Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Business Security Test 2020 (März - Juni)

Datum Juni 2020
Sprache Deutsch
Letzte Revision 10. Juli 2020

Mit Real-World Protection, Malware Protection und Performance Tests & Produktbewertungen


Datum der Veröffentlichung 2020-07-15
Datum der Überarbeitung 2020-07-10
Prüfzeitraum März - Juni 2020
Anzahl der Testfälle 767 Real-World
1192 Schutz vor Malware
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Dies ist der erste Halbjahresbericht unserer Business Main-Test Series 2020. Er enthält die Ergebnisse des Business Real-World Protection Test (März-Juni), des Business Malware Protection Test (März), des Business Performance Test (Mai) sowie der Produktbewertungen.

Bitte beachten Sie, dass die Ergebnisse der Business Main-Test Series nicht mit den Ergebnissen der Consumer Main-Test Series verglichen werden können, da die Tests zu unterschiedlichen Zeiten, mit unterschiedlichen Geräten, unterschiedlichen Einstellungen usw. durchgeführt werden.

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Ein entscheidender Punkt für einige Unternehmen ist die Frage, ob sie sich für eine cloudbasierte oder eine serverbasierte Konsole entscheiden sollen. Erstere lässt sich fast sofort einrichten und macht in der Regel eine zusätzliche Konfiguration der Client-Geräte überflüssig. Letztere erfordert mehr Arbeit für den Administrator, bevor alles betriebsbereit ist, einschließlich der Konfiguration von Clients und der Unternehmensfirewall. Dies bedeutet jedoch, dass sich die gesamte Einrichtung in den Räumlichkeiten des Unternehmens befindet und unter der direkten Kontrolle des Administrators steht. Für kleinere Unternehmen mit begrenztem IT-Personal sind cloudbasierte Konsolen möglicherweise eine einfachere Option. Bitte beachten Sie, dass die Hersteller in einigen Fällen sowohl cloudbasierte als auch serverbasierte Optionen für die Verwaltung ihrer Produkte anbieten. Hinweise auf den Konsolentyp beziehen sich hier nur auf das spezifische Produkt, das in unseren Tests verwendet wurde. Wenden Sie sich bitte an den jeweiligen Hersteller, um zu erfahren, ob andere Konsolentypen verfügbar sind.

Avast, K7 und VIPRE bieten einfach zu bedienende Cloud-Konsolen, die sich besonders für kleinere Unternehmen ohne Vollzeit-IT-Personal eignen. Alle diese Lösungen eignen sich auch für größere Unternehmen und ermöglichen so ein Wachstum des Unternehmens.

Fortinet, G Data und Kaspersky verwenden serverbasierte Konsolen, die für erfahrene Windows-Profis sehr vertraut und einfach sind. Sie eignen sich für den Einsatz im KMU-Bereich aufwärts. Bitte beachten Sie, dass Fortinet eine zusätzliche cloudbasierte Konsole für sein FortiEDR-Produkt anbietet. Kaspersky bietet eine cloudbasierte Konsole als Alternative zum serverbasierten Produkt an.

Für Unternehmen derselben Größe, die nach cloudbasierten Verwaltungslösungen suchen, bieten Bitdefender, ESET, Microsoft, Panda und Sophos allesamt starke und kohärente Lösungen.Acronis, Cybereason, und VMware Carbon Black erfordern zwar etwas mehr Einarbeitungszeit, sind aber ebenfalls sehr gut für diese Kategorie von Unternehmen geeignet.

Am größeren Ende des Marktes bieten Cisco, CrowdStrike, Elastic, FireEye und SparkCognition allesamt außerordentlich leistungsfähige Tools. Wie gut sie zu Ihrem Unternehmen passen, wie es heute ist und wie Sie es in den nächsten fünf Jahren ausbauen wollen, muss sorgfältig geplant werden. Sowohl in der Planungs- als auch in der Einführungsphase sind externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungs- und Betreuungsaufwand. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Paketen völlig unterscheidet.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 1909 64-bit getestet:

In Unternehmensumgebungen und bei Business-Produkten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und daher haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren.

Nur wenige Hersteller liefern ihre Produkte mit optimalen Standardeinstellungen, die sofort einsatzbereit sind, und haben daher keine Einstellungen geändert. Die Cloud- und PUA-Erkennung ist bei allen Produkten aktiviert. Derzeit testen wir allerdings keine PUA in unseren Malware-Tests.

Bitte beachten Sie, dass die in der Enterprise Main-Test Series erzielten Ergebnisse nur durch die Anwendung der hier beschriebenen Produktkonfigurationen erreicht wurden. Jede hier als aktiviert aufgeführte Einstellung kann in Ihrer Umgebung deaktiviert sein und umgekehrt. Dies beeinflusst die Schutzraten, die Fehlalarmraten und die Auswirkungen auf das System. Die angewendeten Einstellungen werden im Laufe des Jahres für alle unsere Enterprise Tests verwendet. Das heißt, dass wir es einem Anbieter nicht erlauben, die Einstellungen je nach Test zu ändern. Andernfalls könnten die Anbieter ihre jeweiligen Produkte z.B. so konfigurieren, dass sie bei den Protection Tests maximalen Schutz bieten (was die Performance verringern und die Fehlalarme erhöhen würde) und bei den Performance Tests maximale Geschwindigkeit erreichen (was wiederum den Schutz und die Fehlalarme verringern würde). Bitte beachten Sie, dass bei einigen Produkten für Unternehmen alle Schutzfunktionen standardmäßig deaktiviert sind, so dass der Administrator das Produkt konfigurieren muss, um einen Schutz zu erhalten.

Nachfolgend haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Änderungen) aufgeführt:

Bitdefender: "Sandbox Analyzer" und "Scan SSL" aktiviert; "HyperDetect", "Device Sensor" und "EDR Sensor" deaktiviert.

Cisco: alles aktiviert und auf Blockieren eingestellt.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive". "Unknown Detection-Related Executables" und "Unknown Executables" deaktiviert.

Cybereason: "Anti-Malware" aktiviert; "Signatures mode" auf "Disinfect" eingestellt; "Behavioral document protection" aktiviert; "Artificial intelligence" auf "Aggressive" eingestellt; "Exploit protection", "PowerShell and .NET", "Anti-Ransomware" und "App Control" aktiviert und auf "Prevent" eingestellt; alle "Collection features" aktiviert; "Scan archives on access" aktiviert.

Elastic: Schutz vor "Malware" und "Process Injection" aktiviert; Schutz vor "Blacklist", "Credential Access", "Exploit" und "Ransomware" sowie alle "Adversary Behaviors" deaktiviert.

ESET: Alle Einstellungen für “Real-Time & Machine Learning Protection” sind auf "Aggressive" eingestellt.

FireEye: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

Fortinet: Alle "AntiVirus Protection"-Einstellungen aktiviert und auf "Block" gesetzt. Zusätzlich wurden "Anti-Exploit", "Cloud Based Malware Detection", "Advanced Heuristic", "FortiGuard Analytics", FortiSandbox's "Sandbox Detection", "Web Filter", "Application Firewall", "Detect and Block Exploits & Botnets" und "FortiEDR" aktiviert; "Exclude Files from Trusted Sources" für "Sandbox Detection" aktiviert.

G Data: "Exploit Protection", "Anti-Ransomware" und "BankGuard" aktiviert; "BEAST Behavior Monitoring" auf "Pause Program and Quarantine" eingestellt.

Kaspersky: "Adaptive Anomaly Control" deaktiviert.

Microsoft: Cloud protection level auf "High" eingestellt, Cloud-delivered protection auf "Advanced" eingestellt. Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert.

Sophos: Alle Optionen unter "Active Adversary Mitigations" aktiviert. "Web Control" und "Protect against data loss" deaktiviert.

SparkCognition: alle "Policy Settings" und alle "Attack Vectors"-Einstellungen aktiviert und auf "Aggressive" eingestellt.

VMware: Richtlinie auf "Advanced" eingestellt.

Acronis, Avast, K7, Panda, VIPRE: Standardeinstellungen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Acronis, Cisco, Cybereason, FireEye, G DATA und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen). VMware verwendet die Avira-Engine (zusätzlich zu den eigenen Schutzfunktionen). OutbreakShield von G DATA basiert auf Cyren.

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen, dazu, dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen und damit ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte unter Beweis stellen.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware nicht direkt aus dem Internet, sondern z.B. über das lokale Netzwerk oder einen Wechseldatenträger in das Testsystem gelangt.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Zusätzlich zu jedem der Schutztests wird ein False Positives Test durchgeführt, um zu prüfen, ob ein Produkt legitime Software fälschlicherweise als schädlich identifiziert.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (März-Juni)

Die nachstehenden Ergebnisse basieren auf einem Testsatz aus 767 Testfällen (z.B. bösartige URLs) besteht, die von Anfang März 2020 bis Ende Juni 2020 getestet wurden.

  Blockiert User Dependent Kompromittiert SCHUTZQUOTE
[Blocked % + (User Dependent %)/2]*
False-Positives (FPs)
Fortinet
767 100% 11
Panda 767 100% 27
Kaspersky 766 1 99.9% 0
Avast
766 1 99.9% 5
Microsoft 765 2 99.7% 8
ESET 764 3 99.6% 0
K7 764 3 99.6% 15
Bitdefender, G Data 763 4 99.5% 2
Sophos, VIPRE 763 4 99.5% 3
VMware 762 5 99.3% 2
Elastic
762 5 99.3%
41
Cisco
757 10 98.7%
1
SparkCognition
754 13 98.3%
0
Acronis
752 15 98.0%
0
Crowdstrike 747 20 97.4% 21
Cybereason 743 24 96.9% 20
FireEye
740 27 96.5%
1

 

Fortinet, K7, Cybereason, CrowdStrike, Panda und Elastic hatten im Real-World Protection Test überdurchschnittlich viele FPs.


Malware Protection Test (März)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests: 

False Positives (False Alarm) Test mit gängiger Business-Software

Es wurde auch ein Fehlalarmtest mit gängiger Unternehmenssoftware durchgeführt. Bei allen getesteten Produkten gab es keine Fehlalarme bei gängiger Business-Software. 

  Malware-Schutzrate Fehlalarme bei gängiger Business-Software
Cisco, K7, Microsoft, VMware
100% 0
Bitdefender, ESET, G Data, Panda 99.9% 0
Avast, Vipre 99.8% 0
CrowdStrike, Cybereason 99.7% 0
Elastisch, FireEye 99.6% 0
Fortinet, Kaspersky 99.5% 0
Sophos 99.4% 0
Acronis 98.9% 0
SparkCognition* 92.7% 0

* Während des Malware Protection Test wurde ein Fehler im SparkCognition-Produkt entdeckt, der zu einigen fehlenden Erkennungen führte. Der Fehler wurde jetzt behoben.

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser bewerten zu können, haben wir auch einen False Alarm Test (False Positives Test) mit Non-Business-Software und ungewöhnlichen Dateien durchgeführt. Dies dient vor allem als zusätzliche Information, insbesondere für Unternehmen, die häufig ungewöhnliche Non-Business-Software oder selbst entwickelte Software verwenden. Die Ergebnisse haben keinen Einfluss auf das Gesamtergebnis des Tests oder auf die Auszeichnung als zugelassenes Geschäftsprodukt. Die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben. 

FP-Rate
Anzahl der FPs auf
Non-Business-Software
Sehr niedrig
0 - 5
Low
6 - 15
Mittel/Durchschnitt
16 - 25
High
26 - 50
Sehr hoch
51 - 100
Auffallend hoch
> 100
  FP-Rate mit Non-Business-Software
Acronis, Avast, Bitdefender, Cisco, ESET, Fortinet, G Data, Kaspersky, Sophos Sehr niedrig
Cybereason, FireEye, SparkCognition, Microsoft Low
Elastic, Vipre, VMware Medium
K7, Panda High
CrowdStrike Sehr hoch
Auffallend hoch

 


Performance Test (Mai - Juni)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformance im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter Kopieren von Dateien Archivieren /
Wiederherstellen
Installieren /
Deinstallieren von
Anwendungen
Starten von Anwendungen Download von Dateien Browsen von Websites
Erster Durchlauf Nachfolgender Durchlauf Erster Durchlauf Nachfolgender Durchlauf
Acronis perf-level-fast perf-level-fast perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Avast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
Bitdefender perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Cisco perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
CrowdStrike perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Cybereason perf-level-fast perf-level-fast perf-level-veryfast perf-level-fast perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast
Elastic perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
ESET perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
FireEye perf-level-mediocre perf-level-mediocre perf-level-fast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Fortinet perf-level-fast perf-level-fast perf-level-fast perf-level-fast perf-level-mediocre perf-level-veryfast
G Data perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast
K7 perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Kaspersky perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Microsoft perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Panda perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Sophos perf-level-fast perf-level-fast perf-level-veryfast perf-level-mediocre perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast
SparkCognition perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
VIPRE perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
VMWare perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-mediocre perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast

 

Key Langsam perf-level-mediocre Mittelmäßig perf-level-fast Schnell perf-level-veryfast Sehr schnell

 

PC Mark Tests

Um einen branchenweit anerkannten Performance Test durchzuführen, haben wir das PC Mark 10 Professional Edition Testsuite verwendet. Nutzer, die den PC Mark 10 Benchmark1 verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie im Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i3-6006U Rechner mit 4GB RAM und SSD-Laufwerk

PC Mark® ist eine eingetragene Marke der Futuremark Corporation / UL.

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

AV-C ScorePC Mark ScoreImpact Score
1.K79098.91.1
2.ESET9098.71.3
3.Elastic9098.61.4
4.Panda9096.33.7
5.Bitdefender8896.25.8
6.VIPRE8598.46.6
7.CrowdStrike8597.67.4
8.Avast8596.58.5
9.Kaspersky8097.912.1
10.SparkCognition8096.913.1
11.VMware8094.615.4
12.Microsoft7596.818.2
13.Sophos7595.119.9
14.Acronis7594.320.7
15.Cisco7593.421.6
16.Cybereason7096.623.4
17.FireEye7095.724.3
18.G Data6595.329.7
19.Fortinet5092.547.5

Produkt Reviews

Nachstehend finden Sie Bewertungen der User-Interfaces aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Bewertungen die Testergebnisse nicht berücksichtigen. Wir bitten die Leser daher, sich sowohl die Bewertung als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir möchten darauf hinweisen, dass Security-Produkte für Unternehmen eine Fülle von Merkmalen und Funktionen umfassen, deren Beschreibung den Rahmen eines solchen Berichts bei weitem sprengen würde. Wir bemühen uns, die wichtigsten Funktionen jedes Produkts, wie sie in der Benutzeroberfläche dargestellt werden, zu beschreiben und für jedes Produkt einen ähnlichen Umfang zu bieten. Aufgrund der unterschiedlichen Anzahl und Art der Funktionen in den verschiedenen untersuchten Produkten kann es zu offensichtlichen Unstimmigkeiten kommen. So kann es sein, dass wir bei einem einfacheren Produkt mit weniger Funktionen eine bestimmte Funktion ausführlicher beschreiben können als bei einem komplexeren Produkt mit einer größeren Anzahl von Funktionen.

Wir betrachten zunächst die Art des Produkts, d.h. ob die Konsole cloud- oder serverbasiert ist, und welche Art von Geräten/Betriebssystemen geschützt und verwaltet werden können.

Der nächste Abschnitt befasst sich mit der Installation und Bereitstellung des Produkts. Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen). Der nächste Schritt - der für alle Produkte gilt - besteht darin, den Verwaltungsagenten und die Endpoint-Protection-Software auf den Client-PCs zu installieren.

Die Überprüfung geht dann zur laufenden Nutzung über, d.h. zu den alltäglichen Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen.

Schließlich werfen wir einen Blick auf die auf dem Client installierte Endpunktschutz-Software. Hier prüfen wir, ob der Endpunktbenutzer Aufgaben wie Scans und Updates selbst durchführen kann oder ob solche Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden.

Acronis Cyber Protect Cloud – Advanced Edition

Fazit

Die cloudbasierte Verwaltungskonsole von Acronis zeichnet sich durch eine sehr klare und übersichtliche moderne Oberfläche aus. Alle Verwaltungsfunktionen sind über eine einzige Menüspalte auf der linken Seite des Fensters leicht zugänglich. Die einzelnen Seiten haben eine einfache, übersichtliche Ansicht, die es leicht macht, die Details zu finden. In vielerlei Hinsicht ähnelt die Konsole einer gut gestalteten Smartphone-App und würde sich zweifellos auch auf dem kleineren Bildschirm eines Tablets sehr gut nutzen lassen. Die Einfachheit und Klarheit des Produkts bedeutet, dass es besonders für kleinere Unternehmen und weniger erfahrene Administratoren geeignet ist.

Über das Produkt

Die Acronis Cyber Cloud Plattform bietet einen kombinierten Cybersecurity- und Datenschutz-Service. Neben dem Schutz von Endgeräten ist eine Vielzahl von cloudbasierten Diensten enthalten, darunter Backup, Disaster Recovery und sichere Dateisynchronisation. In dieser Bewertung werden nur die Funktionen zum Schutz vor Malware betrachtet. Es gibt Clients für Windows- und macOS-Workstations, Windows- und Linux-Server sowie Android- und iOS-Mobilgeräte.

Start und Betrieb

Die Installation der Client-Software ist sehr einfach. Gehen Sie einfach auf die Seite Devices, klicken Sie auf die Schaltfläche Add und wählen Sie das entsprechende Installationsprogramm aus der sich öffnenden Liste aus. Dieser kann heruntergeladen und auf dem Client-Gerät ausgeführt werden. Sie können auch .mst- und .msi-Dateien für eine unbeaufsichtigte Installation erstellen. Nach der Installation der Endpunkt-Software müssen Sie dem neu installierten Rechner einen Protection Plan zuweisen, um den Antimalware-Dienst zu aktivieren. Wir weisen darauf hin, dass Windows Defender nicht vom Setup-Assistenten deaktiviert wird, so dass Administratoren dies möglicherweise manuell oder per Richtlinie durchführen möchten.

Alltägliches Management

Acronis Cyber Protect Cloud – Advanced Edition

Die Seite Devices listet die Geräte im Netzwerk auf. Über Unterseiten können Sie die Ansicht filtern, z.B. nach verwalteten und nicht verwalteten Geräten. Sie können u. a. Gerätetyp und -name, Benutzerkonto und Sicherheitsstatus sehen. Die angezeigten Spalten können individuell angepasst werden, so dass Sie nicht benötigte Spalten entfernen und z.B. IP-Adresse und Betriebssystem hinzufügen können. Wenn Sie ein oder mehrere Geräte auswählen, öffnet sich auf der rechten Seite ein Menüfeld, in dem Sie die angewandte Schutzrichtlinie anzeigen, Patches anwenden, Maschinendetails/Protokolle/Alarme anzeigen, die Gruppenmitgliedschaft ändern oder das Gerät aus der Konsole löschen können.

Unter Plans/Protection können Sie die Richtlinien sehen, erstellen und bearbeiten, die die Anti-Malware-Funktionen der Plattform steuern. Auch hier gleitet ein übersichtliches Menüfenster mit den entsprechenden Details und Steuerelementen aus der rechten Seite heraus. Zu den Funktionen, die konfiguriert werden können, gehören Echtzeitschutz, Schutz von Netzwerkordnern, Maßnahmen bei der Entdeckung von Malware, Ransomware, Erkennung von Kryptomining-Prozessen, zeitgesteuertes Scannen, Ausnahmen, URL-Filterung und die Dauer der Quarantäne von Elementen. Sie können Schwachstellenbewertungen und Patch-Management konfigurieren, und es gibt sogar Steuerelemente für das Scannen mit Microsoft Windows Defender/Security Essentials.

Unter Anti-Malware Protection listet die Seite Quarantine die Namen der erkannten bösartigen Dateien zusammen mit dem Datum der Quarantäne und dem Gerätenamen auf. Sie können in den Seiteneinstellungen Spalten für den Namen der Bedrohung und den anwendbaren Schutzplan hinzufügen. Über ein Mini-Menü am Ende eines jeden Eintrags können Sie die ausgewählten Elemente wiederherstellen oder löschen. Die Seite Whitelist zeigt alle Anwendungen an, die bei der Sicherungsprüfung gefunden und als sicher eingestuft wurden. Um die automatische Erstellung der Whitelist zu aktivieren, muss ein Plan zu den Backup-Scans erstellt werden.

Die Seiten Patches und Vulnerabilities unter Software Management werden ausgefüllt, wenn eine Schwachstellenbewertung in einem Schutzplan erstellt und mindestens einmal ausgeführt wurde.

Die Seite Reports listet eine Reihe von Themen auf, für die Berichte erstellt werden können, darunter Alerts, Detected threats, Discovered machines, Existing vulnerabilities und Patch management summary. Ein Klick auf einen Berichtsnamen öffnet eine Detailseite für dieses Element. Die Seite Alerts enthält beispielsweise Bereiche mit den 5 latest alerts, Active alerts summary, historical alerts summary, Active alerts details, und der Alerts history. Farbige Warnsymbole und Doughnut-Diagramme heben die wichtigsten Punkte dezent hervor. Wie bei anderen Seiten der Konsole können die Spalten in diesen Bereichen individuell angepasst werden.

Unter Settings/Protection können Sie den Zeitplan für die Aktualisierung der Schutzdefinitionen festlegen und die Fernverbindungsfunktion aktivieren. Auf der Seite Agents können Sie die Version des auf jedem Client installierten Endpunkt-Agenten einsehen und bei Bedarf aktualisieren.

Software zum Schutz von Windows-Endgeräten

Acronis Cyber Protect Cloud – Advanced Edition

Die Client-Software verfügt über eine minimalistische Benutzeroberfläche, die keine Interaktion mit dem Malware-Schutzdienst zulässt. Der Link Stop all im obigen Screenshot bezieht sich auf den Backup-Dienst - der Schutzdienst kann hier nicht deaktiviert werden. Sollte der Benutzer versehentlich eine bösartige Datei auf das System kopieren, wird Acronis diese beim Zugriff erkennen und unter Quarantäne stellen. Malware-Erkennungen sind still, d.h. es werden keine Warnungen angezeigt. Für Client- und Server-Schutzsoftware wird genau die gleiche Oberfläche verwendet.

Avast Business Antivirus Pro Plus

Fazit

Avast Business Antivirus Pro Plus ist ein starkes cloudbasiertes Produkt, das sich ideal für kleine bis mittlere Unternehmen eignet. Die Benutzeroberfläche ist intuitiv und übersichtlich, und die Standardeinstellungen sind für kleinere Unternehmen sinnvoll. Ein nicht technisch versierter Benutzer sollte keine Probleme haben, das Programm einzusetzen und die Ereignisse zu verfolgen. Dennoch verfügt es über Gruppierungs- und Profilfunktionen zum Schutz größerer Bestände. Uns gefiel die unkomplizierte Art der Plattform.

Über das Produkt

Avast Business Antivirus Pro Plus nutzt eine cloudbasierte Konsole zur Bereitstellung, Verwaltung und Überwachung der Endpoint Protection Software auf allen Geräten. Das Produkt schützt Windows-Clients, Windows-Server und macOS-Geräte. Zu den Funktionen für Windows-Clients gehören Anti-Spam, Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Für Windows Server werden Exchange- und SharePoint-Sicherheit angeboten. Eine Patch-Verwaltungsfunktion ist für alle Windows-Computer enthalten. Für die automatische Installation von Patches ist jedoch eine separate Lizenz für Avast Business Patch Management erforderlich.

Start und Betrieb

Es muss keine Serverkomponente installiert werden, da die Anwendung über eine cloudbasierte Konsole ausgeführt wird. Sie erstellen das Konto, wenden die entsprechende Lizenzierung an und fügen dann Geräte hinzu. Die Bereitstellung kann per Remote-Push, durch Herunterladen eines Installationspakets oder durch Senden eines Download-Links per E-Mail erfolgen. Das Installationsprogramm wird in zwei Größen angeboten, die beide sehr einfach zu bedienen sind. Es gibt eine Light-Version mit einer Größe von etwa 6 MB, bei der es sich lediglich um einen Downloader handelt. Die Vollversion ist rund 300 MB groß und kann offline ausgeführt werden. Die Light-Version ist ideal für kleinere Netzwerke, die Vollversion ist besser für größere Installationen geeignet, um den Internetverkehr zu minimieren. Der Assistent bietet die Möglichkeit, vorhandene AV-Produkte der Konkurrenz zu entfernen.

Alltägliches Management

Auf der Serverkonsole gibt es auf der linken Seite eine Reihe von Hauptmenüs. Diese sind: Dashboard, Notifications, Devices, Tasks, Patches, Policies, Reports, und Subscriptions. Help & Support und General Settings befinden sich am unteren Rand. Die Standardseite Dashboard gibt einen Überblick über die Installation und deren Ablauf. Sie können Warnmeldungen zu Ihren Geräten, die Betriebssystemverteilung, Statistiken zur Bedrohungserkennung und Zusammenfassungen zur Patch-Verwaltung einsehen.

 

Notifications fasst alle wichtigen Ereignisinformationen an einem Ort zusammen. Benachrichtigungen über die Erkennung von Malware verweisen auf die Virus Chest (Quarantäne) auf dem betroffenen Computer. Der Bereich Notifications Settings ist umfassend. Hier können Sie festlegen, wie Benachrichtigungen in einer Vielzahl von Szenarien gehandhabt werden sollen. Besonders gut gefallen hat uns die Option "Wenn nicht gelesen, dann E-Mail-Benachrichtigung senden", die für jede Einstellung auf sofort, gesammelt am Ende der Woche oder nie eingestellt werden kann. Damit haben Sie die Kontrolle darüber, wie Sie bei einem Ereignis benachrichtigt werden. So können Sie sicherstellen, dass Sie nicht mit Informationen überschwemmt werden, die nicht unmittelbar relevant sind.

Avast Business Antivirus Pro Plus

Die Registerkarte Devices (Screenshot oben) zeigt den Sicherheitsstatus, die Gruppenzugehörigkeit und die Richtlinie jedes Geräts sowie die jüngsten Bedrohungen und andere Ereignisse. Es werden hilfreiche Links bereitgestellt, z.B. Restart & scan für ungelöste Bedrohungen. Sie können Geräte in Gruppen zusammenfassen und Einstellungen und Richtlinien über diese Gruppe anwenden.

Tasks ist ein leistungsfähiger Planerbereich. Hier kann der Administrator Aufgaben erstellen, um bestimmte Ereignisse auszuführen. Führen Sie zum Beispiel jeden Tag um 14 Uhr einen kurzen Scan durch. Sie können damit auch eine kurze Nachricht an Ihre Geräte senden, das Gerät aktualisieren und es auch herunterfahren. Es handelt sich um ein einfaches Aufgabenmanagement-Tool, das jedoch nützliche Funktionen für kleine Büros und Organisationen bietet.

Die Seite Patches enthält eine sehr kurze Beschreibung der Funktion, die als separate Komponente erworben werden kann, sowie eine Schaltfläche mit der Aufschrift Start Testversion.

Mit Policies können Sie eine Einstellungsvorlage erstellen, die dann auf eine Gruppe von Geräten angewendet wird. Hier haben Sie Zugriff auf alle Kontrollfunktionen für das Gerät. So können Sie festlegen, dass die Dateiprüfung eingeschaltet ist, der Antispam-Dienst läuft, die Firewall aktiviert sein muss usw. Anhand dieser Vorlagen können Sie Richtlinien auf Geräte anwenden. Für Windows-Workstations, Windows-Server und macOS-Geräte können separate Richtlinien konfiguriert werden.

Zum Zeitpunkt der Erstellung dieses Artikels (Mai 2020) war Reports in der Spalte des Konsolenmenüs als "neue" Funktion gekennzeichnet, obwohl es sich in Wirklichkeit um die Aktualisierung einer bestehenden Funktion handelt. Es gibt fünf verschiedene Berichtskategorien: Executive Summary, Antivirus Threats Report, Patch Report, Device Report und Tasks Report. Sie können auf jede dieser Rubriken klicken, um eine grafische Darstellung der jüngsten Aktivitäten zu sehen. Der Antivirus Threats Report zeigt beispielsweise eine grafische Darstellung der im letzten Monat entdeckten, unter Quarantäne gestellten, blockierten, gelöschten oder reparierten Malware-Elemente. Sie können Berichte nach einem wöchentlichen oder monatlichen Zeitplan erstellen und bereits erstellte geplante Berichte anzeigen.

Wie zu erwarten, zeigt Subscriptions die Produktlizenzen an, die Sie derzeit besitzen, und wie viele davon Sie verwendet haben. Es gibt auch Links, über die Sie andere Versionen von Avast Business Antivirus und der Komponente Patch Management ausprobieren oder kaufen können.

Help & Support bietet Links zu verschiedenen Support- und Dokumentationsartikeln, darunter ein Benutzerhandbuch für die Konsole. Diese ist übersichtlich, umfassend und gut erschlossen, auch wenn es an Screenshots mangelt.

Unter General Settings können Sie die Zeitzone des Systems ändern und Labs features aktivieren. Letzteres ist eine Vorschau auf kommende Funktionen, die "noch nicht ganz fertig" sind. Sie können auch einen lokalen Server für die Bereitstellung und Aktualisierung erstellen und die Datenbank einer anderen Avast-Konsole importieren.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software bietet eine breite Palette von Funktionen, ähnlich wie eine normale Desktop-Lösung für Endnutzer. Die Nutzer können Scans und Updates durchführen. Die zentralen Richtlinien bestimmen, was sie ändern oder anpassen können. Standardmäßig können Windows-Standardbenutzerkonten alle Schutzfunktionen deaktivieren und weitere Warnungen durch Klicken auf Ignore unterdrücken. Dies führt zu einer irreführenden Meldung, die besagt "You’re protected", obwohl alle Schutzkomponenten ausgeschaltet sind. Der Schutz wird automatisch wieder aktiviert, wenn der Computer neu gestartet wird. Administratoren können jedoch verhindern, dass Standardbenutzer die Einstellungen ändern, indem sie die Kennwortschutzfunktion in der Konsole aktivieren.

Avast Business Antivirus Pro Plus

Sollte der Nutzer versehentlich eine bösartige Datei auf das System kopieren, wird Avast diese beim Zugriff erkennen und unter Quarantäne stellen. Eine Beispiel-Warnung ist unten abgebildet. Der Nutzer kann einen Scan des PCs starten und Details der Bedrohung sehen.

Avast Business Antivirus Pro Plus

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Bitdefender GravityZone Elite Security

Fazit

An Bitdefender GravityZone Elite Security gibt es viel gutes. Das Design der Verwaltungskonsole ist sehr übersichtlich. Relevante Aufgaben sind in Gruppen zusammengefasst, und der Einführungsassistent macht die Installation einfach. Besonders gut gefallen hat uns die Dashboard-Funktionalität. Die Funktion Policies vermittelt ein klares Verständnis der auf die Endpunkte angewandten Regeln. Ein kleiner Verbesserungsvorschlag wäre, das Verfahren zum Festlegen von Scan-Ausschlüssen zu verdeutlichen.

Über das Produkt

Bitdefender GravityZone Elite Security verwendet eine cloudbasierte Konsole zur Verwaltung der Endpoint Protection Software. Es werden Desktops und Server mit Windows, macOS und Linux unterstützt.

Start und Betrieb

Die Einrichtung der Haupt-Cloud-Konsole ist sehr einfach: Erstellen Sie ein Cloud-Konto, melden Sie sich an und schon haben Sie eine Arbeitsumgebung.

Das erste, was Sie bei der Anmeldung sehen, ist der Essential Steps wizard. Es handelt sich dabei um einen vierstufigen Prozess, der Sie dabei unterstützt, so schnell wie möglich mit der Arbeit zu beginnen. Zu jedem Feld gibt es ausführliche Erklärungen, um zu erläutern, was der jeweilige Schritt bewirkt.

Schritt 1 ist Install Protection, mit dem Sie den Schutz direkt auf dem Computer installieren können, an dem Sie gerade arbeiten. Sie können auch einen Installationslink per E-Mail an entfernte Benutzer senden. Alternativ können Sie die Remote Installation-Funktion verwenden, um den Endpunkt-Client aus der Ferne auf Netzwerkcomputern zu installieren. Um dies zu ermöglichen, müssen Sie einen "Relay"-Computer installieren, der als bridgehead fungiert.

Schritt 2 besteht darin, die Security Policies zu erstellen, die in Ihrem Unternehmen verwendet werden sollen. Damit können Sie für jedes Zielgerät oder jede Gruppe von Geräten einen vorgefertigten Satz von Betriebsanforderungen definieren.

Schritt 3 besteht darin, entsprechende User Accounts zu erstellen. Dies sind administrative Accounts für die Verwaltung der Plattform. Die Rollen können hier Partner, Company Administrator, Network Administrator, Reporter und Custom sein. Ein Reporter könnte z.B. eine Helpdesk-Rolle sein und kann Berichte über Aktivitäten einsehen, ohne Benutzer oder die Unternehmensstruktur ändern zu können.

Schritt 4 ist Reporting, wo Ihnen gezeigt wird, wie Sie geeignete Berichte über die Aktivitäten in Ihrem Netzwerk erstellen können.

Wenn Sie diese Schritte durchlaufen haben, sollten Sie über ein eingerichtetes und verwaltetes Netzwerk verfügen.

Alltägliches Management

Die Konsole ist besonders klar und übersichtlich. Dies trägt dazu bei, dass sich das Produkt sowohl für kleinere Unternehmen mit begrenzter IT-Unterstützung als auch für größere Organisationen eignet. Die Hauptkonsole hat eine Menüstruktur auf der linken Seite. Die Elemente sind Dashboard, Incidents, Network, Risk Management, Policies, Reports, Quarantine, Accounts, Sandbox Analyzer und Configuration.

Das Dashboard gibt Ihnen einen sofortigen Überblick über die Installation und die Leistung der Clients. Jedes Panel wird hier als "Portlet" bezeichnet und kann angeklickt werden, um weitere Informationen zu erhalten. Insgesamt gibt es drei Seiten mit Portlets. Besonders gut gefallen hat uns, dass die Portlets nach Belieben neu angeordnet, ergänzt und gestaltet werden können. Dank der umfangreichen Funktionen des Dashboard können Sie schnell und einfach die gewünschten Informationen finden.

Incidents ermöglicht es Ihnen, die im Netzwerk entdeckten Bedrohungen zu überprüfen und zu untersuchen.

Bitdefender GravityZone Elite Security

Die Hauptseite Network zeigt Ihnen alle verwalteten Geräte in Ihrem Netzwerk, geordnet in Gruppen, die Sie selbst erstellen können (Screenshot oben). Auf der Unterseite Packages können Sie Verteilungspakete konfigurieren. Auf der Unterseite Tasks können Sie Aufgaben wie Scans und Updates erstellen, die einmal oder mehrmals auf bestimmten Geräten oder Gruppen ausgeführt werden können.

Die Seite Risk Management zeigt eine Aufschlüsselung der Risiken nach Faktoren wie Datum, Schweregrad und Anzahl der betroffenen Endpunkte.

Unter Policies definieren Sie die operativen Gruppen innerhalb Ihrer Organisation und wenden dann Richtlinien auf sie an. Hier gibt es eine Fülle von Möglichkeiten. Sie können die Firewall-Funktionalität, den Anwendungsbetrieb und den Gerätezugriff (z. B. das Sperren von USB-Laufwerken) steuern. Sie können auch Regeln für Exchange Server festlegen. Wir haben festgestellt, dass das Festlegen von Scan-Ausschlüssen hier etwas gewöhnungsbedürftig ist. Es wäre hilfreich, die Eingabefelder für neue Ausnahmen von der Tabelle der bestehenden Ausnahmen zu trennen und deutlicher zu machen, dass es sich bei ersteren auch um Dropdown-Listen handelt.

Mit Reports können Sie sich einen Überblick über die Geschehnisse verschaffen, und zwar nach Funktionsgruppen oder nach Aufgabenbereichen.

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit zu wählen, was mit diesen Dateien geschehen soll.

Mit Accounts können Sie Konsolenbenutzer hinzufügen und entfernen und die Aktivitäten der eingerichteten Benutzerkonten überwachen.

Der Sandbox Analyzer liefert eine Aufschlüsselung der unbekannten Dateien, die von der Sandbox-Funktion analysiert wurden, mit einem Schweregrad von 0 (völlig harmlos) bis 30 (eindeutig bösartig).

Auf der Seite Configuration können Sie die Einstellungen für die Konsole selbst ändern.

Wenn Sie auf das Glockensymbol in der oberen rechten Ecke klicken, öffnet sich das Fenster Notifications. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie ein Element genauer betrachten, erhalten Sie eine klare Beschreibung des Ereignisses. Besonders gut gefallen hat uns die Meldung über einen Malware-Ausbruch. So wurde uns mitgeteilt, dass "mindestens 28% von insgesamt X Endpunkten mit Y-Malware infiziert wurden". So lassen sich einzelne Vorfälle leicht von einer netzwerkweiten Pandemie abgrenzen.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software ist eine einfache Anwendung mit einer übersichtlichen Oberfläche. Sie zeigt deutlich an, was vor sich geht, mit Details zu durchgeführten Updates, aktivierten Modulen und Programmen, die durch die Firewall zugelassen sind. Die Benutzeroberfläche ermöglicht es dem Nutzer, nach Updates zu suchen und schnelle, vollständige oder benutzerdefinierte Scans zu initiieren. Die Nutzer können auch die Einstellungen des Programms einsehen, aber die Standardrichtlinie verhindert, dass Änderungen vorgenommen werden können. Sie können die Sprache der Benutzeroberfläche einfach über das Menü der Systemablage ändern.

Bitdefender GravityZone Elite Security

Sollte der Nutzer versehentlich eine bösartige Datei auf das System kopieren, erkennt Bitdefender diese beim Zugriff und stellt sie unter Quarantäne. Ein Beispiel für eine Warnung ist unten abgebildet. Der Nutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

Bitdefender GravityZone Elite Security

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Cisco Advanced Malware Protection for Endpoints

Fazit

Die ersten Schritte mit Cisco Advanced Malware Protection for Endpoints (AMP) sind sehr einfach. Die Konsole erfordert keine Einrichtung, und die Bereitstellung der Client-Software ist schnell und einfach. Klare und farbige Diagramme fassen die wichtigsten Informationen zusammen. Was die erweiterte Überwachung und Verwaltung betrifft, so stehen hier zahlreiche Funktionen zur Verfügung. Das Design der Konsole macht die verschiedenen Funktionen leicht zugänglich. Allerdings kann es einige Zeit dauern, bis das volle Potenzial des Produkts ausgeschöpft ist, was von verschiedenen Faktoren wie Größe und Komplexität Ihrer Umgebung, Anwendungsfällen usw. abhängt. Für Unternehmen, die über entsprechendes IT-Personal verfügen, bietet es eine Fülle von Funktionen zur Überwachung, Untersuchung und Abwehr von Sicherheitsbedrohungen.

Über das Produkt

Cisco AMP bietet Malware-Schutz für Windows, macOS, Linux, Android und Apple iOS-Geräte. Diese werden alle über eine cloudbasierte Konsole verwaltet.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie rufen einfach die URL auf und melden sich an. Installateure für Desktop-Systeme finden Sie durch Klicken auf Management\Download Connector. Sie müssen Protect aus dem Gruppenmenü auswählen. Der Einrichtungsprozess ist sehr schnell und einfach und erfordert nur ein paar Klicks. Wir weisen darauf hin, dass Windows Defender auf Windows-Desktop-Systemen nicht automatisch deaktiviert wird, wenn die Cisco-Endpunktsoftware installiert wird. Administratoren können dies selbst tun, entweder manuell oder per Richtlinie.

Alltägliches Management

Die Cloud-Konsole wird über eine einzige Menüleiste am oberen Rand der Seite gesteuert. Die Seite Dashboard hat eine Reihe von Unterseiten, die über eine Reihe von Registerkarten am oberen Rand zugänglich sind. Analysis, Outbreak Control, Management and Accounts sind Dropdown-Menüs. Jede Seite hat etwa 10 einzelne Punkte.

 

Die Unterseite Dashboard des Dashboard ist im obigen Screenshot zu sehen. Es gibt eine Reihe von Panels mit farbigen Balkendiagrammen. Diese zeigen Compromises, Quarantined Detections, Vulnerabilities, Significant Compromise Artifacts und Compromise Event Types. Die Unterseite Inbox zeigt eine kompakte, zusammengefasste Version desselben Sachverhalts. Die Unterseite Overview bietet den grafischsten Überblick über den Zustand des Netzwerks, mit farbigen Balken- und Doughnut-Diagrammen, die Kompromittierungen, Bedrohungen, Schwachstellen, Computer, Netzwerkbedrohungen und Dateianalysen zeigen. Sie bieten eine sehr klare Zusammenfassung der wichtigsten Informationen, und wir fragen uns, ob diese Seite nicht zur Standardseite der Konsole gemacht werden könnte. Die Unterseite Events listet die jüngsten Entdeckungen auf.

Cisco Advanced Malware Protection for Endpoints

Die oben abgebildete Seite Computers wird über das Menü Management aufgerufen. Oben finden Sie eine Reihe von Statistiken, z.B. über Computer mit Fehlern oder die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Sie können ein Gerät für weitere Aufmerksamkeit markieren, indem Sie hier auf das Flaggensymbol klicken. Wenn Sie auf das Pfeilsymbol für ein Gerät klicken, wird ein detailliertes Informationsfenster angezeigt. Hier werden Informationen wie Betriebssystemversion, Anschlussversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Besuchs angezeigt. Die Geräteliste kann über die Registerkarten am oberen Rand nach Betriebssystemtyp eingeschränkt werden. Sie können die Geräteliste auch nach verschiedenen Details filtern. Dazu gehören bestimmte Betriebssystemversionen, Gruppen oder Definitionsstatus, indem Sie oben auf Filter klicken.

Das Menü Management enthält eine Reihe von weiteren Standardfunktionen. Es gibt Groups, Policies, Exclusions und deployment options. Es gibt auch eine Quick Start in Form eines Videos, in dem die Funktionen und die Verwendung des Produkts erklärt werden. Im Menü Analysis finden sich Funktionen zur Untersuchung von Angriffen. Events zeigt eine Liste von Bedrohungen, denen geschützte Geräte ausgesetzt sind. Dazu gehören der Zugriff auf riskante Websites, das Herunterladen bösartiger Dateien und der Versuch, mutmaßliche Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z.B. die IP-Adresse und der Port der bedrohten Website sowie der Hash der bösartigen Datei. Wenn Sie hier mit der rechten Maustaste auf den Hash einer Datei klicken, können Sie Maßnahmen gegen die Bedrohung ergreifen. Zu den Optionen gehören das Setzen der Datei auf eine schwarze Liste und Investigate in Cisco Threat Response. Dadurch wird eine separate Konsole geöffnet, die zusätzliche Analysedaten liefert. Cisco teilt uns mit, dass diese Daten sowohl Informationen von Sicherheitsdiensten anderer Anbieter als auch von Cisco selbst enthalten.

Sie können die Details einer Datei auf der Seite File Analysis Seite. Hier werden die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als bösartig angezeigt. Um zu sehen, welche legitimen Programme in Malware-Begegnungen verwickelt waren, werfen Sie einen Blick auf die Threat Root Cause Seite. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen, wie chrome.exe oder explorer.exe, gestoßen sind. Auf der Prevalence Seite wird die Anzahl der Geräte angezeigt, die von einer bestimmten Bedrohung betroffen sind. Unter Vulnerable Softwarewerden Programme mit bekannten Sicherheitslücken aufgelistet. Außerdem gibt es CVE-ID- und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen. Reports bietet einen sehr detaillierten Wochenbericht. Darin werden zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen behandelt. Diese werden mit farbigen Balken- und Doughnut-Diagrammen veranschaulicht. Schließlich können Sie auf der Indicators Seite nach Cloud IOCs suchen. Sie können die Seite über Analysis\Indicators im Hauptmenü aufrufen. Jeder Indikator enthält eine kurze Beschreibung sowie Informationen über die verwendeten Taktiken und Techniken, die auf der Mitre ATT&CK-Wissensdatenbank basieren. Taktiken stellen das Ziel eines Angriffs dar, z.B. das Ausführen von Malware oder das Exfiltrieren von vertraulichen Informationen. Techniken sind die Methoden, die Angreifer einsetzen, um die Ziele zu erreichen oder zu erlangen.

Das Menü Outbreak Control bietet Optionen zum Blockieren oder Whitelisting bestimmter Anwendungen und IP-Adressen. Außerdem gibt es benutzerdefinierte Erkennungsoptionen. Mit diesen können Sie die Installation jedes Programms blockieren, das Sie als schädlich oder unerwünscht im Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware verfügt über eine sehr einfache grafische Benutzeroberfläche, mit der die Benutzer Scans durchführen und die Protokolle anzeigen können. Diese beiden Funktionen werden in separaten, größeren Fenstern geöffnet. Die Benutzer können auch die Einstellungen einsehen, die jedoch standardmäßig gesperrt sind. Der Benutzer hat die Wahl, welche Scans er durchführen möchte. Die Optionen sind Flash Scan (laufende Prozesse), Custom Scan, Full Scan und Rootkit Scan.

 

Cisco Advanced Malware Protection for Endpoints

Sollte der Nutzer versehentlich eine bösartige Datei auf das System kopieren, wird diese von Cisco erkannt und beim Zugriff unter Quarantäne gestellt. Standardmäßig erfolgt die Erkennung stumm, d.h. der Nutzer wird nicht benachrichtigt. Die Endpunkt-Software kann jedoch per Richtlinie so konfiguriert werden, dass Benachrichtigungen angezeigt werden.

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

CrowdStrike Falcon Pro

Über das Produkt

CrowdStrike Falcon Pro ist ein Sicherheitspaket für Unternehmensnetzwerke. Die hier beschriebenen Details der Verwaltungskonsole gelten für alle unterstützten Betriebssysteme (macOS, Windows und Linux). Mit Falcon können Sie proaktiv nach bösartigen Aktivitäten und Gegnern (Nationalstaaten, eCrime oder Hacktivisten) suchen. Die cloudbasierte Verwaltungskonsole kann von der Cloud aus über jeden modernen Browser ausgeführt werden.

Fazit

CrowdStrike Falcon Pro ist eine sehr umfassende Plattform. Sie bietet nicht nur AV-Dienste innerhalb einer Organisation, sondern auch eine umfassende Reihe von Erkennungs- und Analysediensten. Wir weisen darauf hin, dass CrowdStrike Falcon als vollständig verwalteter Service für Unternehmen erhältlich ist, die eine Lösung zum Schutz ihrer Endgeräte wünschen, bei der sie sich um nichts kümmern müssen. Ansonsten richtet sich die Lösung an größere Unternehmen und ist nicht wirklich ein Produkt, das man einfach installieren und vergessen kann. Grundlegende alltägliche Überwachungs- und Verwaltungsaufgaben sind selbst mit einem minimalen Verständnis der Funktionsweise des Produkts einfach genug. Die Funktionen des Produkts sind jedoch so tiefgreifend, dass es sich lohnt, etwas Zeit in das Lernen zu investieren, um den maximalen Nutzen zu erzielen. CrowdStrike teilt uns mit, dass Lernmodule online oder über externe Berater verfügbar sind.

Start und Betrieb

Die Verwaltungsinfrastruktur wird für Sie in einer Cloud-Konsole vorgefertigt und erfordert keine Geräte vor Ort - nur einen modernen Browser. Die Bereitstellung des Client-"Sensors" (Agent) ist hier ganz einfach. Sie beruht auf dem Download des für die Zielplattform geeigneten Installationspakets. Unter Windows können Sie eine automatische Sensorbereitstellung wie den Windows System Center Configuration Manager verwenden. Nach der Installation ist der Falcon Sensor für den Endbenutzer fast unsichtbar. Die Docker-Unterstützung ermöglicht die Installation des Falcon-Agenten auf Hosts, auf denen Docker läuft.

Der Einsatz in einer Organisation erfordert Planung und geeignete Werkzeuge. Dazu gehört auch die Vorbereitung der entsprechenden Richtlinienebenen, die auf die Benutzer anzuwenden sind. Sobald diese Arbeit erledigt ist, sollte die Einführung recht einfach sein.

Alltägliches Management

Die Verwaltungskonsole basiert auf einem Webbrowser, wie Sie es von einer cloudbasierten Lösung erwarten würden. Für die Anmeldung ist eine Zwei-Faktor Authentifizierung erforderlich, und Unterstützung für Single Sign-On Lösungen ist verfügbar. Auf der linken Seite befindet sich ein Menü mit Schaltflächen, das durch einen Klick auf das Falken-Symbol oben links erweitert werden kann. Die wichtigsten Punkte sind Activity, Investigate, Hosts, Configuration, Dashboards, Discover, Intelligence, Users, und Support.

Activity ist der erste Ort, an dem man mit der Arbeit beginnt, sobald die Plattform in Betrieb ist. Hier gibt es ein aussagekräftiges Dashboard, das die wichtigsten Punkte im Blick hat. Gute Grafiken zeigen die Entdeckungen nach Szenario in den letzten 30 Tagen, und Sie können hier in das Untermenü Detections klicken, um mehr Details zu sehen. Sie erhalten eine solide Berichtsinfrastruktur mit einer guten Auswahl an Filteroptionen, die hier in den Vordergrund gestellt werden. Sie können hier auch unter Quarantäne gestellte Dateien und Echtzeit-Response-Sessions untersuchen.

Das Menü Investigate führt Sie zu einer umfassenden Suchfunktion. Diese umfasst Hosts, Hashes, Benutzer, IP-Adressen, Domänen und die Suche nach Ereignissen. Damit sollen bestimmte Probleme im gesamten Netzgebiet in der jüngsten Vergangenheit aufgespürt werden. Die Standardeinstellung ist 24 Stunden, es gibt voreingestellte Filter für bis zu 60 Tage, und es sind Anpassungsoptionen verfügbar.

CrowdStrike Falcon Pro

Die oben gezeigte Seite Hosts/Host Management listet alle Geräteinstallationen nach Version und Plattform auf. Sie gibt sofort Aufschluss darüber, welche Geräte offline oder nicht verbunden sind. Von hier aus können Sie zum Menü Sensor Download gehen und Sensorinstallationen für alle Plattformen herunterladen.

Das Menü Configuration ist das Herzstück des richtliniengesteuerten Prozesses in CrowdStrike Falcon. Von hier aus erstellen Sie Richtliniendefinitionen, die alle Aspekte der AV- und Präventionsprozesse der Plattform abdecken. Und dann wenden Sie diesen Prozess auf Gruppen von Installationen an. Sie können hier auch verschiedene Richtlinien für Windows-, Mac- und Linux-Clients erstellen.

Das Menü Dashboards ermöglicht den Zugriff auf die zusammenfassende Ansicht des Nachlasses. Es gibt detaillierte Grafiken für Erkennungen nach Szenario und Schweregrad sowie Identifizierungen der Top 10 Benutzer, Hosts und Dateien mit den meisten Erkennungen. Dies ist nur die Spitze eines sehr tiefen Eisbergs, der eine umfassende Analyse des Geschehens ermöglicht. Sie können nach fast allem suchen und auf diese Weise herausfinden, was während eines Ausbruchs im Netzwerk passiert ist. Dazu gehört, wo etwas eingedrungen ist, wie es versucht hat, ausgeführt zu werden, welche Prozesse es verwendet hat und wie es eingedämmt wurde. Das ist nichts für schwache Nerven, aber es lässt sich nicht leugnen, dass Sie hier über sehr leistungsfähige Prüf- und Analysetools verfügen.

Mit dem Menü Discover können Sie Geräte, Benutzer und Anwendungen im Netzwerk erkennen. Sie können nach Anwendungsinventar, Anlagen, MAC-Adressen, Konten und anderen app- oder prozessbasierten Inventaren suchen. Sie können auch Informationen zu Benutzerkonten, einschließlich Domänenkonten, lokalen Konten und dem Status der Kennwortrücksetzung überprüfen.

Das Menü Intelligence gibt Ihnen einen Überblick über die aktuelle Bedrohungslage, wie sie von CrowdStrike wahrgenommen wird. Diese kann nach verschiedenen Faktoren kategorisiert werden. Beispiele sind die geografische Herkunft der Bedrohung, die Zielbranche, das Zielland und die Motivation (Spionage/Kriminelle/Aktivisten und Zerstörung). Jede Bedrohung wird nach diesen Parametern aufgeschlüsselt. Wenn Sie auf View Profil der Bedrohung klicken, gelangen Sie zu einer umfassenden Analyse und Erklärung dieser spezifischen Bedrohung. Dies ist eine umfassende Ressource, die ungewöhnlich und höchst willkommen ist.

Im Menü User können Sie die üblichen Benutzerprofile für Administratoren und andere Tätigkeiten innerhalb der Plattform erstellen. Es gibt bereits vorgefertigte Rollen für Endpoint Manager, Event Viewer, Administrator, Analyst, Investigator, Real Time Responder, und andere. Sie können diese Rollen auf bestehende interne Arbeitsstrukturen abbilden oder bei Bedarf neue Rollen erstellen.

Der CrowdStrike Store ermöglicht es Ihnen, die Fähigkeiten der Falcon-Plattform mit einer Vielzahl von sofort einsatzbereiten Partner-Apps und Add-Ons zu erweitern.

Software zum Schutz von Endgeräten

Auf dem Endbenutzer-Client ist die Standardeinstellung, dass der Client für den Benutzer völlig unsichtbar ist. Es werden weder Warnhinweise noch eine Benutzeroberfläche angezeigt. In unserem Test haben wir festgestellt, dass Malware, die auf das Testsystem kopiert wurde, sofort beim Zugriff erkannt und gelöscht wurde.

Cybereason Defense Platform Enterprise

Fazit

Die Verwaltungskonsole von Cybereason ist über ein einziges Menü leicht zu navigieren. Wir waren beeindruckt von der übersichtlichen und gut bebilderten Darstellung der Informationen, insbesondere auf den Seiten Malops Inbox und Malops Detail. Dies hat unter anderem den Vorteil, dass sich die Konsole auch auf einem Tablet sehr gut bedienen lässt. Der äußerst einfache und schnelle Client-Bereitstellungsprozess bedeutet, dass selbst unerfahrene Administratoren keine Schwierigkeiten haben, das Produkt in Betrieb zu nehmen. Wir haben festgestellt, dass der Echtzeitschutz des Produkts sehr empfindlich ist und Malware in unserem Funktionstest sofort erkannt hat.

Über das Produkt

Cybereason Defense Platform Enterprise verwendet eine cloudbasierte Konsole zur Verwaltung von Endpoint Protection Software für Windows, macOS, Linux, Android und iOS-Geräte.

Über das Produkt

Cybereason Defense Platform Enterprise verwendet eine cloudbasierte Konsole zur Verwaltung von Endpoint Protection Software für Windows, macOS, Linux, Android und iOS-Geräte.

Start und Betrieb

Der Endpunkt-Agent kann installiert werden, indem man die Setup-Datei von der Konsole herunterlädt und sie ausführt. Auf der Seite System\Overview der Konsole gibt es eine Schaltfläche Download Cybereason Installers. Über ein Slide-out-Menü kann man eine von vier Betriebssystemversionen auswählen: Windows, macOS, Linux oder Linux Ubuntu. Sobald die Installationsdatei heruntergeladen und ausgeführt wurde, ist die Einrichtung mit einem einzigen Klick und in wenigen Sekunden abgeschlossen.

Alltägliches Management

Die Konsole wird über das Menü in der oberen linken Ecke gesteuert. Die standardmäßige Discovery board, die im obigen Screenshot zu sehen ist, zeigt "Malops" (bösartige Vorgänge) in Spalten nach Typ an. Die blauen Punkte stehen für eine bösartige oder verdächtige Aktivität. Die Größe des Punktes steht für die Anzahl der betroffenen Rechner, und die Farbschattierung bezieht sich auf die Aktivitätszeit (wie im Panel auf der rechten Seite der Konsole erklärt). Wenn Sie auf einen Punkt klicken, werden in einem Popup-Fenster der Name der Datei/des Prozesses, die Art der Bedrohung (z.B. Einschleusen von bösartigem Code) sowie Datum und Uhrzeit der Aktion und das betroffene Gerät angezeigt. Wenn Sie auf das Popup-Fenster klicken, wird die Detailseite für diese Bedrohung geöffnet, die eine Fülle von Informationen über den betreffenden Malop enthält. Dazu gehören das Gerät, der Benutzer, der Datei-Hash, eingehende und ausgehende Verbindungen zu und von dem Prozess sowie eine Zeitleiste. Diese Informationen werden in sehr übersichtlichen Diagrammen dargestellt, die eine Zusammenfassung der Bedrohung auf einen Blick bieten. Dies scheint uns eine bemerkenswert effektive Methode zu sein, die wichtigen Informationen schnell und einfach zu vermitteln. Zu den Maßnahmen, die von der Detailseite aus ergriffen werden können, gehören Investigate, Isolate und Respond.

Die Malop Inbox zeigt eine Liste der erkannten bösartigen Vorgänge in chronologischer Reihenfolge. Die Informationen zu jedem Element umfassen einen Bezeichner (Datei-/Prozessname), das Erkennungsmodul und die betroffenen Geräte sowie Datum und Uhrzeit. Diese Informationen sind in großzügigen Reihen angeordnet, so dass sie leicht zu lesen sind. Mit verschiedenen Ansichtsoptionen können Sie die Malops nach Aktivitätstyp, Ursache oder betroffenem Gerät sortieren. Wenn Sie auf einen Malop klicken, wird dessen Detailseite geöffnet, wie im obigen Absatz beschrieben.

Malware Alerts zeigen Objekte an, die "Ihre Aufmerksamkeit benötigen". Diese erhalten Namen wie "vaultfile12009845677446252183.vol", basierend auf dem systeminternen Quarantäne-Namensgebungsverfahren. Für jedes Objekt gibt es die Schaltflächen Investigate und Exclude.

Die Investigation Seite ermöglicht es Ihnen benutzerdefinierte Suchabfragen zu erstellen, indem Sie Kriterien wie machine, user, process, connection, network interface and registry entry verwenden. Es gibt auch vorgefertigte Abfragen, wie zum Beispiel Files downloaded from Chrome und Child processes of Explorer.

Auf der Seite Security Profile können Sie die Reputationskriterien anpassen, benutzerdefinierte Regeln für die Erkennung und das verhaltensbezogene Whitelisting erstellen und Ausnahmen für die Maschinenisolierung verwalten.

Die Hauptseite System hat eine Reihe von Unterseiten. Diese sind Overview, Sensors, Policies management und Detection servers. Die Standardseite Overview ist in 5 Bereiche unterteilt. Der Bereich Sensors bietet ein Donut-Diagramm des Status der installierten Geräte mit einem Ampel-Farbcodierungssystem für die Zustände Enabled, Suspended und Service Error. Ein einfaches Balkendiagramm vervollständigt das Bild, indem es den Anteil der aktuellen Clients anzeigt. Die anderen Felder zeigen Details zum Management-Server, zu Warnungen, Diensten und zur Leistung, wobei letztere ein Diagramm der Verarbeitungsrate über die Zeit anzeigt.

Die Seite System ist unten abgebildet. Sie zeigt eine Liste der geschützten Geräte mit Details wie Sensorversion, Betriebssystemtyp, IP-Adresse und Komponentenstatus. Die Detailspalten können individuell angepasst werden, so dass Sie eine Vielzahl von Elementen wie CPU-Nutzung, Speichernutzung und Betriebssystemversion hinzufügen können. Sie können ein oder mehrere Geräte auswählen und über das Menü Actions Aufgaben ausführen, wie z.B. aktualisieren, neu starten, Richtlinien festlegen und einen Systemscan starten. Über ein Panel am oberen Rand der Seite können Sie eine lange Liste von Geräten nach Sensorstatus, Datensammlung, Betriebssystem, Update-Status, App-Kontrollstatus und Ransomware-Schutzstatus filtern.

Cybereason Defense Platform Enterprise

Auf der Seite System\Policies management können Sie Richtlinien für die Endgerätesoftware erstellen und bearbeiten. Für jede Richtlinie gibt es eine Konfigurationsseite mit einer linken Menüspalte. Die Einträge sind Anti-Malware, Exploit protection, PowerShell and .NET, Anti-Ransomware, App Control, Endpoint controls, Collection features und Endpoint UI Settings. Jedes Element öffnet die entsprechende Konfigurationsseite mit übersichtlichen Steuerelementen für die einzelnen Unterkomponenten. Unter System\Detection servers können Sie die Details der Websites und Server hinzufügen und bearbeiten, die die Schutzsoftware verwalten.

Über den Menüpunkt Settings können Sie Elemente wie Benachrichtigungen, Authentifizierung und Kennwortrichtlinien konfigurieren. Auf die Supportdienste des Produkts können Sie, wie zu erwarten, durch Klicken auf Support zugreifen.

Software zum Schutz von Windows-Endgeräten

Die Oberfläche der Endpoint Protection Software ist minimalistisch gehalten. Sie besteht aus einem Symbol in der Systemablage, das eine übersichtliche Statusanzeige enthält, wenn Sie mit der rechten Maustaste darauf klicken:

Cybereason Defense Platform Enterprise

Sollte ein Benutzer versehentlich ein bösartiges Programm auf sein System kopieren, wird Cybereason es sofort erkennen und löschen. Ein Beispiel für einen Alarm ist unten abgebildet:

Cybereason Defense Platform Enterprise

Die Schnittstelle der Server-Schutzsoftware ist identisch mit der des Client-Pendants.

Elastic Endpoint Security

Fazit

Elastic Endpoint Security richtet sich an größere Unternehmen, die Präventions- und EDR-Funktionen benötigen. Der Einsatz erfordert eine gewisse Planung und Schulung, was bedeutet, dass es sich nicht um eine Lösung handelt, die Sie einfach installieren und dann vergessen können. Für größere Organisationen mit entsprechenden Ressourcen bietet sie jedoch eine umfassende Palette von Funktionen.

Über das Produkt

Elastic Endpoint Security bietet Maßnahmen zur Prävention, Erkennung und Reaktion. Es verfügt über Funktionen zur Bedrohungsjagd, die darauf abzielen, gezielte Angriffe zu stoppen. Die Verwaltungskonsole kann über die Cloud auf jedem modernen Browser ausgeführt werden. Die Bereitstellung vor Ort ist ebenfalls eine Option. Elastic Endpoint Security unterstützt Windows-, Linux-, Mac- und Solaris-Clients und -Server.

Getting aufgestellt und in Betrieb

Wir haben die cloudbasierte Infrastruktur von Elastic Endpoint Security verwendet. Dazu müssen Sie lediglich die URL aufrufen und sich bei der Verwaltungskonsole anmelden. Die Bereitstellung des Client-"Sensors" (Agent) kann auf zwei Arten erfolgen: "in-band" und "out-of-band".

"in-band" ist derzeit nur für Windows möglich. Der Administrator installiert den Sensor direkt auf Windows-Clients oder -Servern über die Verwaltungskonsole von Elastic Endpoint Security. Der Administrator kann das Netzwerk nach nicht überwachten Endpunkten durchsuchen und den Sensor nach Eingabe der Anmeldeinformationen für diesen Endpunkt installieren.

Die "out-of-band" Installation wird für alle Betriebssysteme unterstützt. Bei der Out-of-Band Installation können Sie den Sensor über ein Verwaltungstool wie Microsoft System Center Configuration Manager bereitstellen. Sie können den Sensor auch manuell installieren, nachdem Sie ein Installationspaket von der Website Administration/Sensor Seite einsetzen.

Das Installationsprogramm wird vom Administrator an einen Endpunkt übertragen und von einer erweiterten Eingabeaufforderung aus ausgeführt. Dazu müssen Sie eine bestimmte Befehlszeilensyntax verwenden (siehe Dokumentation). Ein Doppelklick auf die .exe-Datei löscht sie einfach.

Alltägliches Management

Die Verwaltungskonsole verfügt über sechs Menüpunkte auf der linken Seite. Das Dashboard gibt einen Überblick über den Status des gesamten Bestands an Client-Geräten und meldet, wie viele Warnungen zu einem bestimmten Zeitpunkt anstehen. Außerdem werden Top-Warnungen, Exploits, Malware und dateilose Warnungen angezeigt, so dass ein umfassender Überblick über das Geschehen möglich ist. Jedes dieser Elemente kann angeklickt werden, um weitere Informationen zu erhalten.

Elastic Endpoint Security

Die Seite Endpoints (siehe oben) gibt einen Überblick über alle verwalteten Clients. Sie können sie nach Name, IP-Adresse, Betriebssystemversion, angewandter Richtlinie, Sensorversion, Alarmen und Gruppen auswählen und sortieren. Von hier aus können Sie eine Reihe von Endpunkten auswählen und dann Aufgaben für sie ausführen. Dazu gehören das Anwenden einer neuen Richtlinie, das Verteilen/Upgrading/Deinstallieren/Löschen von Endpunkten und das Konfigurieren einer Reaktion, wenn Bedrohungen auftreten.

Alerts führt Sie in das Herz der Plattform. Hier erhalten Sie eine Liste aktueller Ereignistypen wie die Verhinderung der Ausführung bösartiger Dateien oder die Erkennung von Dateien. Der Ereigniskatalog kann nach Ereignistyp, Zuweiser, Betriebssystem, IP-Adresse, Hostname und Datum sortiert und kategorisiert werden.

Wenn Sie auf ein Ereignis klicken, gelangen Sie auf die Seite Alert Details für dieses Ereignis. Hier sehen Sie mehr Details über das Ereignis, wo es begann, was es getan hat und die Analyse der Malware, falls zutreffend. Hier gibt es die Möglichkeit Take Action, wobei die Optionen Download Alert, Resolve, Dismiss, Start Investigation, Isolate Host, Download File, Delete File und Whitelist Items umfassen.

Von besonderem Interesse ist hier die Funktion Start Investigation, mit der Sie einen "Hunt" erstellen können. Eine Suche kann mehrere Informationsquellen abdecken, z. B. Firewall-Regeln, Treiber, Netzwerk, Persistenz, Prozess, Registrierung, Medien oder Systemkonfiguration. Damit können Sie das Netzwerk nach Informationen durchsuchen, die für Ihre Anfrage relevant sind. Eine Schlüsselkomponente ist dabei die "Ask Artemis"-Funktion, die eine Abfrage in natürlicher Sprache ermöglicht. Sie können einfach eine Frage eingeben, und Artemis wird versuchen, sie zu beantworten.

Der Menüpunkt Investigations zeigt eine Liste der laufenden Untersuchungen, wer ihnen zugewiesen ist, welche Endpunkte involviert sind und so weiter. Dies ist sehr wichtig, um zu verstehen, wie die aktuelle Analyse voranschreitet.

Reporting bietet einen einfachen Überblick über Alarmtypen und Endpunkte in grafischer Form.

Schließlich bietet der Menüpunkt Administration Zugriff auf die Funktionen Policy Settings, Users, Sensors, Alerts, Whitelist und Platform. Auf der Seite Policy Settings können Sie Richtlinien für Ereignisse wie Privilegieneskalation, Prozessinjektion und Zugriff auf Anmeldeinformationen festlegen. So können Sie beispielsweise festlegen, welche Richtlinie bei der Ausführung von Malware angewendet werden soll. Soll sie erkannt oder verhindert werden? Erlauben Sie die Selbstinjektion oder erkennen Sie die DLL-Injektion und so weiter? Dies ist ein Maß an Macht und Kontrolle, das weit über das normale Antivirus-Programm hinausgeht.

Windows Endpunkt Schutzsoftware

Die Windows Desktop Protection Software ist für den Nutzer im Wesentlichen unsichtbar. Sollte der Nutzer versehentlich eine bösartige Datei auf das System kopieren, wird Elastic diese beim Zugriff erkennen und unter Quarantäne stellen. Ein Beispiel für eine Warnung ist unten abgebildet. Sie erscheint in Form eines Banners, das über den Bildschirm läuft. Der Nutzer kann keine anderen Maßnahmen ergreifen, als die Meldung zu schließen.

Elastic Endpoint Security

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Fazit

Das ESET Endpoint Protection Advanced Cloud-Paket ist sehr gut für den KMU-Markt geeignet. Das Produkt ist sehr flexibel und skalierbar gestaltet. Es ist einfach genug für ein Unternehmen mit 25 Benutzern, aber auch anspruchsvoll genug, um mit größeren Netzwerken zurechtzukommen. Die Konsole ist in kürzester Zeit einsatzbereit, und die einfache Menüstruktur macht die Navigation sehr einfach. Wir fanden die Schnittstelle sehr intuitiv und konnten die Client-Software problemlos einrichten und verwalten. Die Möglichkeit, verschiedene Elemente der Konsole individuell anzupassen, ist sehr willkommen. Wir haben auch festgestellt, dass die Konsole sehr schnell reagiert, wenn es um die Anzeige von Warnmeldungen geht. Insgesamt stellt sie eine sehr attraktive Option für kleine und mittlere Unternehmen dar.

Über das Produkt

Wie der Name schon sagt, enthält ESET Endpoint Protection Advanced Cloud eine cloudbasierte Verwaltungskonsole. Es gibt eine Endpoint Protection Software für Windows-Clients, Windows-Dateiserver und macOS-Clients. Für die Windows- und macOS-Clients haben Sie die Wahl zwischen Endpoint Antivirus und Endpoint Security; letztere beinhaltet eine Webkontrollfunktion und ESETs Netzwerkschutzmodul. Mit der Lizenz können Sie auch unverwalteten Schutz für Linux- und Android-Geräte installieren.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Sie öffnen einfach die URL und geben Ihre Anmeldedaten ein. Wenn Sie sich zum ersten Mal anmelden, können Sie den Standort (Land) des zu verwendenden Rechenzentrums auswählen. Es wird auch empfohlen, eine Zwei-Faktor-Authentifizierung einzurichten, aber das ist optional. Als Nächstes werden Sie vom Startassistenten aufgefordert, Installationspakete zu erstellen. Natürlich können Sie diesen Vorgang abbrechen und zu einem späteren Zeitpunkt wieder aufnehmen. Nach Beendigung des Assistenten wird ein Lernprogramm gestartet. Es ist sehr kurz und einfach und zeigt Ihnen die wichtigsten Bereiche der Konsolenoberfläche.

Um die Client-Software zu installieren, müssen Sie zunächst Installationspakete auf der Seite Installers erstellen. Dazu müssen Sie lediglich ein Produkt auswählen. Sie können die Optionen für die PUA-Erkennung und das ESET Live Grid-Feedback aktivieren oder deaktivieren oder den Assistenten veranlassen, diese während der Installation abzufragen. Sprache, Gruppe und Richtlinie können ebenfalls festgelegt werden. Sobald Sie ein Installationsprogramm erstellt haben, können Sie es direkt von der Konsole aus per E-Mail an die Benutzer senden. Alternativ können Sie es herunterladen und über eine Netzwerkfreigabe oder einen Wechseldatenträger verteilen oder das Tool zur Massenverteilung verwenden. Wenn Sie das Installationsprogramm auf einem Zielcomputer ausführen, können Sie im Setup-Assistenten die Sprache der Benutzeroberfläche auswählen. Ansonsten müssen Sie keine Auswahl treffen, und die Installation ist mit ein paar Klicks abgeschlossen. Es ist auch möglich, den ESET Management Agent über ein Microsoft Active Directory- oder System Center Configuration Manager-Skript zu installieren und dann die Endpunktsoftware über die Konsole zu pushen. Diese Auswahl an Bereitstellungsmethoden bedeutet, dass das Produkt sowohl für kleinere als auch für größere Netzwerke gut geeignet ist.

Alltägliches Management

Sie finden alle Hauptfunktionen der Konsole in einer einzigen Menüspalte auf der linken Seite. Die Konsole öffnet sich auf der Seite Dashboard/Computers, die im obigen Screenshot zu sehen ist. Hier erhalten Sie einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen auf einen Blick. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und gefährlichen Computern sehen. Der Zeitpunkt der letzten Verbindung und der letzten Aktualisierung wird ebenfalls angezeigt, ebenso wie die Verteilung der verschiedenen Betriebssysteme. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassbar. Sie können sie verschieben, in der Größe verändern und unter anderem den Diagrammtyp ändern. Weitere Registerkarten auf der Seite Dashboard ermöglichen Ihnen die Vergrößerung von Antiviren- oder Firewall-Bedrohungen, ESET-Anwendungen und Vorfällen.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Die Seite Computers ist oben abgebildet. Sie gibt Ihnen einen Überblick über alle verwalteten Geräte im Netzwerk; Sie können auf den Eintrag eines Computers klicken, um detailliertere Informationen über dieses Gerät zu erhalten. Dazu gehört u. a. eine detaillierte Hardware-Inventarisierung. Sie können die Computer auch in Gruppen organisieren und Aufgaben wie Scans und Updates durchführen. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Computers with outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen.

Die Seite Detections zeigt Informationen über alle Bedrohungen, die von allen verwalteten Geräten im Netzwerk erkannt wurden. Sie können auf den Eintrag einer beliebigen Bedrohung klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus anzuzeigen.

Reports bietet eine breite Palette an vorkonfigurierten Szenarien wie Active Threats und Last Scan. Das Ausführen eines Berichts zu einem dieser Szenarien ist so einfach wie das Klicken auf die entsprechende Kachel auf der Seite. Sie können auch eigene Berichtsszenarien erstellen, wenn Sie möchten. Berichte können geplant werden, und Sie können die Sprache festlegen.

Mit Policies können Sie eine Vielzahl von Aktionen für einzelne Geräte oder Gruppen durchführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z.B. die Installation von Windows Updates und den Neustart des Betriebssystems.

Policies enthält eine praktische Liste vorkonfigurierter Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Sie können auch eigene Richtlinien erstellen, wenn Sie möchten.

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

Auf der Seite Quarantine sehen Sie alle unter Quarantäne gestellten Dateien, zusammen mit nützlichen Details wie Hash, Erkennungstyp (Trojaner, PUA, Testdatei) und Anzahl der betroffenen Computer.

Die Seite Exclusions zeigt Dateien/Pfade, die von der Erkennung/dem Scannen ausgeschlossen wurden, und enthält Anweisungen zum Erstellen solcher Ausschlüsse.

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Die Seite Status Overview schließlich gibt einen kurzen Überblick über wichtige Statuselemente, unterteilt in die Kategorien Licences, Computers, Products, Invalid Objects und Questions. Der Bereich Invalid Objects weist z.B. auf Richtlinien hin, die sich auf veraltete Installer beziehen. Questions weist auf Probleme hin, die nicht automatisch gelöst werden können und die die Aufmerksamkeit des Administrators erfordern.

Windows-Endpunktschutz-Client

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Standardmäßig können die Nutzer auf einen vollwertigen Endpunktschutz-Client zugreifen. Dieser hat eine ähnliche Funktionalität wie ein Antivirus-Programm für Privatanwender. Die grafische Benutzeroberfläche ist einfach und übersichtlich gestaltet. Alle Funktionen sind über ein einziges Menü auf der linken Seite des Fensters leicht zugänglich. Nutzer können Updates und Scans durchführen sowie Protokolle und unter Quarantäne gestellte Dateien anzeigen. Windows-Standardbenutzer können jedoch weder den Schutz deaktivieren noch Elemente aus der Quarantäne wiederherstellen. Wenn Sie möchten, können Sie über die Konsole eine Richtlinie festlegen, um die grafische Benutzeroberfläche für ein beliebiges Gerät oder eine Gruppe zu deaktivieren; in diesem Fall ist für den Benutzer keine Oberfläche sichtbar.

Sollte der Benutzer versehentlich eine bösartige Datei auf das System kopieren, erkennt ESET die Malware beim Zugriff und isoliert sie. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist ihrem Desktop-Pendant sehr ähnlich. Allerdings werden auf der Startseite zusätzliche Systeminformationen bereitgestellt. Die Funktion Log Files hat ebenfalls einen eigenen Eintrag in der Menüspalte.

ESET Endpoint Protection Advanced Cloud with ESET Cloud Administrator
FireEye Endpoint Security

Fazit

FireEye Endpoint Security ist eine äußerst leistungsfähige Plattform. Sie umfasst signaturbasierte, verhaltensbasierte und Machine-Learning-Engines. Eine der Hauptstärken liegt in der Erfassung von Daten vom Agenten zur Analyse und anschließenden Entscheidungsfindung. Auf diese Weise kann der Administrator Bedrohungen aufspüren und untersuchen, die sich der ersten Erkennung entziehen könnten.

Dieser tiefe Einblick ermöglicht Analysen und Reaktionen in den größten Unternehmen. Der Einstieg ist jedoch mit erheblichen Kosten für die Schulung verbunden. Diese ist sowohl für die Erstkonfiguration als auch für den laufenden Betrieb erforderlich. Um den größtmöglichen Nutzen aus FireEye Endpoint Security zu ziehen, sollten die Sicherheitsteams einige Kenntnisse über Untersuchungen haben. Alternativ kann FireEye auch mit seiner Managed Defence-Praxis helfen. Die Lösung sollte jedoch ein hohes Maß an Einblicken und operativem Management bieten, das dem Stand der Technik entspricht.

Über das Produkt

FireEye Endpoint Security bietet Endpoint Protection mit Erkennung und Reaktion. Es gibt eine cloudbasierte Verwaltungskonsole. Das Produkt ist für die größten Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance. Es sind Agenten für Windows-Clients und -Server, macOS und verschiedene Linux-Distributionen verfügbar.

Start und Betrieb

Die Cloud-Konsole erfordert keine nennenswerte Installation. Client-Installationsprogramme können über das Menü Admin/Agent Versions heruntergeladen und auf den Client-Rechnern bereitgestellt werden.

Die Verwaltungskonsole unterscheidet sich deutlich von einem herkömmlichen zentralisierten AV-Produkt. Der Schwerpunkt liegt auf der Erkennung und Reaktion. Dazu gehört die Erfassung von Daten von Clients, die Analyse dieser Daten und die entsprechende Reaktion darauf.

Die Plattform verfügt über ein äußerst leistungsfähiges und umfangreiches Instrumentarium zur Informationsbeschaffung. Diese ermöglichen es Ihnen, umfassende Abfragen fast jeder Art zu erstellen. Diese werden dann an die Clients weitergeleitet. Die Analyse dieser Informationen ist der Kern des Serverprodukts.

Man könnte FireEye als ein einfaches AV-Paket betrachten, bei dem die Engines Malware verarbeiten, sobald sie gefunden wird. Die wahre Stärke liegt jedoch in den Analyse- und Eindämmungsfunktionen.

Sobald die Agenten bereitgestellt sind, ist nur noch wenig Arbeit zur Konfiguration der Plattform erforderlich. Natürlich können Sie eigene Richtlinien erstellen, wenn Sie dies wünschen. Es ist jedoch wahrscheinlich, dass die globalen Standardeinstellungen die Grundlage für die Bereitstellung bilden werden.

Für kleinere Organisationen gibt es bei der Ersteinrichtung nicht viel Hilfestellung. Das Produkt ist eindeutig auf die professionellere, größere Organisation ausgerichtet. Außerdem wird davon ausgegangen, dass für den Einsatz Schulungen und Beratung erforderlich sind.

Alltägliches Management

FireEye Endpoint Security

Die Verwaltungskonsole ist kein Werkzeug, in das man gelegentlich hineinschnuppert. Um ihre enorme Leistungsfähigkeit zu erschließen, muss man genau wissen, was die Plattform bietet und wie man es erreicht. Hier gibt es wenig Hilfestellung. Das Produkt richtet sich vor allem an große Unternehmen, für die Schulungen und Beratung angeboten werden. Unter diesem Gesichtspunkt ist es kein Produkt für KMU.

Zunächst einmal müssen Sie verstehen, was FireEye zu erreichen versucht. Es stützt sich auf die Erkennung von Threats sowie die Sammlung und Analyse von Daten. Der Schwerpunkt liegt dabei auf der Erfassung von Informationen, der Analyse und der Berichterstellung. Dies ermöglicht dem Administrator, Informationen von einer Vielzahl von Client-Rechnern zu sammeln. Die Informationen können dann verarbeitet werden, so dass Sie auf dieser Grundlage Maßnahmen ergreifen können.

Auf der ersten Seite finden Sie eine grundlegende Übersicht über den Status der eingesetzten Agenten. Hier können Sie weitere Details abrufen. Für eine laufende Ansicht ist dies wahrscheinlich ausreichend. Richtig interessant wird es, wenn Sie die Abschnitte Hosts, Enterprise Search, Acquisitions und Rules genauer betrachten. Die wesentliche Komponente ist hier der Aufbau von Suchroutinen, um das Gesuchte zu finden. Sie können den Einschluss des Geräts anfordern. Dies sperrt den Benutzer aus und informiert ihn über die zentralisierte Verwaltungskontrolle. Sie können dann herausfinden, was vor sich geht. Die Möglichkeit, ein Gerät zu sperren, ist eine Schlüsselkomponente für den Umgang mit einem weit verbreiteten Malware-Ereignis.

Es sollte nicht unterschätzt werden, wie viel technisches und Systemwissen erforderlich ist, um das Beste daraus zu machen. Dies ist keine Kritik. In der Tat ist es für einen hartgesottenen IT-Administrator eine große Stärke, Zugang zu dieser Ebene der Abfrage und Analyse des Netzwerks zu haben.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software zeigt ein Symbol in der Taskleiste an, mit dem ein Programmfenster geöffnet werden kann. So können Sie das Ereignisprotokoll und die unter Quarantäne gestellten Objekte sehen.

FireEye Endpoint Security

Sollte der Benutzer versehentlich eine bösartige Datei auf sein System kopieren, wird FireEye diese beim Zugriff erkennen und unter Quarantäne stellen. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

FireEye Endpoint Security
Fortinet FortiClient with EMS, FortiSandbox and FortiEDR

Fazit

Das Fortinet Enterprise Management Server-Paket ist ein starkes Produkt. Es richtet sich wahrscheinlich an größere Organisationen. Es ist einfach einzusetzten, könnte aber für kleinere Unternehmen bessere Hilfestellung bieten. Es gibt einige willkommene grafische Berichte, aber es könnte mehr Hilfe bei der Analyse des Netzwerkstatus geben. Für den täglichen Betrieb wäre eine Einarbeitungszeit sinnvoll, um das Produkt optimal nutzen zu können.

Über das Produkt

Die serverbasierte Konsole heißt FortiClient Endpoint Management Server (EMS) und der Client heißt FortiClient. Für die Konsole ist ein Windows Server-Betriebssystem (2008 R2) oder höher erforderlich. Es gibt Endpunktschutz-Software für Windows-Clients und -Server, Mac OS X und Linux. Bitte beachten Sie, dass das Produkt neben Anti-Malware-Funktionen auch andere Funktionen wie Telemetrie und sicheren Fernzugriff umfasst. Diese sind jedoch nicht Gegenstand dieser Überprüfung.

Start und Betrieb

EMS ist ein lokales, serverbasiertes Produkt. Die Installation der Verwaltungskonsole ist sehr einfach und erfordert fast keine Benutzerinteraktion, obwohl Sie den Server während der Installation möglicherweise neu starten müssen. Der Zugriff auf die Konsolenfunktionen kann über eine Desktop-Verknüpfung (spezielles Fenster) oder einen Webbrowser erfolgen. Nach der Installation sind einige Aufgaben zu erledigen, bevor der Client bereitgestellt werden kann. Die Echtzeitschutzfunktion der Endpoint Protection Software ist in der Standardrichtlinie deaktiviert. Es ist jedoch sehr einfach, sie unter Endpoint Profiles/Default einzuschalten.

Anschließend können Sie den Client auf dem Desktop bereitstellen. Unter Manage Installers/Deployment Packages können Sie ein Installationsprogramm mit einer bestimmten Programmversion und Patch-Version erstellen. Anschließend wird eine URL zum Repository des Servers angezeigt, über die Sie den Installer auf die Client-Rechner herunterladen können. Die Einrichtung ist sehr schnell und einfach, und der Client verbindet sich automatisch mit dem Verwaltungsserver. Auf der Serverseite gibt es gute Berichte über entdeckte Geräte, die nicht Teil der Verwaltungsstruktur sind, und es ist einfach, dies zu beheben. Die Ansicht Dashboard/FortiClient Status bietet einen klaren und übersichtlichen Überblick über den Status des Netzwerks.

Das Anlegen von Benutzern für die Verwaltungskonsole ist relativ einfach. Einem Benutzer können granulare Berechtigungen zugewiesen werden. Dazu gehören das Erstellen, Aktualisieren und Löschen verschiedener Einstellungen sowie die Möglichkeit, Endpunkte zu verwalten. Schließlich können Sie hier auch Berechtigungen für die Richtlinienverwaltung zuweisen. Sie können hier also einen relativ fein abgestuften Satz von Berechtigungen für verschiedene Verwaltungsebenen erstellen.

Für kleinere Unternehmen gibt es bei der Ersteinrichtung nicht viel Hilfestellung. Das Produkt richtet sich eindeutig an größere Organisationen, für die Schulungen und Beratung angeboten werden.

Alltägliches Management

Die Enterprise Management Server-Konsole hat eine recht übersichtliche Benutzeroberfläche. Sie würde von einem größeren Bildschirm profitieren. Es gibt ein einziges Menü auf der linken Seite. Wenn Sie hier auf ein Element klicken, wird die rechte Seite des Fensters aufgefüllt. Die Seite Dashboard/FortiClient Status bietet einen grafischen Überblick über den Plattform- und Client-Status. Sie können sich durch die Elemente klicken, um weitere Daten zu erhalten, aber es ist nicht immer klar, welche Details aufgedeckt wurden. Nehmen wir zum Beispiel unsere "2 infected endpoints": Wir klicken uns durch und erhalten eine Ansicht der beiden Geräte. Aber auch hier gibt es wenig, was einem sagt, was mit diesen Geräten tatsächlich los ist. Hier wäre mehr Klarheit hilfreich, wenn es um Probleme und Ausbrüche geht.

Die Seite Vulnerability Scan enthält eine interessante Reihe von "Ampel"-Anzeigen. Diese reichen von grün (niedrig) über gelb (mittel) bis orange (hoch) und rot (kritisch). Darunter befindet sich eine Reihe von Schaltflächen, mit denen Sie auswählen können, was gemeldet werden soll. Zum Beispiel werden Betriebssystem, Browser, MS Office und Dienste angezeigt. Wenn Sie die Maus über diese Schaltflächen bewegen, wird die grafische Darstellung der Ampel aktualisiert. Es ist jedoch nicht klar, was die Daten bedeuten, bis Sie tatsächlich auf eine Schaltfläche klicken. Es handelt sich um eine nützliche Schnittstelle, die durch ihre Implementierung etwas beeinträchtigt wird.

Fortinet FortiClient with EMS, FortiSandbox and FortiEDR

Auf der Seite Endpoints (siehe oben) können Sie sich den Status aller Endpunkte ansehen. Es wird versucht, diese Seite grafisch zu gestalten, aber einige der Symbole könnten in ihrer Bedeutung klarer sein.

Mit Endpoint Profiles können Sie die Richtlinie erstellen, die auf den Computer eines Benutzers übertragen werden soll. Es ist recht einfach und offensichtlich, was hier getan werden muss. Es gibt eine Schaltfläche Basic/AdvancedAnsicht, die hilfreich ist, wenn Sie sich mit den Details befassen oder bei einer vereinfachten Ansicht bleiben möchten.

Schließlich ermöglichen Administration und System Settings die Kontrolle über die grundlegenden Einstellungen der Plattform.

Es ist ziemlich einfach, Berichte darüber zu erhalten, was passiert, und bei Bedarf Scans oder Abhilfemaßnahmen einzuleiten. Die Benutzeroberfläche ist recht gut gestaltet, könnte aber noch etwas Feinschliff vertragen, um sie übersichtlicher zu machen. Eine stärkere Trennung der Einrichtung von der täglichen Arbeit und von der Systemverwaltung wäre ebenfalls hilfreich.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software bietet ein Programmfenster mit Statusinformationen. Benutzer können Scans durchführen, aber keine Einstellungen ändern.

Fortinet FortiClient with EMS, FortiSandbox and FortiEDR

Sollte ein Benutzer versehentlich eine bösartige Datei auf das System kopieren, erkennt FortiClient diese beim Zugriff und stellt sie unter Quarantäne. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine weiteren Maßnahmen ergreifen, außer die Warnung zu schließen.

Fortinet FortiClient with EMS, FortiSandbox and FortiEDR

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

FortiEDR

Die FortiEDR-Komponente des Pakets verfügt über eine separate, cloudbasierte Verwaltungskonsole.

Fortinet FortiClient with EMS, FortiSandbox and FortiEDR

Die oben abgebildete Seite Dashboard bietet einen grafischen Überblick über Bedrohungen und verdächtige Prozesse.

Der Event Viewer (siehe unten) zeigt Details zu solchen Prozessen an und ermöglicht es Ihnen, Maßnahmen zu ergreifen, z. B. sie zu untersuchen oder zu löschen. Weitere Seiten sind Threat Hunting; Communication Control (Anwendungen und Richtlinien); Security Settings (Sicherheitsrichtlinien und automatische Reaktion auf Vorfälle); Inventory (Collectors, IoT und Systemkomponenten) und Administration (Lizenzierung, Organisationen, Benutzer usw.).

Fortinet FortiClient with EMS, FortiSandbox and FortiEDR
G DATA AntiVirus Business

Fazit

G DATA AntiVirus Business bietet eine hochentwickelte, serverbasierte Verwaltungskonsole. Sie kann für die Verwaltung größerer Netzwerke mit mehreren Servern eingesetzt werden. Sie bietet eine breite Palette von Funktionen und ist ähnlich aufgebaut wie die Microsoft Management Console in Windows. Die Konsole mag etwas veraltet erscheinen, und es ist vielleicht ein wenig Erkundung nötig, um alle Funktionen zu finden. Dennoch sollten professionelle Systemadministratoren keine Schwierigkeiten haben, sich darin zurechtzufinden. Es gibt einige Möglichkeiten, die angezeigten Informationstypen anzupassen, was uns gut gefallen hat. Die Endpunktschutz-Software hat eine minimalistische Oberfläche. Administratoren können jedoch einfache alltägliche Aufgaben wie Updates und Scans von den Benutzern ausführen lassen.

Über das Produkt

G Data verwendet eine serverbasierte Konsole zur Verwaltung der Endpunktschutz-Software für Windows-, Linux-, Mac-, iOS- und Android-Geräte.

Start und Betrieb

G Data stellt ein einziges Installationspaket zur Verfügung, mit dem Sie sowohl die Verwaltungskonsole als auch die Endoint Protection Software einrichten können. Mit dem Assistenten für die Konsoleninstallation können Sie eine vorhandene SQL Server-Installation verwenden, wenn Sie eine haben. Alternativ kann SQL Server 2014 Express zusammen mit der Verwaltungssoftware installiert werden. Die Installation ist sehr schnell und einfach. Wir weisen jedoch darauf hin, dass Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen müssen, um die Kommunikation zwischen ihnen zu ermöglichen. Wenn die Konsole zum ersten Mal verwendet wird, wird ein Bereitstellungsassistent ausgeführt, mit dem Sie die Endpunktsoftware über das Netzwerk auf die Clients übertragen können. Alternativ können Sie das Installationsprogramm auch auf einzelnen Client-Geräten ausführen. Um den Client mit dem Server zu verbinden, müssen Sie lediglich die IP-Adresse des Servers eingeben.

Alltägliches Management

Das Panel in der linken oberen Ecke der Konsole zeigt den/die verwendeten Verwaltungsserver an. Hier können Sie zwischen verschiedenen Servern umschalten, wenn Sie mehr als einen haben. Für jeden Server bietet die oben gezeigte Standardseite Dashboard der Konsole eine grafische Anzeige von vier wichtigen Statuselementen. Das erste ist der Status der einzelnen Komponenten, der angibt, welcher Anteil der Geräte korrekt konfiguriert ist. Dann gibt es den Anteil der Geräte, die sich kürzlich mit der Konsole verbunden haben. Sie können auch sehen, bei welchen Clients die meisten Bedrohungen erkannt wurden. Schließlich gibt es noch eine Zeitleiste mit wichtigen Ereignissen.

G DATA AntiVirus Business

Auf der Registerkarte Overview der Seite Clients (siehe oben) wird eine Liste der verwalteten Geräte angezeigt. Sie können Informationen wie Status, verwendete Definitionen, Client-Version und Betriebssystem sehen. Die Spalten sind anpassbar. So können Sie auch den letzten aktiven Benutzer und verschiedene Netzwerkelemente wie IP-Adresse und DNS-Server anzeigen. Über die Schaltflächenreihe am oberen Rand können Sie verschiedene Aufgaben ausführen. Dazu gehören das Installieren oder Deinstallieren von Client-Software, das Aktualisieren von Definitionen und Software sowie das Löschen von Geräten. Die Schaltfläche Software in der oberen Symbolleiste bietet eine detaillierte Bestandsaufnahme der auf dem/den Client-Gerät(en) installierten Programme. Hardware zeigt grundlegende Systemdetails wie CPU, RAM und freien Speicherplatz an.

Auf den Seiten Client settings können Sie einige Optionen wie automatische Signatur- und Programm-Updates konfigurieren. Sie können den Benutzern auch ein gewisses Maß an Interaktion mit der Endpunktsoftware auf ihren PCs erlauben. So können Sie ihnen beispielsweise erlauben, Scans durchzuführen und/oder die lokale Quarantäne anzuzeigen.

Wie zu erwarten, können Sie auf der Seite Tasks den Status der von Ihnen eingerichteten Aufgaben, z.B. der Installation, einsehen. Logs bietet eine detaillierte Liste relevanter Ereignisse. Dazu gehören Malware-Erkennungen, Updates und Einstellungsänderungen. Statistics listet den Status einzelner Schutzkomponenten auf, wie z.B. Email Protection und Anti-Ransomware.

In der linken unteren Ecke der Konsole finden Sie eine Reihe von Verknüpfungen zu bestimmten Seiten. Die Seite Security listet Malware-Erkennungen auf. Zu den Details gehören Status, Datum und Uhrzeit, betroffenes Gerät, Dateiname, Name des Threats und Ort. Info zeigt Informationen zur Anti-Spam-Funktion an. Die Seite Signatures zeigt Konfigurationsoptionen für Definitionsaktualisierungen an. Hier können Sie auch ein Update mit einem einzigen Klick starten. Program prüft, ob die Management-Konsole selbst die neueste verfügbare Version ist.

Software zum Schutz von Windows-Endgeräten

Standardmäßig hat der Endpunktschutz-Client eine minimalistische Benutzeroberfläche. Es gibt ein Symbol in der Systemablage. Damit können Sie ein Update durchführen und Details zur Programmversion und zu den aktuellen Signaturen anzeigen. Wie bereits erwähnt, können Sie die Einstellungen in der Konsole ändern, um den Benutzern die Durchführung von Scans zu ermöglichen, wenn Sie dies wünschen. Dies fügt eine Reihe von Scan-Optionen zum System-Tray-Menü hinzu. Außerdem wird dem Rechtsklick-Kontextmenü des Windows Explorers ein Eintrag Scan for viruses (G Data Antivirus) hinzugefügt. Sollte ein Benutzer versehentlich eine bösartige Datei auf sein System kopieren, wird G Data diese beim Zugriff erkennen und unter Quarantäne stellen. Ein Beispiel für eine Warnung ist unten abgebildet:

G DATA AntiVirus Business

Die Schnittstelle und die Optionen für die Server-Schutzsoftware sind genau dieselben wie für den Client.

K7 Cloud Endpoint Security

Fazit

K7 Cloud Endpoint Security wurde für Unternehmen jeder Größe entwickelt, eignet sich aber aufgrund seiner Benutzerfreundlichkeit besonders für kleinere Unternehmen und weniger erfahrene Administratoren. Dank der cloudbasierten Konsole und des sehr einfachen Installationsprozesses ist es sehr schnell und einfach einzurichten. Die Verwaltungskonsole ist sehr leicht zu navigieren, und der Endpunkt-Client ermöglicht es den Benutzern, Scans und Updates sehr einfach durchzuführen. Ein kleiner Verbesserungsvorschlag wäre die Möglichkeit, auf der Seite Devices mehrere Geräte auf einmal auszuwählen. Insgesamt ist das Programm jedoch sehr einfach und intuitiv zu bedienen.

Über das Produkt

K7 Cloud Endpoint Security verwendet eine cloudbasierte Verwaltungskonsole zur Verwaltung der Endpoint Protection Software für Windows-Clients und -Server.

Start und Betrieb

Da die Konsole cloudbasiert ist, ist keine Installation erforderlich. Wenn Sie sich zum ersten Mal anmelden, wird eine Hilfeseite angezeigt, auf der die Funktionen und ihre Verwendung kurz und bündig erklärt werden. Die Bereitstellung der Endpunktschutz-Software ist fast genauso einfach. Alles, was Sie tun müssen, ist auf die Seite Settings zu gehen und ein Installationspaket herunter zu laden, das Sie dann ausführen. Der Einrichtungsassistent ist sehr einfach und es müssen keine Einstellungen vorgenommen werden. So können Sie den Client mit nur ein paar Klicks installieren.

Alltägliches Management

Der Zugriff auf alle Funktionen der Konsole erfolgt über eine einzige Menüleiste am oberen Rand des Fensters. Wenn Sie sich anmelden, öffnet sich die Konsole auf der Seite Dashboard, die einen Überblick über den Systemstatus bietet. Es gibt verschiedene Detailbereiche, die erkannte Bedrohungen, blockierte Websites, Verstöße gegen die Hardwarerichtlinie, erkannte Schwachstellen, den Sicherheitsstatus von Geräten, die Anzahl der Geräte mit bestimmten Windows-Versionen und eine Zeitleiste der erkannten Threats anzeigen. Es gibt einen Link vom Bereich Device Security Status zur Seite Protected Devices, so dass Sie weitere Details erhalten, indem Sie einfach darauf klicken.

Auf der Seite Groups der Konsole werden die von Ihnen erstellten Gerätegruppen aufgelistet. Es gibt Links zu den Richtlinien, die auf jede Gruppe angewendet werden, und eine Liste von Aufgaben, die Sie auf alle Gruppenmitglieder anwenden können.

Der Devices Seite, die in der folgenden Abbildung gezeigt wird, listet die einzelnen Computer im Netzwerk auf. Die Links auf der Seite Actions können Sie die Details eines Computers anzeigen, Endpoint Security deinstallieren oder seine Gruppe ändern. Für die beiden letztgenannten Aufgaben wäre es hilfreich, wenn Sie mehrere Geräte auf einmal auswählen könnten. Derzeit können Sie immer nur ein Gerät auf einmal auswählen.

K7 Cloud Endpoint Security

Auf der Seite Policies können Sie die Einstellungen für die Endpunkt-Software steuern. Diese sind übersichtlich in Gruppen wie Anti-Virus, Behaviour Protection, Firewall, Web Filtering und Device Control geordnet.

Auf der Seite Policies können Sie die Einstellungen für die Endpunktsoftware steuern. Diese sind bequem in Gruppen wie Anti-Virus, Behaviour Protection, Firewall, Web Filtering und Device Control geordnet.

Unter Actions können Sie Aufgaben erstellen, die auf einzelnen Computern oder Gruppen ausgeführt werden. Zu den verfügbaren Aufgaben gehören eine Reihe von Scans und ein Client-Update.

Auf der Seite Settings können Sie Installationspakete für die Endpunktschutz-Software herunterladen und E-Mail-Benachrichtigungen konfigurieren.

Die Seite Reports bietet eine sehr einfache Möglichkeit, Berichte über Elemente wie erkannte Bedrohungen und Schwachstellen, blockierte Websites und Scanergebnisse zu erstellen.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktopschutzsoftware verfügt über ein Fenster mit einer Komponentenstatusanzeige. Damit können Benutzer Definitions-Updates und eine Vielzahl von Scans durchführen. Standardmäßig sind jedoch keine Einstellungen für den Benutzer zugänglich. Dies kann vom Administrator in der Richtlinie geändert werden, falls dies gewünscht wird.

K7 Cloud Endpoint Security

Sollte der Benutzer versehentlich versuchen, Malware auf das System zu kopieren, erkennt K7 diese beim Zugriff und löscht sie. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Meldung wird nach einigen Sekunden geschlossen.

K7 Cloud Endpoint Security

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Kaspersky Endpoint Security for Business (KESB) - Select

Fazit

Kaspersky Endpoint Security for Business (KESB) Select ist eine Stufe der Produktlinie Endpoint Security for Business von Kaspersky. Es handelt sich um ein leistungsstarkes und hochentwickeltes Produkt, das sich an mittlere und größere Unternehmen richtet. Es gibt eine sehr gute plattformübergreifende Unterstützung, und die webbasierte Konsole bietet eine Fülle von Funktionen. Die Menüstruktur ist überschaubar. Es ist jedoch eine gewisse Einarbeitungszeit erforderlich, um sie optimal zu nutzen.

Über das Produkt

Kaspersky Endpoint Security for Business Select bietet serverbasierte Verwaltungstools. Es unterstützt die Verwaltung von Endpunkt-Software für Windows-PCs und -Server, Linux-Tablets, PCs und -Server sowie macOS. Es gibt auch Unterstützung für mobile Android- und iOS-Geräte. Benutzer können zwischen einer modernen webbasierten Konsole und einer alten MMC-basierten Konsole wählen. Wir haben uns in diesem Test die webbasierte Konsole (siehe Screenshot oben) angesehen.

Start und Betrieb

Die Installation der Verwaltungskonsole ist für einen erfahrenen Administrator ein unkomplizierter Prozess. Es wird eine SQL-Datenbank benötigt, z.B. der kostenlose Microsoft SQL Server Express. Wenn Sie möchten, können Sie sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Wenn Sie die webbasierte Konsole zum ersten Mal starten, wird optional ein kurzes Lernprogramm angezeigt. Darin werden die wichtigsten Funktionen hervorgehoben und jeweils kurz beschrieben. Anschließend führt Sie der Quick Start Wizard durch die Erstkonfiguration. Dazu gehört die Festlegung des zu schützenden Computertyps (Server/Arbeitsplatz) und der Betriebssysteme. Schließlich können Sie mit dem Protection Deployment Wizard die Installation der Remote-Push-Software einrichten. Dies ist ein sehr übersichtlicher und einfacher Prozess. Sie können die Clients auch manuell installieren (dafür gibt es drei verschiedene Methoden).

Alltägliches Management

Die Konsolenfunktionen sind in zwei Menüleisten am oberen Rand der Seite angeordnet. Die obere Menüleiste zeigt die Hauptfunktionsbereiche an. Diese sind Monitoring & Reporting, Devices, Users & Roles, Discovery & Deployment, und Operations. Die untere Menüleiste ermöglicht den Zugriff auf die Unterseiten der einzelnen Hauptmenüpunkte. In einigen Fällen öffnen die Einträge in der unteren Menüleiste Dropdown-Listen mit weiteren Einträgen.

Die Seite Monitoring and Reporting bietet einen grafischen Überblick über wichtige Elemente. Dazu gehören der Schutzstatus, neue Geräte sowie Details zu Bedrohungen und infizierten Geräten. Siehe dazu den Screenshot oben. Auf der Seite Reports können Sie eine Vielzahl von Berichten zu Themen wie Schutzstatus, Bereitstellung, Updates und Bedrohungen erstellen. Diese können über eine vorkonfigurierte Liste einfach aufgerufen werden.

Auf der Seite Notifications finden Sie eine Liste der letzten Warnungen. Sie können diese nach Themen filtern, z.B. Bereitstellung, Geräte oder Schutz.

Auf der Seite Managed Devices der Registerkarte Devices, werden verwaltete Computer zusammen mit dem Status der wichtigsten Komponenten aufgelistet. Sie können die Liste nach Kriterien wie Status, Echtzeitschutz oder letzter Verbindungszeitpunkt filtern. Die Liste ist anpassbar, so dass Sie zusätzliche Kriterien wie Betriebssystem oder Netzwerkdetails hinzufügen können. Wenn Sie einzelne Geräte auswählen, können Sie Aufgaben für sie ausführen. Dazu gehören die Installation, Deinstallation oder die Änderung der Gruppenmitgliedschaft.

Kaspersky Endpoint Security for Business (KESB) - Select

Auf der Seite Policies and Profiles können Sie neue Konfigurationsrichtlinien erstellen und anwenden. Device Selections bietet erweiterte Filteroptionen für die Auswahl von Clients.

Unter Users & Roles sehen Sie eine Liste vordefinierter Konsolenbenutzer sowie lokale Windows- und Domänenkonten für die Windows-Computer im Netzwerk. Diesen kann eine von 16 verschiedenen Verwaltungsrollen für die Konsole zugewiesen werden, was einen sehr granularen Zugriff ermöglicht.

Discovery & Deployment enthält verschiedene Funktionen zur Erkennung von nicht verwalteten Geräten im Netzwerk und zur Bereitstellung von Software auf diesen Geräten. Der Quick Start Wizard kann von hier aus erneut gestartet werden. Auf der Seite Device Selections können Sie Geräte in vorkonfigurierten Gruppen suchen. Beispiele sind Databases are outdated und Devices with Critical status.

Die Registerkarte Operations bietet unter anderem einen Überblick über die Lizenzierung, Repositories und die Quarantänefunktionen. Die Backup-Funktion scheint eigentlich eine Standard-Quarantänefunktion zu sein. Hier wurde Malware gefunden, die auf Client-PCs entdeckt wurde. Allerdings gibt es eine separate Quarantine-Funktion, die nach unserem Test leer war. Die Online-Wissensdatenbank von Kaspersky erklärt die Funktionen dieser beiden Elemente: https://help.kaspersky.com/KSC/11/en-US/12429.htm

Software zum Schutz von Windows-Endgeräten

Die Windows-Anwendung zum Schutz des Desktops ist offensichtlich für die zentrale Verwaltung durch IT-Mitarbeiter und nicht für die lokale Verwaltung durch den Endbenutzer konzipiert. Folglich können die Benutzer bei den Standardeinstellungen die Einstellungen anzeigen, aber nicht ändern. Das Programmfenster ist im Wesentlichen eine umfassende Statusanzeige. Es zeigt den Sicherheitsstatus und die Erkennungsstatistiken für die verschiedenen beteiligten Technologien an. Dazu gehören das maschinelle Lernen, die Cloud-Analyse und die Verhaltensanalyse. Wie in der Konsole ist die Backup-Funktion Teil der Quarantänefunktion. Wir weisen darauf hin, dass Benutzer über das Kontextmenü im Windows Explorer manuelle Scans von lokalen und Netzwerk Laufwerken, Ordnern oder Dateien durchführen können.

Kaspersky Endpoint Security for Business (KESB) - Select

Sollte der Benutzer versehentlich eine bösartige Datei auf das System kopieren, wird diese von Kaspersky Endpoint Security beim Zugriff erkannt und unter Quarantäne gestellt. Auf dem Desktop-System wird keine Warnung angezeigt. Die Benutzeroberfläche der Server-Schutzsoftware ist mit der des Clients identisch.

Microsoft Defender ATP’s Antivirus for Business with Intune

Fazit

Die Intune Cloud-Konsole hat ein sehr klares, modernes Design. Sie lässt sich sehr einfach über die einzelne Menüleiste auf der linken Seite navigieren. Die Live-Kacheln auf der Dashboard-Seite bieten einen guten Überblick über die Sicherheitslage. Die integrierten Links ermöglichen es dem Administrator, weitere Informationen zu finden und die erforderlichen Maßnahmen zu ergreifen. Der Management-Agent lässt sich in kleineren Unternehmen leicht manuell einrichten. In größeren Unternehmen können Sie ihn auch über Gruppenrichtlinien bereitstellen. Intune kann zur Verwaltung von Tausenden von Geräten verwendet werden. Seine intuitive, leicht zu navigierende Oberfläche macht es zu einer ausgezeichneten Wahl.

Über das Produkt

Intune ist ein cloudbasierter Dienst. Er bietet Unternehmen ein Security-Management für ihre Geräte, Apps und Daten. Die abgedeckten Plattformen sind Windows Desktop, Windows Mobile, macOS, iOS und Android. Dieser Bericht behandelt die Verwendung von Microsoft Intune zur Verwaltung der standardmäßigen Antivirus- und Security-Funktionen von Windows. Bitte beachten Sie, dass eine duale Verwaltungsoberfläche verfügbar ist. In dieser Überprüfung haben wir die oben gezeigte klassische Schnittstelle behandelt.

Start und Betrieb

Da die Verwaltungskonsole cloudbasiert ist, ist keine Installation erforderlich. Auf den Clients muss ein Management-Agent bereitgestellt werden. Danach können Sie sie über die Konsole überwachen und steuern. Der Agent ist leicht unter Admin/Client Software Download zu finden. Sie können ihn mit ein paar Klicks manuell auf dem Client installieren. Bei größeren Netzwerken kann der Administrator die Software mithilfe von Gruppenrichtlinien automatisch bereitstellen.

Bei Windows 10- und Windows 8.1-Clients ist der Antivirus-Client von Microsoft bereits in das Betriebssystem integriert. Es ist keine weitere Software-Installation erforderlich. Bei Windows 7-PCs ist der Antivirus-Client hingegen nicht vorinstalliert, sondern steht als Update zur Verfügung. Wenn der Intune-Verwaltungsagent auf einem Windows 7-Client ohne AV-Schutz installiert wird, wird das Update für den Microsoft AV-Client automatisch installiert.

Alltägliches Management

Die Navigation in der Intune-Konsole erfolgt über eine sehr übersichtliche Menüspalte auf der linken Seite. Die Dashboard (Home)-Seite zeigt den Status der verschiedenen Komponenten mit Live-Kacheln an. Die Kachel Endpoint Protection zeigt die Anzahl der Geräte mit gelösten und nicht gelösten Malware-Erkennungen an. Diese werden grafisch als farbkodierte Balkendiagramme dargestellt. Andere Kacheln liefern Informationen über Warnings/Critical Alerts und Device Health. Ein Klick auf ein Element innerhalb einer Kachel, wie z.B. Warnings, öffnet die entsprechende Detailseite für das betreffende Element.

Unter Groups können Sie die verwalteten Computer sehen. Dort finden Sie Details wie das Betriebssystem sowie Datum und Uhrzeit der letzten Aktualisierung. Die Seite Protection bietet einen detaillierteren Überblick über Malware-Erkennungen, den Gerätestatus und die am häufigsten erkannte Malware. Außerdem gibt es eine Liste aller Malware-Elemente, die im Netzwerk entdeckt wurden. Alerts zeigt Details zu allen sicherheitsrelevanten Warnungen an, einschließlich Berichten über fehlgeschlagene Client-Software-Installationen.

Software zum Schutz von Endgeräten

Die genaue Beschaffenheit der Benutzeroberfläche der Windows-Desktop-Schutzsoftware hängt von der auf dem PC installierten Version von Windows ab. Aktuelle Windows 10-Clients (Builds 1809, 1903 und 1909) verfügen über die Oberfläche des Windows Defender Security Center. Diese ist unten abgebildet:

Microsoft Defender ATP’s Antivirus for Business with Intune

Ältere Versionen von Windows, einschließlich Windows 7 und 8.1, verwenden dieselbe Benutzeroberfläche wie Microsoft Security Essentials. Diese ähnelt der eines typischen Antivirenprogramms für Verbraucher. Alle Varianten ermöglichen es dem Benutzer, Malware-Definitionen zu aktualisieren und vollständige, schnelle, benutzerdefinierte und über das Kontextmenü durchgeführte Scans durchzuführen.

Malware wird beim Kopieren der Datei erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

Microsoft Defender ATP’s Antivirus for Business with Intune

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist im Wesentlichen die gleiche wie die des Desktop-Pendants. Allerdings sind die Komponenten Account protection, Device performance & health und Family options nicht in Windows Server enthalten.

Panda Endpoint Protection Plus on Aether

Fazit

Panda Endpoint Protection Plus auf Aether ist ein sehr starkes Produkt. Es ist leistungsstark genug für größere Organisationen, aber auch einfach genug für kleinere Unternehmen. Es ist sehr einfach einzurichten, da es keinen Server vor Ort benötigt. Es gibt eine ausgezeichnete, sehr übersichtliche und nützliche Verwaltungskonsole. Diese verfügt über einen klaren Installations- und Bereitstellungsablauf. Besonders beeindruckt waren wir von der sauberen und übersichtlichen Gestaltung der Benutzeroberfläche und der Geschwindigkeit, mit der sie zu bewältigen war.

Über das Produkt

Dies ist ein über eine Cloud-Konsole verwaltetes System. Es gibt Geräte-Clients für Windows/Linux-Server, Windows/Linux/macOS-PCs und Android-Mobilgeräte. Die Desktop-Client-Software verfügt über eine einfache Schnittstelle, über die Benutzer Updates und verschiedene Scans durchführen können. Sie ist für Unternehmen jeder Größe geeignet.

Start und Betrieb

Das Produkt wird über eine cloudbasierte Konsole verwaltet, die keine Installation erfordert. Die Bereitstellung erfolgt über die Schaltfläche Add Computers auf der Seite Computers. Sie können das Installationsprogramm direkt herunterladen oder auf Send by email klicken, wodurch eine E-Mail-Nachricht mit einem Link zum Herunterladen und Installieren geöffnet wird. Dies funktioniert für Windows, Linux, macOS und Android. Der Benutzer klickt auf den bereitgestellten Link, um den Client zu installieren, und dieser wird dann automatisch lizenziert. Bei beiden Installationsmethoden können Sie den Client vorab einer Verwaltungsgruppe zuweisen.

Alltägliches Management

Der Schutzstatus und der Verlauf der Bedrohungserkennung werden auf der Seite Status/Security angezeigt, die standardmäßig geöffnet wird. Es gibt hervorragende Grafiken für erkannte Bedrohungen. Dazu gehören Offline-Computer, veralteter Schutz und blockierte URLs. Dies bietet einen soliden täglichen Überblick über die Probleme. Uns hat besonders gut gefallen, dass die Seite einen Überblick über den Status gibt, aber auch die Möglichkeit bietet, sich für detailliertere Informationen durchzuklicken. Wenn Sie zum Beispiel auf die Hauptgrafik Protection Status klicken, gelangen Sie auf die Seite Computers. Die Quarantänefunktion der Konsole wird durch Klicken auf Threats detected by the antivirus aufgerufen.

Die Registerkarte Status enthält eine linke Menüspalte, über die Sie weitere Statusseiten öffnen können.

Web access and spam zeigt Kategorien von Websites, wie Webmail, Spiele und Unternehmen, auf die Nutzer zugegriffen haben. Licenses ist selbsterklärend. Ein Abschnitt namens My Lists bietet einfache, aber nützliche Übersichten über verschiedene Aspekte des Netzwerks. Es gibt Links zu Hard- und Software von verwalteten Computern, Listen von ungeschützten Arbeitsstationen und Servern sowie von AV erkannte Bedrohungen. Diese Liste ist anpassbar, und es können eine Reihe weiterer Kategorien hinzugefügt werden. Dazu gehören der Status des Computerschutzes und der Webzugriff nach Computer.

Die Registerkarte Computers (siehe unten) listet die Computer im Netzwerk auf. Sie können nach verschiedenen Kriterien filtern, darunter Betriebssystem, Hardware und installierte Software. Sie können die Computer auch nach Verwaltungsgruppen anzeigen.

Panda Endpoint Protection Plus on Aether

Auf dieser Seite werden alle geschützten Computer und mobilen Geräte angezeigt. Sie ist sehr übersichtlich gestaltet und zeigt die wichtigsten Informationen an. In einer Windows-ähnlichen Ordnerstruktur auf der linken Seite können Sie die Geräte nach Gruppen anzeigen.

Über die Registerkarte Settings/Users können Sie Konsolenbenutzer erstellen und ihnen volle Kontrolle oder nur Lesezugriff zuweisen. Auf der Seite Settings/Security können Sie separate Sicherheitsrichtlinien für Computer und mobile Android-Geräte festlegen. Unter Settings/My Alerts können Sie E-Mail-Benachrichtigungen für verschiedene Elemente einrichten. Dazu gehören Erkennungen von Malware und Phishing, nicht lizenzierte/unverwaltete/ungeschützte/unlizenzierte Computer und Installationsfehler. Auf anderen Einstellungsseiten können Sie Updates und Proxyserver usw. verwalten.

Auf der Registerkarte Tasks können Sie zeitgesteuerte Überprüfungen einrichten.

Software zum Schutz von Windows-Endgeräten

Die Software zum Schutz des Windows-Desktops ermöglicht den Zugriff auf solide Endbenutzerfunktionen wie Full Scan, Critical Areas Scan und Custom Scan. Der Benutzer kann eine Synchronisierung der Updates über das Systemtray-Menü erzwingen. Es gibt jedoch keinen Zugriff auf die Einstellungen.

Panda Endpoint Protection Plus on Aether

Sollte ein Benutzer versehentlich eine bösartige Datei auf sein System kopieren, erkennt Panda diese und stellt sie beim Zugriff unter Quarantäne. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Warnung wird nach einigen Sekunden geschlossen.

Panda Endpoint Protection Plus on Aether

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Sophos Intercept X Advanced

Fazit

Die Verwaltungskonsole ist sehr leistungsfähig und übersichtlich gestaltet. Der größte Teil des Produkts funktioniert auf klare und konsistente Weise. Für einen einigermaßen erfahrenen Systemadministrator ist es einfach zu implementieren, bereitzustellen und zu verwalten. Für neue Systemadministratoren kann der Umfang der in der Konsole verfügbaren Funktionen dazu führen, dass wesentliche AV-Verwaltungsaufgaben etwas schwieriger zu finden sind.

Über das Produkt

Sophos Intercept X Advanced verwendet eine Cloud-Konsole (Sophos Central), um Windows-Clients und -Server, Linux-Server und macOS-Clients zu verwalten. Intercept X verwendet eine neuronale Netzwerkanalyse von Malware. Es bietet Schutz vor Ransomware und Exploits sowie zusätzliche Browser-Sicherheit. Es gibt auch Funktionen zur Untersuchung und Entfernung.

Start und Betrieb

Das Produkt wird vollständig über eine cloudbasierte Konsole verwaltet. Die Lizenzen werden auf diese Konsole angewendet und können dann an die Client-Computer verteilt werden. Die Installation des Clients ist sehr einfach. Sie können das Installationspaket herunterladen und von dort aus installieren oder es über die von Ihnen gewählte Verwaltungsschnittstelle ausgeben.

Geräte können Gruppen zugewiesen werden (wie Sie es erwarten würden) und übernehmen zentral definierte Richtlinien. Benutzer werden automatisch in Sophos Central erstellt, wenn sie ein von Sophos geschütztes Gerät verwenden. Sie können auch über CSV importiert und über eine Active Directory-Anwendung synchronisiert werden. Ein Benutzerkonto wird auch verwendet, um den Zugriff auf die Sophos Management-Funktionen zu steuern. Ein Benutzer kann hier als User, SuperAdmin, Admin, Help Desk und Read-only klassifiziert werden. Dies ermöglicht eine mehrschichtige Konfiguration der Verwaltung der Sophos Plattform. Es gibt eine Reihe von Funktionen, die auf Richtlinien angewendet werden können. Dazu gehören die Sperrung von Web-URLs, die Kontrolle von Peripheriegeräten und die Verwaltung der Anwendungsausführung.

Alltägliches Management

Die Sophos Central Dashboard-Ansicht ist recht übersichtlich. Sie bietet eine übersichtliche Benutzeroberfläche, die einen Überblick über alle Systeme und Schutzfunktionen bietet. Hier können Sie sehen, wie viele Endpunkte aktiv sind, die neuesten Warnungen und Statistiken über die Verwaltung des Web-URL-Zugriffs.

Unter dem Punkt Alerts finden Sie eine Liste aller aufgetretenen Alarme. Sie können nach Description, Count und Actions sortieren.

Logs and Reports zeigt eine Sammlung von Standardberichten. Ein bemerkenswerter Bericht ist Policy Violators. Hier werden die Benutzer angezeigt, die am häufigsten versucht haben, auf gesperrte Websites zuzugreifen.

Die Seite Global Settings tut das, was Sie erwarten würden. Sie bietet eine benutzerzentrierte Ansicht des Netzwerks, auf der Sie alle einem bestimmten Benutzer zugewiesenen Geräte und alle damit verbundenen Aktivitäten sehen können.

Devices zeigt die verwalteten Geräte im Netzwerk an. Diese sind in drei verschiedene Seiten unterteilt: Computers, Mobile Devices, Servers, wie unten gezeigt:

Sophos Intercept X Advanced

Endpoint Protection führt Sie zu einer weiteren Reihe von Benutzeroberflächen und Menüs. Auch hier gibt es Seiten für die Menüpunkte Dashboard, Logs und Reports, People und Computers. Hier können Sie auch Richtlinien und Einstellungen konfigurieren und Endpunkt-Installationspakete herunterladen.

Windows-Endpunktschutz-Software

Die Windows Desktop Protection Software verfügt über eine grafische Benutzeroberfläche mit einer umfassenden Statusanzeige. Sie ermöglicht es dem Benutzer auch, Scan-Aufgaben auszuführen. Die Registerkarte Status zeigt den allgemeinen Sicherheitsstatus an und bietet Zusammenfassungen der neuesten Bedrohungsarten. Die Registerkarte Events listet die letzten Malware-Erkennungen auf. Über die Schaltfläche Scan auf der Seite Status können Benutzer einen vollständigen Systemscan durchführen. Alternativ können sie im Windows Explorer mit der rechten Maustaste auf eine Datei, einen Ordner oder ein Laufwerk klicken und dann im Kontextmenü auf Scan with Sophos Anti-Virus klicken.

Sophos Intercept X Advanced

Sollte ein Benutzer versehentlich eine schädliche Datei auf sein System kopieren, erkennt Sophos diese und stellt sie beim Zugriff unter Quarantäne. Ein Beispielalarm ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und der Alarm wird nach einigen Sekunden geschlossen.

Sophos Intercept X Advanced

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

SparkCognition DeepArmor Endpoint Protection Platform

Fazit

Die SparkCognition DeepArmor Endpoint Protection Platform (EPP) ist sehr einfach einzurichten. Die Konsole ist cloudbasiert, und der Bereitstellungsprozess ist einfach. Die Verwaltungskonsole hat ein sehr klares Design, das den Administrator nicht überfordert. Um das Produkt optimal zu nutzen, braucht man zweifellos einige Zeit, aber die Benutzeroberfläche macht diesen Prozess so einfach wie möglich.

Über das Produkt

SparkCognition verwendet eine cloudbasierte Konsole zur Verwaltung der Endpoint Protection Software. Es gibt Clients für Windows-, Mac- und Linux-Systeme.

Start und Betrieb

Die Konsole muss nicht installiert werden, da sie cloudbasiert ist. Die Bereitstellung der Endpunktschutz-Software ist für alle Plattformen ähnlich. Sie laden einfach das entsprechende Installationsprogramm von der DeploymentSeite der Konsole herunter und führen es auf dem jeweiligen Client-Gerät aus. Dies ist ein sehr unkomplizierter Prozess. Windows-Clients können Sie mit dem System Center Configuration Manager oder der PowerShell installieren.

Alltägliches Management

Wenn Sie sich bei der Konsole anmelden, sehen Sie das Alerts Dashboard (Screenshot oben). Hier finden Sie eine Zusammenfassung der jüngsten Bedrohungen. Das Devices Dashboard zeigt eine gerätezentrierte Übersicht. Es zeigt Ihnen die Gesamtzahl der Geräte in Ihrem Netzwerk, die Gruppenzugehörigkeit, die gefährdeten Geräte, den Verbindungsstatus der Geräte und die Verteilung der verschiedenen Endpunkt-Agent-Versionen. Der Titeltext für jeden Dashboard-Bereich ist ein Link zu weiteren Details. Wenn Sie zum Beispiel auf Medium Risk Devices klicken, wird eine Liste der Geräte mit diesem Status angezeigt.

SparkCognition DeepArmor Endpoint Protection Platform

Auf der Seite Devices können Sie einzelne Computer in Ihrem Netzwerk sehen. Sie können diese als Kacheln anzeigen, wie oben gezeigt, oder als einfache Liste. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Scans durchführen, die Gruppenzugehörigkeit ändern oder sie aus der Konsole entfernen. Es ist möglich, die angezeigten Geräte mithilfe der Dropdown-Listen oben auf der Seite zu filtern. Sie können nach Gerätegruppe, Gerätestatus, Geräterisiko, Geräteplattform oder Geräteversion filtern.

Auf der Seite Alerts werden die letzten Warnungen zusammen mit Details angezeigt. Dazu gehören der Dateiname der Malware, die Art der Erkennung, der Erkennungsname, die Wahrscheinlichkeit, dass die Datei wirklich bösartig ist, der Name des betroffenen Geräts, der Zeitpunkt der Erkennung, die ergriffenen oder erforderlichen Maßnahmen und der Datei-Hash. Unterregisterkarten auf der Detailseite jeder Datei zeigen alle Erkennungen der Datei im gesamten Netzwerk (Occurrences). Ein Klick auf einen Eintrag liefert weitere Details auf einer separaten Seite. Die Schaltfläche Take Action bietet hier die Optionen Remote Remediate, Remote Restore, und External Remediate. Diese ermöglichen es dem Administrator, sofortige Maßnahmen zu ergreifen.

Das Menü Administration enthält die Untermenüs Users, Security Policies, Device Groups, Global Lists, Audit Logs und Reporting. Unter User können Sie Konsolenadministratoren hinzufügen, bearbeiten und entfernen, denen unterschiedliche Zugriffsstufen (Admin, Manager oder Auditor) zugewiesen werden können. Unter Security Policies können Sie einzelnen Geräten oder Gruppen vorkonfigurierte Einstellungen zuweisen. Letztere können Sie auf der Seite Device Groups verwalten. Unter Global Lists können Sie Whitelists für Dateien und Zertifikate sowie Blacklists für Dateien erstellen. Eine Liste der An- und Abmeldungen von Administratoren ist unter Audit Logs zu finden. Auf der Seite Reporting können Sie Berichte für bestimmte Gruppen oder alle Geräte erstellen. Sie können den Zeitraum auswählen, für den der Bericht erstellt werden soll, und bestimmen, wer ihn erhalten soll.

Auf der Seite Deployment finden Sie Installationsprogramme für Windows, macOS und verschiedene Linux-Distributionen. Schließlich zeigt Ihnen die Seite Subscription die Gesamtzahl der verfügbaren und genutzten Gerätelizenzen sowie die Gültigkeitsdauer an.

Software zum Schutz von Windows-Endgeräten

Der Endpunktschutz-Client verfügt über eine grafische Benutzeroberfläche, die es dem Benutzer jedoch nicht ermöglicht, Maßnahmen zu ergreifen. Auf der Seite Notification (Glockensymbol) werden die zuletzt entdeckten Bedrohungen aufgelistet. Die Seite Protection zeigt die Konfigurationsoptionen für Schutzkomponenten, die jedoch standardmäßig deaktiviert sind.

SparkCognition DeepArmor Endpoint Protection Platform

In unserem Test haben wir festgestellt, dass auf das Testsystem kopierte Malware beim Zugriff nicht erkannt wurde. Wenn sie jedoch ausgeführt wurde, wurde sie beim Zugriff erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine Maßnahmen ergreifen, und die Meldung wird nach einigen Sekunden geschlossen.

SparkCognition DeepArmor Endpoint Protection Platform

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

VIPRE Endpoint Security Cloud

Fazit

Dieses Produkt besticht durch ein klares Design, einfache Betriebsabläufe und starke Berichtsfunktionen. Selbst ein weniger erfahrener Benutzer kann den Agenten einsetzen und das Netzwerk verwalten. Das Produkt zeigt, was klares Denken und ein guter Einsatzablauf bewirken können. Es gibt eine aussagekräftige Berichterstattung und einen klaren Prozess für den täglichen Betrieb.

Über das Produkt

VIPRE Endpoint Security Cloud verwendet eine cloudbasierte Konsole, um Windows- und macOS-Clients sowie Windows-Server zu verwalten. VIPRE Endpoint Security ist der Client, der auf dem Desktop läuft. VIPRE teilt uns mit, dass der Cloud-Service auf der Amazon AWS-Cloud läuft und dass dies Effizienz, Skalierbarkeit und Wachstum bringt.

Start und Betrieb

Der Zugriff auf das Webportal erfolgt unkompliziert über eine Standard-Anmeldekombination aus Benutzername und Passwort (auch eine Zwei-Faktor-Authentifizierung ist möglich). Die Benutzeroberfläche besticht sofort durch ihr klares und übersichtliches Design. Die erste Seite, die Sie sehen, besteht aus einem Getting Started-Bereich. Hier geht es um die Bereitstellung von Agenten, das Anlegen von Benutzern und das Einstellen von entsprechenden Richtlinien. Der nächste Abschnitt befasst sich mit fortgeschritteneren Themen nach der Einrichtung. Dazu gehören Dashboard, Devices, Exclusions, Notifications und Reports. Über einen Link auf der Seite Getting Started gelangt man zur Seite Deploy Agents der Konsole. Von hier aus können Sie Installationsprogramme für die Endpunktsoftware herunterladen oder die E-Mail-Funktion verwenden, um Links an Benutzer zu senden. Wir weisen darauf hin, dass auf der Seite ein entsprechender Hinweis erscheint, wenn eine neue Version des Agenten-Installationsprogramms zur Verfügung gestellt wird. Sie können die neue Version entweder für alle Geräte freigeben oder sie zunächst auf einigen Testrechnern ausprobieren.

Alltägliches Management

Sobald Sie die Endpunkt-Software auf Ihren Geräten installiert haben, kommen die Menüs auf der linken Seite ins Spiel. Der Abschnitt Monitor umfasst das Dashboard, das einen direkten Überblick über den Status aller Clients bietet. Es ist offensichtlich, welche Clients überwacht werden müssen, wie viele Geräte und Bedrohungen es gibt und wie die Versionsnummern der eingesetzten Geräte lauten.

Quarantine gibt einen guten Überblick über die Quarantäneaktionen der letzten Woche. Sie können das Berichtszeitfenster leicht erweitern, indem Sie offensichtliche Optionen wie "Letzte 24 Stunden", "Letzte 3 Tage" und so weiter verwenden. Die Berichte sind klar und übersichtlich und zeigen, auf welchen Geräten Probleme aufgetreten sind und mit welchen Malware-Quellen.

Mit Reports können Sie die Daten detaillierter untersuchen, z.B. nach Client, nach Malware, nach durchgeführten Aktionen oder nach Richtliniendefinition. Alle diese Funktionen sind klar und übersichtlich, aber eher für die Verwendung über die Webkonsole konzipiert. Über das Menü System können Sie Benachrichtigungen und Berichte einrichten, die gesendet werden sollen.

VIPRE Endpoint Security Cloud

Der nächste Abschnitt ist Manage, der Devices (siehe oben) umfasst. Hier wird angezeigt, welche Geräte im Einsatz sind und welchen Betriebsstatus sie haben. Für jedes Gerät oder jede Gruppe können Sie Richtlinien zuweisen, einen Scan durchführen, die Definitionen aktualisieren, das Gerät neu starten oder den Agenten löschen.

Mit Policies können Sie steuern, wie die Clients arbeiten dürfen und welche Sicherheitsrichtlinien sie anwenden. Hier gibt es eine breite Palette von Anpassungsmöglichkeiten, aber die Default Enterprise Einstellungen werden wahrscheinlich für die meisten Benutzer geeignet sein. Hier können Sie den Benutzern erlauben, mit dem VIPRE-Client zu interagieren. Sie können ihnen zum Beispiel erlauben, Objekte per Rechtsklick zu scannen, oder erzwingen, dass USB-Geräte beim Einstecken gescannt werden.

Mit Exclusions können Sie Ausschlusslisten mit Dateien, Pfaden, Ordnern usw. erstellen, die von der Überprüfung ausgeschlossen werden. Dazu kann beispielsweise ein gemeinsam genutzter Speicherplatz gehören, der anders als der normale Speicher verwaltet wird.

Der Bereich Setup schließlich umfasst Systemeinstellungen und alle wichtigen Standardeinstellungen der Plattform. Unter Deploy Agents können Sie ein Agenten-Installationspaket herunterladen, ein Richtlinien-Installationsprogramm erstellen und Benutzer per E-Mail einladen. Mit Profile können Sie die Zwei-Faktor-Authentifizierung aktivieren.

Die Webkonsole beeindruckt sowohl bei der Ersteinrichtung und Bereitstellung als auch bei der laufenden Verwaltung. Die Standardeinstellungen sind sinnvoll, die Bildschirme klar und übersichtlich, und es ist offensichtlich, was sie meldet und wie gesund die Clients sind. Es ist einfach, die Clients dazu zu bringen, zentral verwaltete Aufgaben auszuführen, und auch die Konfiguration der Richtlinien ist einfach. Das Anlegen von Benutzern ist einfach, und sie können die Rolle eines Administrators oder Analysten haben. Letzteres könnte beispielsweise für einen Helpdesk-Mitarbeiter geeignet sein.

Es ist einfach, fortlaufende Berichte zu erstellen, und Sie müssen keinen Mailserver angeben, über den sie gesendet werden sollen - das wird für Sie erledigt. Wir würden sagen, dass die Plattform für jede Unternehmensgröße geeignet ist, von einem kleinen Unternehmen mit ein paar Arbeitsplätzen bis hin zu einer viel größeren Organisation. Die Benutzeroberfläche der Verwaltungskonsole war bei unseren Tests stets ansprechend. Sie ist darauf ausgelegt, mit Tausenden von Desktops und einer großen Anzahl von Ereignissen fertig zu werden.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software ist einem Antivirus-Programm für Privatanwender sehr ähnlich. Standardmäßig können die Benutzer Scans und Updates ausführen und die Quarantäne einsehen. Sie können jedoch keine Einstellungen ändern oder unter Quarantäne gestellte Elemente wiederherstellen. Administratoren können den Benutzern erweiterte oder eingeschränkte Funktionen zur Verfügung stellen, indem sie die entsprechende Richtlinie über die Konsole ändern.

VIPRE Endpoint Security Cloud

Sollte ein Benutzer versehentlich eine bösartige Datei auf sein System kopieren, wird diese von VIPRE erkannt und beim Zugriff unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine weiteren Maßnahmen ergreifen, außer die Warnung zu schließen.

VIPRE Endpoint Security Cloud

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

VMware Carbon Black Cloud

Fazit

Die Hersteller haben offensichtlich viel Wert darauf gelegt, dass Carbon Black Cloud intuitiv zu bedienen ist. Das Designprinzip der Konsole besteht darin, wesentliche Informationen anzuzeigen, ohne den Administrator zu überfordern. Wenn Sie möchten, können Sie weitere Details abrufen. Wir fanden es sehr einfach, zu sehen, welche Aktionen notwendig sind, und diese auszuführen. Trotz der Einfachheit des Designs bietet das Paket ein hohes Maß an Funktionalität. Dadurch ist es sowohl für größere als auch für kleinere Unternehmen geeignet.

Über das Produkt

Carbon Black Cloud verwendet eine cloudbasierte Konsole zur Verwaltung der Endpoint Protection Software. Es gibt Unterstützung für Windows-, macOS- und Linux-Clients sowie Windows-Server.

Start und Betrieb

Die Carbon Black Cloud-Konsole ist cloudbasiert, so dass keine Installation erforderlich ist. Sie melden sich einfach mit Ihren Anmeldedaten an und die Konsole ist sofort einsatzbereit.

Sie können Endpunkte über das Menü Sensor Options auf der Seite Endpoints installieren. Hier gibt es zwei Hauptoptionen: das Herunterladen des Installationsprogramms oder das Versenden eines Installationslinks an die Benutzer per E-Mail. Beide sind sehr schnell und unkompliziert. Der Installationsassistent ist einfach, Sie müssen nur die Lizenzvereinbarung akzeptieren und einen vom Hersteller bereitgestellten Code eingeben. Sobald die Installation abgeschlossen ist, wird das Gerät auf der Seite Endpoints der Konsole angezeigt.

Alltägliches Management

Alle wichtigen Funktionen der Konsole befinden sich in einer einzigen Menüspalte auf der linken Seite der Seite. Das macht die Navigation sehr einfach. Die Seite Dashboard zeigt Ihnen einen Überblick über die Bedrohungen, die in Panels angezeigt werden. Diese sind ttacks stopped, Potentially Suspicious Activity, Attack Stages, Attacks by Vector, Top Alerted Devices, und Top Alerted Applications. Es gibt auch ein Endpoint Health-Panel, in dem Sie sehen können, ob Sie auf bestimmten Geräten Maßnahmen ergreifen müssen. Der Bereich Getting Started zeigt den Status allgemeiner Aufgaben an, z.B. das Hinzufügen von Konsolenadministratoren.

Die Seite Alerts zeigt Ihnen eine Liste der aufgetretenen Bedrohungen in chronologischer Reihenfolge. Von hier aus können Sie jede einzelne Bedrohung genauer untersuchen.

Auf der Seite Investigate können Sie eine chronologische Liste der Ereignisse auf einem bestimmten Gerät sehen. So können Sie Netzwerkverbindungen und Programmausführungen überwachen und sich ein detailliertes Bild von sicherheitsrelevanten Ereignissen machen.

Enforce beherbergt u.a. die Seite Policies. Hier können verschiedene Konfigurationsoptionen für die Endpunktschutz-Software konfiguriert werden. Wir fanden es sehr einfach, eine neue Richtlinie zu erstellen, zu bearbeiten und auf bestimmte Endpunkte anzuwenden. Richtlinienänderungen werden auf den entsprechenden Geräten wirksam, sobald Sie sich dort anmelden. Malware Removal befindet sich ebenfalls unter dem Untermenü Enforce. Hier sehen Sie eine Liste der unter Quarantäne gestellten bösartigen Objekte, die Sie z. B. untersuchen, löschen oder auf eine Blacklist/Whitelist setzen können. Malware wird sehr schnell entfernt, sobald Sie den Befehl zum Löschen gegeben haben.

VMware Carbon Black Cloud

Die oben abgebildete Seite Endpoints bietet einen Überblick über die Geräte im Netzwerk. Die Details sind sehr überschaubar gehalten (Status, Details zum Betriebssystem und zur Sensorversion, Richtlinien und die letzte Check-in-Zeit), aber Sie können leicht mehr Informationen über ein einzelnes Gerät erhalten, indem Sie einfach auf seinen Namen klicken. Dadurch gelangen Sie auf die Seite Investigate des jeweiligen Geräts. Über ein Suchfeld können Sie nach einem bestimmten Client in einem größeren Netzwerk suchen.

Unter dem Menüpunkt Settings können Sie Optionen für die Konsole/das System als Ganzes konfigurieren. Dazu gehören Users und Notifications.

Software zum Schutz von Windows-Endgeräten

Die Windows Desktop Protection Software hat eine minimalistische Benutzeroberfläche. Sie können eine Liste der zuletzt blockierten Bedrohungen anzeigen, indem Sie mit der rechten Maustaste auf das Symbol in der Systemablage klicken. Benutzer können keine Einstellungen ändern oder Aufgaben ausführen.

VMware Carbon Black Cloud

Sollte der Benutzer versehentlich eine bösartige Datei auf sein System kopieren, erkennt Carbon Black diese beim Zugriff und stellt sie an Ort und Stelle unter Quarantäne. Sollte der Benutzer dann versuchen, die Datei auszuführen, wird eine Warnung wie die unten stehende angezeigt. Der Benutzer kann keine Maßnahmen ergreifen, und die Meldung wird nach einigen Sekunden geschlossen.

VMware Carbon Black Cloud

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

In diesem Business Security Test und Review erreichte Award-Levels

Wie in den vergangenen Jahren vergeben wir unseren "Approved Business Product" Award an qualifizierte Produkte. Da wir zwei Tests für Business-Produkte pro Jahr durchführen, werden qualifizierte Produkte im Juli (für die Tests im Zeitraum März-Juni) und im Dezember (für die Tests im Zeitraum August-November) separat ausgezeichnet.

Um im Juli 2020 als "Approved Business Product" von AV-Comparatives zertifiziert zu werden, müssen die getesteten Produkte mindestens 90% im Malware Protection Test mit null Fehlalarmen auf gängiger Unternehmenssoftware und mindestens 90% im gesamten Real-World Protection Test (d.h. über einen Zeitraum von vier Monaten) erreichen, mit weniger als hundert Fehlalarmen auf jeder sauberen Software/Website (und mit null Fehlalarmen auf gängiger Unternehmenssoftware). Die getesteten Produkte müssen außerdem keine größeren Performanceprobleme aufweisen (Impact Score muss unter 40 liegen) und alle gemeldeten Fehler behoben haben, um eine Zertifizierung zu erhalten.

Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und daher mit dem AV-Comparatives Approved Business Security Product Award für Juli 2020 ausgezeichnet wurden.

Obwohl Fortinet sehr gute Ergebnisse beim Malware-Schutz erzielt hat, hat es leider nicht alle Anforderungen für den im Juli 2020 verliehenen Preis erfüllt. Dies war auf erhebliche Leistungseinbußen bei Low-End Hardware zurückzuführen. Wir hoffen, dass diese Probleme in der zweiten Testrunde dieses Jahres (deren Ergebnisse im Dezember 2020 erwartet werden) behoben werden. Der Leistungstest in der zweiten Jahreshälfte wird immer auf High-End Hardware durchgeführt.

APPROVED
AcronisAPPROVED
AvastAPPROVED
BitdefenderAPPROVED
CiscoAPPROVED
CrowdStrikeAPPROVED
CybereasonAPPROVED
ElasticAPPROVED
ESETAPPROVED
FireEyeAPPROVED
FortinetNOT APPROVED
G DataAPPROVED
K7APPROVED
KasperskyAPPROVED
MicrosoftAPPROVED
PandaAPPROVED
SophosAPPROVED
SparkCognitionAPPROVED
VIPREAPPROVED
VMwareAPPROVED

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2020 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstandes von AV-Comparatives vor jeglicher Veröffentlichung erlaubt. Dieser Bericht wird von den Teilnehmern unterstützt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Bericht enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Juli 2020)