Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Business Security Test 2020 (August - November)

Datum November 2020
Sprache Deutsch
Letzte Revision 11. Dezember 2020

Mit Real-World Protection, Malware Protection, Performance und Produktbewertungen


Datum der Veröffentlichung 2020-12-15
Datum der Überarbeitung 2020-12-11
Prüfzeitraum August - November 2020
Anzahl der Testfälle 801 Real-World
1.603 Schutz vor Malware
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Dies ist der zweite Halbjahresbericht unserer Business-Haupttestreihe 2020. Er enthält die Ergebnisse des Business Real-World Protection Test (August-November), des Business Malware Protection Test (September), des Business Performance Test (November) sowie der Produktbewertungen.

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Ein entscheidender Punkt für einige Unternehmen ist die Frage, ob sie sich für eine cloudbasierte oder eine serverbasierte Konsole entscheiden sollen. Erstere lässt sich fast sofort einrichten und macht in der Regel eine zusätzliche Konfiguration der Client-Geräte überflüssig. Letztere erfordert mehr Arbeit für den Administrator, bevor alles betriebsbereit ist, einschließlich der Konfiguration von Clients und der Unternehmensfirewall. Dies bedeutet jedoch, dass sich die gesamte Einrichtung in den Räumlichkeiten des Unternehmens befindet und unter der direkten Kontrolle des Administrators steht. Für kleinere Unternehmen mit begrenztem IT-Personal sind cloudbasierte Konsolen möglicherweise eine einfachere Option. Bitte beachten Sie, dass die Hersteller in einigen Fällen sowohl cloudbasierte als auch serverbasierte Optionen für die Verwaltung ihrer Produkte anbieten. Hinweise auf den Konsolentyp beziehen sich hier nur auf das spezifische Produkt, das in unseren Tests verwendet wurde. Wenden Sie sich bitte an den jeweiligen Hersteller, um zu erfahren, ob andere Konsolentypen verfügbar sind.

Avast, K7 und Vipre bieten einfach zu bedienende Cloud-Konsolen an, die sich besonders für kleinere Unternehmen ohne Vollzeit-IT-Personal eignen würden. All diese würden sich auch für größere Unternehmen eignen und bieten so die Möglichkeit mit dem Unternehmen zu wachsen.

Fortinet, G Data und Kaspersky verwenden serverbasierte Konsolen, die für erfahrene Windows-Profis sehr vertraut und einfach sind. Sie eignen sich für den Einsatz im KMU-Bereich aufwärts. Bitte beachten Sie, dass Fortinet eine zusätzliche cloudbasierte Konsole für sein FortiEDR-Produkt anbietet. Kaspersky bietet eine cloudbasierte Konsole als Alternative zum serverbasierten Produkt an.

Für Unternehmen derselben Größe, die nach cloudbasierten Verwaltungslösungen suchen, bieten Bitdefender, ESET, Microsoft, Panda und Sophos allesamt starke und kohärente Lösungen.Acronis, Cybereason, und VMware Carbon Black erfordern zwar etwas mehr Einarbeitungszeit, sind aber ebenfalls sehr gut für diese Kategorie von Unternehmen geeignet.

Am größeren Ende des Marktes bieten Cisco, CrowdStrike, Elastic, FireEye und SparkCognition allesamt außerordentlich leistungsfähige Tools. Wie gut sie zu Ihrem Unternehmen passen, wie es heute ist und wie Sie es in den nächsten fünf Jahren ausbauen wollen, muss sorgfältig geplant werden. Sowohl in der Planungs- als auch in der Einführungsphase sind externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungs- und Betreuungsaufwand. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Paketen völlig unterscheidet.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 1909 64-bit getestet:

In Unternehmensumgebungen und bei Business-Produkten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und daher haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren.

Nur wenige Hersteller liefern ihre Produkte mit optimalen Standardeinstellungen, die sofort einsatzbereit sind, und haben daher keine Einstellungen geändert. Die Cloud- und PUA-Erkennung ist bei allen Produkten aktiviert. Derzeit testen wir allerdings keine PUA in unseren Malware-Tests.

Bitte beachten Sie, dass die in der Enterprise Main-Test Series erzielten Ergebnisse nur durch die Anwendung der hier beschriebenen Produktkonfigurationen erreicht wurden. Jede hier als aktiviert aufgeführte Einstellung kann in Ihrer Umgebung deaktiviert sein und umgekehrt. Dies beeinflusst die Schutzraten, die Fehlalarmraten und die Auswirkungen auf das System. Die angewendeten Einstellungen werden im Laufe des Jahres für alle unsere Enterprise Tests verwendet. Das heißt, dass wir es einem Anbieter nicht erlauben, die Einstellungen je nach Test zu ändern. Andernfalls könnten die Anbieter ihre jeweiligen Produkte z.B. so konfigurieren, dass sie bei den Protection Tests maximalen Schutz bieten (was die Performance verringern und die Fehlalarme erhöhen würde) und bei den Performance Tests maximale Geschwindigkeit erreichen (was wiederum den Schutz und die Fehlalarme verringern würde). Bitte beachten Sie, dass bei einigen Produkten für Unternehmen alle Schutzfunktionen standardmäßig deaktiviert sind, so dass der Administrator das Produkt konfigurieren muss, um einen Schutz zu erhalten.

Nachfolgend haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Änderungen) aufgeführt:

Bitdefender: "Sandbox Analyzer" und "Scan SSL" aktiviert; "HyperDetect", "Device Sensor" und "EDR Sensor" deaktiviert.

Cisco: alles aktiviert und auf Blockieren eingestellt.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive". "Unknown Detection-Related Executables" und "Unknown Executables" deaktiviert.

Cybereason: "Anti-Malware" aktiviert; "Signatures mode" auf "Disinfect" eingestellt; "Behavioral document protection" aktiviert; "Artificial intelligence" auf "Aggressive" eingestellt; "Exploit protection", "PowerShell and .NET", "Anti-Ransomware" und "App Control" aktiviert und auf "Prevent" eingestellt; alle "Collection features" aktiviert; "Scan archives on access" aktiviert.

Elastic: Schutz vor "Malware" und "Process Injection" aktiviert; Schutz vor "Blacklist", "Credential Access", "Exploit" und "Ransomware" sowie alle "Adversary Behaviors" deaktiviert.

ESET: Alle Einstellungen für “Real-Time & Machine Learning Protection” sind auf "Aggressive" eingestellt.

FireEye: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

Fortinet: Alle "AntiVirus Protection"-Einstellungen aktiviert und auf "Block" gesetzt. Zusätzlich wurden "Anti-Exploit", "Cloud Based Malware Detection", "Advanced Heuristic", "FortiGuard Analytics", FortiSandbox's "Sandbox Detection", "Web Filter", "Application Firewall", "Detect and Block Exploits & Botnets" und "FortiEDR" aktiviert; "Exclude Files from Trusted Sources" für "Sandbox Detection" aktiviert.

G Data: "Exploit Protection", "Anti-Ransomware" und "BankGuard" aktiviert; "BEAST Behavior Monitoring" auf "Pause Program and Quarantine" eingestellt.

Kaspersky: "Adaptive Anomaly Control" deaktiviert.

Microsoft: Cloud protection level auf "High" eingestellt, Cloud-delivered protection auf "Advanced" eingestellt. Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert.

Sophos: Alle Optionen unter "Active Adversary Mitigations" aktiviert. "Web Control" und "Protect against data loss" deaktiviert.

SparkCognition: alle "Policy Settings" und alle "Attack Vectors"-Einstellungen aktiviert und auf "Aggressive" eingestellt.

VMware: Richtlinie auf "Advanced" eingestellt.

Acronis, Avast, K7, Panda, Vipre: Standardeinstellungen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Acronis, Cisco, Cybereason, FireEye, G Data und Vipre verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen). VMware verwendet die Avira Engine (zusätzlich zu ihren eigenen Schutzfunktionen). G Data’s OutbreakShield basiert auf Cyren.

ESET Endpoint Protection Advanced Cloud wurde kürzlich in ESET PROTECT Entry umbenannt.

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen, dazu, dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen und damit ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte unter Beweis stellen.

 

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware bereits auf der Festplatte vorhanden ist oder z. B. über das lokale Netzwerk oder ein Wechseldatenträger in das Testsystem gelangt, anstatt direkt aus dem Internet.

Zusätzlich zu den einzelnen Protection Tests wird ein False-Positives Test durchgeführt, um zu prüfen, ob Produkte legitime Software fälschlicherweise als schädlich identifizieren.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (August-November)

Die nachstehenden Ergebnisse beruhen auf einem Testsatz, bestehend aus 801 Testfällen (wie bösartige URLs), die von Anfang August 2020 bis Ende November 2020 getestet wurden.

  Blockiert User Dependent Kompromittiert SCHUTZQUOTE
[Blocked % + (User Dependent %)/2]*
False-Positives (FPs)
Kaspersky
800 1 99.9% 2
Avast 800 1 99.9% 8
Fortinet 800 1 99.9% 10
Panda
800 1 99.9% 32
ESET 799 2 99.8% 1
VIPRE 799 2 99.8% 3
Bitdefender, Microsoft
799 2 99.8%
5
K7 797 4 99.5% 29
G Data 796 5 99.4% 8
Elastic 791 10 98.8% 17
Sophos 787 14 98.3% 4
SparkCognition 785 16 98.0%
3
Crowdstrike 783 18 97.8%
20
Acronis 782 19 97.6%
1
VMWare 782 19 97.6%
4
Cisco 772 29 96.4% 2
FireEye 765 36 95.5% 2
Cybereason*
734 67 91.6%
32

 

* Während des Real-World-Protection-Tests wurde ein Fehler im Cybereason-Produkt aufgedeckt, der dazu führte, dass einige Erkennungen nicht durchgeführt wurden. Der Fehler wurde jetzt behoben.


Malware Protection Test (September)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

False Positives (False Alarm) Test mit gängiger Business-Software

Es wurde auch ein Fehlalarmtest mit gängiger Unternehmenssoftware durchgeführt. Wie erwartet, hatten alle getesteten Produkte Null Fehlalarme bei gängiger Unternehmenssoftware.

  Malware-Schutzrate Fehlalarme bei gängiger Business-Software
Avast, Fortinet, G Data, Microsoft, VMware
100% 0
Bitdefender, ESET, K7 99.9% 0
Cisco, FireEye, Kaspersky, Sophos 99.7% 0
Crowdstrike, Vipre 99.6% 0
Cybereason, Elastic 99.5% 0
Acronis 99.4% 0
SparkCognition 99.3% 0
Panda 99.2% 0

 

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen Fehlalarmtest mit Non-Business Software und ungewöhnlichen Dateien durchgeführt. Dies dient vor allem als zusätzliche Information, insbesondere für Unternehmen, die häufig ungewöhnliche Non-Business Software oder selbst entwickelte Software verwenden. Die Ergebnisse haben keinen Einfluss auf das Gesamtergebnis des Tests oder auf die Auszeichnung als zugelassenes Geschäftsprodukt. Die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben.

FP-Rate  Anzahl der FPs auf
Non-Business-Software
Sehr niedrig 0-5
Low 6-15
Mittel/Durchschnitt 16-25
High 26-50
Sehr hoch 51-100
Auffallend hoch >100

 

  FP-Rate mit Non-Business-Software
Acronis, Bitdefender, Cisco, ESET, Kaspersky Sehr niedrig
Avast, FireEye, G Data, Sophos, Vipre Low
Elastic, Microsoft, SparkCognition, VMware Mittel/Durchschnitt
CrowdStrike, Cybereason, Fortinet High
K7, Panda Sehr hoch
Auffallend hoch

Performance Test (November)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformance im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter Kopieren von Dateien Archivieren /
Wiederherstellen
Installieren /
Deinstallieren von
Anwendungen
Starten von Anwendungen Download von Dateien Browsen von Websites
Erster Durchlauf Nachfolgender Durchlauf Erster Durchlauf Nachfolgender Durchlauf
Acronis perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Avast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Bitdefender perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Cisco perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
CrowdStrike perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Cybereason perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast
Elastic perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
ESET perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
FireEye perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Fortinet perf-level-slow perf-level-mediocre perf-level-fast perf-level-fast perf-level-mediocre perf-level-fast perf-level-mediocre perf-level-veryfast
G Data perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-veryfast
K7 perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Kaspersky perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Microsoft perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Panda perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Sophos perf-level-fast perf-level-fast perf-level-veryfast perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
SparkCognition perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
VIPRE perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-veryfast
VMWare perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast

 

Key perf-level-slow Langsam perf-level-mediocre Mittelmäßig perf-level-fast Schnell perf-level-veryfast Sehr schnell

PC Mark Tests

Um einen branchenweit anerkannten Performance Test durchzuführen, haben wir die PC Mark 10 Professional Edition Testsuite verwendet. Nutzer, die den PC Mark 10 Benchmark verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie im Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i7 Rechner mit 8GB RAM und SSD-Laufwerk

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

AV-C ScorePC Mark ScoreImpact Score
1.ESET, K7 90 98.8 1.2
2.Elastic 90 98.5 1.5
3.Kaspersky 90 97.6 2.4
4.Bitdefender 90 97.4 2.6
5.Avast 90 96.7 3.3
6.CrowdStrike, Panda 90 96.4 3.6
7.VMware 85 96.3 8.7
8.SparkCognition 80 97.3 12.7
9.VIPRE 80 97.1 12.9
10.FireEye 80 96.8 13.2
11.G Data 78 96.3 15.7
12.Acronis, Cisco 75 97.9 17.1
13.Sophos 75 97.6 17.4
14.Microsoft 75 96.7 18.3
15.Cybereason 75 95.6 19.4
16.Fortinet 53 97.2 39.8

Produkt Reviews

Auf den folgenden Seiten finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Rezensionen keine Testergebnisse berücksichtigen. Wir bitten die Leser daher, sich sowohl die Rezension als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir möchten darauf hinweisen, dass Security-Produkte für Unternehmen eine Fülle von Merkmalen und Funktionen umfassen, deren Beschreibung den Rahmen eines solchen Berichts bei weitem sprengen würde. Wir bemühen uns, die wichtigsten Funktionen jedes Produkts, wie sie in der Benutzeroberfläche dargestellt werden, zu beschreiben und für jedes Produkt einen ähnlichen Umfang zu bieten. Aufgrund der unterschiedlichen Anzahl und Art der Funktionen in den verschiedenen untersuchten Produkten kann es zu offensichtlichen Unstimmigkeiten kommen. So kann es sein, dass wir bei einem einfacheren Produkt mit weniger Funktionen eine bestimmte Funktion ausführlicher beschreiben können als bei einem komplexeren Produkt mit einer größeren Anzahl von Funktionen.

Zunächst schauen wir uns die Art des Produkts an, d. h. ob die Konsole cloud- oder serverbasiert ist, und welche Art von Geräten/Betriebssystemen geschützt und verwaltet werden können. Wir haben nur Windows und macOS berücksichtigt; die Unterstützung von Linux und mobilen Geräten ist in der Funktionsliste enthalten.

Der nächste Abschnitt befasst sich mit der Installation und Bereitstellung des Produkts. Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen). Der nächste Schritt - der für alle Produkte gilt - besteht darin, den Verwaltungsagenten und die Endpoint-Protection-Software auf den Client-PCs zu installieren.

Anschließend geht es um die laufende Nutzung, d. h. um alltägliche Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen. Alle getesteten Produkte enthalten eine Dashboard-ähnliche Seite, die einen Überblick über den Sicherheitsstatus bietet, sowie eine Geräteseite, auf der die Computer im Netzwerk angezeigt werden. Wir haben für alle Produkte eine Beschreibung dieser Seiten bereitgestellt. Was die anderen Funktionen der einzelnen Produkte betrifft, so haben wir einen maßgeschneiderten Ansatz gewählt. Das heißt, wir haben versucht, in Absprache mit dem jeweiligen Anbieter einige der wichtigsten Funktionen des einzelnen Produkts herauszugreifen.

Schließlich werfen wir einen Blick auf die auf dem Client installierte Endpunktschutzsoftware. Hier prüfen wir, ob der Endpunktbenutzer Aufgaben wie Scans und Updates selbst durchführen kann oder ob solche Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden. Außerdem führen wir eine kurze Funktionsprüfung durch. Dazu schließen wir ein USB-Flash-Laufwerk mit einigen Malware-Samples an einen PC an, auf dem das Produkt installiert ist, und versuchen, die bösartigen Dateien auf den Windows-Desktop zu kopieren und dann auszuführen. Wir notieren, in welcher Phase des Prozesses die Malware erkannt wird, welche Art von Warnung angezeigt wird und ob das Produkt den Benutzer auffordert, das USB-Gerät zu scannen, wenn es angeschlossen ist.

Über das Produkt

Die Acronis Cyber Cloud-Plattform bietet Endpoint-Protection Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt enthält eine Reihe weiterer Cloud-basierter Dienste, darunter Backup, Disaster Recovery und sichere Dateisynchronisation. In diesem Bericht werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Arbeitsplätzen verwalten. Wir sind der Meinung, dass es auch für kleine Unternehmen ohne eigenes IT-Personal geeignet ist.

Vorteile

- Verfügt über Datensicherung, Notfallwiederherstellung, Schwachstellenbewertung, Patch-Management und sichere Dateisynchronisierung
- Gut geeignet für kleinere Unternehmen
- Die Konsole ist leicht zu navigieren
- Die Seiten der Konsole können individuell angepasst werden
- Geografisch erkennbare Bedrohungsdaten-Funktion

Verwaltungskonsole

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Es gibt Einträge für Dashboard, Devices, Plans, Anti-Malware Protection, Software Management, Backup Storage, Reports, und Settings.

Dashboard\Overview Seite

Wenn Sie sich zum ersten Mal bei der Konsole anmelden, sehen sie als erstes die Seite wie oben abgebildet. Sie bietet einen grafischen Überblick über den Security- und Backup-Status des Netzwerks, wobei farbige Doughnut- und Balkendiagramme verwendet werden. Es gibt Panels für Protection status, Active alerts summary, Activities, Patch installation status, Missing updates by categories, und Gesundheitszustand der Festplatte . In einem Feld oben werden die Elemente angezeigt Backed up today, Malware blocked, Malicious URLs blocked, Existing vulnerabilities, und Patches ready to installangezeigt. Details zu den letzten Warnhinweisen und anderen Elementen werden in weiteren Feldern am unteren Rand angezeigt. Sie können die Seite individuell anpassen, indem Sie die Dateneinstellungen für jedes Feld ändern oder Felder hinzufügen/entfernen.

Dashboard\Alerts Seite

Hier können Sie Warnungen zur Malware-Erkennung, zu blockierten URLs und zu den Backup-Funktionen sehen. Diese können als Liste oder als große Kacheln mit Details (wie oben gezeigt) angezeigt werden. Die Informationen zu Malware-Erkennungen umfassen das Gerät, die Schutzrichtlinie, den Dateinamen und -pfad, die Dateihashes, den Namen der Bedrohung und die ergriffene Maßnahme (z.B. Quarantäne). Durch klicken auf Clear, wird der Eintrag aus der Alerts Seite aber nicht aus den Systemprotokollen entfernt.

Dashboard\Bedrohungsmeldung Seite

Die Seite Threat feed zeigt Warnhinweise zu aktuellen Angriffen und Sicherheitslücken an, auf die Sie achten sollten. Acronis teilt uns mit, dass diese Liste auf den aktuellen geografischen Standort zugeschnitten ist, so dass nur Warnungen angezeigt werden, die für Sie relevant sind. Die Seite warnt Sie gegebenenfalls sogar vor Naturkatastrophen. Wenn Sie auf das Pfeilsymbol am Ende eines Bedrohungseintrags klicken, wird eine Liste mit empfohlenen Maßnahmen zur Bekämpfung der jeweiligen Bedrohung angezeigt. Diese können darin bestehen, einen Malware-Scan durchzuführen, ein Programm zu patchen oder ein Backup Ihres PCs oder Ihrer Daten zu erstellen.

Devices Seite

Die Devices Seite listet die Computer im Netzwerk auf. Auf Unterseiten können Sie die Ansicht filtern, z. B. nach verwalteten und nicht verwalteten Rechnern. Sie können u. a. Gerätetyp und -name, Benutzerkonto und Sicherheitsstatus sehen. Die angezeigten Spalten können individuell angepasst werden, so dass Sie nicht benötigte Spalten entfernen und z.B. IP-Adresse und Betriebssystem hinzufügen können. Die Geräte können als Liste oder als große Kacheln mit zusätzlichen Details angezeigt werden. Wenn Sie ein oder mehrere Geräte auswählen, öffnet sich auf der rechten Seite ein Menüfeld, in dem Sie die angewandte Schutzrichtlinie anzeigen, Patches anwenden, Maschinendetails/Protokolle/Alarme anzeigen, die Gruppenmitgliedschaft ändern oder das Gerät aus der Konsole löschen können.

Plans Seite

Unter Plans/Protection können Sie die Richtlinien anzeigen, erstellen und bearbeiten, die die Anti-Malware-Funktionen der Plattform steuern. Auch hier wird auf der rechten Seite ein übersichtliches Menüfenster mit den entsprechenden Details und Steuerelementen angezeigt. Zu den Funktionen, die konfiguriert werden können, gehören Echtzeitschutz, Schutz von Netzwerkordnern, Maßnahmen bei der Entdeckung von Malware, Ransomware, Erkennung von Krypto-Mining-Prozessen, zeitgesteuertes Scannen, Ausnahmen, URL-Filterung und die Dauer der Quarantäne von Elementen. Sie können Schwachstellenbewertungen und Patch-Management konfigurieren, und es gibt sogar Steuerelemente für das Scannen mit Microsoft Windows Defender/Security Essentials.

Anti-Malware Protection\Whitelist Seite

Die Whitelist Seite zeigt alle Anwendungen an, die beim Backup-Scanning gefunden und als sicher eingestuft wurden. Um die automatische Erstellung einer Whitelist zu aktivieren, muss der Backup-Scan geplant werden.

Anti-Malware Protection\Quarantine Seite

Unter Anti Malware Protection listet die Seite Quarantine die Namen der erkannten bösartigen Dateien zusammen mit dem Datum der Quarantäne und dem Gerätenamen auf. Sie können in den Seiteneinstellungen Spalten für den Namen der Bedrohung und den anwendbaren Schutzplan hinzufügen. Über ein Mini-Menü am Ende eines jeden Eintrags können Sie die ausgewählten Elemente wiederherstellen oder löschen.

Software Management Seiten

Die Seiten Patches und Vulnerabilities unter Software Management werden ausgefüllt, wenn eine Schwachstellenbewertung in einem Schutzplan erstellt und mindestens einmal ausgeführt wurde.

Reports Seite

Die Seite Reports listet eine Reihe von Themen auf, für die Berichte erstellt werden können, darunter Alerts, Detected threats, Discovered machines, Existing vulnerabilities und Patch management summary. Ein Klick auf einen Berichtsnamen öffnet eine Detailseite für dieses Element. Die Berichtsseite Alerts enthält beispielsweise die Bereiche 5 latest alerts, Active alerts summary, Historical alerts summary, Active alerts details, und Alerts history. Farbige Warnsymbole und Doughnut-Diagramme heben die wichtigsten Punkte dezent hervor. Wie bei anderen Seiten der Konsole können die Spalten in diesen Bereichen individuell angepasst werden.

Settings Seiten

Unter Settings/Protection können Sie den Zeitplan für die Aktualisierung der Schutzdefinitionen festlegen und die Funktion Remote Connection aktivieren. Auf der Seite Agents können Sie die Version des auf jedem Client installierten Endpunkt-Agenten einsehen und bei Bedarf aktualisieren. Wenn auf einem Gerät ein veralteter Agent läuft, wird im Menüfeld der Konsole unter Settings eine Warnung angezeigt. Dies macht deutlich, dass Sie Maßnahmen ergreifen müssen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe-Format können auf der Devices Seite durch klicken auf die Add Schaltfläche heruntergeladen werden. Es gibt separate Installationsprogramme für Windows-Clients und Windows-Server. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, wenn Sie ein Relais-Gerät in Ihrem LAN einrichten. Durch manuelles Ausführen des .exe-Installationsprogramms können Sie auch .mst- und .msi-Dateien für eine unbeaufsichtigte Installation erstellen. Nachdem Sie eine lokale Installation auf einem Client-PC durchgeführt haben, müssen Sie auf Register the machine im Client-Fenster klicken. Anschließend müssen Sie sich vom Client-PC aus bei der Verwaltungskonsole anmelden, den Eintrag des Geräts suchen und auf Enable Protection klicken.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem kleinen Informationsfenster. Hier können Sie den Status des Echtzeit-Malware-Schutzes sowie Datum und Uhrzeit des nächsten geplanten Backups sehen. Sie können auch die Programmversion sehen. Weitere Funktionen stehen den Benutzern nicht zur Verfügung.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Acronis die schädlichen Dateien sofort und isolierte sie. Es wurde kein Warnhinweis dazu angezeigt.

Über das Produkt

Avast Business Antivirus Plus bietet Endpunkt-Schutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Zu den zusätzlichen Funktionen für Windows-Clients gehören Anti-Spam, Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Exchange- und SharePoint-Sicherheit werden für Windows Server bereitgestellt. Eine Patch-Management-Funktion ist für alle Windows-Computer enthalten. Für die automatische Installation von Patches ist jedoch eine separate Lizenz für Avast Business Patch Management erforderlich. In dieser Bewertung werden nur die Funktionen zum Schutz vor Malware berücksichtigt. Das Produkt kann Netzwerke mit zehntausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für kleine Unternehmen ohne eigenes IT-Personal geeignet ist. Avast hat uns mitgeteilt, dass im nächsten Jahr ein neues Design für die Benutzeroberfläche der Konsole veröffentlicht werden soll.

Vorteile

- Enthält Anti-Spam, Datenvernichtung, VPN sowie Daten- und Identitätsschutz
- Gut geeignet für kleinere Unternehmen
- Die Konsole ist leicht zu navigieren
- Option für Echtzeit-Synchronisation zwischen Clients und Konsole
- Benachrichtigungen verlinken zur Detailseite/Beseitigungsfunktionen

Verwaltungskonsole

Dashboard Seite

Dies sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden (Screenshot oben). Sie bietet einen Überblick über den aktuellen Sicherheitsstatus. Sie können Warnungen auf Ihren Geräten, die Betriebssystemverteilung und Statistiken zur Bedrohungserkennung sehen.

Notifications Seite

Hier werden wichtige Warnungen angezeigt, wie z. B. Malware-Erkennungen und Geräte, die veraltet sind oder neu gestartet werden müssen. Sie können auf jede Warnung klicken, um zur entsprechenden Detailseite zu gelangen. Es werden zusätzliche Links angeboten, wie zum Beispiel die Virus Chest (Quarantäne) für Malware-Erkennungen, oder Update Now! für veraltete Geräte. Über die Notifications Settings gelangen Sie auf eine Konfigurationsseite, auf der Sie auswählen können, welche Benachrichtigungen in der Konsole angezeigt werden sollen und ob bzw. wie oft eine Erinnerungsmail versendet werden soll, wenn diese nicht gelesen wurde.

Devices Seite

Die Devices zeigt den Sicherheitsstatus, die Gruppenzugehörigkeit und die Richtlinie jedes Geräts sowie die jüngsten Bedrohungen und andere Ereignisse. Es werden hilfreiche Links bereitgestellt, zum Beispiel Restart & scan für ungelöste Bedrohungen. Sie können Geräte in Gruppen gruppieren und Einstellungen und Richtlinien über diese Gruppe anwenden.

Policies Seite

Hier können Sie die Schutzeinstellungen für Ihre Geräte konfigurieren. Sie können Scan-Zeitpläne für alle Plattformen festlegen. Für andere Einstellungen gibt es separate Richtlinien für Windows-Clients, Windows-Server und macOS-Geräte. Sie können unter anderem die Häufigkeit von Programm- und Definitionsupdates, die zu verwendenden Schutzkomponenten und die Scan-Ausschlüsse konfigurieren.

Reports Seite

Es gibt fünf verschiedene Berichtskategorien: Executive Summary, Antivirus Threats Report, Patch Report, Device Report, und Tasks Report. Sie können auf jede dieser Rubriken klicken, um eine grafische Darstellung der jüngsten Aktivitäten zu sehen. Zum Beispiel, Antivirus Threats Report zeigt eine Grafik der im letzten Monat entdeckten, unter Quarantäne gestellten, blockierten, gelöschten oder reparierten Malware-Elemente. Sie können Berichte nach einem wöchentlichen oder monatlichen Zeitplan erstellen und bereits erstellte geplante Berichte anzeigen.

Subscriptions Seite

Wie zu erwarten, wird hier angezeigt, welche Produktlizenzen Sie derzeit besitzen, wie viele davon Sie verwendet haben und wann sie ablaufen. Es gibt auch Links, über die Sie andere Versionen von Avast Business Antivirus, den Premium Support Service von Avast und die Patch Management Komponente ausprobieren oder kaufen können.

Help & Support bietet Links zu verschiedenen Support- und Dokumentationsartikeln, darunter ein Benutzerhandbuch für die Konsole. Diese ist übersichtlich, umfassend und gut erschlossen, auch wenn es an Screenshots mangelt.

General settings Seite

Über die General Settings können Sie die Systemzeitzone ändern und die Labs features aktivieren. Letzteres ist eine Vorschau auf kommende Funktionen, die "noch nicht ganz fertig" sind. Sie können auch einen lokalen Server für die Verteilungen und Aktualisierungen einrichten (Master Agent), und die Datenbank aus einer anderen Avast-Konsole importieren.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien können entweder im .exe- oder im .msi-Format von der Seite "Devices\Download Installer" heruntergeladen werden. Sie können die zu verwendende Gruppe und Richtlinie, die Proxyservereinstellungen sowie die Online- oder Offline-Installationsversion angeben. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist auch in einer Active Directory-Umgebung möglich, indem ein Dienstprogramm auf einem Relay-Computer im LAN installiert wird. Auf der Download-Seite können Sie einen Download-Link erstellen, den Sie kopieren und per E-Mail an die Benutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie in der entsprechenden Richtlinie die Option Passwortschutz aktivieren.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Sie können das System-Tray-Symbol über eine Richtlinie ausblenden, wenn Sie dies wünschen. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle anzeigen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Benutzer mit Windows-Administratorkonten in Quarantäne befindliche Elemente wiederherstellen, Schutzkomponenten deaktivieren oder das Programm deinstallieren.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Avast zunächst keine Maßnahmen. Als wir jedoch versuchten, die Malware auszuführen oder sie auf den Windows-Desktop zu kopieren, wurde sie von Avast sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war nicht erforderlich. Es wurden Optionen zum Scannen des PCs und zur Anzeige von Details der erkannten Bedrohung angezeigt. Sie können Warnungen über Richtlinien deaktivieren, wenn Sie möchten.

Über das Produkt

Bitdefender GravityZone Elite Security bietet Endpunkt-Schutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

- Hochgradig anpassbare Seiten
- Anklickbare Grafiken ermöglichen den einfachen Zugriff auf Detailseiten
- Detaillierte Malware-Analyse
- Risikomanagement-Funktion
- Leicht zugängliche Meldungsdetails

Verwaltungskonsole

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Die Elemente sind Dashboard, Incidents, Network, Risk Management, Policies, Reports, Quarantine, Accounts, Sandbox Analyzer und Configuration.

Dashboard Seite

Dashboard, diese Seite gibt Ihnen einen Überblick über die Installation und die Leistung der Clients. Sie ist in Informationsfelder unterteilt, die Portlets. Diese liefern Informationen wie den Malware-Status des Computers, den Status des Endpunktschutzes, den Update-Status und die Top-10-Malware-Empfänger. Jedes Portlet ist anklickbar, wenn Sie also z.B. auf den Clients with no detections Bereich des Malware Status Diagramm klicken, werden Sie auf eine Seite weitergeleitet, auf der alle Geräte dieser Kategorie aufgelistet sind. Die Dashboard Seite ist in hohem Maße anpassbar. Sie können Portlets verschieben, einige ausblenden und andere hinzufügen.

Incidents Seite

Incidents ermöglicht es Ihnen, die im Netzwerk erkannten Bedrohungen zu überprüfen und zu untersuchen. Standardmäßig wird eine chronologische Liste der erkannten Bedrohungen angezeigt. Es gibt Spalten für die Bewertung der Bedrohung (Risikostufe), Datum und Uhrzeit, den Status der Untersuchung, das betroffene Gerät und den Angriffstyp (z. B. Malware). In den Feldern am oberen Rand werden die Anzahl der offenen Warnungen nach Schweregrad, die Warnungen nach Typ und die am meisten betroffenen Geräte angezeigt. Sie können auf die angezeigten Zahlen klicken, um die entsprechende Detailseite aufzurufen. In den Feldern am oberen Rand jeder Listenspalte können Sie nach dieser Kategorie filtern, d. h. Sie können den Schweregrad der Bedrohung, den Zeitraum oder den Endpunkt angeben, um die Liste einzugrenzen.

Wenn Sie auf das Netzwerksymbol am rechten Ende eines Bedrohungseintrags klicken, erhalten Sie eine grafische Darstellung des Bedrohungsereignisses sowie weitere Details und empfohlene Maßnahmen:

Network Seite

Die Haupt NetworkSeite zeigt Ihnen alle verwalteten Geräte in Ihrem Netzwerk, geordnet in Gruppen, die Sie selbst erstellen können (siehe Screenshot oben). Ein Navigationsbereich auf der linken Seite zeigt Ihre Gruppenstruktur und ermöglicht es Ihnen, Geräte per Drag-and-Drop den Gruppen zuzuordnen. Auf der Seite Tasks können Sie verschiedene Aktionen auf ausgewählten Geräten durchführen, z.B. Scans, Updates, Reparaturen und Neustarts.

Die Packages Seite im Unterverzeichnis lässt Sie die Deployment-Packages konfigurieren. Sie können u.a. die zu installierenden Komponenten, die Verwendung als Relay für die Push-Installation und die Entfernung vorhandener AV-Produkte angeben. Auf der Tasks Seite im Unterverzeichnis können Sie den Status von Aufgaben wie Scans und Updates einsehen.

Risk Management Dashboard Seite

Hier sehen Sie eine breite Palette von Daten, die Sie für den proaktiven Schutz Ihres Netzwerks nutzen können. In verschiedenen Bereichen werden relevante Informationen in farbigen Diagrammen angezeigt. Die Seite Company Risk Score gibt Ihnen eine Bewertung von 1 bis 100, basierend auf Misconfigurations, Vulnerable Apps, und Human Risks (unsicheres Verhalten von Nutzern). Für jeden dieser Punkte gibt es ein eigenes Detailfenster. Außerdem gibt es eine Zeitleiste mit dem Risk Score über die letzten 7 Tage, zusammen mit Panels für die anfälligsten einzelnen Server, Workstations und Benutzer. Die Unterseite "Security Risks" enthält vollständige Listen der Geräte, Benutzer und anfälligen Anwendungen, die auf der Hauptseite zusammengefasst sind.

Policies Seite

Hier können Sie die Konfiguration von Gruppen von Client-Geräten ändern. Über eine Menüspalte auf der linken Seite können Sie durch die verschiedenen Bereiche der einzelnen Richtlinien navigieren, z.B. Anti-Malware, Firewall und Gerätekontrolle.

Reports Seite

Hier können Sie Zusammenfassungen von Informationen, zu einer Vielzahl von Aspekten, erstellen, z.B. zu blockierten Websites, Gerätekontrollaktivitäten, dem Status des Endpunktschutzes, der Einhaltung von Richtlinien und dem Aktualisierungsstatus einsehen. Das Berichtsintervall kann auf diesen Monat, den Vormonat, dieses Jahr oder das Vorjahr festgelegt werden. Sie können auch Gerätegruppen auswählen, die einbezogen werden sollen.

Quarantine Seite

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit, ausgewählte Dateien zu löschen oder wiederherzustellen.

Accounts Seite

Mit Accounts können Sie Konsolenbenutzer hinzufügen, entfernen und bearbeiten. Es gibt drei Standard-Berechtigungsstufen, von voller Kontrolle bis hin zu nur lesen. Sie können auch eigene Berechtigungsstufen erstellen. Auf der Unterseite User Activity können Sie die Aktivitäten der Benutzerkonten überwachen.

Sandbox Analyzer Seite

Der Sandbox Analyzer liefert eine Aufschlüsselung der unbekannten Dateien, die von der Sandbox-Funktion analysiert wurden, mit einem Schweregrad von 0 (völlig harmlos) bis 100 (eindeutig bösartig).

Configuration Seite

Mit der Configuration Seite können Sie Konfigurationsänderungen für die Konsole selbst vornehmen. Hier können Sie unter anderem die 2-Faktor-Authentifizierung einrichten.

Notifications Panel

Ein Klick auf das Glockensymbol in der oberen rechten Ecke öffnet das Notifications Panel. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie auf ein Element klicken, wird ein Absatz mit Informationen innerhalb des Fensters angezeigt. Zum Beispiel, mit Login From New Device können Sie die IP-Adresse des Geräts, das Betriebssystem des Geräts, den verwendeten Browser sowie Datum und Uhrzeit sehen. Um noch mehr Informationen zu erhalten, klicken Sie auf Show moreund Sie gelangen zur vollständigen Detailseite im Hauptfenster der Konsole.

Windows Endpoint Protection-Client

Deployment

Unter Network\Packages können Sie Installationsdateien im .exe-Format erstellen und herunterladen. Für Windows-Installationsprogramme gibt es eine Auswahl von einfachen, vollständigen 32-Bit- und vollständigen 64-Bit-Installationsprogrammen. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem der Endpunkt-Client auf einem Relais-Computer im LAN installiert wird. Alternativ können Sie ein Installationsprogramm per E-Mail an die Benutzer direkt von der Packages Seite senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Set uninstall password Option in den Einstellungen der jeweiligen Richtlinie nutzen.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie die Richtlinie ändern, können Sie die Benutzeroberfläche vollständig ausblenden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, startete Bitdefender automatisch einen Scan des externen Laufwerks. Wir brachen dies ab und öffneten das Laufwerk im Windows Explorer. Es gelang uns nicht, eines der Malware-Muster auf den Windows-Desktop zu kopieren. Bei Erkennung von Malware wird eine Popup-Warnung angezeigt, die sich nach einigen Sekunden wieder schließt. Eine Benutzeraktion ist weder erforderlich noch möglich. Sie können die Erkennungswarnungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cisco AMP bietet Endpunktschutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Diese werden über eine Cloud-basierte Konsole verwaltet. Neben dem Schutz vor Malware bietet das Produkt Funktionen zur Überwachung, Untersuchung und Blockierung von Sicherheitsbedrohungen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

- Investigative Merkmale
- Geeignet für mittlere bis große Unternehmen
- Detaillierte Zeitleiste der Angriffe wird gezeigt
- Die Reaktion auf Angriffe kann automatisiert werden
- Die gut gestaltete Benutzeroberfläche ermöglicht einen unkomplizierten Zugriff auf eine Vielzahl von Funktionen

Verwaltungskonsole

Dashboard Tab

Die Dashboard Seite des Dashboard Tabs ist im obigen Screenshot dargestellt. Es gibt eine Reihe von Feldern mit farbigen Balkendiagrammen. Diese zeigen Compromises, Quarantined Detections, Vulnerabilities, Significant Compromise Artifacts, und Compromise Event Types. Die Inbox Seite zeigt eine kompakte, zusammengefasste Version desselben Sachverhalts. Die Overview Seite bietet den besten grafischen Überblick über den Zustand des Netzes, mit farbigen Balken- und Doughnut-Diagrammen, die Folgendes zeigen Sicherheitslücken, Bedrohungen, Schwachstellen, Computer, Netzwerkbedrohungen, AV-Definitionsstatus und File AnalysisCompromises, Threats, Vulnerabilities, Computers, Network Threats, AV Definition Status und File Analysis. Diese fassen die wichtigsten Informationen sehr übersichtlich zusammen. Auf der Events Seite sind die jüngsten Entdeckungen aufgeführt.

Analysis Menu

In dem Analysis Menü finden Sie Funktionen zur Untersuchung von Angriffen.

Events zeigt eine Liste von Ereignissen, wie z.B. die Installation und Deinstallation von Endpunkt-Clients und Bedrohungen, die auf geschützten Geräten aufgetreten sind. Dazu gehören der Zugriff auf riskante Websites, Downloads schädlicher Dateien und Versuche, mutmaßliche Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z.B. die IP-Adresse und der Port der Threat-Website sowie der Hash der schädlichen Datei.

Sie können die Details einer Datei auf der Seite File Analysis ansehen. Sie zeigt Ihnen die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als schädlich.

Um zu sehen, welche legitimen Programme in Malware-Begegnungen verwickelt waren, werfen Sie einen Blick auf die Threat Root Cause Seite. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen, wie chrome.exe oder explorer.exe. .

Auf Prevalence Seite wird die Anzahl der Geräte angezeigt, die von einem bestimmten Threat betroffen sind.

Unter Vulnerable Software werden Programme mit bekannten Sicherheitslücken aufgelistet. Außerdem gibt es CVE-ID- und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen.

Reports liefert einen sehr detaillierten Bericht pro Woche und/oder Monat und/oder Quartal. Darin werden zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen behandelt. Diese werden mit farbigen Balken- und Doughnut-Diagrammen dargestellt.

Orbital Advanced Search ist eine Fähigkeit, mit der Sie Endpunkte für detaillierte Informationen abfragen können. Wenn sie in der AMP-Richtlinie aktiviert ist, wird automatisch ein zusätzliches Modul installiert (das auf unseren Haupttestsystemen nicht verwendet wird). Orbital kann Abfragen sofort ausführen, oder Sie können sie mit der Funktion Orbital Job Funktion planen. Sie enthält einen Katalog von Abfragen mit zugehörigen MITRE ATT&CK Tactics, Techniques or Procedure (TTP) Mappings.

Der Indicators Seite werden Kompromittierungsindikatoren (Indicators of Compromise, IOCs) angezeigt, die AMP-Ereignisse auslösen. Diese dienen als Benachrichtigung über verdächtige oder bösartige Aktivitäten auf einem Endpunkt, die dann untersucht werden können. Sie können auf diese Seite über die Seite Analysis Menü. Jeder Indikator enthält eine kurze Beschreibung der Art des Angriffs. Außerdem gibt es Informationen über die eingesetzten Taktiken und Techniken, die auf der MITRE ATT&CK-Wissensbasis basieren.

Outbreak Control Menu

Das Outbreak Control Menü bietet Optionen zum Sperren oder Zulassen bestimmter Anwendungen und IP-Adressen. Außerdem gibt es benutzerdefinierte Erkennungsoptionen. Mit diesen können Sie die Installation jedes Programms blockieren, das Sie als schädlich oder unerwünscht im Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Die Automated Actions Funktion (siehe unten) lässt Sie Aktionen festlegen, die automatisch ausgelöst werden, wenn ein bestimmtes Ereignis auf einem Computer eintritt. Wenn der Computer beispielsweise kompromittiert ist, können Sie einen forensischen Schnappschuss erstellen, ihn isolieren oder in eine bestimmte Gruppe verschieben (oder eine beliebige Kombination dieser Aktionen). Sie können auch verdächtige Dateien zur Analyse einreichen, wenn sie entdeckt werden. In jedem Fall kann die Mindestbedrohungsstufe (Kritisch, Hoch, Mittel oder Niedrig), die zum Auslösen der Aktion erforderlich ist, angegeben werden.

Management Menu

Das Management Menü enthält eine Reihe weiterer Standardfunktionen. Diese sind Groups, Policies, Exclusions, und deployment options.

Die Computers Seite zeigt oben eine Reihe von Statistiken, z. B. über Computer mit Fehlern oder die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Sie können einen Computer für weitere Aufmerksamkeit markieren, indem Sie hier auf das Flaggensymbol klicken. Wenn Sie auf das Pfeilsymbol für ein Gerät klicken, wird ein detailliertes Informationsfenster angezeigt. Hier werden Informationen wie Betriebssystemversion, Anschlussversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Besuchs angezeigt. Die Computerliste kann nach jedem der oben genannten Parameter gefiltert werden.

In den Angaben zu den einzelnen Computern findet sich ein Link zu Device Trajectory (siehe Screenshot unten). Hier werden die Erkennungsereignisse nach Datum angezeigt (die Reihe der roten Punkte oben auf der Seite). Die Seite bietet eine sehr detaillierte Ansicht jedes Ereignisses mit einer Zeitleiste, die die Reihenfolge der Phasen anzeigt. Es gibt eine Fülle von Informationen, die bei der Untersuchung eines Angriffs helfen, einschließlich der beteiligten Systemprozesse, Hashes verdächtiger Dateien, IP-Adressen, auf die zugegriffen wurde, und vieles mehr. Klicken Sie mit der rechten Maustaste auf einen Prozessnamen in der System Spalte klicken, öffnet sich ein Kontextmenü mit zahlreichen Optionen, darunter eine Zusammenfassung der Erkennungen oder ein vollständiger Bericht von VirusTotal. Außerdem gibt es die Option Investigate in Cisco Threat Response. Dadurch wird eine separate Konsole geöffnet, in der Sie die Art der Bedrohung und die Auswirkungen auf Ihr Netzwerk untersuchen können.

Das Endpoint Isolation Feature muss in der entsprechenden Richtlinie aktiviert werden, bevor es verwendet werden kann. Dieses ermöglicht Ihnen, den gesamten ein- und ausgehenden Netzwerkverkehr auf einem Computer zu blockieren (mit Ausnahme der Kommunikation mit der Verwaltungskonsole). So können Sie eine potenzielle Bedrohung sicher untersuchen.

Windows Endpoint Protection-Client

Deployment

Installationsprogramme im .exe-Format finden Sie durch Klicken aufden Management\Download Connector. Sie müssen eine Gerätegruppe auswählen, die festlegt, welche Richtlinie angewendet werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Auf der Seite finden Sie auch einen Download-Link, den Sie kopieren und per E-Mail an die Benutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Enable Connector Protection in der jeweiligen Richtlinie aktivieren.

Überprüfung der Funktionsfähigkeit

Mit der Endpoint-Protection-Software können Nutzer Scans und Updates durchführen und die Protokolle anzeigen. Es gibt eine Reihe von Scans, die Nutzer ausführen können. Diese sind Flash Scan (laufende Prozesse), Custom Scan, Full Scan oder Rootkit Scan. Die Nutzer können eine Datei/Ordner/Laufwerk auch über das Rechtsklick-Menü des Windows Explorers scannen. Sie können die Benutzeroberfläche vollständig über die Richtlinien ausblenden lassen.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Cisco AMP die bösartigen Dateien sofort und isolierte sie. Dem Endbenutzer wurde keine Warnung angezeigt. Die Endpunktsoftware kann jedoch per Richtlinie so konfiguriert werden, dass Erkennungsbenachrichtigungen angezeigt werden.

Über das Produkt

CrowdStrike Falcon Pro bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine cloudbasierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Ermittlungsfunktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Tausenden von Geräten verwalten. Wir weisen darauf hin, dass CrowdStrike Falcon Pro als vollständig verwalteter Service für Unternehmen erhältlich ist, die eine Lösung zum Schutz von Endgeräten wünschen, bei der sie sich um nichts kümmern müssen. CrowdStrike teilt uns mit, dass das Unternehmen über Rechenzentren in den USA und der EU verfügt, um die jeweiligen Datenschutzbestimmungen einzuhalten.

Vorteile

- Ermittlungsfunktionen
- Umfassende Suchmöglichkeiten
- Die klickbare Oberfläche bietet einfachen Zugang zu Detailseiten
- Enzyklopädie der bekannten cyberkriminellen Gruppen
- Geeignet für mittelgroße bis große Unternehmen

Verwaltungskonsole

Die Navigation in der Konsole erfolgt über das Falcon-Menü in der linken oberen Ecke der Konsole. Hier werden die einzelnen Seiten unter Überschriften wie Activity, Investigate, Hosts, Configuration, Dashboards und Users aufgelistet. Sie können ganz einfach ein Lesezeichen für eine beliebige Seite der Konsole setzen und dann direkt zu dieser Seite gehen, indem Sie die Bookmarks Sektion des Menüs nutzen.

Activity\Dashboard Seite

Dies ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal bei der Konsole anmelden. Sie zeigt verschiedene Statuselemente in großen Feldern an. Es gibt eine Liste der letzten Erkennungen mit einer grafischen Schweregradbewertung. Sie können auch ein Diagramm der Erkennungen nach Taktik sehen (z.B. Machine learning, Defense Evasion) über den vergangenen Monat sehen. Zur Darstellung der Angriffsstadien werden hier Begriffe aus dem MITRE ATT&CK Framework verwendet. Einige der Panels sind mit Detailseiten verlinkt. Sie brauchen daher nur auf die Schaltfläche New detections klicken, um die Detections Detailseite zu öffnen.

Activity\Detections Seite

Hier können Sie eine Liste von Bedrohungserkennungen nach einer Vielzahl von Kriterien durchsuchen. Dazu gehören Schweregrad, Taktik, Erkennungstechnik, Zeit, Status und auslösende Datei. Zu jeder Erkennung können Sie alle Details einsehen, einschließlich einer Prozessstruktur. Von hier aus können Sie einen Host in ein Netzwerk einbinden und einen Konsolenbenutzer für die Behebung zuweisen.

Activity\Quarantined Files Seite

Wie zu erwarten, können Sie auf dieser Seite Dateien sehen, die vom System unter Quarantäne gestellt wurden. Sie können den Dateinamen, den Gerätenamen, die Anzahl der Erkennungen im Netzwerk, den beteiligten Benutzer und natürlich Datum und Uhrzeit der Erkennung sehen. In Quarantäne gestellte Dateien können freigegeben oder gelöscht werden. Wenn Sie auf eine unter Quarantäne gestellte Datei klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen. Dazu gehören der Dateipfad für den Ort, an dem die Datei entdeckt wurde, Datei-Hashes, Dateigröße, Dateiversion, Erkennungsmethode und Schweregrad. Von hier aus können Sie auch eine Sandbox-Analyse starten. Es gibt eine Suchfunktion und eine Reihe von Filtern, die Sie verwenden können, um bestimmte Dateien im Quarantäne-Repository zu finden.

Configuration\Prevention Policies Seite

Hier können Sie die Schutzrichtlinien für Endpunkte erstellen und bearbeiten. Sie können das Verhalten für eine Reihe verschiedener Arten von angriffsbezogenem Verhalten definieren, z.B. für Ransomware, Exploitation und lateral movement. Einige Sensorkomponenten, wie z.B.Cloud Machine Learning und Sensor Machine Learning haben getrennte konfigurierbare Stufen für Erkennung und Prävention. Es können 5 verschiedene Empfindlichkeitsstufen eingestellt werden, von Disabled bis Extra Aggressive. Hier können auch benutzerdefinierte Angriffsindikatoren (Indicators of Attack - IOA) erstellt und zugewiesen werden.

Die auf den Endpunkt-Clients zu verwendende Sensorversion kann in der Richtlinie festgelegt werden. Dies geschieht mit einer einfachen Formel, wobei "n" die neueste Version ist, "n-1" die zweitneueste usw. Richtlinien können Geräten automatisch über ein Benennungssystem zugewiesen werden. So kann z. B. jedes Gerät mit "Win" im Namen automatisch in eine bestimmte Gruppe von Windows-Computern eingeordnet werden, denen eine bestimmte Richtlinie zugewiesen wird. Geräten/Gruppen können mehrere Richtlinien zugewiesen werden, wobei eine Richtlinienhierarchie bestimmt, welche Richtlinie Vorrang hat.

Hosts\Host Management Seite

Auf der Seite Hosts/Host Management werden alle installierten Geräte aufgelistet. Sie können sofort sehen, welche davon online sind. Weitere Informationen sind Betriebssystem, Richtlinie, Sicherheitsstatus und Sensorversion. Wenn Sie auf den Eintrag eines Geräts klicken, öffnet sich ein Detailfenster für dieses Gerät. Hier finden Sie zusätzliche Informationen, wie Gerätehersteller, MAC-Adresse, IP-Adressen und Seriennummer.

Intelligence\Actors Seite

Auf dieser Seite finden Sie Einzelheiten zu bekannten cyberkriminellen Gruppen. Sie können die Länder und Branchen sehen, auf die es die einzelnen Gruppen abgesehen haben, sowie technische Details zu den verwendeten Angriffsmethoden. CrowdStrike teilt uns mit, dass diese Informationen auch in Detection Details verfügbar sind, wenn eine Entdeckung mit einem bestimmten Akteur verbunden ist.

Investigate\Host Search Seite

Das Investigate Menü bietet eine äußerst umfassende Suchfunktion. Damit können Sie nach Geräten, Hashes, Benutzern, IP-Adressen, Domänen und Ereignissen suchen. Im Menü der Host Search Seite können Sie nach bestimmten Geräten suchen. Über eine separate Menüleiste können Sie nach bestimmten Aspekten suchen, z.B. Activity (einschließlich Entdeckungen), Vulnerabilities und Installed Applications.

Software zum Schutz von Windows-Endgeräten

Deployment

Installationsdateien für den Sensor (Endpunktschutz-Client) können im .exe-Format von der Hosts\Sensor Downloads Seite heruntergeladen werden. Ältere Versionen des Sensors sind auf Wunsch erhältlich. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Überprüfung der Funktionsfähigkeit

Es gibt überhaupt keine Schnittstelle zum Endpunkt-Client. Er ist für den Benutzer völlig unsichtbar, mit Ausnahme von Malware-Warnhinweisen.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, reagierte CrowdStrike Falcon nicht. Es gelang uns, die bösartigen Dateien auf den Windows-Desktop zu kopieren. Sobald wir jedoch versuchten, eine der Dateien auszuführen, wurden sie sofort erkannt und unter Quarantäne gestellt. Es wurde eine Windows-Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Schutzwarnungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cybereason Defense Platform Enterprise bietet Endpunktschutz-Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Funktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

- Ermittlungsfunktionen
- Einfacher und schneller Client-Bereitstellungsprozess
- Die Verwaltungskonsole ist über ein einziges Menü leicht zu navigieren
- Klare grafische Darstellungen von bösartigen Aktivitäten
- Die klickbare Oberfläche bietet einfachen Zugang zu Detailseiten

Verwaltungskonsole

Die Konsole wird über das Menü in der oberen linken Ecke gesteuert.

Discovery board Seite

Das Discovery board (siehe Screenshot oben) ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal anmelden. Sie zeigt "Malops" (bösartige Vorgänge) in Spalten, je nach Typ, an. Die blauen Punkte stehen für eine bösartige oder verdächtige Aktivität. Die Größe des Punktes steht für die Anzahl der betroffenen Rechner, und die Farbschattierung bezieht sich auf die Aktivitätszeit (wie in der Leiste rechts auf der Seite erklärt). Wenn Sie auf einen Punkt klicken, werden in einem Popup-Fenster der Name der Datei/des Prozesses und die Art der Bedrohung (z. B. Einschleusen von bösartigem Code) sowie Datum und Uhrzeit der Aktion und das betroffene Gerät angezeigt. Wenn Sie auf das Popup klicken, wird die Detailseite für diesen Malop geöffnet. Wir freuen uns, dass Cybereason einen Hauch von Humor in die ernste Welt der IT-Sicherheit gebracht hat. Wenn alles in Ordnung ist, wird auf dem Discovery Board stehen: "No Malops found today. How about a cup of tea?".

Malops Management Seite

Die Malops management Seite zeigt eine Liste der erkannten bösartigen Vorgänge in chronologischer Reihenfolge. Die Informationen für jedes Element umfassen einen Bezeichner (Datei-/Prozessname), das Erkennungsmodul und die betroffenen Geräte sowie Datum und Uhrzeit. Diese Informationen sind in großzügigen Zeilen angeordnet, so dass sie leicht zu lesen sind. Mit verschiedenen Ansichtsoptionen können Sie die Malops nach Aktivitätstyp, Ursache oder betroffenem Gerät sortieren. Sie können auch eine Rasteransicht wählen, die mehr Elemente mit weniger Details anzeigt. Wenn Sie auf einen der Malops klicken, wird die entsprechende Detailseite geöffnet.

Malop details Seite

Die Malop details Seite enthält eine Fülle von Informationen über den fraglichen Malop. Dazu gehören das Gerät, der SHA1-Dateihash, eingehende und ausgehende Verbindungen zu und von dem Prozess sowie eine Zeitleiste. Diese Informationen werden in sehr übersichtlichen Diagrammen dargestellt, die eine Zusammenfassung der Bedrohung auf einen Blick bieten. Dies scheint uns eine bemerkenswert effektive Methode zu sein, die wichtigen Informationen schnell und einfach zu vermitteln. Über große Schaltflächen am oberen Rand der Seite können Sie verschiedene Aktionen zur Behebung des Problems durchführen. Diese sind Respond, Kill Process, Prevent Files Execution, Quarantine, Isolate und Exclude

Malware alerts Seite

Hier werden Objekte angezeigt, die "Ihre Aufmerksamkeit benötigen". Sie erhalten Namen wie "vaultfile12009845677446252183.vol", basierend auf dem systeminternen Quarantäne-Namensgebungsverfahren. Elemente, die als Failed to disinfect markiert sind werden in großen Kacheln am oberen Rand der Seite angezeigt. Für jedes dieser Elemente gibt es Investigate und Exclude Tasten.

Investigation Seite

Die Investigation Seite ermöglicht es Ihnen benutzerdefinierte Suchabfragen zu erstellen, indem Sie Kriterien wie machine, user, process, connection, network interface and registry entry verwenden. Es gibt auch vorgefertigte Abfragen, wie zum Beispiel Files downloaded from Chrome und Child processes of Explorer.

Security profile Seite

Hier können Sie die Reputationskriterien anpassen, benutzerdefinierte Regeln für die Erkennung und verhaltensbezogene Whitelists erstellen und Ausnahmen von der Isolierung verwalten.

System Abschnitt

Die System Seite hat eine Reihe von Unterseiten. Diese sind Overview, Sensors, Policies management und Detection servers.

System\Overview Seite

Die Standard Overview Seite ist in 4 Felder unterteilt. Das Sensors Bedienfeld zeigt den Status der installierten Geräte in einer Doughnut-Tabelle mit einem Ampel-Farbcodierungssystem fürEnabled, Suspended und Service Error Zustände. Ein einfaches Balkendiagramm vervollständigt das Bild, indem es den Anteil der aktuellen Clients anzeigt. Die anderen Bereiche zeigen Details zum Management-Server, zu Warnungen und Diensten.

System\Sensors Seite

Auf der System\Sensors Seite wird eine Liste der geschützten Geräte mit Details wie Sensorversion, Betriebssystemtyp, IP-Adresse und Komponentenstatus angezeigt. Die Detailspalten können individuell angepasst werden, so dass Sie eine Vielzahl von Elementen wie CPU-Nutzung, Speichernutzung und Betriebssystemversion hinzufügen können. Sie können ein oder mehrere Geräte auswählen und Aufgaben auf der Actions Seite auswählen und Aufgaben starten, wie z.B. Aktualisieren, Neustart, Richtlinie festlegen, Anti-Ransomware-Modus, und einen Systemscan starten. Über ein Panel oben auf der Seite können Sie eine lange Liste von Geräten nach Sensorstatus, Datensammlung, Betriebssystem, Update-Status, App-Kontrollstatus und Ransomware-Schutzstatus filtern.

System\Policies Management Seite

Die System\Policies management Seite lässt Sie Richtlinien für die Endpoint-Software erstellen und bearbeiten. Für jede Richtlinie gibt es eine Konfigurationsseite mit einer linken Menüspalte. Damit können Sie zu bestimmten Abschnitten der Richtlinie wechseln. Diese sind Anti-Malware, Exploit protection, PowerShell and .NET, Anti-Ransomware, App Control, Endpoint controls, Collection features, und Endpoint UI Settings. Jedes Element öffnet die entsprechende Konfigurationsseite mit übersichtlichen Bedienelementen für die einzelnen Unterkomponenten.

System\Detection servers Seite

Hier können Sie Details zu den Websites und Servern hinzufügen und bearbeiten, die die Schutzsoftware verwalten.

Settings Seite

Auf dieser Seite können Sie Systemelemente wie Benachrichtigungen, Authentifizierung und Kennwortrichtlinien konfigurieren.

Support Seite

Die Support-Dienste des Produkts können durch Anklicken von Support, geändert werden, wie Sie es erwarten würden.

Software zum Schutz von Windows-Endgeräten

Deployment

Installer-Dateien im .exe-Format können von der System\Overview Seite der Konsole heruntergeladen werden. Es gibt 32- und 64-Bit-Installationsprogramme für Windows. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Die manuelle Installation kann mit einem einzigen Klick durchgeführt werden und ist in Sekundenschnelle abgeschlossen.

Prüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste, das den Schutzstatus, Datum und Uhrzeit der letzten Aktualisierung, die Signaturversion und die Programmversion anzeigt. Darüber hinaus werden den Benutzern keine weiteren Funktionen zur Verfügung gestellt. Wenn Sie möchten, können Sie die Benutzeroberfläche mit Hilfe von Richtlinien vollständig ausblenden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Cybereason die schädlichen Dateien sofort und isolierte sie. Es wurde ein Pop-up-Warnhinweis angezeigt, der sich nach einigen Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich.

Über das Produkt

Elastic Endpoint Security bietet Endpunkt-Schutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. geeigneten IT-Ressourcen. Das Produkt kann Netzwerke mit zehntausenden von Geräten verwalten.

Vorzüge

- Funktionalität der Untersuchung
- Sauberes und einfaches Konsolendesign
- Grafische Darstellung der Angriffe
- Konsolenbenutzern können granulare Berechtigungen zugewiesen werden
- Geeignet für mittelgroße bis große Unternehmen

Verwaltungskonsole

Dashboard Seite

Dies ist die Seite, die Sie sehen, wenn Sie die Konsole zum ersten Mal öffnen (Screenshot oben). Sie gibt Ihnen einen Überblick über den Status der Client-Geräte, die Betriebssystemverteilung und die Warnmeldungen. In separaten Feldern werden 4 verschiedene Warnkategorien angezeigt, wobei die drei wichtigsten Geräte in jeder Kategorie aufgeführt sind. Sie können Gesamtwarnungen, Exploit-Warnungen, Malware-Warnungen und Warnungen ohne Dateien sehen. Sie können auf einen Gerätenamen in einem der Bereiche klicken, um direkt zur Detailseite des jeweiligen Geräts und Alarmtyps zu gelangen.

Endpoints Seite

Der Endpoints Seite bietet eine Übersicht über alle verwalteten Clients. Sie können nach Name, IP-Adresse, Betriebssystemversion, angewandter Richtlinie, Sensorversion, Alarmen und Gruppen sortieren und auswählen. Sie können eine Reihe von Endpunkten auswählen und dann Aufgaben für sie ausführen. Dazu gehören das Anwenden einer neuen Richtlinie und das Aktualisieren, Deinstallieren oder Löschen von Endpunkten.

Alerts Seite

Hier erhalten Sie eine Übersicht über die Gesamtzahl der Ausschreibungen und die Gesamtzahl der adversary behaviours. Standardmäßig ist die Seite sehr übersichtlich und einfach gehalten und enthält nur die fünf neuesten Warnungen. Mit einem Klick auf einen Link können Sie jedoch alle Warnungen oder das Verhalten der Angreifer anzeigen. Auch die fünf am häufigsten infizierten Endpunkte werden hier aufgelistet. Wie zu erwarten, können Sie auf Links klicken, um die jeweilige Detailseite für das betreffende Element aufzurufen. Zum Beispiel kann ein Klick auf einen Alert Type Link führt Sie zur Alert Details Seite für dieses Ereignis.

Details zum Alert Seite

Hier können Sie viel mehr Details über das Ereignis sehen, wo es begann, was es getan hat und die Analyse der Malware, falls zutreffend. Sie können den Alarmtyp, den Schweregrad, den Datei-Hash, die Wahrscheinlichkeit, dass die Datei bösartig ist, und die bereits ergriffenen Maßnahmen sehen. Sie können auch einen Analysten zuweisen, der sich mit dem Problem befasst. Die relevanten Informationen, einschließlich der Prozesse, Netzwerkverbindungen und Registry Einträge, werden übersichtlich in grafischer Form dargestellt (siehe Screenshot oben). Unter Take Actionkönnen Sie ein weiteres Vorgehen wählen, wobei die Optionen folgende sind Download Alert, Resolve, Dismiss, Start Investigation, Isolate Host, Download File, Delete File und Whitelist Items.

Investigations Seite

Die Investigations Seite zeigt eine Liste der laufenden Ermittlungen, wer ihnen zugewiesen ist, welche Endpunkte beteiligt sind und so weiter. Der How to start an investigation Link oben auf der Seite zeigt eine kurze Zusammenfassung der erforderlichen Schritte. Diese sind wie folgt. Zunächst müssen Sie ein Betriebssystem und bestimmte Endpoints aus der Endpoints Seite wählen. Sie klicken dann auf Create Investigation, geben einen Namen und den Empfänger ein und wählen Sie eine Hunt Type. Der Hunt kann mehrere Informationsquellen abdecken, z. B. firewall rules, drivers, network, persistence, process, registry, media, indicators of compromise, oder system configuration. Es ermöglicht Ihnen, das Netzwerk nach Informationen zu durchsuchen, die für Ihre Untersuchung relevant sind. Nachdem Sie Ihre Untersuchung erstellt haben, können Sie zur Investigations Seite zurück kehren, um die Ergebnisse zu sehen.

Reporting Seite

Diese Seite bietet einen einfachen Überblick über die Alarmtypen und Endpunkte in grafischer Form.

Administration Seite

Schließlich ermöglicht die Administration Seite den Zugriff auf verschiedene Einstellungen. Sie umfassen Policy, Users, Sensors, Alerts, Whitelist, Blacklist, Trusted Applications und Platform. Mit dem Policytab\Threats Sub-Tab können Sie die Aktion festlegen, die der Endpunkt-Client beim Auftreten bestimmter Bedrohungen durchführen soll. Dazu gehören dercredential access, exploits, malware privilege escalation, process injection und ransomware. Für jeden Bedrohungstyp gibt es eine eigene detaillierte Konfiguration. Bei der process injection können Sie beispielsweise wählen, ob sie erkannt oder verhindert werden soll, ob die self-injection zugelassen oder blockiert werden soll und ob injizierter Code gesammelt werden soll. Policy hat eine weiteren Sub-Tab für Adversary Behaviors. Wie bei Threats können Sie entscheiden, wie Sie vorgehen wollen, wenn Sie auf bestimmte Elemente stoßen. Hier gibt es Optionen für command and control behaviour, credential access, lateral movement, privilege escalation und andere. Schließlich können Sie im Policy\Settings Sub-Tab Ereignisse konfigurieren, die überwacht und aufgezeichnet werden sollen, z. B. Netzwerkverbindungen, laufende Prozesse und Schreibvorgänge in die Registry. Sie können hier auch die zulässigen Netzwerkverbindungen für isolierte Hosts verwalten. Unter Register as Anti-Virus können Sie entscheiden, ob sich der Elastic Endpoint Client als Antivirenprogramm in Windows Security registrieren und Microsoft Defender deaktivieren soll.

Auf Administration Seite\User Tab können Sie Konsolenbenutzer verwalten und ihnen eine von vier Berechtigungsstufen zuweisen. Admin Rolle hat die volle Kontrolle, darunter gibt es die Ebenen 3, 2 und 1. Sie können ein Audit-Protokoll über die Aktivitäten der einzelnen Konsolenbenutzer herunterladen.

Windows Endpoint Protection-Client

Deployment

Bereitstellung des Endpunktschutz-Clients (Sensor) kann über eine Remote-Push-Installation durchgeführt werden (In-Band) oder die manuelle Installation auf dem Endpunkt (Out-of-Band). Das Produkt kann auch über ein Systemverwaltungsprodukt oder Active Directory bereitgestellt werden. Ein Installationspaket, bestehend aus einem Installationsprogramm im .exe-Format und einer Konfigurationsdatei, kann von der Website Settings page\Sensor Registerkarte. Für eine manuelle Installation müssen Sie eine spezielle Befehlszeilensyntax verwenden (die in der Dokumentation enthalten ist).

Überprüfung der Funktionsfähigkeit

Die Endpoint-Protection-Software ist für den Benutzer völlig unsichtbar, mit Ausnahme der Malware-Erkennungswarnungen (siehe unten). Sie erscheint nicht in den Windows Programs and Features oder Apps Listen. Dies bedeutet, dass selbst Benutzer mit Windows-Administratorkonten Schwierigkeiten bei der Deaktivierung haben.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, reagierte Endgame zunächst gar nicht. Sobald wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie von der Endpunkt-Software sofort erkannt und unter Quarantäne gestellt. Es wurde ein Warnbanner angezeigt, das so lange bestehen blieb, bis es manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

ESET Endpoint Protection Advanced Cloud bietet Endpunktschutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Diese werden über die Cloud-Konsole ESET Cloud Administrator (ECA) verwaltet. Wir sind der Meinung, dass diese Lösung auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet ist, aber auch größere Netzwerke kann sie bewältigen.

Bitte beachten Sie, dass es für Windows-Clients eine Auswahl an Endpunktschutzsoftware gibt. ESET Endpoint Antivirus ist ein Anti-Malware-Programm mit vollem Funktionsumfang; ESET Endpoint Security (das in unseren Tests verwendet wurde) enthält zusätzlich eine Webkontrollfunktion und ESETs Netzwerkschutzmodul. Das Paket enthält ESET File Security für Windows Server.

Wir weisen darauf hin, dass ESET nun den Namen des Pakets in "ESET PROTECT Entry" und den der Verwaltungskonsole in "ESET PROTECT Cloud" geändert hat.

Vorteile

- Modernes Interface-Design
- Einfacher Zugriff auf Funktionen über eine einzige Menüspalte
- Die anklickbare, miteinander verbundene Konsole macht es einfach, zu den Detailseiten zu gelangen
- Schnittstelle kann individuell angepasst werden
- Auswahl der Endpunktschutzsoftware

Verwaltungskonsole

Dashboard Seite

Die Konsole öffnet sich auf der Dashboard/Computers Seite, die im obigen Screenshot zu sehen ist. Sie bietet auf einen Blick einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und Rogue-Computern sehen. Die Zeiten der letzten Verbindung/Aktualisierung und die Verteilung der Betriebssysteme werden angezeigt. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassungsfähig. Sie können sie u.a. verschieben, in der Größe verändern und den Diagrammtyp ändern. Andere Registerkarten auf der Dashboard Seite können Antivirus- oder Firewall-Bedrohungen, ESET-Anwendungen und Vorfälle anzeigen.

Computers Seite

Die Computers Seite (siehe oben) gibt Ihnen einen Überblick über alle verwalteten Geräte und Gerätegruppen im Netzwerk. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Computers with outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen. Sie können Computer auch in Ihre eigenen Gruppen einteilen und Aufgaben für einzelne oder mehrere Geräte über das Actions Menü festlegen. Beispiele sind Scan, Update, Reboot, Shut Down, Manage Policies, Deactivate Products, und Remove. Wenn Sie auf den Eintrag eines einzelnen Computers klicken, öffnet sich eine detaillierte Informationsseite für dieses Gerät (siehe Screenshot unten). Bitte beachten Sie, dass ESET Full Disk Encryption ein separates Produkt, das nicht in ESET Endpoint Protection Advanced Cloud enthalten ist.

Detections Seite

Die Detections Seite zeigt Informationen über alle Bedrohungen, die von allen verwalteten Geräten im Netzwerk erkannt wurden. Zu den Details gehören Status, Erkennungsname, Malware-Typ, durchgeführte Aktion, Gerätename, Benutzer, Dateipfad sowie Datum und Uhrzeit. Sie können auf den Eintrag einer beliebigen Bedrohung klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus zu erhalten. Es ist auch möglich, Dateien auf dieser Seite in die Whitelist aufzunehmen.

Reports Seite

Mit Reports können Sie Daten aus einer Vielzahl von Kategorien sammeln, darunter Antivirus detections, Automation, Dynamic Threat Defense, Firewall detections, Hardware inventory und quarantine. Für jede Kategorie wird eine breite Palette vorkonfigurierter Szenarien bereitgestellt, die als Kacheln angezeigt werden. Um einen Bericht über eines dieser Elemente zu erstellen, genügt ein Klick auf die entsprechende Kachel. Beispiele für Berichte in der Kategorie Antivirus detection sind >Active detections, Blocked files in last 30 days, High severity detection events in last 7 days, und Last Scan. Sie können auch eigene Berichtsszenarien erstellen und planen, wenn Sie möchten.

Tasks Seite

Tasks ermöglicht es Ihnen, eine Vielzahl von Aktionen auf einzelnen Geräten oder Gerätegruppen durchzuführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z. B. die Installation von Windows Updates und den Neustart des Betriebssystems.

Policies Seite

Hier finden Sie eine praktische Liste mit vorkonfigurierten Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Es gibt separate Richtlinien für Windows-Server, Windows-Clients und macOS/Linux-Clients. Sie können auch Ihre eigenen benutzerdefinierten Richtlinien erstellen, wenn Sie möchten. Für die Mechanismen des maschinellen Lernens gibt es zwei Einstellungen: Reporting oder Protection.

Computer Users Seite

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

Installers Seite

Hier können Sie Installationspakete erstellen, die für die Bereitstellung der Endpoint-Protection-Software verwendet werden. Wenn Sie sich zum ersten Mal an der Konsole anmelden, können Sie dies mit Hilfe eines Einführungsassistenten sofort tun. Um ein Installationsprogramm zu erstellen, wählen Sie das entsprechende Produkt aus und konfigurieren die Installationsoptionen.

Submitted files Seite

Diese Seite zeigt eine Liste von möglicherweise verdächtigen Dateien auf geschützten Endpunkten an, die an ESETs LiveGrid Dienst zur Analyse übermittelt wurden. Die Dateien können automatisch vom System, manuell vom Nutzer oder von einem anderen ESET-Administrator oder -System übermittelt worden sein.

Quarantine Seite

Hier sehen Sie alle Dateien, die unter Quarantäne gestellt wurden, zusammen mit nützlichen Details wie dem Hash, dem Erkennungstyp (Trojaner, PUA, Testdatei) und der Anzahl der betroffenen Computer. Sie können alle unter Quarantäne gestellten Dateien wiederherstellen oder löschen.

Exclusions Seite

Die Seite Exclusions zeigt Dateien/Pfade, die von der Erkennung/dem Scannen ausgeschlossen wurden, und enthält Anweisungen zum Erstellen solcher Ausschlüsse.

Notifications Seite

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Status overview Seite

Schließlich ermöglicht die Status Overview Seite einen kurzen Überblick über wichtige Statusinformationen, unterteilt in die Kategorien Licences, Computers, Products, Invalid Objects und Questions. Der Invalid Objects Abschnitt weist z.B. auf Richtlinien hin, die sich auf veraltete Installationsprogramme beziehen. Questions weist auf "Entscheidungen hin, die nicht automatisch abgewickelt werden können und der Aufmerksamkeit des Verwalters bedürfen".

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe- oder GPO/SCCM-Skriptformat können von der Installers Seite heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über Active Directory ausgeführt werden. Sie können ein Installationsprogramm auch direkt über die Installers Seite per E-Mail an andere Benutzer senden. Das Installationsprogramm kann so konfiguriert werden, dass keine Entscheidungen getroffen werden müssen, so dass die Installation auch für nicht erfahrene Benutzer einfach ist. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Option Password protect settings in den Richtlinien wählen.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster, das unten abgebildet ist. Sowohl ESET Endpoint Antivirus als auch ESET File Security for Windows Servers verwenden eine nahezu identische Oberfläche wie ESET Endpoint Security.

Der Nutzer kann den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und vollständige oder benutzerdefinierte Scans durchführen. Nutzer können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie Benutzern mit Windows-Administratorkonten die volle Kontrolle über das Programm geben. Alternativ dazu können Sie die Benutzeroberfläche für alle Benutzer ausblenden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen, wurden wir von ESET Endpoint Security aufgefordert, das Laufwerk zu scannen. Wir lehnten ab und öffneten das Laufwerk im Windows Explorer. ESET erkannte die schädlichen Dateien sofort und stellte sie unter Quarantäne. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich. Es wird jedoch ein Link angezeigt, der weitere Details zur Bedrohung enthält. Sie können Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

FireEye Endpoint Security bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie für Windows-Server. Es ist eine Vielzahl von Konsolentypen verfügbar. Dazu gehören die Cloud-basierte, die Hardware-Appliance, die virtuelle Appliance und die von Amazon gehostete Konsole. Wir beschreiben in diesem Test die Cloud-basierte Konsole. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt ist für sehr große Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance.

Vorteile

- Merkmale der Angriffsuntersuchung
- Eine Vielzahl von Konsolentypen verfügbar
- Geeignet für mittelgroße bis große Unternehmen
- Umfassende Suchfunktion
- Mit der Containment-Funktion können Sie infizierte Geräte isolieren

Verwaltungskonsole

Dashboard

Wenn Sie die Konsole öffnen, sehen Sie einen Überblick über die wichtigsten Statuselemente (siehe Screenshot oben). Dazu gehören die Gesamtzahl der Hosts mit Warnungen und eine Aufschlüsselung nach Exploits und Malware. Ein Klick auf die Total hosts with alerts Schaltfläche öffnet die Hosts with Alerts Seite, siehe unten.

Hosts with alerts

Wie der Name schon sagt, werden auf dieser Seite Details zu geschützten Geräten mit noch nicht behobenen Alarmen angezeigt. Wenn Sie auf das Pluszeichen eines Geräts klicken, sehen Sie eine Liste der Warnungen für dieses Gerät in chronologischer Reihenfolge. Bei Malware-Warnungen wird eine Fülle von Details zu jeder Warnung angezeigt. Dazu gehören der Status (z.B. unter Quarantäne gestellt), die Erkennungsmethode (z.B. Signatur), der Dateipfad, MD5- und SHA1-Hashes (jedoch nicht SHA256), die Dateigröße, die Zeiten der letzten Änderung und des letzten Zugriffs, der Prozesspfad, der Benutzername des angemeldeten Benutzers, der Erkennungsname, der Bedrohungstyp sowie die Zeiten der ersten und letzten Warnungen für das Objekt. Jeder Threat kann bestätigt (als "read" markiert) oder als False Positive markiert werden. Sie können auch Kommentare zu den Bedrohungsdetails hinzufügen, um sie später zu untersuchen.

Die Hosts Seiten bietet auch die contain Option für ein Gerät. Dadurch werden alle Netzwerkverbindungen zu und von dem Gerät unterbrochen, mit Ausnahme der Verwaltungskonsole. Sie können dann eine Bedrohung untersuchen, ohne dass die Gefahr besteht, dass sie sich ausbreitet.

Alerts

Für eine bedrohungszentrierte und nicht gerätezentrierte Ansicht können Sie die Alerts Seite öffnen. Hier können Sie Bedrohungen nach Namen, Dateipfad, ersten oder letzten Erkennungen und Hostname oder IP-Adresse des jeweiligen Geräts sortieren. Die Optionen Acknowledge, Mark False Positive und Add Comment sind auch hier verfügbar.

Acquisitions

Von der Hosts Seite können Sie eine Datei oder verschiedene Diagnosedaten von einem einzelnen Gerät abrufen. Auf der Seite Acquisitions können Sie Dateien, die Sie von Hosts erworben haben, herunterladen, um sie zu analysieren.

Enterprise Search

Mit dieser Funktion können Sie das Netzwerk nach einer Vielzahl von Elementen durchsuchen. Dazu gehören Anwendungsname, Browserversion, Hostname, verschiedene ausführbare Dateien, Dateinamen/Hashes/Pfade, IP-Adresse, Port, Prozessname, Registrierungsschlüssel, Dienstname/Status/Typ/Modus, Zeitstempel, URL, Benutzername und Windows-Ereignismeldung.

Policies

Diese Funktion findet sich in dem Admin Menü. Hier können Sie zahlreiche verschiedene Aspekte der Client-Schutzrichtlinie konfigurieren. Beispiele sind Scans, ob die Endpunkt-GUI auf dem Client angezeigt werden soll, Protokollierung, Einstellungen für Malware-Scans, Abfragehäufigkeit, Manipulationsschutz, Scan-Ausschlüsse, Management-Server-Adresse und Einstellungen für die Malware-Erkennung. Scans können so eingestellt werden, dass sie nach einem Zeitplan, nach einer Signaturaktualisierung oder nach dem Hochfahren des Geräts ausgeführt werden.

Host Sets

Dies sind einfach Gruppen von Computern. Sie können nach einer Vielzahl von Kriterien oder einfach durch Ziehen und Ablegen aus der Liste aller Geräte definiert werden. Diese Gruppen werden verwendet, um verschiedene Schutzrichtlinien anzuwenden. Die Funktion befindet sich im Admin Menü.

Agent Versions

Diese Funktion findet sich im Admin Menü, dort können Sie aktuelle und ältere Versionen des Endpunkt-Agenten für Windows- und Mac-Systeme herunterladen. So kann der Administrator z.B. Kompatibilitätsprobleme mit einer bestimmten Agentenversion auf bestimmten Systemen vermeiden.

Appliance Settings

Auf dieser Seite können Sie die Einstellungen für die Verwaltungskonsole selbst ändern; sie befindet sich auf der Seite Admin . Es gibt Steuerelemente für Datum und Uhrzeit, Benutzerkonten, Benachrichtigungen, Netzwerkeinstellungen und Lizenzen und vieles mehr.

Windows Endpoint Protection-Client

Deployment

Installer-Dateien im .msi-Format können von dem Admin Menü, Agent Versions heruntergeladen werden. Wie der Name schon sagt, werden die aktuelle und frühere Versionen des Clients (etwa 10 für jede Plattform) bereitgestellt. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können die automatische Aktualisierungsfunktion verwenden, um installierte Geräte auf der neuesten Version des Endpunkt-Agenten zu halten.

Überprüfung der Funktionsfähigkeit

Für unseren Funktionstest haben wir die gleichen Einstellungen wie in der Haupttestreihe verwendet, wobei die Option Allow users the ability to restore files from quarantine aktiviert wurde.

Die Benutzeroberfläche auf den geschützten Endpunkten bestand aus einem Symbol in der Systemablage und einem Programmfenster. In diesem Fenster konnten die Benutzer die Erkennungsprotokolle und die Quarantäne einsehen und unter Quarantäne gestellte Objekte löschen oder wiederherstellen. Weitere Steuerelemente waren nicht vorhanden. Wir stellten fest, dass jedes Windows-Benutzerkonto (ob Standard oder Administrator) erkannte Dateien aus der Quarantäne wiederherstellen und ausführen konnte. Dies ermöglichte es allen Benutzern, den Malware-Schutz zu umgehen. Wir empfehlen daher die Deaktivierung von Allow users the ability to restore files from quarantine in der jeweiligen Police.

Wenn Sie möchten, können Sie die Benutzeroberfläche vollständig ausblenden, indem Sie die Option Enable the Endpoint Agent Console on the host deaktivieren.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte FireEye die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Benachrichtigung angezeigt, aber es war keine Benutzeraktion erforderlich oder möglich.

Über die Produkte

Das in der Haupttestreihe von AV-Comparatives verwendete Paket besteht aus der serverbasierten Konsole FortiClient Endpoint Management Server (EMS), der cloudbasierten Konsole FortiEDR, der FortiSandbox und der Endpunktschutzsoftware FortiClient. Die EMS-Konsole muss auf einem Windows Server-Betriebssystem (2008 R2 oder höher) installiert werden. Es gibt eine Endpunktschutz-Software für Windows-Clients und -Server sowie für macOS-Geräte. Neben dem Schutz vor Malware und der Untersuchung von Bedrohungen umfasst das Paket auch andere Funktionen wie Telemetrie und sicheren Fernzugriff. Diese sind jedoch nicht Gegenstand dieser Überprüfung. Die FortiClient-Endpunktschutzsoftware und das EMS könnten von kleineren Unternehmen mit einigen Dutzend Arbeitsplätzen genutzt werden, aber wir sind der Meinung, dass das hier getestete Gesamtpaket eher für größere Unternehmen geeignet ist.

Vorteile

- Investigative Merkmale
- Telemetrie-Funktion
- Sichere Fernzugriffsfunktion
- Detaillierte Malware-Analyse
- Anklickbare Grafiken bieten einfachen Zugang zu Detailseiten

EMS-Server-Installation

EMS ist ein lokales, serverbasiertes Produkt. Die Installation der Verwaltungskonsole auf einem Windows Server-System ist sehr einfach und erfordert fast keine Benutzerinteraktion. Allerdings müssen Sie den Server neu starten, um die Installation abzuschließen. Der Zugriff auf die Konsolenfunktionalität kann in einem eigenen Fenster oder über einen Webbrowser mit der IP-Adresse des Servers erfolgen.

EMS-Verwaltungskonsole

Die Navigation in der Enterprise Management Server-Konsole erfolgt über eine einzige Menüspalte auf der linken Seite. Wenn Sie hier auf ein Element klicken, wird die rechte Seite des Fensters aufgefüllt.

Dashboard\FortiClient Status Seite

Diese Seite sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden, wie im obigen Screenshot zu sehen ist. Sie bietet einen grafischen Überblick über den Status der Lizenzierung, der Plattform und der Client-Verbindung/Verwaltung. Sie können auf eines der beiden endpunktbezogenen Felder klicken, um die Geräteseite aufzurufen. Eine Reihe von Schaltflächen am oberen Rand der Seite zeigt Ihnen anfällige, infizierte und unter Quarantäne gestellte Geräte an. Wenn Sie auf eine dieser Schaltflächen klicken, gelangen Sie zu einer vorgefilterten Geräteseite, auf der nur die spezifischen Geräte dieser Kategorie angezeigt werden.

Dashboard\Vulnerability Scan Seite

Die Vulnerability Scan Seite zeigt Ihnen die entdeckten Softwareschwachstellen an. Der Schweregrad wird mit einer Ampelgrafik dargestellt. Die Farben reichen von grün (gering) über gelb (mittel) bis orange (hoch) und rot (kritisch). Darunter befindet sich eine Reihe von Schaltflächen, die angeben, wo die Schwachstellen liegen. Zum Beispiel werden Betriebssystem, Browser, Microsoft Office und Dienste angezeigt. In anderen Bereichen werden der Status der Schwachstellenüberprüfung, die zehn wichtigsten Schwachstellen und die zehn Endpunkte mit den risikoreichsten Schwachstellen angezeigt.

Endpoints\All Endpoints Seite

Auf der Endpoints\All Endpoints Seite werden alle Endpunkte in Ihrem Netzwerk aufgelistet. Auf anderen Unterseiten können Sie die Liste nach Gruppe, Domäne oder Arbeitsgruppe filtern. Zu jedem Gerät werden Details wie Gruppe, Benutzerkonto, IP-Adresse, verwendete Richtlinie, Serververbindungsstatus und jüngste Ereignisse/Warnungen angezeigt. Grafische Schaltflächen am oberen Rand der Seite zeigen die Anzahl der nicht geschützten, nicht verbundenen, nicht synchronisierten, gefährdeten und unter Quarantäne gestellten Endgeräte an. So können Sie sehen, wie viele Geräte Ihrer Aufmerksamkeit bedürfen. Wenn Sie auf den Eintrag eines Endpunkts klicken, wird die Detailseite für dieses Gerät geöffnet. Hier können Sie detailliertere Informationen einsehen, einschließlich Hardware-Details, externer IP-Adresse, MAC-Adresse, FortiClient-Versionsinformationen und installierter Komponenten.

Quarantine Management\Files Seite

Wie zu erwarten, zeigt diese Seite die Dateien an, die auf geschützten Endpunkten unter Quarantäne gestellt wurden. Zu den Details gehören Gerätename, Dateiname und Hash, Name der Bedrohung, Datum und Uhrzeit der Quarantäne sowie die Anzahl der betroffenen Endpunkte. Sie können ausgewählte Dateien auf die Whitelist setzen, indem Sie auf Liste zulassen & wiederherstellenDanach werden sie in der Erlaubnisliste Seite einsetzen.

Endpoint Profiles\Manage Profiles Seite

Endpoint Profiles sind Standardrichtlinien für die Client-Konfiguration, mit denen Sie die Anti-Malware-Einstellungen für Endgeräte zentral ändern können. Dazu gehören Aktionen bei Malware-Erkennung, die Anzeige von Warnungen, geplante Scans und Ausschlüsse. Es gibt eine Basic Ansicht, die Ihnen die beliebtesten Einstellungen anzeigt, und eine Advanced Ansicht, die Ihnen weitere Konfigurationsmöglichkeiten bietet.

Endpoint Policy\Manage Policies Seite

Policies in EMS könnte man am besten als "Super-Politik" bezeichnen, diese umfassen das Profile der Client-Einstellungen und ermöglichen darüber hinaus weitere Konfigurationsoptionen.

Administration Abschnitt

Unter Administration\Administrators können Sie Benutzerkonten für EMS-Analysten erstellen. Auf der Seite Admin Roles können Sie die Berechtigungen verwalten, die den verschiedenen Administratorstufen zugewiesen sind. Standardmäßig gibt es fünf verschiedene Stufen, die von Read-Only Administrator bis Super Administrator reichen.

System Settings Abschnitt

Hier können Sie systemweite Optionen konfigurieren. Zum Beispiel können Sie auf der Seite Server Sicherheitszertifikate und Kommunikationsports konfigurieren und die Verwaltung von Chromebooks aktivieren.

FortiEDR

FortiEDR ist eine separate Endpunkt-Erkennungs- und Reaktionsplattform, die über eine eigene Verwaltungskonsole verfügt. Diese kann in der Cloud, vor Ort oder als Hybridlösung installiert werden.

FortiEDR-Verwaltungskonsole

Dashboard Seite

Die oben gezeigte Dashboard Seite verwendet Balken- und Doughnut-Diagramme, um einen grafischen Überblick über Bedrohungen und verdächtige Prozesse zu geben. Sie können die Anzahl der Prozesse die im Netzwerk aufgetreten sind und als malicious, potentially unwanted und likely safe eingestuft sind sehen. Außerdem gibt es eine Übersicht über die bösartigen Prozesse, die die meisten Endpunkte angegriffen haben. Eine Weltkarte zeigt Ihnen die Ziele der häufigsten Netzwerkverbindungen. Wenn Sie mit der Maus über die Stecknadel fahren, die ein bestimmtes Land anzeigt, können Sie die IP-Adressen sehen, zu denen die Verbindungen hergestellt wurden. Viele der Dashboard Panels sind anklickbar. Zum Beispiel führt ein Klick auf das Security Events Diagramm den Nutzer zur Events Seite.

Events Seite

Die Ereignisanzeige (siehe unten) zeigt Details zu Sicherheitsereignissen an. Sie können den Dateinamen, das Datum und die Uhrzeit der Benachrichtigung sowie eine Bedrohungskategorie wie Bösartig, Verdächtig, PUP oder Unschlüssig sehen. Der Bereich Erweiterte Daten zeigt eine grafische Darstellung der Prozessausführung und anderer beteiligter Prozesse. Durch Auswahl eines Ereignisses kann der Benutzer eine Untersuchung starten, indem er auf Forensics klickt.
Weitere Seiten sind Threat Hunting; Communication Control (Anwendungen und Richtlinien); Security Settings (security policies and automated incident response); Inventory (collectors, IoT and system components) und Administration (licensing, organizations, users etc.).

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Client-Software einsetzen, müssen Sie Folgendes aktivieren AntiVirus Protection im jeweiligen Profil unter Endpoint Profiles\Manage Profiles in der Verwaltungskonsole. Dadurch werden die Anti-Malware-Funktionen aktiviert. Unter Manage Installers\Deployment Packages können Sie dann ein Installationsprogramm im .exe-Format mit einer bestimmten Programm- und Patch-Version erstellen. Es wird dann eine URL zum Repository des Servers angezeigt, über die Sie das Installationsprogramm auf die Client-Rechner herunterladen können. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen und schnelle, vollständige benutzerdefinierte und entfernbare Medien-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Fortinet die bösartigen Dateien sofort und isolierte sie. Es wurde eine Pop-up-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Erkennungswarnungen über Richtlinien deaktivieren, wenn Sie dies wünschen.

Über das Produkt

G Data AntiVirus Business bietet Endpunktschutz-Software für Windows- und macOS-Arbeitsplätze sowie Windows-Server. Die Verwaltung erfolgt über eine serverbasierte Konsole, die auf jedem aktuellen Windows Server- oder Windows Client-Betriebssystem installiert werden kann. Innerhalb einer Organisation können mehrere Verwaltungsserver eingesetzt und über eine einzige Konsole verwaltet werden. Für den Schutz virtueller Maschinen steht eine Option zur Verfügung, die einen "Light"-Agenten und einen virtuellen Scan-Server verwendet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Geräten.

Vorteile

- Vertraute, MMC-ähnliche Verwaltungskonsole
- Gruppen können mit Active Directory synchronisiert werden
- Einfache Verwaltung von Computergruppen
- Hoher Grad an Kontrolle über die GUI der Endpunktsoftware
- Eine einzige Installationsdatei für den Verwaltungsserver und den Windows-Endpunktschutz-Client

Server-Installation

G Data stellt ein einziges Installationspaket zur Verfügung, mit dem Sie sowohl die Verwaltungskonsole als auch die Endpoint-Protection-Software einrichten können. Mit dem Assistenten für die Konsoleninstallation können Sie eine vorhandene SQL Server-Installation verwenden, wenn Sie eine haben. Alternativ kann er den SQL Server 2014 Express zusammen mit der Verwaltungssoftware installieren. Die Installation ist sehr schnell und einfach, und Sie können sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Die integrierte Authentifizierung von G Data ist als Option verfügbar.

Verwaltungskonsole

Mit den Schaltflächen Management Server und Clients in der linken oberen Ecke können Sie zwischen den jeweiligen Computertypen wechseln. Unter Verwaltungsserver können Sie Elemente für Ihre(n) Verwaltungsserver konfigurieren. Dazu gehören Konsolenbenutzer, die Synchronisation mit Clients/Subnet-Servern/Active Directory, die Verteilung von Software-Updates und die Lizenzverwaltung. Der Rest der Konsolenbeschreibung bezieht sich auf die Seiten der Clientverwaltung.

Clients Seite

Hier können Sie die Gerätegruppenstruktur für jeden Verwaltungsserver sehen und darin navigieren. Standardmäßig gibt es separate Gruppen für Computer (Windows, macOS und Linux) und Android-Mobilgeräte. Sie können leicht eigene Untergruppen innerhalb dieser Gruppen erstellen und sie können mit Organisationseinheiten synchronisiert werden, wenn Sie Active Directory verwenden. Sie können den G Data Endpoint Security Client automatisch auf Computern installieren, indem Sie sie einfach zu einer bestimmten synchronisierten Gruppe hinzufügen. Die Gruppenstruktur im Bereich Clients ermöglicht Ihnen auch die Überwachung, Verwaltung und Konfiguration von Geräten auf der Grundlage der Gruppenmitgliedschaft. Wenn Sie im Bereich Clients auf die oberste Gruppe klicken, werden die im Hauptbereich vorgenommenen Konfigurationsänderungen (z. B. Client Settings) auf alle Computer angewendet. Wenn Sie auf eine Untergruppe klicken, wirken sich die vorgenommenen Änderungen nur auf die Geräte in dieser Gruppe aus. Sie können die Konfiguration eines Geräts ändern, indem Sie es einfach in eine Gruppe mit einer anderen Richtlinie verschieben.

Dashboard Seite

Für den ausgewählten Server oder die Gruppe bietet die oben gezeigte Standardseite Dashboard der Konsole eine grafische Anzeige von 4 wichtigen Statuselementen. Der erste ist der Status der einzelnen Komponenten, der anzeigt, welcher Anteil der Geräte korrekt konfiguriert ist. Dann gibt es den Anteil der Geräte, die sich kürzlich mit der Konsole verbunden haben. Sie können auch sehen, bei welchen Clients die meisten Bedrohungen erkannt wurden. Schließlich gibt es noch eine Zeitleiste mit wichtigen Ereignissen.

Clients Seite

Der Overview Tab der, oben gezeigten, Clients Seite zeigt eine Liste der verwalteten Geräte an. Sie können Informationen wie Status, verwendete Definitionen, Client-Version und Betriebssystem einsehen. Die Spalten sind anpassbar. So können Sie auch den letzten aktiven Benutzer und verschiedene Netzwerkelemente wie IP-Adresse und DNS-Server anzeigen. Sie können Computer nach den Daten in einer der Spalten gruppieren, indem Sie die Spaltenüberschrift auf die graue Leiste direkt darüber ziehen. Über die Schaltflächen in der oberen Reihe können Sie verschiedene Aufgaben auf den Computern ausführen. Dazu gehören das Installieren oder Deinstallieren von Client-Software, das Aktualisieren von Definitionen & Software und das Löschen von Geräten. So können Sie z.B. Computer nach Virus signature update/time, gruppieren und dann eine Aktualisierungsaufgabe für alle veralteten Dateien ausführen. Die Software Schaltfläche, in der oberen Symbolleiste, bietet eine detaillierte Übersicht über die auf dem/den Client-Gerät(en) installierten Programme. Hardware zeigt grundlegende Systemdetails wie CPU, RAM und freien Speicherplatz an.

Client settings Seite

Auf den Seiten Client settings können Sie einige Optionen wie automatische Signatur- und Programm-Updates konfigurieren. Sie können den Benutzern auch ein gewisses Maß an Interaktion mit der Endpunktsoftware auf ihren PCs erlauben. So können Sie ihnen beispielsweise erlauben, Scans durchzuführen und/oder die lokale Quarantäne anzuzeigen.

Wie zu erwarten, können Sie auf der Seite Tasks den Status der von Ihnen eingerichteten Aufgaben, z.B. der Installation, einsehen. Logs bietet eine detaillierte Liste relevanter Ereignisse. Dazu gehören Malware-Erkennungen, Updates und Einstellungsänderungen. Statistics listet den Status einzelner Schutzkomponenten auf, wie z.B. Email Protection und Anti-Ransomware.

In der linken unteren Ecke der Konsole finden Sie eine Reihe von Verknüpfungen zu bestimmten Seiten. Die, unten gezeigte, Security Seite, die unten im Bild gezeigt ist, listet Malware-Erkennungen auf. Zu den Details gehören Client-Name, Status (durchgeführte Aktion), Datum und Uhrzeit, Erkennungskomponente, Name des Threats, Dateiname, Speicherort und Benutzer. Durch Auswahl eines oder mehrerer Objekte können Sie Maßnahmen ergreifen, wie z.B. das Löschen oder Wiederherstellen von unter Quarantäne gestellten Objekten.

Auf der Seite Info werden Ereignisinformationen wie Softwareinstallation und Client-Neustart angezeigt. Die Seite Signatures zeigt Konfigurationsoptionen für Definitionsupdates an. Hier können Sie auch ein Update mit einem einzigen Klick starten. Program prüft, ob die Management-Konsole selbst die neueste verfügbare Version ist.

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Endpoint-Protection-Software auf den Clients bereitstellen, müssen Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Bei der ersten Verwendung der Konsole wird ein Bereitstellungs-Assistent ausgeführt, mit dem Sie die Endpunkt-Software über das Netzwerk an die Clients verteilen können. Auf diese Weise können Sie E-Mail-Benachrichtigungen z.B. für die Erkennung von Malware oder veralteten Clients einrichten. Außerdem besteht die Möglichkeit, "DeepRay" zu aktivieren, um getarnte Malware zu erkennen, sowie "BEAST", die neueste Behavior-Blocking-Technologie von G Data. Dieser Assistent kann jederzeit über das Admin-Menü erneut gestartet werden. Alternativ können Sie das Installationsprogramm manuell auf einzelnen Client-Geräten ausführen oder ein Systemmanagement-Produkt oder eine Active Directory-Integration verwenden. Um den Client mit einem Management-Server zu verbinden, müssen Sie lediglich den Hostnamen oder die IP-Adresse des Servers in den Setup-Assistenten eingeben.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endgeräten besteht lediglich aus einem Symbol in der Taskleiste. Über dieses Symbol können Definitionsaktualisierungen ausgeführt und Programminformationen angezeigt werden. Standardmäßig werden keine weiteren Funktionen bereitgestellt. Wenn Sie jedoch die Richtlinie ändern, können Sie den Benutzern die Durchführung von Scans (Schnell-, Voll-, benutzerdefinierte Scans und Rechtsklick), die Anzeige der Quarantäne und die Konfiguration von Schutzkomponenten ermöglichen. Diese können einzeln ausgewählt werden. Sie können das gesamte Programm mit einem Passwort schützen, so dass nur autorisierte Benutzer Zugriff auf die Funktionen haben. Es ist auch möglich, das Symbol im System Tray auszublenden, so dass das Produkt unsichtbar bleibt.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte G Data die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung (Screenshot unten) angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

K7 Cloud Endpoint Security bietet Endpunktschutz-Software für Windows-Clients und -Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt ist für Unternehmen jeder Größe konzipiert. Unserer Meinung nach ist es besonders für kleinere Unternehmen und weniger erfahrene Administratoren geeignet.

Vorteile

- Geeignet für Kleinstunternehmen aufwärts
- Leicht zu navigierende Konsole
- Die Hilfeseite, die bei der ersten Anmeldung angezeigt wird, bietet eine Anleitung für die Konsole
- Einfach zu bedienende Funktion zur Anwendungssteuerung
- Granulare Kontrolle der im Endpunktschutz-Client angezeigten Funktionen

Verwaltungskonsole

Wenn Sie sich zum ersten Mal anmelden, wird eine Hilfeseite mit kurzen Erläuterungen zu den Funktionen und ihrer Verwendung angezeigt. Der Zugriff auf alle Funktionen der Konsole erfolgt über eine einzige Menüleiste am oberen Rand des Fensters.

Dashboard Seite

Nach der Anmeldung öffnet sich die Konsole auf der Dashboard Seite, die einen Überblick über den Systemstatus gibt. Es gibt verschiedene Detailbereiche, die erkannte Bedrohungen, blockierte Websites, Verstöße gegen die Hardwarerichtlinie, erkannte Schwachstellen, den Sicherheitsstatus des Geräts, die Anzahl der Geräte, auf denen bestimmte Windows-Versionen ausgeführt werden, und eine Zeitleiste der erkannten Threats anzeigen. Es gibt einen Link von dem Device Security Status Panel zur Protected Devices Seite, so dass Sie durch Anklicken der Seite weitere Informationen erhalten.

Groups Seite

Auf der Seite Groups der Konsole werden die von Ihnen erstellten Gerätegruppen aufgelistet. Es gibt Links zu den Richtlinien, die auf jede Gruppe angewendet werden, und eine Liste von Aufgaben (z. B. Scans und Updates), die Sie auf alle Gruppenmitglieder anwenden können.

Devices Seite

Auf der Registerkarte Devices, die im obigen Screenshot zu sehen ist, werden die einzelnen Computer im Netzwerk aufgelistet. Über die Links in der Spalte Actions können Sie die Details eines Computers anzeigen, Endpoint Security deinstallieren oder seine Gruppe ändern. Andere Registerkarten der Seite Devices sortieren Computer in die Kategorien Protected, Unprotected und At Risk. So können Sie auf einen Blick sehen, welche Geräte Ihre Aufmerksamkeit benötigen

Application control Seite

Auf der Seite Application Control können Sie festlegen, welche Anwendungen ausgeführt werden oder auf das LAN/Internet zugreifen dürfen. Dies geschieht ganz einfach, indem Sie eine Anwendung aus der Liste auswählen und in der Dropdown-Liste auf Block from Running, Block Internet Access oder Block Network Access klicken. Sie können eine Anwendung, die noch nicht in der Liste enthalten ist, anhand ihres MD5-Hashwerts hinzufügen. Wir weisen darauf hin, dass der MD5-Hashwert einer Datei möglicherweise gefälscht werden kann und schlagen vor, dass SHA256 sicherer ist.

Policies Seite

Auf der Seite Policies können Sie die Einstellungen für die Endpunktsoftware steuern. Diese sind bequem in Gruppen wie Antivirus, Behaviour Protection, Firewall, Web Filtering und Device Control ist oben abgebildet.

Actions Seite

Unter Actions können Sie Aufgaben erstellen, die auf einzelnen Computern oder Gruppen ausgeführt werden. Zu den verfügbaren Aufgaben gehören eine Reihe von Scans und ein Client-Update.

Settings Seite

Auf der Seite Settings können Sie Installationspakete für die Endpunktschutz-Software herunterladen und E-Mail-Benachrichtigungen konfigurieren.

Reports Seite

Die Seite Reports bietet eine sehr einfache Möglichkeit, Berichte über Elemente wie erkannte Bedrohungen und Schwachstellen, blockierte Websites und Scanergebnisse zu erstellen.

Windows Endpoint Protection-Client

Deployment

Auf der Seite Settings können Sie ein Installationspaket (vollständig oder leicht) im .exe-Format herunterladen. Sie können die Gruppe angeben, der der Computer hinzugefügt werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können sie auch direkt von der Download-Seite aus per E-Mail an die Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Benutzer mit Windows-Administratorkonten können daran gehindert werden, die Software zu deinstallieren, indem sie sicherstellen, dass die Einstellung Uninstall Endpoint Security in der entsprechenden Richtlinie deaktiviert ist.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Nutzer können den Schutzstatus anzeigen, Updates ausführen und Schnell-, Voll-, benutzerdefinierte und Rootkit-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklick-Menü von Windows Explorer scannen. Durch Ändern der Richtlinien können Sie den Benutzern die volle Kontrolle über das Programm geben oder es komplett sperren.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte K7 die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Warnmeldungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Hinweis

Beim Testen von K7 Endpoint Security haben wir ein schwerwiegendes Sicherheitsproblem festgestellt, das auch für das Verbraucherprodukt gilt. Wir haben dies sofort an K7 gemeldet, das das Problem nun in allen seinen Produkten behoben hat. Wir empfehlen Nutzern von K7, sicherzustellen, dass ihre Produkte auf dem neuesten Stand sind.

https://support.k7computing.com/index.php?/solutions/view-article/Advisory-issued-on-23rd-October-2020

Über das Produkt

Kaspersky Endpoint Security for Business (KESB) Select ist eine Stufe der Produktlinie Endpoint Security for Business von Kaspersky. Sie richtet sich an mittlere und größere Unternehmen. Das Produkt bietet Endpunktschutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Das Produkt wird über eine serverbasierte Konsole verwaltet. Administratoren haben die Wahl zwischen einer modernen webbasierten Oberfläche und einer alten MMC-basierten GUI. Wir haben uns in diesem Test die webbasierte Konsole (siehe Screenshot oben) angesehen.

Vorteile

- Wahlweise webbasierte oder MMC-Konsole
- Unkomplizierte Konsoleninstallation mit Schnellstart-Anleitung
- Einrichtungsassistent für eine vereinfachte Client-Installation
- Die Seiten der Web-Konsole können individuell angepasst werden
- Granulare rollenbasierte Kontrollrechte für Konsolenadministratoren

Server-Installation

Die Installation der Verwaltungskonsole ist für einen erfahrenen Administrator ein unkomplizierter Prozess. Es wird eine vorinstallierte SQL-Datenbank benötigt, z. B. der kostenlose Microsoft SQL Server Express. Wenn Sie möchten, können Sie sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Wenn Sie die webbasierte Konsole zum ersten Mal starten, wird optional ein kurzes Lernprogramm angezeigt. Darin werden die wichtigsten Funktionen hervorgehoben und jeweils kurz beschrieben. Anschließend führt Sie der Quick Start Wizard durch die Erstkonfiguration. Dazu gehört die Festlegung der zu schützenden Computertypen (Server/Arbeitsplatz) und Betriebssysteme. Außerdem können Sie hier Benachrichtigungen einrichten.

Verwaltungskonsole

Die Funktionen der Konsole sind in einer einzigen Menüspalte auf der linken Seite angeordnet. Die Hauptmenüpunkte sind Monitoring & Reporting, Devices, Users & Roles, Operations, und Discovery & Deployment. Jeder dieser Punkte lässt sich erweitern und zeigt Unterseiten an.

Monitoring and Reporting Abschnitt

Die Seite Dashboard (siehe oben) bietet einen grafischen Überblick über die wichtigsten Informationen. Dazu gehören der Schutzstatus, neue Geräte sowie Details zu Bedrohungen und infizierten Geräten. Die Seite ist anpassbar, und Sie können verschiedene Bereiche (Web Widgets) nach Belieben hinzufügen oder entfernen.

Auf der Seite Reports können Sie eine Vielzahl von Berichten zu Themen wie Schutzstatus, Bereitstellung, Updates und Bedrohungen erstellen. Diese können einfach aus einer vorkonfigurierten Liste abgerufen werden.

Unter Event Selections können Sie Berichte über Kategorien wie Benutzeranfragen, kritische Ereignisse, Funktionsstörungen und Warnungen erstellen.

Auf der Seite Notifications finden Sie eine Liste der letzten Warnungen. Sie können diese nach Themen filtern, z.B. Bereitstellung, Geräte oder Schutz.

Devices Abschnitt

Auf der Seite Policies and Profiles können Sie neue Konfigurationsrichtlinien erstellen und anwenden. Auf der Seite Tasks können Sie alltägliche Wartungs- und Sicherungsaufgaben, wie z. B. Updates, durchführen.

Die oben gezeigte Seite Managed Devices listet verwaltete Computer zusammen mit dem Status der wichtigsten Komponenten auf. Sie können die Liste nach Kriterien wie Status, Echtzeitschutz oder letzter Verbindungszeitpunkt filtern. Die Liste ist anpassbar, so dass Sie zusätzliche Kriterien wie Betriebssystem oder Netzwerkdetails hinzufügen können. Wenn Sie einzelne Geräte auswählen, können Sie Aufgaben für sie ausführen. Dazu gehören Installation, Deinstallation oder Änderung der Gruppenmitgliedschaft.

Sie können auf den Namen eines einzelnen Computers klicken, um dessen Detailseite anzuzeigen. Hier sehen Sie verschiedene Details des Geräts, die auf verschiedenen Registerkarten angezeigt werden. Dazu gehören Betriebssystem, Netzwerkinformationen, Schutzstatus, installierte Kaspersky-Anwendungen, aktive Richtlinien sowie laufende Schutzkomponenten und Aufgaben. Auf der Seite Events finden Sie detaillierte Informationen zur Erkennung und Beseitigung von Malware. Der folgende Screenshot zeigt die drei Phasen einer Malware: Erkennung, Erstellung einer Sicherungskopie und Löschung:

Auf der Seite Device Selections können Sie Geräte in vorkonfigurierten Gruppen finden. Beispiele sind Databases are outdated und Devices with Critical Status.

Users & Roles Abschnitt

Unter Users sehen Sie eine Liste der vordefinierten Konsolenbenutzer sowie die lokalen Windows- und Domänenkonten für die Windows-Computer im Netzwerk. Auf der Seite Roles kann den Benutzern eine von 16 verschiedenen Verwaltungsrollen für die Konsole zugewiesen werden, was einen sehr granularen Zugriff ermöglicht.

Discovery & Deployment Abschnitt

Dazu gehören verschiedene Funktionen zur Erkennung von nicht verwalteten Geräten im Netzwerk und zur Bereitstellung von Software auf diesen Geräten. Mit Discovery können Sie nach Geräten im Netzwerk suchen, z. B. nach IP-Adressbereichen oder Arbeitsgruppen-/Domänenzugehörigkeit. Unassigned Devices zeigt Computer an, die im Netzwerk gefunden wurden, aber noch nicht verwaltet sind.

Operations Abschnitt

Die Registerkarte Operations enthält unter anderem Licensing und Repositories. Letzteres beinhaltet die Quarantänefunktionen und Details zur Hardware der verwalteten Geräte. Unter Patch Management\Software Vulnerabilities werden unter anderem fehlende Windows Updates angezeigt:

Windows Endpoint Protection-Client

Deployment

Bevor Sie Kaspersky Endpoint Security auf den Clients installieren, müssen Sie möglicherweise die Einstellungen der Windows-Firewall auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Bei der ersten Verwendung der Konsole wird ein Installationsassistent gestartet, mit dem Sie die Endpunktsoftware über das Netzwerk an die Clients verteilen können. Dieser kann später über Discover & Deployment\Deployment & Assignment\Quick Start Wizard (erneut) ausgeführt werden. Das ist ein sehr sauberer und einfacher Prozess. Die Endpunktschutzsoftware kann auch über ein Systemverwaltungsprodukt oder Active Directory bereitgestellt werden. Alternativ können Sie ein eigenständiges Installationspaket mit einer einzigen Datei unter Discovery & Deployment\Deployment & Assignment\Installation Packages erstellen. Dieses wird automatisch in einem gemeinsamen Ordner auf dem Server abgelegt. Sie können den Benutzern auch direkt von derselben Seite der Konsole aus einen Installationslink per E-Mail zusenden. Der Installationsassistent bietet einige Optionen, aber eine Standardinstallation ist für technisch nicht versierte Benutzer einfach genug. Sie können Benutzer mit Windows-Benutzerkonten daran hindern, die Software zu deinstallieren, indem Sie die Einstellung Password protection in der entsprechenden Richtlinie verwenden.

Überprüfung der Funktionsfähigkeit

Die Windows Desktop-Schutz-Anwendung besteht aus einem Symbol in der Systemablage und einem Programmfenster. Über das Rechtsklick-Menü des Windows Explorers können Nutzer manuelle Untersuchungen von lokalen und entfernten Laufwerken, Ordnern oder Dateien durchführen. Sie können auch Dateien auf ihre Reputation im Kaspersky Security Network prüfen, ebenfalls über das Kontextmenü des Explorers. Wenn Sie möchten, können Sie die Benutzeroberfläche mithilfe der entsprechenden Richtlinie vollständig ausblenden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Kaspersky die bösartigen Dateien sofort und isolierte sie. Es wurde keine Warnung angezeigt. Sie können jedoch Warnungen über eine Richtlinie aktivieren, wenn Sie dies wünschen.

Über das Produkt

Microsoft Endpoint Manager ermöglicht Administratoren die zentrale Verwaltung und Überwachung von Funktionen und Einstellungen auf allen Arten von Geräten. In diesem Bericht haben wir nur die Funktionen der Verwaltungskonsole behandelt, die sich auf die Endpoint-Security von Microsoft Defender Antivirus beziehen, Microsofts eigenem Antivirus-Programm, das in das Windows 10-Betriebssystem integriert ist.

Microsoft Endpoint Manager ist für Kunden von Microsofts Cloud-Diensten für Unternehmen verfügbar; die Lizenzierung variiert je nach Art des Abonnements. Er kann zur Verwaltung einer breiten Palette von Microsoft-Funktionen und -Diensten verwendet werden, darunter Microsoft Intune, Configuration Manager, Endpoint Analytics, endpoint security, tenant-attach, co-management, und Windows Autopilot.

Vorteile

- Steuert alle Windows-Sicherheitseinstellungen
- Die Konsole ist anpassbar
- Außergewöhnlich einfache Client-Bereitstellung
- Geeignet für Unternehmen jeder Größe, die Microsoft Cloud Services für Unternehmen nutzen
- Granulare Kontrolle der Sicherheitsoptionen

Verwaltungskonsole

Endpoint Security | Overview Seite

Dies ist im obigen Screenshot zu sehen. Es ist das Hauptdashboard für die Endpunktsicherheitsfunktionen der Plattform. Hier sehen Sie eine Übersicht über die einzelnen Schutzkomponenten, die konfiguriert werden können. Beispiele sind Antivirus, Disk Encryption, und Firewall. Sie können auch Security Baselines einsehen. Das sind Richtlinien mit empfohlenen Einstellungen für alle sicherheitsrelevanten Funktionen in Windows. Neben Microsoft Defender Antivirus decken die Baselines unter anderem auch Microsoft-Browser, Windows Firewall, BitLocker, SmartScreen, Wi-Fi-Einstellungen, Remotedesktop und Windows Hello for Business ab.

Endpoint Security | Antivirus Seite

Die Registerkarte Summary bietet einen Überblick über den Sicherheitsstatus Ihres Netzwerks, indem sie die Anzahl der unhealthy endpoints anzeigt, d.h. Geräte mit irgendeinem sicherheitsbezogenen Problem.

Darunter, unter AV policies, können Sie Ihre eigenen Antiviren-Richtlinien erstellen und bearbeiten. In den Richtlinien zur AV Configuration können Sie Einstellungen für Malware-Schutzfunktionen festlegen. Diese sind in Kategorien unterteilt: Cloud Protection, Microsoft Defender Antivirus Exclusions, Real-Time Protection, Remediation, Scan, Updates und User Experience.

Die Konfigurationsoptionen für jede Kategorie sind übersichtlich in einer Liste angeordnet, wobei jedes Element über ein eigenes Dropdown-Menü für seine Einstellungen verfügt. Eine kleine Informationsschaltfläche neben jedem Element zeigt eine kurze Erläuterung der Komponente und ihrer Einstellungen an. Beispiele für Optionen im Abschnitt Real-Time Protection sind Enable on-access protection, Turn on behaviour monitoring, Turn on network protection, und Scan scripts that are used in Microsoft browsers.

Die Kategorie User Experience hat nur eine Einstellung: Allow user access to Microsoft Defender app. Wird diese Einstellung abgewählt, wird die Oberfläche von Microsoft Defender Antivirus (Windows Security) ausgeblendet und Malware-Warnungen auf Client-Geräten unterdrückt. Es ist jedoch auch ein wesentlich granularerer Ansatz möglich. Mit Security Experience-Richtlinien können Sie bestimmte Oberflächenbereiche der Windows Security-App ausblenden, z. B. Firewall and Network Protection oder App & Browser Control.

Die Registerkarte Windows 10 ungesunde Endpunkte der Seite Endpunktsicherheit zeigt einen Bericht über Geräte an, die Aufmerksamkeit erfordern. Zu den Details gehören der Status des Malware-Schutzes, des Echtzeitschutzes und des Netzwerkschutzes. Wie bei anderen Seiten können Sie das Layout mit der Spaltenauswahl ändern, um Felder zu modifizieren, zur besseren Suche in eine Rasteransicht wechseln, nach einer beliebigen Spalte sortieren und die Liste der Datensätze in eine .csv-Datei exportieren, um sie lokal zu speichern.

Auf der Registerkarte Windows 10 detected malware können Sie Geräte und Benutzer mit aktiver Malware sehen. Diese Ansicht enthält Details wie den Malware-Status, aktive Malware, Kategorie und Schweregrad. Sie können hier Remote-Aktionen wie Neustart, Schnellüberprüfung, vollständige Überprüfung oder Aktualisierung von Signaturen durchführen, um das Problem zu beheben.

Devices | All devices Seite

Hier können Sie eine vollständige Liste der Geräte in Ihrem Netzwerk sehen. Die Standardspalten zeigen Gerätename, Eigentümer, Plattform, Betriebssystemversion und Datum/Uhrzeit des letzten Kontakts. Sie können die Seite anpassen, indem Sie Spalten, die Sie nicht benötigen, entfernen und andere hinzufügen. Zu den Möglichkeiten gehören Gerätestatus, Anmeldedatum, Sicherheitspatch-Level, Hersteller, Modell, Seriennummer und Wi-Fi-MAC-Adresse. Mit der Schaltfläche Filter oben auf der Seite können Sie die Liste nach verschiedenen Kriterien filtern. Beispiele sind Eigentum, Konformität und Betriebssystem. Mit Bulk Device Actions können Sie Aufgaben wie Umbenennung, Neustart oder Löschen für die ausgewählten Geräte durchführen. Wenn Sie auf ein einzelnes Gerät klicken, wird die Seite Device details geöffnet (siehe unten).

Device details Seite

Hier können Sie den Status der letzten Aufgaben sowie gerätespezifische Informationen wie Hersteller, Modell, Seriennummer und Hauptbenutzer einsehen. Die Menüleiste am oberen Rand der Seite bietet eine Reihe von Verwaltungsoptionen. Sie können Updates und Schnell- oder Vollscans durchführen und das Gerät sperren oder neu starten. Es ist auch möglich, das Gerät zu löschen oder ihm einen Fresh Start zu geben. Letzteres ist das Äquivalent zur Funktion Reset this PC, die man in den Einstellungen von Windows 10 findet. Sie setzt die Software im Wesentlichen auf die Werkseinstellungen zurück, mit Optionen zum Beibehalten oder Löschen von Benutzerdaten.

Windows Endpoint Protection-Client

Deployment

Dies ist extrem einfach, da Microsoft Defender Antivirus bereits in das Windows 10 Betriebssystem integriert ist. Bei einem domänenverbundenen Computer ist die Verbindung eines Client-Geräts mit Microsoft Endpoint Manager so einfach wie die Anmeldung mit einem entsprechenden Geschäftskonto im Abschnitt Accounts\Access work or school in den Windows-Einstellungen. Benutzer, die keine Domäne haben oder ein Gerät kaufen, das noch nicht in einer Domäne konfiguriert ist, können ihr Arbeitskonto manuell unter Windows 10 device | Accounts | Add Work or school Account hinzufügen. Wenn sie sich mit diesem Arbeits- oder Schulkonto anmelden, werden die in Microsoft Endpoint Manager konfigurierten Sicherheits- oder Geräteeinstellungen automatisch übernommen.

Überprüfung der Funktionsfähigkeit

Die Windows Security App auf dem Client-PC ermöglicht den Zugriff auf die Microsoft Defender Antivirus-Funktionalität. Standardmäßig können Benutzer den Sicherheitsstatus und Erkennungsprotokolle anzeigen und Scans durchführen. Zur Auswahl stehen Quick, Full, Custom und Offline Scans. Benutzer können auch einen Scan für ein Laufwerk, einen Ordner oder eine Datei über das Rechtsklickmenü des Windows Explorers starten. Wenn Sie es vorziehen, können Sie die Windows Defender-Oberfläche per Richtlinie ausblenden. In diesem Fall werden auf dem Client-PC keine Oberfläche und keine Warnungen angezeigt (der Administrator sieht die Warnungen jedoch weiterhin in der Konsole).

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Microsoft Defender die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf die Warnung öffnete jedoch das Microsoft Defender-Fenster mit weiteren Informationen über die Bedrohung. Diese werden auch im Microsoft Endpoint Manager angezeigt.

Über das Produkt

Panda Endpoint Protection Plus on Aether bietet Endpoint-Protection-Software für Windows- und macOS-Arbeitsplätze sowie Windows-Server. Die Verwaltung erfolgt über eine cloudbasierte Konsole. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet ist.

Vorteile

- Leicht zu navigierende Konsole
- Klickbarer Zugang ermöglicht einfachen Zugriff auf Detailseiten
- Netzwerkerkennungsprozess stellt sicher, dass alle Geräte geschützt sind
- Detaillierte Informationen für einzelne Geräte
- Anpassbare Menüleiste

Verwaltungskonsole

Status Tab

Eine Statusübersicht finden Sie auf der Seite Status Registerkarte/<em<Sicherheit (Screenshot oben), die standardmäßig geöffnet wird. Es gibt Torten- und Balkendiagramme für die angezeigten Elemente, die Folgendes umfassen Protection Status, Offline Computers, Outdated Protection, und Programs Allowed by the Administrator. Sie können sich durchklicken, um genauere Informationen zu erhalten. Klicken Sie zum Beispiel im Hauptmenü auf die Protection Status Grafik führt Sie dies zur Computers Seite. Die Erkennungsfunktionen "log/quarantine" der Konsole werden durch Klicken auf Threats detected by the antivirusgeöffnet. Hier sehen Sie die betroffenen Computer und ihre IP-Adressen und Gruppen, den Bedrohungstyp und -pfad, die ergriffene Maßnahme (z.B. blocked/quarantined/deleted) sowie Datum und Uhrzeit.

Die Registerkarte Status enthält eine linke Menüspalte, von der aus Sie weitere Statusseiten öffnen können.
Web access and spam zeigt, auf welche Kategorien von Websites, wie Webmail, Spiele und Business, die Nutzer zugegriffen haben. Licenses ist selbsterklärend. Ein Abschnitt namens My Lists bietet einfache, aber nützliche Übersichten über verschiedene Aspekte des Netzwerks. Es gibt Links für Hardware und Software von verwalteten Computern, sowie Unprotected Workstations und Unprotected Server. Mit Scheduled reports können Sie die Details, die gesendet werden sollen, und den Zeitpunkt des Versands individuell festlegen.

Der Abschnitt My Lists ist anpassbar, und es können eine Reihe weiterer Kategorien hinzugefügt werden. Dazu gehören Computers with protection issues, Unprotected endpoints, Intrusion attempts blocked, und Threats detected by the antivirus. So können Sie schnell erkennen, ob es Sicherheitsprobleme gibt, die behoben werden müssen. Über das Briefumschlag-Symbol in der oberen rechten Ecke der Seite können Sie sich per E-Mail geplante Warnmeldungen für die aktuell angezeigte Liste zusenden lassen.

Computers Tab

Die Registerkarte Computer (siehe unten) listet die Computer im Netzwerk auf. Sie können nach verschiedenen Kriterien filtern, darunter Betriebssystem, Hardware und installierte Software. Sie können die Computer auch nach Verwaltungsgruppe anzeigen. Auf dieser Seite werden alle geschützten Computer und mobilen Geräte angezeigt. Sie ist sehr übersichtlich gestaltet und zeigt die wichtigsten Informationen an. Über eine Windows-ähnliche Ordnerstruktur auf der linken Seite können Sie die Geräte nach Betriebssystem, Gerätetyp oder Hardware-/Softwarekriterien filtern.

Auf der Seite "Computer" können Sie auch Computergruppen erstellen und verwalten, die mit Active Directory synchronisiert werden können. Wir würden sagen, dass diese Funktion nicht sehr leicht zu finden ist, da wir die Oberfläche eine Weile erkunden mussten, bevor wir sie gefunden haben.

Wenn Sie auf den Namen eines Computers klicken, wird die unten abgebildete Detailseite für dieses Gerät geöffnet. Hier finden Sie Netzwerk- und Domäneninformationen, Details zum Betriebssystem, die Versionen von Panda Agent und Endpoint Client und vieles mehr. Auch der Status der einzelnen Schutzkomponenten wird angezeigt. Auf der Registerkarte Hardware finden Sie Details zu CPU, RAM, Systemfestplatte und BIOS sowie deren Nutzungsstatistiken. Ein Klick auf Software gibt Auskunft über die installierten Programme, während Settings die Richtlinien- und Netzwerkkonfigurationen anzeigt. Über eine Menüleiste am oberen Rand der Seite können Sie das Gerät verschieben oder löschen, einmalige oder geplante Überprüfungen durchführen, Software neu installieren und den Computer neu starten.

Settings Tab

Auf der Seite Users können Sie Konsolenbenutzer erstellen und ihnen volle Kontrolle oder nur Lesezugriff zuweisen. Auf der Seite Settings/Security können Sie separate Sicherheitsrichtlinien für Computer und mobile Android-Geräte festlegen. Unter My Alerts können Sie E-Mail-Benachrichtigungen für verschiedene Elemente einrichten. Dazu gehören Malware- und Phishing-Erkennungen, nicht lizenzierte/unverwaltete/ungeschützte Computer und Installationsfehler. Auf der Seite Network settings können Sie die Panda Proxy- und Cache-Server verwalten, die Updates für andere Computer im LAN bereitstellen. Ersterer ist für den Einsatz in isolierten LANs gedacht, letzterer z. B. für Zweigstellen mit Internetverbindungen mit geringer Bandbreite. Im Abschnitt Proxy finden Sie auch die Option Enable real-time communication. Dies ermöglicht eine nahezu sofortige Kommunikation zwischen den Clients und der Management-Konsole. Die Beschreibung in der Konsole weist darauf hin, dass dies ein hohes Volumen an Netzwerkverkehr erzeugen kann.

Tasks Tab

Auf der Registerkarte Tasks können Sie geplante Überprüfungen einrichten.

Settings Menu

Das Einstellungsmenü wird über das Zahnradsymbol in der oberen rechten Ecke der Konsole aufgerufen. Es enthält Hilfe- und Support-Links, Lizenz- und Produktinformationen sowie die Möglichkeit, die Sprache der Konsole in Echtzeit zu ändern.

Windows Endpoint Protection-Client

Deployment

Die Bereitstellungsoptionen finden Sie, indem Sie auf der Seite Computers auf Add Computers klicken. Sie können ein Installationsprogramm im .msi-Format erstellen, das vorkonfiguriert sein kann. Sie können eine Panda- oder Active Directory-Computergruppe angeben und Einstellungen auswählen. Das Installationsprogramm kann dann direkt von der Konsole heruntergeladen oder per E-Mail an die Benutzer gesendet werden. Die manuelle Installation ist extrem schnell und einfach und stellt auch für nicht erfahrene Benutzer kein Problem dar. Sie können die Software mit einem Kennwort schützen, so dass selbst Benutzer mit Windows-Administratorkonten sie nicht deinstallieren können.

Sie können die Software auch über ein Systemverwaltungsprodukt oder ein Active Directory-Skript bereitstellen. Die Option Discovery and Remote Installation ermöglicht es Ihnen zusätzlich, die Software per Remote-Push zu installieren. Der Erkennungsprozess findet alle Computer im Netzwerk, so dass Sie sicher sein können, dass kein Computer ungeschützt ist.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie die Benutzeroberfläche in den Richtlinieneinstellungen vollständig ausblenden. Warnhinweise werden jedoch weiterhin angezeigt.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Panda zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie erkannt und gelöscht. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

Sophos Intercept X Advanced bietet Endpoint-Protection-Software für Windows- und macOS-Arbeitsplätze sowie Windows-Server. Diese wird über eine cloudbasierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Es eignet sich für Netzwerke mit Hunderttausenden von Arbeitsplätzen. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

- Ermittlungsfunktionen
- Modernes, leicht zu navigierendes Konsolendesign
- Umfassende Suchfunktion
- Detaillierte Informationen zur Ausschreibung
- Mit dem Early-Access-Programm können Sie neue Funktionen vorab ausprobieren

Verwaltungskonsole

Die Konsole wird über eine einzige Menüspalte auf der linken Seite navigiert. Einige Elemente wie Threat Analysis Center und Endpoint Protection werden in einer Art Unterkonsole mit einem eigenen Menüfeld geöffnet. Das Layout und die grafische Gestaltung der Konsole bleiben gleich, und Sie können leicht zur Hauptkonsole zurückkehren, indem Sie auf Back to Overview oben in der entsprechenden Menüspalte klicken. Einige Seiten, wie z.B. People, können sowohl von der Haupt- als auch von der Nebenkonsole aus aufgerufen werden. Die Sprache der Benutzeroberfläche kann in Echtzeit über das Benutzermenü in der oberen rechten Ecke geändert werden. Über dasselbe Menü können Sie auch dem Sophos Early-Access-Programm beitreten, so dass Sie kommende Funktionen vor der allgemeinen Veröffentlichung testen können.

Dashboard Seite

Das Sophos Central Dashboard (siehe Screenshot oben) ist die Standard-Landingpage, wenn Sie sich bei der Konsole anmelden. Es zeigt einen Überblick über Bedrohungen und den Geräte-/Benutzerstatus mit farblich gekennzeichneten Grafiken, um die Dinge hervorzuheben. Sie können die Gesamtzahl der Alarme sehen, die auch in nach den Levels hoch, mittel und niedrig unterteilt sind. Die letzten einzelnen Warnungen werden aufgelistet, und Name und Pfad der Bedrohung sowie Gerät und Benutzer werden angezeigt. Die Dashboard-Panels sind mit Detailseiten verknüpft, so dass ein Klick auf das High Alerts-Panel eine Liste dieser Alarme auf der Alerts-Seite anzeigt. Der Bereich Global Security News am unteren Rand ist mit dem Blog Naked Security von Sophos verknüpft und zeigt sicherheitsrelevante Neuigkeiten an.

Alerts Seite

Die Seite Alerts zeigt Ihnen die Anzahl der erkannten Bedrohungen an, sowohl als Gesamtzahl als auch nach Schweregradkategorie. Sie können nach Description, Count und Actions sortieren. Wenn Sie auf einen Eintrag klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen und Links zur Durchführung von Aktionen. Mögliche Aktionen (je nach Kontext) sind Mark As Resolved, Clean Up PUA, und Authorize PUA.

Logs and Reports Seite

Hier wird eine Vielzahl von Standardberichten angezeigt, die ausgeführt werden können. Ein bemerkenswerter Punkt ist Policy Violators. Hier werden die Benutzer angezeigt, die am häufigsten versucht haben, auf gesperrte Websites zuzugreifen.

Threat Analysis Center Abschnitt

Dies ist eine Unterkonsole mit den Seiten Dashboard, Threat Cases, Live Discover, Threat Searches und Threat Indicators. Das Dashboard bietet eine Zusammenfassung der Inhalte der anderen Seiten.

Auf der Seite Live Discover können Sie Abfragen für ausgewählte Geräte durchführen. Im Bereich Geräteauswahl können Sie zwischen Available devices und Selected devices wählen. Bei letzterem stehen Ihnen verschiedene Filterkategorien zur Verfügung, mit denen Sie Ihre Geräteliste gezielt verfeinern können. Diese sind Online-Status, Name, Typ (Server/Arbeitsplatz), Betriebssystem, letzter Benutzer, Gruppe, IP-Adresse und Health Status. Das Query-Panel (Screenshot unten) bietet eine Reihe von vorgefertigten Abfragen für Sie oder lässt Sie Ihre eigenen Abfragen erstellen.

Mit Threat Searches können Sie nach Dateinamen, Datei-Hashes, IP-Adressen, Domänen und Befehlszeilenbefehlen suchen, die möglicherweise bei Angriffen verwendet wurden. Mit dieser Funktion lassen sich Anwendungen und Netzwerkziele mit schlechtem Ruf sowie die böswillige Verwendung von Verwaltungstools finden.

Endpoint Protection Abschnitt

Die Unterkonsole Endpoint Protection verfügt über Menüeinträge für Dashboard, Logs & Reports, People, Computers, Policies, Settings, und Protect Devices. Die Seite Dashboard ist ähnlich aufgebaut wie ihr Gegenstück in der Hauptkonsole. Sie zeigt viele der gleichen Bereiche an, darunter Most recent threat cases, Devices and users: summary, Web control und Global Security News.

Auf der Seite People können Sie Benutzer und Gruppen verwalten. Dazu gehören Windows-Gerätebenutzer (die automatisch hinzugefügt werden) und auch Konsolenbenutzer. Auf der Detailseite für jeden Benutzer können Sie die Geräte sehen, an denen sich der Benutzer angemeldet hat, und Scans und Updates für diese durchführen.

Auf der Seite Policies können Sie die Konfiguration bearbeiten, die auf die Endpunkte angewendet werden soll. Es gibt separate Richtlinien fürThreat Protection, Peripheral Control, Application Control, Data Loss Prevention, Web Control, Update Management und Windows Firewall. Sie können Richtlinien auf Computer, Benutzer oder Gruppen von beiden anwenden.

Auf der Seite Settings können Sie Optionen konfigurieren, die auf das gesamte Netzwerk angewendet werden. Beispiele hierfür sind AD Sync, Role Management (Standard- und benutzerdefinierte Berechtigungen für Konsolenbenutzer), Tamper Protection, Admin Isolated Devices, Live Response (Fernverwaltungsfunktion) und Data Loss Prevention Rules. Sie können Installationsprogramme für den Endpunktschutz-Client von der Seite Protect Devices herunterladen.

Unter Computer (Screenshot unten) sehen Sie eine Liste Ihrer Geräte mit Namen, IP-Adresse, Betriebssystemversion, installierten Sophos Produkten, letztem Benutzer und Datum/Uhrzeit der letzten Nutzung. Wenn Sie mit der Maus auf die kleine Schaltfläche rechts neben der IPv4-Adresse fahren, werden IPv6-Adressen angezeigt. Wenn Sie auf Manage Endpoint Software klicken, sehen Sie, welche Computer für welche Sophos Software in Frage kommen und auf welchen Computern diese bereits installiert ist. Mit der Schaltfläche Delete können Sie Geräte aus der Konsole entfernen.

Windows Endpoint Protection-Client

Deployment

Sie können Installationsdateien im .exe-Format von der Seite Protect Devices herunterladen. Diese können manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können ein Installationsprogramm auch direkt von der Download-Seite aus per E-Mail an Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Einstellung Enable Tamper Protection unter Global Settings verwenden.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen und Standard-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC angeschlossen und das Laufwerk im Windows Explorer geöffnet haben, hat Sophos die schädlichen Dateien sofort erkannt und in Quarantäne verschoben. Es wurde ein Popup-Alarm angezeigt, der sich nach einigen Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich. Sie können Erkennungsmeldungen über Richtlinien deaktivieren, wenn Sie dies wünschen.

Über das Produkt

SparkCognition DeepArmor bietet Endpunktschutz-Software für Windows- und macOS-Arbeitsplätze sowie Windows-Server. Die Verwaltung erfolgt entweder über eine Cloud-basierte oder standortbasierte Konsole. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen und kann so skaliert werden, dass Netzwerke mit Zehntausenden von Endpunkten verwaltet werden können.

Vorteile

- Leicht zu bedienende Ermittlungsfunktionen
- Interaktive, anklickbare Diagramme
- Leicht zu navigierende Konsole
- Details zu Alarmen können leicht durchsucht werden
- VirusTotal-Integration

Verwaltungskonsole

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Die Haupteinträge sind Dashboard, Alerts, Devices, Administration, Deployment und Subscription.

Dashboard\Alerts Seite

Dies ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal bei der Konsole anmelden (siehe Screenshot oben). Sie bietet eine grafische Zusammenfassung der jüngsten Bedrohungen. Diese werden in verschiedenen Feldern angezeigt, die mit farbigen Balken- und Doughnut-Diagrammen illustriert sind. Wenn Sie mit der Maus darüberfahren, werden zusätzliche Details angezeigt. Die Balkendiagramme sind anklickbar. Wenn Sie also in der Activity Timeline auf die Spalte Threats Prevented für einen bestimmten Tag klicken, gelangen Sie zu einer Seite, auf der die an diesem Tag blockierten Bedrohungen aufgeführt sind. Sie können die Activity Timeline (letzte 7 Tage), Most Active Devices (Geräte mit den meisten Bedrohungen), Activity Timeline (z. B. Trojaner, Ransomware) und Threat File Type (z. B. .exe) sehen. Die Seite wird durch eine Reihe von anklickbaren Schaltflächen am oberen Rand vervollständigt, die die verwendeten Lizenzen, die Gesamtzahl der Warnungen und die Gesamtzahl der Bedrohungen anzeigen.

Dashboard\Devices Seite

Hier können Sie sich einen Überblick über den Status Ihrer Geräte verschaffen, der auch mit dynamischen farbigen Diagrammen dargestellt wird. Sie können die Anzahl der Active, Inactive und Recycled Geräte, Geräte nach Plattform (Betriebssystem), gefährdete Geräte und Geräte nach Version des Endpunktschutzagenten sehen.

Alerts Seite

Die Seite Alerts zeigt wichtige Benachrichtigungen zusammen mit Details an. Dazu gehören Alert Priority, Alert Type (z. B. Threat Prevented, New Device Registered), Device Name | Group Name, Username, sowie Datum und Uhrzeit. Ein Klick auf einen Eintrag blendet auf der rechten Seite ein Detailfenster ein. Dieses ist unten abgebildet (der Inhalt wurde angepasst, um auf die Seite zu passen). Mit den Aufwärts-/Abwärtspfeilen im Detailbereich können Sie mit einem einzigen Klick zum nächsten oder vorherigen Detailbereich der Meldung wechseln.

Bei einer Malware-Erkennung werden in der Detailansicht Informationen zum Dateinamen, zum Erkennungsmechanismus, zum SHA1-Hash, zur Bedrohungskategorie (z. B. Trojaner), zum "confidence score" (Wahrscheinlichkeit, dass die Datei bösartig ist) und zur durchgeführten Aktion angezeigt. Sie können irrtümlich in Quarantäne gestellte Dateien wiederherstellen, indem Sie auf Restore klicken. Über die Schaltfläche links neben Copy (Datei-Hash-Zeile) können Sie die Analyseseite der Datei auf VirusTotal aufrufen.

Wenn Sie auf View Alert Details klicken, öffnet sich eine vollständige Seite mit weiteren Details und Optionen:

Hier sehen Sie die Anwendungen, die zum Zeitpunkt des Alarms ausgeführt wurden, sowie den Status der Netzwerkverbindung und der Verbindung zur DeepArmor-Konsole. Die Schaltfläche Behavioural Analysis führt die vermutete Malware in einer Sandbox aus und untersucht ihre Aktionen. Sie können die Datei auf den lokalen PC herunterladen, um sie selbst zu analysieren, oder Maßnahmen ergreifen. Die Schaltfläche Take Action bietet die Optionen Remote Remediate, Remote Restore, External Remediate, und Remote Activity.

Devices Seite

Auf der Seite Devices können Sie einzelne Computer in Ihrem Netzwerk sehen. Sie können diese als Kacheln anzeigen, wie oben gezeigt, oder als einfache Liste. Für jedes Gerät können Sie den Betriebssystemtyp, den aktuellen Benutzer, die Anzahl der Warnungen und den Verbindungsstatus sehen. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Scans durchführen, die Gruppenmitgliedschaft ändern oder sie aus der Konsole entfernen. Es ist möglich, die angezeigten Geräte mithilfe der Dropdown-Listen oben auf der Seite zu filtern. Sie können nach Gerätegruppe, Gerätestatus, Geräterisiko, Geräteplattform oder Agentenversion filtern.

Administration Menu

Dazu gehören die Seiten Users, Security Policies, Device Groups, Global Lists, Audit Logs und Reporting. Unter Users können Sie Konsolenadministratoren hinzufügen, bearbeiten und entfernen, denen verschiedene Zugriffsebenen zugewiesen werden können (Admin, Manager oder Auditor). Unter Security Policies können Sie den Gerätegruppen vorkonfigurierte Einstellungen zuweisen. Es gibt 4 Standardrichtlinien: Detection Only; Detection and Protection; Essential Protection; Maximum Protection. Für jede Richtlinie gibt es separate Einstellungen für Erkennung und Schutz. So können Sie z. B. ein hohes Schutzniveau, aber ein niedriges Erkennungsniveau einstellen, so dass die Systeme ohne zahlreiche Warnungen sicher sind. Für jede Kategorie gibt es die Standardstufen Disabled, Cautious, Moderate und Aggressive. Jede Richtlinie verfügt außerdem über einen detaillierten Konfigurationsbereich, in dem Sie Elemente wie real-time file monitoring, application control und USB control einstellen können.
Auf der Seite Device Groups können Sie die Gruppen verwalten, auf die die Richtlinien angewendet werden. Unter Global Lists können Sie Whitelists von Dateien und Zertifikaten sowie Dateiblacklists erstellen. Eine Liste der An- und Abmeldungen von Administratoren ist unter Audit Logs zu finden. Auf der Seite Reporting können Sie Berichte für bestimmte Gruppen oder alle Geräte erstellen. Sie können den Zeitraum auswählen, für den der Bericht erstellt werden soll, und bestimmen, wer ihn erhalten soll.

Deployment Seite

Hier finden Sie Installationsprogramme für Windows, macOS und verschiedene Linux-Distributionen.

Subscription Seite

Hier sehen Sie die Gesamtzahl der verfügbaren und verwendeten Gerätelizenzen sowie die Gültigkeitsdauer.

Windows Endpoint Protection-Client

Deployment

Installationsdateien im .exe- und .msi-Format können über die Seite Deployment der Konsole heruntergeladen werden. Sie müssen beim Herunterladen eine Gruppe angeben, zu der das Gerät hinzugefügt werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können den Benutzern auch Installationslinks per E-Mail zusenden, damit sie den Endpunkt-Agenten selbst installieren können. Der Setup-Assistent ist sehr schnell und einfach, so dass auch Benutzer, die keine Experten sind, keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Einstellung Agent Administrator Password in der entsprechenden Richtlinie verwenden. Bei manuellen Installationen müssen Sie eine Web-Service-URL und einen Registrierungsschlüssel von der Konsole kopieren, um eine unbefugte Nutzung zu verhindern. Nach der Installation des Endpunkt-Agenten und dem Öffnen der GUI erklärt ein kurzer Einführungsassistent optional die wichtigsten Punkte des Programmfensters.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen und Updates ausführen. Weitere Funktionen werden nicht angeboten. Sie können die Benutzeroberfläche über eine Richtlinie vollständig ausblenden, wenn Sie dies wünschen.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff DeepArmor zunächst keine Maßnahmen. Als wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die nach einigen Sekunden geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Warnmeldungen können in der Richtlinie deaktiviert werden, wenn Sie dies wünschen.

Über das Produkt

VIPRE Endpoint Security bietet Endpunkt-Schutzsoftware für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für sehr kleine Unternehmen mit nur einigen wenigen Arbeitsplätzen sehr gut geeignet ist.

Vorteile

- Gut geeignet für Kleinstunternehmen und aufwärts
- Minimale technische Kenntnisse erforderlich
- Die Konsole lässt sich sehr einfach über ein einziges Menüfeld steuern
- Sehr klickbare, vernetzte Schnittstelle
- Timeline Funktion bietet detaillierte Informationen zur Threat-Historie

Verwaltungskonsole

Dashboard Seite

Dies sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden (Screenshot oben). Sie bietet einen Überblick über den aktuellen Sicherheitsstatus, wobei verschiedene Bereiche verwendet werden. Die Konsole ist so gestaltet, dass sie sehr gut anklickbar ist. Wenn Sie beispielsweise auf die Anzahl der Outdated Definitions klicken, gelangen Sie auf eine Seite, die Ihnen die betreffenden Geräte anzeigt. Der Hauptbereich Threat Trend zeigt eine Grafik der Bedrohungen, die in der letzten Woche aufgetreten sind. Diese können entweder als Gesamterkennungen (einschließlich des mehrfachen Auftretens einer einzelnen Bedrohung) oder als einzelne Bedrohungen angezeigt werden. In separaten Feldern werden die zehn wichtigsten Erkennungen nach Bedrohung bzw. nach Gerät angezeigt.

Weitere Dashboard-Panels sind: Quarantine Status, Devices Needing Attention, Detection Sources, Web/DNS Blocks, Severity Breakdown, Protection Summary, Agent Version Spread, Research (Blog) und Lizenzierungsinformationen. Jedes Element kann angeklickt werden und verweist auf die entsprechende Detailseite.

Quarantine Seite

Hier sehen Sie eine Liste aller Bedrohungen, die auf einem beliebigen Gerät unter Quarantäne gestellt wurden. Sie zeigt das Datum und die Uhrzeit der Erkennung, den Namen der Threats, die Plattform, die Kategorie der Bedrohung, den Schweregrad, die Quelle (Erkennungsmodul) und die Anzahl der betroffenen Geräte an. Die Liste kann nach Schweregrad, Malware-Kategorie oder Quelle gefiltert werden. Wenn Sie auf den Namen der Threats klicken, wird die Detailseite für diese Bedrohung geöffnet, auf der Sie die unter Quarantäne gestellte Datei löschen oder wiederherstellen können.

Reports Seite

Hier werden Kacheln für eine Reihe von verschiedenen vorkonfigurierten Berichten angezeigt: Threat Detection, Threat Summary, Device Registration, Scan, Web Activity Summary, und License Summary. Threat Summary verwendet eine Zeitleiste sowie Balken- und Kreisdiagramme, um die in der letzten Woche gefundenen Bedrohungen zu visualisieren.

Devices Seite

Die oben gezeigte Seite Geräte listet Netzwerkcomputer auf und zeigt nützliche Informationen an. Dazu gehören Status, Richtlinie, Betriebssystem und Agentenversion. Die Informationsspalten können individuell angepasst werden. Sie können zusätzliche Elemente wie den Benutzer, den letzten Scan, die IP-Adresse oder die letzte Aktualisierung anstelle der Standardspalten hinzufügen. Sie können die Liste der angezeigten Geräte auch nach Plattform, Betriebssystemversion, Status, Richtlinie, Typ (Workstation/Laptop/Server) oder Versionsnummer des Endpunktagenten filtern. Alternativ dazu können Sie über ein Suchfeld Geräte nach Namen suchen. Auf diese Weise können Sie leicht bestimmte Geräte oder Gerätekategorien finden.

Wenn Sie die gesuchten Computer gefunden haben, können Sie über das Menü "Aktionen" Aufgaben für sie ausführen. Verfügbare Aktionen sind: Assign Windows Policy, Full Scan, Quick Scan, Update Definitions, Schedule Agent Update, Reboot Devices, Stop Agent, Uninstall Agent, und Delete Device. Uninstall Agent entfernt die Endpunktsoftware, behält aber die zugehörigen Daten. Dies kann nützlich sein, wenn Sie die Agentenversion neu installieren oder ändern möchten. Delete Device entfernt die zugehörigen Daten und deaktiviert die Lizenz.

Jedes einzelne Gerät hat seine eigene Detailseite mit verschiedenen Registerkarten. Diese sind: Summary (Status usw.); Scans (was wurde gescannt, was wurde gefunden, was wurde getan); Quarantine; Threats (Quelle, Schweregrad und ergriffene Maßnahmen); Web Activity (vom Benutzer besuchte Seiten); Timeline (Scans und Entdeckungen).

Die Funktion Timeline ist unten dargestellt. Sie listet wichtige Systemereignisse wie Scans, blockierte Webseiten und Malware-Erkennungen in chronologischer Reihenfolge auf. Für jedes Ereignis gibt es ein Informationsfeld.

Wenn Sie auf den Namen einer Bedrohung klicken, wird die entsprechende Seite Threat Information geöffnet (siehe unten). Hier werden die Vorkommnisse der Bedrohung in der letzten Woche, die betroffene Schutzkomponente, die ergriffenen Maßnahmen und die von der Bedrohung betroffenen Geräte angezeigt.

Policies Seite

Hier können Sie die Schutzeinstellungen für Ihre Geräte konfigurieren. Es gibt separate Seiten/Richtlinien für Windows- und macOS-Geräte und separate Standardrichtlinien für Windows-Clients und Windows-Server. Für jede Richtlinie können Sie konfigurieren: Agent (Benutzeroberfläche und Systemintegration); Scanning (was soll gescannt werden, Zeitplan, USB-Geräte); Active Protection (Empfindlichkeit des Echtzeitschutzes); Web/DNS Protection; Email Protection; Threat Handling, Firewall, IDS (Intrusion Detection System). Auf der Seite Agent besteht die Möglichkeit, bei der Installation des Agenten inkompatible Software zu entfernen, d.h. vorhandene Endpunktschutzsoftware eines anderen Herstellers. Es ist eine sehr große Auswahl an verschiedenen Produkten und Versionen enthalten. Diese werden aufgelistet, so dass Sie sehen können, ob ein bestimmtes Produkt/eine bestimmte Version automatisch entfernt werden kann.

Exclusions Seite

Hier können Sie Scan-Ausschlüsse konfigurieren. Diese sind mit bestimmten Richtlinien verknüpft.

System Seite

Auf dieser Seite können Sie Benachrichtigungen, Konsolenbenutzer, systemweite Einstellungen und den Site-Namen (Sub-Domain von "myvipre.com") konfigurieren. Wir weisen darauf hin, dass VIPRE über ein separates EU-Rechenzentrum verfügt, um die EU-Datenschutzbestimmungen einzuhalten.
Mit Notifications können Sie u.a. Warnungen für erkannte Bedrohungen einrichten. Sie können die Quelle (Echtzeitschutz, Scan oder E-Mail) und den Mindestschweregrad der Bedrohung angeben, der für die Auslösung der Benachrichtigung erforderlich ist. Anschließend fügen Sie E-Mail-Adressen hinzu, die benachrichtigt werden sollen, und Sie können sogar das Format des E-Mail-Betreffs anpassen. Die E-Mail enthält dann Links, die direkt zu den entsprechenden Seiten der Verwaltungskonsole führen.

Deploy Agents Seite

Auf dieser Seite können Sie Installationsprogramme für den Endpoint Protection Agent verwalten, herunterladen und per E-Mail versenden. Über die Konsole können Sie entscheiden, ob Sie alle Clients automatisch mit dem neuesten Build der Software aktualisieren oder die Software zunächst auf bestimmten Geräten testen möchten. Sie können ein benutzerdefiniertes Installationsprogramm erstellen, das mit einer bestimmten Richtlinie verknüpft ist.

Profile Seite

Hier können Sie die Kontaktinformationen des aktuellen Konsolenbenutzers eingeben und die 2-Faktor-Authentifizierung aktivieren.

Windows Endpoint Protection-Client

Deployment

Installationsdateien im .msi-Format für Windows können von der Seite Deploy Agents heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem ein Dienstprogramm auf einem Relais-Computer im LAN installiert wird. Sie können ein Installationsprogramm auch direkt von der Seite Deploy Agents per E-Mail an die Benutzer senden. Der Setup-Assistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Einstellung Deinstallationsschutz aktivieren in der entsprechenden Richtlinie verwenden. In der Konsole können Sie sehen, wer die Software auf einem bestimmten Gerät installiert hat.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Durch Ändern der Richtlinie können Sie die Benutzeroberfläche vollständig ausblenden oder bestimmten Benutzern mehr Kontrolle geben, z.B. bei der Verwaltung von Scan-Zeitplänen oder der Quarantäne.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte VIPRE die bösartigen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf Show Details öffnete jedoch ein Fenster mit weiteren Informationen über die Bedrohung. Sie können die Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Carbon Black Cloud bietet Endpoint-Protection-Software für Windows- und macOS-Workstations sowie Windows-Server. Wie der Name schon sagt, wird diese über eine Cloud-basierte Konsole verwaltet. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Hunderttausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

- Merkmale der Angriffsuntersuchung
- Funktion zur Fernsanierung
- Integration mit VMware vSphere
- Einfache, übersichtliche Benutzeroberfläche
- Die Konsolenseiten können an Ihre Anforderungen angepasst werden

Verwaltungskonsole

Alle wichtigen Funktionen der Konsole befinden sich in einer einzigen Menüspalte auf der linken Seite der Seite. Das macht die Navigation sehr einfach.

Dashboard Seite

Auf der Dashboard Seite erhalten Sie einen Überblick über bedrohungsbezogene Elemente, die in Panels angezeigt werden. Dazu gehören Attacks stopped, Potentially Suspicious Activity, Attack Stages, Attacks by Vector, Top Alerted Devices, Top Alerted Applications und Threat Reports. Es gibt auch einen Bereich Endpoint Health, in dem Sie sehen können, ob Sie auf bestimmten Geräten Maßnahmen ergreifen müssen. Der Bereich Getting Started enthält Links für allgemeine Aufgaben, wie das Hinzufügen von Konsolenadministratoren. Sie können die Konsole anpassen, indem Sie die Bereiche verschieben und nicht benötigte Bereiche entfernen.

Alerts Seite

Die Seite Alerts zeigt Ihnen eine Liste der Bedrohungen, die auf allen Geräten aufgetreten sind, in chronologischer Reihenfolge. Sie können die Liste nach einer Vielzahl von Kriterien filtern, indem Sie das Menüfeld auf der linken Seite verwenden. Sie können nach Gerät, Prozess, file reputation, sensor actionund mehr filtern. Das Hauptfenster zeigt Datum und Uhrzeit des Alarms, Grund (z. B. Malware-Erkennung), Schweregrad sowie Gerät und Benutzer an. Über die Schaltflächen am rechten Ende jedes Eintrags können Sie die entsprechenden Seiten Alert Triage oder Investigate pages öffnen oder Maßnahmen ergreifen. Zu den verfügbaren Aktionen gehören das Verwerfen des Alarms, das Löschen oder die Aufnahme der Datei, die den Alarm verursacht hat, in die Whitelist (Enable bypass) oder das Öffnen der entsprechenden VirusTotal-Seite für die Datei.

Alert Triage Seite

Hier können Sie die Systemprozesse sehen, die an der Begegnung mit der Malware beteiligt waren. Dies soll Ihnen helfen, die Art der Bedrohung zu verstehen und wie Sie mit ihr umgehen können.

Investigate Seite

Auf der Seite Investigate können Sie eine chronologische Liste der Ereignisse für jedes einzelne Gerät anzeigen. Sie können die Ereignisse nach dem Land, mit dem das Gerät verbunden war, nach der betroffenen Anwendung oder nach der Malware-Warnung filtern. So können Sie Netzwerkverbindungen und Programmausführungen überwachen und sich ein detailliertes Bild von sicherheitsrelevanten Ereignissen machen.

Enforce\Policies Seite

Hier können Sie die Einstellungen konfigurieren, die auf Ihre Geräte angewendet werden sollen. Es gibt Einstellungen für die Malware-Erkennung, die On-Access-Erkennung, die Häufigkeit von Updates und die zu verwendenden Server, Scans und die Schnittstelle des Endpunktschutz-Clients. Eine einzige Richtlinie kann für alle Plattformen verwendet werden, d.h. für Windows, macOS und Linux. Die Windows-, Apple- und Pinguin-Symbole zeigen an, auf welche Plattformen eine Konfigurationsoption angewendet werden kann. Administratoren können Richtlinien erstellen, die auf tragbare Geräte angewendet werden, wenn diese sich außerhalb des Firmen-LANs befinden.

Enforce\Malware-Entfernung Seite

Hier sehen Sie eine Liste der unter Quarantäne gestellten schädlichen Objekte, die Sie z.B. untersuchen, in VirusTotal suchen, löschen oder auf die Whitelist setzen können. Malware kann von einem einzelnen Gerät oder von mehreren Geräten gelöscht werden.

Enforce\Cloud-Analyse Seite

Diese Seite zeigt Ihnen die Ergebnisse der Analyse verdächtiger Dateien an.

Endpoints Seite

Die oben abgebildete Seite Endpoints bietet einen Überblick über die Geräte im Netzwerk. Über ein Suchfeld können Sie nach einem bestimmten Client in einem größeren Netzwerk suchen. Für jedes Gerät sind die Details sehr überschaubar gehalten (Status, Benutzer, Details zum Betriebssystem und zur Sensorversion, Richtlinien und letzte Check-in-Zeit). Sie können jedoch ganz einfach mehr Informationen über ein einzelnes Gerät abrufen, indem Sie auf das Pfeilsymbol links neben seinem Namen klicken. Dadurch werden Elemente wie die Scan-Engine-Version, die externe IP-Adresse und der letzte aktive Benutzer angezeigt. Wenn Sie auf den Namen eines Geräts klicken, wird die Seite Investigate für dieses einzelne Gerät geöffnet. Die Schaltfläche Go Live am Ende jedes Geräteeintrags baut eine Fernverwaltungssitzung mit dem Gerät auf. Sie können die auf der Seite Endpoints angezeigten Spalten nach Belieben anpassen und die Filter-Dropdowns verwenden, um die Suche nach bestimmten Geräten einzuschränken. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Aktionen durchführen, z. B. Scans, Updates, Richtlinienänderungen und Sensoraktualisierungen. Sie können ein Gerät auch unter Quarantäne stellen. Dadurch werden alle Netzwerkverbindungen zum und vom Gerät unterbrochen, mit Ausnahme der Verbindungen zur und von der Verwaltungskonsole.

Settings Menu

Unter dem Menüpunkt Settings können Sie Optionen für die Konsole/das System als Ganzes konfigurieren. Unter Users können Sie die Benutzer der Konsole verwalten. Es gibt 5 Stufen von Berechtigungen, die einem Benutzer zugewiesen werden können, von Level 1 Analyst bis hin zu System Admin. Im Zusammenhang damit steht die Seite Roles, auf der Sie bearbeiten können, was jede Berechtigungsstufe tatsächlich tun kann. Unter Notifications können Sie den Schweregrad der Bedrohung festlegen, bei dem eine Warnung gesendet werden soll, sowie eine E-Mail-Adresse, an die diese gesendet werden soll. Audit Log zeichnet Konsolenbenutzeranmeldungen und Richtlinienänderungen/-zuweisungen auf.

Windows Endpoint Protection-Client

Deployment

Sie können Installationsdateien im .msi-Format aus dem Menü Sensor Options auf der Seite Endpoints herunterladen. Es stehen 32- und 64-Bit-Pakete zur Verfügung. Sie müssen einen Installationscode eingeben, der im gleichen Menü zu finden ist. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Über den Menüpunkt Send installation request können Sie den Benutzern einen Installationslink und einen Code per E-Mail zusenden. Der Installationsassistent ist einfach und dürfte auch für technisch nicht versierte Benutzer kein Problem darstellen. Sie können verhindern, dass Benutzer mit Windows-Administratorkonten die Software deinstallieren, indem Sie die Sensoreinstellung Require code to uninstall in der entsprechenden Richtlinie verwenden. Carbon Black Cloud lässt sich für die Bereitstellung und Aktualisierung in VMware vSphere integrieren.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem kleinen Informationsfenster. Benutzer können Informationen zur Produktversion und eine Liste der zuletzt blockierten Bedrohungen sehen. Letztere enthält den Erkennungsnamen und den Dateipfad sowie das Datum und die Uhrzeit der Erkennung. Weitere Funktionen werden nicht angeboten. Die Oberfläche kann auf Wunsch per Richtlinie vollständig ausgeblendet werden. Die Integration mit dem Windows Security Center kann über die Konsole aktiviert oder deaktiviert werden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Carbon Black die bösartigen Dateien sofort und stellte sie an Ort und Stelle unter Quarantäne. Es wurde eine Pop-up-Warnung angezeigt, die sich nach einigen Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich, obwohl ein Klick auf Details das Fenster mit der Erkennungsliste des Programms öffnete.

In diesem Business Security Test und Review erreichte Award-Levels

Wie in den vergangenen Jahren vergeben wir unseren "Approved Business Product" Award an qualifizierte Produkte. Da wir zwei Tests für Business-Produkte pro Jahr durchführen, werden qualifizierte Produkte im Juli (für die Tests im Zeitraum März-Juni) und im Dezember (für die Tests im Zeitraum August-November) separat ausgezeichnet.

Um im Dezember 2020 als "Approved Business Product" von AV-Comparatives zertifiziert zu werden, müssen die getesteten Produkte mindestens 90% im Malware Protection Test mit null Fehlalarmen auf gängiger Unternehmenssoftware und mindestens 90% im gesamten Real-World Protection Test (d.h. über einen Zeitraum von vier Monaten) erreichen, mit weniger als hundert Fehlalarmen auf jeder sauberen Software/Website (und mit null Fehlalarmen auf gängiger Unternehmenssoftware). Die getesteten Produkte müssen außerdem keine größeren Leistungsprobleme aufweisen (Impact Score muss unter 40 liegen) und alle gemeldeten Fehler behoben haben, um eine Zertifizierung zu erhalten.

Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und daher mit dem AV-Comparatives Approved Business Security Product Award für Dezember 2020 ausgezeichnet werden:

APPROVED
AcronisAPPROVED
AvastAPPROVED
BitdefenderAPPROVED
CiscoAPPROVED
CrowdStrikeAPPROVED
CybereasonAPPROVED
ElasticAPPROVED
ESETAPPROVED
FireEyeAPPROVED
FortinetAPPROVED
G DataAPPROVED
K7APPROVED
KasperskyAPPROVED
MicrosoftAPPROVED
PandaAPPROVED
SophosAPPROVED
SparkCognitionAPPROVED
VIPREAPPROVED
VMwareAPPROVED

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2020 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstandes von AV-Comparatives vor jeglicher Veröffentlichung erlaubt. Dieser Bericht wird von den Teilnehmern unterstützt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Bericht enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2020)