen. Dies kann in einer Umgebung nützlich sein, in der die Benutzer ermutigt werden, Teil der AV-Strategie zu sein. Die Benutzer können einige grundlegende Einstellungen sehen, aber nicht ändern. Die Client-Anwendung ist modular aufgebaut, und was Sie sehen, hängt von der durch die Richtlinie aktivierten Funktionalität ab.

K7 Cloud Endpoint Security

Fazit

K7 Cloud Endpoint Security wurde für Unternehmen aller Größenordnungen entwickelt, ist aber aufgrund seiner Benutzerfreundlichkeit besonders für kleinere Unternehmen geeignet. Dank der Cloud-basierten Konsole und des sehr einfachen Installationsprozesses ist es sehr schnell und einfach einzurichten. Die Verwaltungskonsole ist sehr leicht zu navigieren, und der Endpunkt-Client ermöglicht es den Benutzern, Scans und Updates sehr einfach durchzuführen. Ein kleiner Verbesserungsvorschlag wäre, von dem Dashboard-Panel aus Links zu den entsprechenden Detailseiten einzufügen. Insgesamt ist das Programm jedoch sehr einfach und intuitiv zu bedienen.

Über das Produkt

K7 Cloud Endpoint Security verwendet eine cloudbasierte Verwaltungskonsole zur Verwaltung der Endpoint Protection Software für Windows-Clients und -Server.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie rufen einfach die URL auf und melden sich an. Die Bereitstellung von Endpunktschutzsoftware ist fast genauso einfach. Sie müssen lediglich die Seite Settings aufrufen, ein Installationspaket herunterladen und dieses dann ausführen. Der Setup-Assistent ist sehr einfach, es müssen keine Auswahlmöglichkeiten getroffen werden. So können Sie den Client mit nur ein paar Klicks installieren.

Alltägliches Management

Der Zugriff auf alle Funktionen der Konsole erfolgt über eine einzige Menüleiste am oberen Rand des Fensters. Wenn Sie sich anmelden, öffnet sich die Konsole auf der Seite Dashboard, die einen Überblick über den Systemstatus bietet. Es gibt verschiedene Detailpanels, die erkannte Bedrohungen, blockierte Websites, Verletzungen der Hardwarerichtlinien, Geräteverbindungsstatistiken, die Anzahl der Geräte, auf denen bestimmte Windows-Versionen laufen, und eine Zeitleiste der erkannten Bedrohungen anzeigen. Leider gibt es keine Links zu weiteren Informationen. Wenn Sie weitere Details zu einem dieser Punkte finden möchten, müssen Sie andere Seiten aufrufen.

Auf der Seite Groups der Konsole werden die von Ihnen erstellten Gerätegruppen aufgelistet. Es gibt Links zu den Richtlinien, die auf jede Gruppe angewendet werden, und eine Liste von Aufgaben, die Sie auf alle Gruppenmitglieder anwenden können.

Auf der Seite Devices, die in der Abbildung unten gezeigt wird, werden die einzelnen Computer im Netzwerk aufgelistet. Über die Links in der Spalte Actions können Sie die Gruppe eines Computers ändern, ihn aus der Verwaltungskonsole entfernen oder seine Details anzeigen.

K7 Cloud Endpoint Security

Auf der Seite Policies können Sie die Einstellungen für die Endpunkt-Software steuern. Diese sind übersichtlich in Gruppen wie Anti-Virus, Behaviour Protection, Firewall, Web Filtering und Device Control geordnet.

Auf der Seite Policies können Sie die Einstellungen für die Endpunktsoftware steuern. Diese sind in Gruppen wie Antivirus, Behaviour Protection und Firewall geordnet.

Unter Actions können Sie Aufgaben erstellen, die auf einzelnen Computern oder Gruppen ausgeführt werden. Zu den verfügbaren Aufgaben gehören eine Reihe von Scans und ein Client-Update.

Die Seite Settings könnte besser "Installation" heißen, da ihre einzige Funktion darin besteht, Ihnen das Herunterladen von Installationspaketen für die Endpunktschutzsoftware zu ermöglichen.

Die Seite Reports bietet eine sehr einfache Möglichkeit, Berichte über Elemente wie erkannte Bedrohungen und Schwachstellen sowie Scanergebnisse zu erstellen.

Software zum Schutz von Windows-Endgeräten

K7 Cloud Endpoint Security

In den Standardeinstellungen haben die Benutzer Zugriff auf ein ziemlich standardmäßiges Endpunkt-Client-Fenster mit einer Komponentenstatusanzeige. Damit können die Benutzer Definitionsaktualisierungen und eine Vielzahl von Scans durchführen. Es sind jedoch keine Einstellungen zugänglich. Administratoren können die GUI-Funktionalität mithilfe von Richtlinien erhöhen oder verringern. Die Endpunktsoftware enthält eine eigene Firewall von K7, die die Windows-Firewall ersetzt. Wie beim Malwareschutz haben die Benutzer keinen Zugriff auf die Einstellungen.

Fazit

Kaspersky Endpoint Security for Business Select ist ein starkes Produkt, das sich an mittlere und große Unternehmen richtet. Es bietet eine sehr gute plattformübergreifende Unterstützung und eine duale Schnittstelle.

Über das Produkt

Kaspersky Endpoint Security for Business Select nutzt serverbasierte Verwaltungsfunktionen. Sie unterstützt die Verwaltung von Endpoint Security-Clients für Windows-, Mac- und Linux-Desktops, Windows- und Linux-Server sowie Android- und iOS-Mobilgeräte. Es wird eine duale Verwaltungsoberfläche bereitgestellt: Sie können eine webbasierte Konsole (oberer Screenshot auf der Seite oben) oder eine MMC-basierte Konsole (unterer Screenshot auf der Seite oben) verwenden. In diesem Test haben wir die MMC-basierte Version von Kaspersky Security Center beschrieben. Wir hoffen, die webbasierte Konsole im zweiten Geschäftsbericht des Jahres 2019 zu besprechen.

Start und Betrieb

Die Installation der Verwaltungskonsole ist für einen erfahrenen Administrator ein einfacher Prozess. Es wird eine SQL-Datenbank benötigt. Falls diese noch nicht eingerichtet wurde, kann der Administrator den kostenlosen Microsoft SQL Server Express, Microsoft SQL Server oder MySQL über die im Setup-Assistenten angegebenen Links herunterladen. Nach Abschluss der Installation wird der Assistent für die Schutzbereitstellung gestartet. Dieser erkennt automatisch Netzwerk-Clients und -Server und ermöglicht deren Installation per Remote-Push. Er ist einfach zu bedienen. Sie können Desktops und Server anhand ihres IP-Subnetzes, ihrer Microsoft Active Directory-Mitgliedschaft, ihrer Domänennamen und ihrer Amazon AWS-API erkennen.

Der Assistent kann durch Klicken auf Advanced\Remote Installation in der Konsolenstruktur erneut gestartet werden, um zu einem späteren Zeitpunkt neue Geräte hinzuzufügen. Kaspersky Security Center bietet zusätzlich eine Richtlinie zur automatischen Installation. Das bedeutet, dass bei der Erkennung von Geräten, die einer verwalteten Gruppe zugeordnet werden, die entsprechende Endpunktschutz-Software automatisch installiert wird. Sie können auch ein Installationspaket erstellen, das Sie über einen Weblink, eine Netzwerkfreigabe oder ein USB-Gerät für individuelle Installationen verteilen können. Die Startseite der Konsole (Kaspersky Security Center 11) trägt den Untertitel Getting started: devices, tasks, policies and reports. Interface configuration. Sie bietet eine umfassende Reihe von Anleitungen und Beschreibungen, die den Administrator bei seinen täglichen Aufgaben unterstützen. Dazu gehören u.a. How to find your devices(Wie Sie Ihre Geräte finden), Where to view a list of all tasks(Wo Sie eine Liste aller Aufgaben einsehen können) und Where to view summary information about Administration Server operation(Wo Sie zusammenfassende Informationen zum Betrieb des Administrationsservers einsehen können).

Alltägliches Management

Kaspersky nutzt das Microsoft Management Console Framework für die Verwaltungsoberfläche. Jeder, der Erfahrung mit der Verwaltung von Windows hat, wird damit vertraut sein, und die Navigation ist sehr einfach. Die täglichen operativen Aufgaben werden über die Elemente Administration Server\Statistics, Managed Devices, Device Selections, Policies, Tasks und User Accounts in der Konsolenstruktur ausgeführt.

Die Registerkarte Administration Server/Statistics zeigt einen klaren Überblick über die Netzwerksicherheit anhand von Kreisdiagrammen mit einem Ampel-Farbschema für die Zustände OK, Critical und Warning. Dies ist im obigen Screenshot zu sehen. Sie können die Seite anpassen, um verschiedene Elemente anzuzeigen oder den Diagrammstil zu ändern.

Managed Devices zeigt eine Liste der Computer im Netzwerk, zusammen mit Status- und Geräteinformationen. Hier gibt es sehr nützliche Anpassungsmöglichkeiten. Der Administrator kann Spalten hinzufügen und sortieren, z. B. Betriebssystem und Architektur, Echtzeitschutzstatus, IP-Adresse, letzte Aktualisierung und erkannte Malware.

Device Selections verwendet eine einfache, reportähnliche Funktion, um nach Computern zu suchen, die Aufmerksamkeit benötigen. Die Funktion ist extrem einfach zu bedienen. Es gibt eine Liste von Eigenschaften, nach denen Sie suchen können, z. B. Devices with Critical status und Many viruses detected. Um eine Suche durchzuführen, klicken Sie einfach auf das entsprechende Kriterium und dann auf Run Selection. Die Ergebnisse werden in einer separaten Selection Results-Registerkarte angezeigt.

Die Berichtsoptionen finden Sie unter Administration Server\Reports.

Auf der Seite Policies kann der Administrator Konfigurationsrichtlinien für Netzwerkcomputer anzeigen, erstellen und bearbeiten. Es gibt separate Richtlinien für den Netzwerkagenten und die Endpunktschutzsoftware. Auch hier handelt es sich um eine sehr einfach zu bedienende Funktion.

Tasks zeigt eine Liste von Aufgaben an, die bereits ausgeführt wurden. Sie können auch neue Aufgaben erstellen oder sie aus einer Datei importieren. Es gibt eine übersichtliche und verwaltbare Liste von Aufgaben wie Remote-Anwendungsinstallation, Update, Virenscan und Nachricht an Benutzer senden.

User Accounts im Abschnitt Advanced der Konsolenstruktur zeigt eine vollständige Liste aller Windows-Benutzer im Netzwerk. Hier können Sie Benutzer und Gruppen hinzufügen und einen Bericht über die Benutzer der am meisten infizierten Geräte erstellen.

Software zum Schutz von Windows-Endgeräten

Die Philosophie des Produkts ist, dass die Endpunktsoftware vom IT-Personal und nicht vom Endbenutzer verwaltet werden sollte. Das Programmfenster ist im Wesentlichen eine umfassende Statusanzeige. Es zeigt den Sicherheitsstatus und die Erkennungsstatistiken für die verschiedenen beteiligten Technologien, wie z. B. das maschinelle Lernen, an. Obwohl es eine Schaltfläche Settings gibt, ist die Konfiguration standardmäßig gesperrt. Benutzer können jedoch über das Kontextmenü im Windows Explorer Scans von Laufwerken, Ordnern oder Dateien durchführen.

Kaspersky Endpoint Security for Business Select
McAfee Endpoint Security with ATP and ePolicy Orchestrator Cloud

Fazit

ePolicy Orchestrator Cloud von McAfee ist zweifellos leistungsstark und bietet als Teil einer breiteren McAfee Managed Platform eine Menge. Allerdings erfordert die Verwaltung der ePolicy Orchestrator Cloud-Konsole eine gewisse Einarbeitung. Wir hatten den Eindruck, dass der Funktionsumfang des Produkts bedeutet, dass die für die tägliche AV-Verwaltung erforderlichen Elemente nicht so leicht zu finden sind wie bei weniger anspruchsvollen Produkten. Es ist jedoch ein Produkt, das die anfängliche Lernphase durch spätere einfachere Verwaltungsverfahren belohnt.

Über das Produkt

Dies ist eine Cloud-basierte Verwaltungskonsole mit Desktop-AV-Paket. Endpoint Security ist ein Client, der auf dem Desktop läuft, mit Clients für macOS und Windows. Es gibt eine webbasierte Konsole namens ePolicy Orchestrator Cloud. Das Cloud-basierte Produkt richtet sich an Unternehmen mit bis zu 10.000 Benutzern. Es gibt Clients für Windows-Clients und -Server sowie für macOS. Es wird eine großzügige 60-tägige Testphase angeboten, so dass Sie das Produkt vor dem Kauf ausgiebig testen können.

Start und Betrieb

Der Zugang zum Webportal erfolgt einfach über eine Standard-Kombination aus Benutzername und Passwort. Die Benutzeroberfläche ist recht modular aufgebaut, je nach Ihrer aktuellen Aufgabe. Ganz oben befindet sich ein Dropdown-Menü. Dann gibt es Hauptmenüpunkte von Dashboards, Getting Gestartet, Systeme, und Abfragen & Berichte. Der beste Ort, um damit anzufangen, ist die Getting Started Menü. Hier erhalten Sie eine sehr einfache Seite, auf der Sie das Installations-Client-Paket für die Plattform, die Sie gerade verwenden, herunterladen können.

Die Ausführung des Installationspakets für den Endpunktschutz ist schnell und einfach. Zu Beginn wird nur der Agent selbst installiert. Die ausgewählten Schutzkomponenten werden dann heruntergeladen und in einem Zeitraum von etwa 20 Minuten automatisch installiert.

Alltägliches Management

Die Webkonsole ist sinnvollerweise in mehrere Hauptarbeitsbereiche unterteilt. Die Standardseite Dashboards bietet eine breite Palette von Berichten und Ansichten, die Bereiche wie Compliance Status, Protection Summary, Web Control Activity und so weiter abdecken. Die Registerkarte Systeme listet alle Installationen zusammen mit ihrem Status und dem Zeitstempel der letzten Kommunikation auf.

Ein Aspekt der GUI war für uns unklar. Alle Datums-/Zeitstempel in der Verwaltungskonsole scheinen auf der Zeitzone Mountain Time zu stehen, da sich der Hauptsitz des McAfee-Rechenzentrums offenbar in Denver, Colorado, befindet. Unserer Meinung nach ist es für den Erstbenutzer alles andere als offensichtlich, wie er die Zeitzone in eine lokale Zeitzone ändern kann.

Auf der Registerkarte Dashboards steht eine breite Palette von Berichten und Ansichten zur Verfügung, und bei jeder dieser Ansichten können Sie sich zu weiteren Daten durchklicken. Wir fanden diese Funktionalität brauchbar, wenn auch nicht ganz so intuitiv, wie wir es uns gewünscht hätten.

Es sei darauf hingewiesen, dass die Nutzung von ePO Cloud im Allgemeinen umso einfacher wird, je mehr Sie sich mit der Software vertraut machen. Admins, die ePO Cloud zum ersten Mal verwenden, sollten bedenken, dass sich die Zeit, die sie in das Erlernen der Funktionsweise investieren, später auszahlen wird. Es gibt eine Reihe von Möglichkeiten, wie die täglichen Aufgaben durch Automatisierung erleichtert werden können. Sie können die Benutzeroberfläche auch anpassen, indem Sie z. B. häufig genutzte Funktionen in die Quick-Links-Leiste am oberen Rand einfügen.

Software zum Schutz von Windows-Endgeräten

McAfee Endpoint Security with ATP and ePolicy Orchestrator Cloud

Das Hauptfenster des Desktop-Clients ist recht klar und übersichtlich und bietet die Möglichkeit zum Scannen, Aktualisieren und Anzeigen des Status der einzelnen Komponenten. Die meisten anderen Steuerelemente - wie etwa die Ereignisprotokolle und die Quarantäne - sind für Standardbenutzer standardmäßig deaktiviert. Der Administrator kann dies jedoch von der Konsole aus genau steuern, so dass alle oder einzelne Steuerelemente nach Wunsch aktiviert oder deaktiviert werden können. In der Systemablage befindet sich ein Symbol. Wenn Sie darauf klicken, können Sie Update Security, das Hauptfenster der Anwendung, Sicherheitsstatus anzeigen, den Statusmonitor und eine Infoseite aufrufen.

Microsoft Windows Defender Antivirus for Business with Intune

Fazit

Die Intune-Cloud-Konsole hat ein sehr klares, modernes Design und lässt sich mithilfe der einzelnen Menüleiste auf der linken Seite sehr einfach navigieren. Die Live-Kacheln auf der Dashboard-Seite bieten einen Überblick über die Sicherheitssituation auf einen Blick. Die integrierten Links ermöglichen es dem Administrator, mit wenigen Klicks weitere Informationen zu finden und die erforderlichen Maßnahmen zu ergreifen. Der Management-Agent kann in kleineren Unternehmen einfach manuell oder in größeren Unternehmen per Gruppenrichtlinie bereitgestellt werden. Intune kann für die Verwaltung von Tausenden von Geräten verwendet werden und ist mit seiner intuitiven, leicht zu navigierenden Oberfläche eine ausgezeichnete Wahl.

Über das Produkt

Intune ist ein Cloud-basierter Dienst, der Unternehmen ein Sicherheitsmanagement für ihre Geräte, Apps und Daten bietet. Die abgedeckten Plattformen sind Windows Desktop, Windows Mobile, macOS, iOS und Android. Dieser Bericht befasst sich mit der Verwendung von Microsoft Intune zur Verwaltung der standardmäßigen Antiviren- und Sicherheitsfunktionen von Windows. Bitte beachten Sie, dass eine duale Verwaltungsoberfläche verfügbar ist. In dieser Überprüfung haben wir die oben gezeigte klassische Schnittstelle behandelt.

Start und Betrieb

Da die Verwaltungskonsole cloudbasiert ist, ist keine Installation erforderlich. Damit die Clients von der Konsole aus überwacht und gesteuert werden können, muss ein Management-Agent auf ihnen installiert werden. Dieser ist leicht unter Admin/Client Software Download zu finden und kann mit ein paar Klicks manuell auf dem Client installiert werden. Bei größeren Netzwerken kann der Administrator die Software mithilfe von Gruppenrichtlinien automatisch installieren.

Bei Windows 10- und Windows 8.1-Clients ist der Antivirus-Client von Microsoft bereits in das Betriebssystem integriert. Es ist keine weitere Software-Installation erforderlich. Bei Windows 7-PCs ist der Antiviren-Client hingegen nicht vorinstalliert, sondern steht als Update zur Verfügung. Wenn der Intune-Verwaltungsagent auf einem Windows 7-Client ohne AV-Schutz installiert wird, wird das Microsoft AV-Client-Update automatisch heruntergeladen und installiert.

Alltägliches Management

Die Navigation in der Intune-Konsole erfolgt über eine sehr übersichtliche Menüspalte auf der linken Seite. Die Dashboard (Home)-Seite zeigt den Status der verschiedenen Komponenten in Microsofts vertrautem Live-Kachellayout an. Die Kachel Endpoint Protection zeigt die Anzahl der Geräte an, die eine Nachverfolgung benötigen, sowie die Anzahl der Geräte mit gelösten Malware-Erkennungen. Diese werden grafisch als farbkodierte Balkendiagramme dargestellt. Andere Kacheln liefern Informationen über Warnings/Critical Alerts und Device Health. Ein Klick auf ein Element innerhalb einer Kachel, wie z. B. Warnings, öffnet die entsprechende Detailseite für das betreffende Element.

Unter Groups\Devices werden verwaltete Computer aufgelistet, zusammen mit Details wie Betriebssystem sowie Datum und Uhrzeit der letzten Aktualisierung. Die Seite Protection bietet einen detaillierteren Überblick über Malware-Erkennungen, den Gerätestatus und die am häufigsten erkannte Malware. Außerdem gibt es eine Liste aller Malware-Elemente, die im Netzwerk entdeckt wurden. Alerts zeigt Details zu allen sicherheitsrelevanten Warnungen an, einschließlich Berichten über fehlgeschlagene Client-Software-Installationen.

Software zum Schutz von Endgeräten

Die genaue Beschaffenheit der Benutzeroberfläche der Client-Schutzsoftware hängt von der auf dem PC installierten Version von Windows ab. Aktuelle Windows 10-Clients verfügen über die unten abgebildete Oberfläche des Windows Defender Security Center:

Microsoft Windows Defender Antivirus for Business with Intune

Ältere Versionen von Windows, einschließlich Windows 7 und 8.1, verwenden dieselbe Benutzeroberfläche wie Microsoft Security Essentials. Diese ähnelt der eines typischen Antivirenprogramms für Verbraucher. Unabhängig von der Benutzeroberfläche ermöglichen alle Varianten dem Benutzer, Malware-Definitionen zu aktualisieren und vollständige, schnelle, benutzerdefinierte und über das Kontextmenü durchgeführte Scans durchzuführen.

Panda Endpoint Protection Plus on Aether

Fazit

Panda Endpoint Protection Plus auf Aether ist ein sehr starkes Produkt. Es ist leistungsstark genug für größere Organisationen, aber auch einfach genug für kleinere Unternehmen. Es ist sehr einfach einzurichten, da es keinen Server vor Ort benötigt. Es gibt eine ausgezeichnete, sehr übersichtliche und nützliche Verwaltungskonsole. Diese verfügt über einen klaren Installations- und Bereitstellungsablauf. Besonders beeindruckt waren wir von der sauberen und übersichtlichen Gestaltung der Benutzeroberfläche und der Geschwindigkeit, mit der sie zu bewältigen war.

Über das Produkt

Es handelt sich um ein über eine Cloud-Konsole verwaltetes System mit Geräte-Clients für Windows-Server, Windows/Linux-PCs und mobile Android-Geräte. Die Desktop-Client-Software verfügt über eine einfache Schnittstelle, über die Benutzer Updates und verschiedene Scans durchführen können. Es ist für Unternehmen jeder Größe geeignet.

Start und Betrieb

Das Produkt wird über eine cloudbasierte Konsole verwaltet, die keine Installation erfordert. Die Bereitstellung erfolgt über die Seite Installation. Ein einfacher Klick auf Send by email öffnet eine E-Mail-Nachricht mit einem Link zum Herunterladen und Installieren. Dies funktioniert für Windows, Linux und Android. Der Benutzer klickt auf den bereitgestellten Link, um den Client zu installieren, und dieser wird dann automatisch lizenziert. Alternativ können Sie auch eine Installationsdatei direkt von der Konsole herunterladen. Diese kann dann lokal installiert oder per Netzwerkfreigabe oder Wechseldatenträger verteilt werden. Sobald sich ein Client-Gerät mit der Verwaltungskonsole verbunden hat, können Sie es einer Verwaltungsgruppe zuweisen. Dies kann manuell, nach IP-Adressbereich oder durch Active Directory-Integration erfolgen und ist natürlich hilfreich bei einer Organisation mit mehreren Standorten oder einer Organisation, die nach IP-Adresse/VLAN in Teams aufgeteilt ist (Vertrieb, Buchhaltung usw.).

Alltägliches Management

Der Schutzstatus und der Verlauf der Bedrohungserkennung werden auf der Seite Status angezeigt, die standardmäßig geöffnet wird. Hier gibt es hervorragende Grafiken für erkannte Bedrohungen, einschließlich Malware-Typen, Erkennungsursprung und blockierte URLs. Dies bietet einen soliden täglichen Überblick über die Probleme. Besonders gut gefällt uns, dass die Seite einen Überblick über den Status gibt, aber auch die Möglichkeit bietet, sich für detailliertere Informationen durchzuklicken. Wenn Sie zum Beispiel auf die Hauptgrafik Protection Status klicken, gelangen Sie auf die Seite Computers, wie unten dargestellt.

Panda Endpoint Protection Plus on Aether

Auf dieser Seite werden alle geschützten Computer und mobilen Geräte angezeigt. Sie ist sehr übersichtlich gestaltet und zeigt drei Statuskategorien - Protection Update, Knowledge Update und Protection - als einfache farbkodierte Symbole an. In einer Windows-ähnlichen Ordnerstruktur auf der linken Seite können Sie die Geräte nach Gruppen sortieren.

Die Seite Reports generiert Übersichtsberichte, die täglich, wöchentlich oder monatlich per E-Mail verschickt werden können. Sie können alle Computer oder bestimmte Gruppen angeben und zusätzlich zu den Standardberichten Protection Status und Detections den License Status einbeziehen.

Auf der Registerkarte Einstellungen können Sie die Standardkonfigurationsrichtlinien sehen und auch neue erstellen. Wie nicht anders zu erwarten, finden Sie auf der Seite Quarantäne die unter Quarantäne gestellten Objekte. Andere Dienste enthält einen Link zu den Support-Seiten auf der Website des Herstellers.

Software zum Schutz von Windows-Endgeräten

Auf dem Windows-Client selbst befindet sich eine saubere und übersichtliche Anwendung. Sie ermöglicht den Zugriff auf solide Endbenutzerfunktionen wie Full Scan, Critical Areas Scan und Custom Scan. Der Benutzer kann hier auch eine Synchronisierung der Updates erzwingen. Es gibt jedoch keinen Zugang zu den Einstellungen. Es handelt sich um ein nützliches, klares und übersichtliches Tool, mit dem fast jeder Benutzer zurechtkommen sollte.

Panda Endpoint Protection Plus on Aether
Seqrite Endpoint Security Cloud

Fazit

Seqrite Endpoint Security Cloud bietet eine einfach zu bedienende Cloud-Konsole und eine Auswahl an unkomplizierten Bereitstellungsmethoden. Das macht die Nutzung für kleine Unternehmen einfach, aber es gibt auch genügend Funktionalität für größere Unternehmen. Es ist eine gute Wahl für kleine Unternehmen mit Expansionsplänen.

Über das Produkt

Seqrite Endpoint Security Cloud bietet Endpunktschutz für Windows-, macOS- und Linux-Clients sowie für Windows-Server. Zu den zusätzlichen Funktionen gehören Data Loss Prevention und Asset Management. Wie der Name schon andeutet, ist die Verwaltungskonsole Cloud-basiert und ermöglicht somit den Zugriff auf den Dienst aus der Cloud über jeden modernen Browser.

Start und Betrieb

Für die Konsole ist keine Einrichtung erforderlich, da sie cloudbasiert ist. Sie rufen einfach die URL auf und melden sich an. Es gibt drei Optionen für die Bereitstellung der Endpunktschutzsoftware für Clients. Sie sind alle bequem über dieselbe Seite zugänglich. Sie können ein Installationspaket von der Konsole herunterladen und es auf den Client-PCs ausführen. Alternativ können Sie einen Link zum Installationsprogramm direkt von der Konsole aus per E-Mail an die Benutzer senden. Die dritte Möglichkeit besteht darin, ein Remote-Installationspaket herunterzuladen und auszuführen, um die Software auf Clients im LAN zu verteilen.

Alltägliches Management

Alle wichtigen Funktionen der Konsole befinden sich in einem einzigen Menüfeld auf der linken Seite. Dieses kann aufgeklappt werden, um den Text der Menüpunkte anzuzeigen, oder eingeklappt werden, um nur die Symbole anzuzeigen. Die Konsole wird auf der Seite Dashboard geöffnet. Diese bietet einen Überblick über den Sicherheitsstatus des Systems. In den oberen Feldern wird die Gesamtzahl der Endpunkte im Netzwerk angezeigt und wie viele davon geschützt und infektionsfrei sind. Andere Bereiche verwenden Linien- oder Doughnut-Diagramme, um den Infektionsstatus, den Aktualisierungsstatus, die letzte Verbindungszeit der Endpunkte und die Betriebssystemverteilung anzuzeigen.

Sie können einzelne Bereiche verschieben oder löschen, um Ihr eigenes individuelles Dashboard zu erstellen. Wenn Sie auf einen Abschnitt in einem der Diagramme klicken (z. B. kürzlich verbundene Endpunkte), wird ein Detailfenster für dieses Element angezeigt.

Seqrite Endpoint Security Cloud

Unter der Überschrift Computer (siehe oben) listet Status einzelne Geräte auf und zeigt wichtige Informationen wie die angewandte Richtlinie, den Aktualisierungsstatus und die letzte Verbindungszeit an. Sie können auf dieser Seite ganz einfach Aufgaben ausführen, indem Sie Computer auswählen und dann das Menü Client Actions verwenden, um Scans, Updates usw. durchzuführen.

Auf der Seite Deployment können Sie vorkonfigurierte Installationsprogramme für die verschiedenen unterstützten Betriebssysteme/Architekturen herunterladen. Sie können auch Ihre eigenen angepassten Installationsprogramme erstellen oder die E-Mail-/Ferninstallationsoptionen auf derselben Seite nutzen.

Mit Policies können Sie vorhandene Richtlinien und die Geräte, die sie anwenden, sehen. Sie können auch die Details jeder Richtlinie sehen und jede Richtlinie als Grundlage für die Anpassung duplizieren.

Unter Configurations finden Sie Optionen für die Funktionen zur Gerätesteuerung und Anwendungssteuerung. Sie können auch den Installationspfad für Windows-Clients angeben.

Reports bietet eine Reihe von vorkonfigurierten Berichten, wie z.B. Virus Scan, Web Security and Firewall. Sie können auch Ihren eigenen benutzerdefinierten Bericht von Grund auf neu erstellen.

Der Admin-Bereich umfasst Dinge wie Lizenzen, Konsolenbenutzer und Benachrichtigungen.

Software zum Schutz von Windows-Endgeräten

Seqrite Endpoint Security Cloud

Seqrite Endpoint Security verfügt über einen vollwertigen Windows-Endpunktschutz-Client mit der gleichen Funktionalität und Benutzeroberfläche wie ein typisches Antivirenprogramm für Verbraucher. Das Design ist klar und modern, mit einer einzigen Reihe von Kacheln für die wichtigsten Funktionen. Die Benutzer können vollständige, benutzerdefinierte, Speicher- und Startzeit-Scans durchführen. Standardbenutzer können jedoch keine Einstellungen des Programms ändern.

Sophos Intercept X Advanced

Über das Produkt

Sophos Intercept X Advanced verwendet eine Cloud-Konsole (Sophos Central), um Windows-Clients und -Server sowie macOS-Clients zu verwalten. Das Paket enthält Intercept X, das neuronale Netzwerkanalysen von Malware verwendet. Es bietet Schutz vor Ransomware und Exploits sowie zusätzliche Browser-Sicherheit. Es gibt auch Funktionen zur Untersuchung und Entfernung.

Fazit

Die Verwaltungskonsole ist sehr leistungsfähig und übersichtlich gestaltet. Der größte Teil des Produkts funktioniert auf klare und konsistente Weise. Für einen einigermaßen erfahrenen Systemadministrator ist es einfach zu implementieren, bereitzustellen und zu verwalten. Für neue Systemadministratoren kann der Umfang der in der Konsole verfügbaren Funktionen dazu führen, dass wesentliche AV-Verwaltungsaufgaben etwas schwieriger zu finden sind.

Start und Betrieb

Das Produkt wird vollständig über eine cloudbasierte Konsole verwaltet. Die Lizenzen werden auf diese Konsole angewendet und können dann an die Client-Computer verteilt werden. Die Installation des Clients ist sehr einfach. Sie können das Installationspaket herunterladen und von dort aus installieren oder es über die von Ihnen gewählte Verwaltungsschnittstelle ausgeben.

Geräte können Gruppen zugewiesen werden (wie Sie es erwarten würden) und übernehmen zentral definierte Richtlinien. Benutzer werden automatisch in Sophos Central erstellt, wenn sie ein von Sophos geschütztes Gerät verwenden. Sie können auch über CSV importiert und über eine Active Directory-Anwendung synchronisiert werden. Ein Benutzerkonto wird auch verwendet, um den Zugriff auf die Sophos Management-Funktionen zu steuern. Ein Benutzer kann hier als User, SuperAdmin, Admin, Help Desk und Read-only klassifiziert werden. Dies ermöglicht eine mehrschichtige Konfiguration der Verwaltung der Sophos Plattform. Es gibt eine Reihe von Funktionen, die auf Richtlinien angewendet werden können. Dazu gehören die Sperrung von Web-URLs, die Kontrolle von Peripheriegeräten und die Verwaltung der Anwendungsausführung.

Alltägliches Management

Die Sophos Central Dashboard-Ansicht ist recht übersichtlich. Sie bietet eine übersichtliche Benutzeroberfläche, die einen Überblick über alle Systeme und Schutzfunktionen bietet. Hier können Sie sehen, wie viele Endpunkte aktiv sind, die neuesten Warnungen und Statistiken über die Verwaltung des Web-URL-Zugriffs.

Unter dem Punkt Alerts finden Sie eine Liste aller aufgetretenen Alarme. Sie können nach Description, Count und Actions sortieren.

Logs and Reports zeigt eine Sammlung von Standardberichten. Ein bemerkenswerter Bericht ist Policy Violators. Hier werden die Benutzer angezeigt, die am häufigsten versucht haben, auf gesperrte Websites zuzugreifen.

People (Computerbenutzer), Devices und Global Settings tun das, was Sie erwarten würden.

Endpoint Protection führt Sie zu einer weiteren Reihe von Benutzeroberflächen und Menüs. Auch hier gibt es Seiten für die Menüpunkte Dashboard, Logs und Reports, People und Computers. Hier können Sie auch Richtlinien und Einstellungen konfigurieren und Endpunkt-Installationspakete herunterladen.

Windows-Endpunktschutz-Software

Sophos Intercept X Advanced

Die Windows-Endpunktschutz-Software verfügt über eine grafische Benutzeroberfläche mit einer umfassenden Statusanzeige. Sie ermöglicht es den Benutzern auch, Scan-Aufgaben auszuführen. Die Registerkarte Status zeigt den allgemeinen Sicherheitsstatus an und bietet Zusammenfassungen der neuesten Bedrohungsarten. Die Registerkarte Events listet die letzten Malware-Erkennungen auf. Über die Schaltfläche Scan auf der Seite Status können Benutzer einen vollständigen Systemscan durchführen. Alternativ können sie im Windows Explorer mit der rechten Maustaste auf eine Datei, einen Ordner oder ein Laufwerk klicken und dann im Kontextmenü auf Scan with Sophos Anti-Virus klicken.

SparkCognition DeepArmor Endpoint Protection Platform

Fazit

SparkCognition DeepArmor EPP lässt sich dank der cloudbasierten Konsole und des einfachen Bereitstellungsprozesses sehr einfach einrichten. Die Verwaltungskonsole hat ein sehr klares Design, das den Administrator nicht überwältigt. Um das Produkt optimal zu nutzen, benötigt man zweifellos einige Zeit, aber die Benutzeroberfläche macht diesen Prozess so einfach wie möglich.

Über das Produkt

SparkCognition verwendet eine cloudbasierte Konsole zur Verwaltung des Endpunktschutzes für Windows-, Mac- und Linux-Systeme.

Start und Betrieb

Die Konsole muss nicht installiert werden, da sie cloudbasiert ist. Die Bereitstellung der Endpunktschutzsoftware ist für alle Betriebssystemtypen im Wesentlichen gleich. Das entsprechende Installationsprogramm kann von der Downloads-Seite der Konsole heruntergeladen und auf dem jeweiligen Client-Gerät ausgeführt werden. Dies ist ein sehr unkomplizierter Prozess. Bei Windows-Clients ist auch eine Installation über den System Center Configuration Manager oder die PowerShell-Befehlszeile möglich.

Alltägliches Management

Wenn Sie sich bei der Konsole anmelden, wird das Alerts Dashboard angezeigt (Screenshot oben). Hier finden Sie eine Zusammenfassung der letzten Bedrohungen. Das Devices Dashboard zeigt eine gerätezentrierte Übersicht, die Ihnen die Gesamtzahl der Geräte in Ihrem Netzwerk, die Gruppenzugehörigkeit, die gefährdeten Geräte, den Verbindungsstatus der Geräte und die Verteilung der verschiedenen Endpunkt-Agent-Versionen anzeigt. Der Titeltext für jeden Dashboard-Bereich ist ein Link zu weiteren Details. Zum Beispiel zeigt Medium Risk Devices eine Liste von Geräten mit diesem Status an.

SparkCognition DeepArmor Endpoint Protection Platform

Auf der Seite Devices können Sie einzelne Computer in Ihrem Netzwerk sehen. Diese können als Kacheln, wie oben gezeigt, oder als einfache Liste angezeigt werden. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Scans durchführen, die Gruppenzugehörigkeit ändern oder sie aus der Konsole entfernen. Es ist möglich, die angezeigten Geräte mithilfe der Dropdown-Listen oben auf der Seite zu filtern. Sie können nach Gerätegruppe, Verbindung, Geräterisiko, Geräteplattform oder Geräteversion filtern.

Die Seite Alerts zeigt die letzten Warnungen an, zusammen mit Details zum Dateinamen der Malware, wie sie entdeckt wurde, Erkennungsname, "Konfidenz" (Wahrscheinlichkeit, dass die Datei wirklich bösartig ist), Name des betroffenen Geräts, Zeitpunkt der Erkennung, ergriffene oder erforderliche Maßnahmen und Datei-Hash. Unterregisterkarten auf der Detailseite jeder Datei zeigen alle Erkennungen der Datei im Netzwerk (Occurrences) und weitere Details der Datei, einschließlich Zertifikatsinformationen, Datei-Metadaten und PE-Importe (Static file analysis). Die Schaltfläche Take Action bietet die Optionen Remote Remediate, Remote Restore, und External Remediate, die es dem Administrator ermöglichen, sofortige Maßnahmen zu ergreifen.

Das Menü Administration enthält die Untermenüs Users, Device Policies, Device Groups, Global lists, Audit logs und Reporting. Unter Users können Sie Konsolenadministratoren hinzufügen, bearbeiten und entfernen, denen unterschiedliche Zugriffsstufen (Admin, Manager oder Auditor) zugewiesen werden können. Unter Device Policies können Sie einzelnen Geräten oder Gruppen vorkonfigurierte Einstellungen zuweisen. Letztere können über die Seite Device Groups verwaltet werden. Mit Device Policies können Sie auch Whitelist-Ordner definieren, d.h. Ordner, die vom Malware-Schutz ausgeschlossen werden. Unter Global Lists können Sie außerdem Whitelists für Dateien und Zertifikate sowie Blacklists für Dateien erstellen. Eine Liste der An- und Abmeldungen von Administratoren ist unter Audit Logs zu finden. Auf der Seite Reporting können Sie Berichte für bestimmte Gruppen oder alle Geräte erstellen. Sie können den Zeitraum auswählen, für den der Bericht erstellt werden soll, und bestimmen, wer ihn erhalten soll.

Auf der Seite Downloads finden Sie Installationsprogramme für Windows, macOS und verschiedene Linux-Distributionen. Die Seite Support schließlich verweist auf die Support-Seite auf der Website des Herstellers.

Software zum Schutz von Windows-Endgeräten

SparkCognition DeepArmor Endpoint Protection Platform

Der Endpunktschutz-Client verfügt über eine grafische Benutzeroberfläche, mit der die Benutzer einzelne Dateien und Ordner überprüfen können. Auf der Startseite werden die zuletzt entdeckten Bedrohungen aufgelistet, während eine umfassendere Liste auf der Seite Alerts Seite zeigt. Über Settings Seite enthält Steuerelemente für verschiedene Konfigurationsoptionen für das Programm, die jedoch standardmäßig für alle Benutzer deaktiviert sind.

VIPRE Endpoint Security Cloud

Fazit

Dieses Produkt besticht durch ein klares Design, einfache Betriebsabläufe und starke Berichtsfunktionen. Selbst ein weniger erfahrener Benutzer kann den Agenten einsetzen und das Netzwerk verwalten. Das Produkt zeigt, was klares Denken und ein guter Einsatzablauf bewirken können. Es gibt eine aussagekräftige Berichterstattung und einen klaren Prozess für den täglichen Betrieb.

Über das Produkt

VIPRE Endpoint Security Cloud verwendet eine Cloud-basierte Konsole zur Verwaltung von Windows-Clients und -Servern. VIPRE Endpoint Security ist der Client, der auf dem Desktop läuft. VIPRE teilt uns mit, dass der Cloud-Service auf der Amazon AWS-Cloud läuft und dass dies Effizienz, Skalierbarkeit und Wachstum bringt.

Start und Betrieb

Der Zugang zum Webportal erfolgt unkompliziert über eine Standard-Benutzername/Passwort-Kombination. Die Benutzeroberfläche besticht sofort durch ihr klares und übersichtliches Design. Die erste Seite, die Sie sehen, hat einen Getting Started-Bereich. Dieser deckt das Einrichten von Agenten, das Anlegen von Benutzern und das Setzen von entsprechenden Richtlinien ab. Der nächste Abschnitt befasst sich mit fortgeschritteneren Themen nach der Einrichtung. Dazu gehören Dashboard, Devices, Exclusions, Notifications und Reports. Über einen Link auf der Seite Getting Started gelangt man zur Seite Deploy Agents der Konsole. Von hier aus können Sie Installationsprogramme für die Endpunktsoftware herunterladen oder die E-Mail-Funktion verwenden, um Links an Benutzer zu senden. Wir weisen darauf hin, dass auf der Seite ein entsprechender Hinweis erscheint, wenn eine neue Version des Agenten-Installationsprogramms zur Verfügung gestellt wird. Sie können die neue Version entweder für alle Geräte freigeben oder sie zunächst auf einigen Testrechnern ausprobieren.

Alltägliches Management

Sobald Sie die Endpunkt-Software auf Ihren Geräten installiert haben, kommen die Menüs auf der linken Seite ins Spiel. Der Abschnitt Monitor umfasst das Dashboard, das einen direkten Überblick über den Status aller Clients bietet. Es ist offensichtlich, welche Clients überwacht werden müssen, wie viele Geräte und Bedrohungen es gibt und wie die Versionsnummern der eingesetzten Geräte lauten.

Quarantine gibt einen guten Überblick über die Quarantäneaktionen der letzten Woche. Sie können das Berichtszeitfenster leicht erweitern, indem Sie offensichtliche Optionen wie "Letzte 24 Stunden", "Letzte 3 Tage" und so weiter verwenden. Die Berichte sind klar und übersichtlich und zeigen, auf welchen Geräten Probleme aufgetreten sind und mit welchen Malware-Quellen.

Mit Reports können Sie die Daten detaillierter untersuchen, z.B. nach Client, nach Malware, nach durchgeführten Aktionen oder nach Richtliniendefinition. Alle diese Funktionen sind klar und übersichtlich, aber eher für die Verwendung über die Webkonsole konzipiert. Über das Menü System können Sie Benachrichtigungen und Berichte einrichten, die gesendet werden sollen.

VIPRE Endpoint Security Cloud

Der nächste Abschnitt ist Manage, der Devices (siehe oben) umfasst. Hier wird angezeigt, welche Geräte im Einsatz sind und welchen Betriebsstatus sie haben. Für jedes Gerät oder jede Gruppe können Sie Richtlinien zuweisen, einen Scan durchführen, die Definitionen aktualisieren, das Gerät neu starten oder den Agenten löschen.

Mit Policies können Sie steuern, wie die Clients arbeiten dürfen und welche Sicherheitsrichtlinien sie anwenden. Hier gibt es eine breite Palette von Anpassungsmöglichkeiten, aber die Default Enterprise Einstellungen werden wahrscheinlich für die meisten Benutzer geeignet sein. Hier können Sie den Benutzern erlauben, mit dem VIPRE-Client zu interagieren. Sie können ihnen zum Beispiel erlauben, Objekte per Rechtsklick zu scannen, oder erzwingen, dass USB-Geräte beim Einstecken gescannt werden.

Mit Exclusions können Sie Ausschlusslisten mit Dateien, Pfaden, Ordnern usw. erstellen, die von der Überprüfung ausgeschlossen werden. Dazu kann beispielsweise ein gemeinsam genutzter Speicherplatz gehören, der anders verwaltet wird als der normale Speicher.

Der Bereich Setup schließlich umfasst die Systemeinstellungen und alle wichtigen Standardeinstellungen der Plattform. Unter Deploy Agents können Sie ein Agenten-Installationspaket herunterladen, ein Richtlinien-Installationsprogramm erstellen und Benutzer per E-Mail einladen.

Die Webkonsole beeindruckt sowohl bei der Ersteinrichtung und Bereitstellung als auch bei der laufenden Verwaltung. Die Standardeinstellungen sind sinnvoll, die Bildschirme klar und übersichtlich, und es ist offensichtlich, was sie meldet und wie gesund die Clients sind. Es ist einfach, die Clients dazu zu bringen, zentral verwaltete Aufgaben auszuführen, und auch die Konfiguration der Richtlinien ist einfach. Das Anlegen von Benutzern ist einfach, und sie können die Rolle eines Administrators oder Analysten haben. Letzteres könnte beispielsweise für einen Helpdesk-Mitarbeiter geeignet sein.

Es ist einfach, fortlaufende Berichte zu erstellen, und Sie müssen keinen Mailserver angeben, über den sie gesendet werden sollen - dies wird für Sie erledigt.

Wir würden sagen, dass die Plattform für jede Unternehmensgröße geeignet ist, von einem kleinen Unternehmen mit ein paar Arbeitsplätzen bis hin zu einer viel größeren Organisation. Die Benutzeroberfläche der Verwaltungskonsole war bei den Tests stets ansprechend. Sie ist darauf ausgelegt, mit Tausenden von Desktops und einer großen Anzahl von Ereignissen umzugehen.

Software zum Schutz von Windows-Endgeräten

Der Endpunktschutz-Client ist einem Antivirenprogramm für Privatanwender sehr ähnlich. Standardmäßig können Benutzer Scans und Updates ausführen und die Quarantäne einsehen. Sie können jedoch keine Einstellungen ändern oder unter Quarantäne gestellte Objekte wiederherstellen. Administratoren können Benutzern erweiterte oder eingeschränkte Funktionen zur Verfügung stellen, indem sie die entsprechende Richtlinie über die Konsole ändern.

VIPRE Endpoint Security Cloud

In diesem Business Security Test und Review erreichte Award-Levels

APPROVED
AvastAPPROVED
BitdefenderAPPROVED
CiscoAPPROVED
CrowdStrikeAPPROVED
EndgameAPPROVED
ESETAPPROVED
FireEyeAPPROVED
FortinetAPPROVED
K7APPROVED
KasperskyAPPROVED
McAfeeAPPROVED
MicrosoftAPPROVED
PandaAPPROVED
SeqriteAPPROVED
SophosAPPROVED
SparkCognitionAPPROVED
VIPREAPPROVED

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2019 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstands von AV-Comparatives vor einer Veröffentlichung erlaubt. Dieser Bericht wird von den Teilnehmern unterstützt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Bericht enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Juli 2019)