Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Business Security Test 2022 (März - Juni)

Datum Juni 2022
Sprache Deutsch
Letzte Revision 10. Juli 2022

Mit Real-World Protection, Malware Protection und Performance Tests & Product Reviews


Datum der Veröffentlichung 2022-07-15
Datum der Überarbeitung 2022-07-10
Prüfzeitraum März - Juni 2022
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Dies ist der erste Halbjahresbericht unserer Business Main-Test Series 2022. Er enthält die Ergebnisse des Business Real-World Protection Test (März-Juni), des Business Malware Protection Test (März), des Business Performance Test (Juni) sowie der Produktbewertungen.

Bitte beachten Sie, dass die Ergebnisse der Business Main-Test Series nicht mit den Ergebnissen der Consumer Main-Test Series verglichen werden können, da die Tests zu unterschiedlichen Zeiten, mit unterschiedlichen Geräten, unterschiedlichen Einstellungen usw. durchgeführt werden.

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Ein entscheidender Punkt für einige Unternehmen ist die Frage, ob sie sich für eine cloudbasierte oder eine serverbasierte Konsole entscheiden sollen. Erstere lässt sich fast sofort einrichten und macht in der Regel eine zusätzliche Konfiguration der Client-Geräte überflüssig. Letztere erfordert mehr Arbeit für den Administrator, bevor alles betriebsbereit ist, einschließlich der Konfiguration von Clients und der Unternehmensfirewall. Dies bedeutet jedoch, dass sich die gesamte Einrichtung in den Räumlichkeiten des Unternehmens befindet und unter der direkten Kontrolle des Administrators steht. Für kleinere Unternehmen mit begrenztem IT-Personal sind cloudbasierte Konsolen möglicherweise eine einfachere Option. Bitte beachten Sie, dass die Hersteller in einigen Fällen sowohl cloudbasierte als auch serverbasierte Optionen für die Verwaltung ihrer Produkte anbieten. Hinweise auf den Konsolentyp beziehen sich hier nur auf das spezifische Produkt, das in unseren Tests verwendet wurde. Wenden Sie sich bitte an den jeweiligen Hersteller, um zu erfahren, ob andere Konsolentypen verfügbar sind.

Avast und VIPRE bieten einfach zu bedienende Cloud-Konsolen an, die sich besonders für kleinere Unternehmen ohne Vollzeit-IT-Personal eignen würden. All diese würden sich auch für größere Unternehmen eignen und bieten so die Möglichkeit mit dem Unternehmen zu wachsen.

G Data und K7 verwenden serverbasierte Konsolen, die sich für erfahrene Windows-Experten als sehr einfach erweisen werden. Diese können ab dem KMU-Sektor aufwärts eingesetzt werden.

Für Unternehmen derselben Größe, die nach cloudbasierten Verwaltungslösungen suchen, bieten Bitdefender, ESET, Kaspersky, Microsoft, Sophos und WatchGuard starke und kohärente Lösungen. Acronis, Cybereason, Malwarebytes, und VMware erfordern zwar etwas mehr Lernaufwand, sind aber auch für diese Kategorie von Unternehmen sehr gut geeignet.

Am oberen Ende des Marktes bieten Cisco, CrowdStrike, Elastic und Trellix außergewöhnlich leistungsfähige Werkzeuge. Es sollte sorgfältig geplant werden, wie gut sie zu Ihrem Unternehmen passen, sowohl in seiner jetzigen Form als auch in der Art und Weise, wie Sie es in den nächsten fünf Jahren ausbauen wollen. Sowohl in der Planungs- als auch in der Einführungsphase sind hier eindeutig externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungsaufwand und laufende Unterstützung. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Softwarepaketen völlig unterscheidet.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 64-Bit getestet:

In Unternehmensumgebungen und bei Business-Produkten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und daher haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren.

Nur wenige Anbieter liefern ihre Produkte mit optimalen Standardeinstellungen, die sofort einsatzbereit sind, und haben daher keine Einstellungen verändert.

Bitte beachten Sie, dass die in der Enterprise Main-Test Series erzielten Ergebnisse nur durch die Anwendung der hier beschriebenen Produktkonfigurationen erreicht wurden. Jede hier als aktiviert aufgeführte Einstellung kann in Ihrer Umgebung deaktiviert sein und umgekehrt. Dies beeinflusst die Schutzraten, die Fehlalarmraten und die Auswirkungen auf das System. Die angewendeten Einstellungen werden im Laufe des Jahres für alle unsere Unternehmenstests verwendet. Das heißt, dass wir es einem Anbieter nicht erlauben, die Einstellungen je nach Test zu ändern. Andernfalls könnten die Anbieter ihre jeweiligen Produkte z.B. so konfigurieren, dass sie bei den Protection Tests maximalen Schutz bieten (was die Performance verringern und die Fehlalarme erhöhen würde) und bei den Performance Tests maximale Geschwindigkeit erreichen (was wiederum den Schutz und die Fehlalarme verringern würde). Bitte beachten Sie, dass bei einigen Produkten für Unternehmen alle Schutzfunktionen standardmäßig deaktiviert sind, so dass der Administrator das Produkt konfigurieren muss, um einen Schutz zu erhalten.

Nachfolgend haben wir relevante Abweichungen von Standardeinstellungen (aufgelistet d.h. von den Anbietern vorgenommene Einstellungsänderungen):

Acronis: “Backup”, “Vulnerability assessment”, “Patch management”, “Device control”, “Data Loss Prevention” und “Data protection map” deaktiviert. “Third-party scan engine” aktiviert.

Avast: “Scan for potentially unwanted programs (PUPs)” wurde in “File Shield”, “Web Shield” und “Mail Shield” aktiviert.

Bitdefender: "Sandbox Analyzer" (für Anwendungen und Dokumente) aktiviert. “Analysis mode” auf “Monitoring” eingestellt. "Scan SSL" für HTTP und RDP aktiviert. "HyperDetect" und “Device Control” deaktiviert. "Update Ring" auf "Fast Ring" geändert. "Web Traffic Scan" und "Email Traffic Scan" für eingehende E-Mails (POP3) aktiviert. “Ransomware Mitigation” aktiviert. “Process memory Scan” für “On-Access scanning” aktiviert. Alle “AMSI Command-Line Scanner” -Einstellungen für “Fileless Attack Protection” aktiviert.

Cisco: "On Execute File and Process Scan" auf "Active" gesetzt; “Exploit Prevention: Script Control” auf “Block” gesetzt; "TETRA Deep Scan File" deaktiviert; “Exclusions” auf "Microsoft Windows Default" gesetzt; Engines "ETHIS", "ETHOS", "SPERO" und "Step-Up" deaktiviert.

CrowdStrike: Alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive". "Sensor Visibility" für "Firmware" deaktiviert. Hochladen von "Unknown Detection-Related Executables" und "Unknown Executables" deaktiviert.

Cybereason: "Anti-Malware" aktiviert; "Signatures mode" auf "Disinfect" eingestellt; "Behavioral document protection" deaktiviert; "Artificial intelligence" und "Anti-Exploit" auf "Moderate" eingestellt; "Exploit protection", "PowerShell und .NET", "Anti-Ransomware" und "App Control" aktiviert und auf "Prevent" eingestellt; "Exploit protection" auf "Cautious" eingestellt; alle "Collection features" aktiviert; "Scan archives on access" aktiviert; Update-Intervall auf 1 Minute eingestellt.

Elastic: MalwareScore ("windows.advanced.malware.threshold") auf "aggressive" eingestellt.

ESET: Alle Einstellungen für “Real-Time & Machine Learning Protection” sind auf "Aggressive" eingestellt.

G Data: "BEAST Behavior Monitoring” auf “Halt program and move to quarantine” eingestellt. "G DATA WebProtection"-add-on für Google Chrome installiert und aktiviert. "Malware Information Initiative" aktiviert.

Kaspersky: "Adaptive Anomaly Control" deaktiviert; "Detect other software that can be used by criminals to damage your computer or personal data" aktiviert.

Malwarebytes: "Expert System Algorithms", "Block penetration testing attacks", "Disable IE VB Scripting", "Java Malicious Inbound/outbound Shell Protection", "Earlier RTP blocking", "Enhanced sandbox protection" und "Thorough scan" aktiviert; "RET ROP Gadget detection", "Malicious LoadLibrary Protection" und "Protected applications" für alle Anwendungen aktiviert; "Protection for MessageBox Payload" für MS Office aktiviert; "Malwarebytes Browser Guard" Chrome extension aktiviert.

Microsoft: Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert; "CloudExtendedTimeOut" auf 55 gesetzt; "PuaMode" aktiviert.

Sophos: "Threat Case creation" und "Web Control" deaktiviert.

Trellix: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

VIPRE: "Firewall" und "IDS" aktiviert und auf “Block With Notify” eingestellt.

VMware: Richtlinie auf "Advanced" eingestellt.

K7, WatchGuard: Standardeinstellungen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Acronis, Cisco, Cybereason, G Data, Trellix und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen). Cisco verwendet auch die ClamAV Engine. VMware verwendet die Avira Engine (zusätzlich zu ihren eigenen Schutzfunktionen). G Data’s OutbreakShield basiert auf Cyren.

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen, dazu, dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen und damit ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte unter Beweis stellen.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware-Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen könnte.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware bereits auf der Festplatte vorhanden ist oder über ein lokales Netzwerk oder einen Wechseldatenträger in das Testsystem gelangt, anstatt direkt aus dem Internet.

Zusätzlich zu den einzelnen Protection Tests wird ein False-Positives Test durchgeführt, um zu prüfen, ob Produkte legitime Software fälschlicherweise als schädlich identifizieren.

Der Performance Test prüft, wie sich jedes Produkt auf die Systemperformance auswirkt, d.h. wie sehr es die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamt.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (März-Juni)

Die nachstehenden Ergebnisse beruhen auf einem Testsatz, bestehend aus 733 Testfällen (wie schädliche URLs), die von Anfang März 2022 bis Ende Juni 2022 getestet wurden.

  Blockiert User Dependent Kompromittiert SCHUTZQUOTE
[Blocked % + (User Dependent %)/2]*
False-Positives (FPs)
Bitdefender
732 1 99.9% 2
G Data 732 1 99.9% 5
Kaspersky
731 2 99.7% 1
ESET 730 3 99.6% 0
VIPRE 730 3 99.6% 2
Microsoft 730 3 99.6% 3
WatchGuard 730 3 99.6% 23
Avast 729 1 3 99.5% 1
K7 729 4 99.5% 11
VMware
727 6 99.2% 6
CrowdStrike
727 6 99.2%
22
Cisco
725 8 98.9%
1
Sophos
723 2 8 98.8%
7
Elastic 724 9 98.8% 7
Acronis 721 12 98.4% 1
Trellix
721 12 98.4%
5
Malwarebytes
720 13 98.2%
16
Cybereason 679 54 92.6%
4

Benutzerabhängige Fälle werden zur Hälfte angerechnet. Wenn ein Programm zum Beispiel 80% von sich aus blockiert und weitere 20% der Fälle "User Dependent" sind, geben wir die Hälfte der 20%, also 10%, an, so dass es insgesamt 90% erhält.


Malware Protection Test (März)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

False Positives (False Alarm) Test mit gängiger Business-Software

Es wurde auch ein False Alarm Test mit gängiger Software für Unternehmen durchgeführt. Alle getesteten Produkte hatten Null Fehlalarme bei gängiger Business-Software.

  Malware-Schutzrate Fehlalarme bei gängiger Business-Software
VMware
100% 0
Acronis, Bitdefender, Trellix
99.9% 0
Avast, Cisco, G Data, Kaspersky, Microsoft, VIPRE 99.8% 0
Elastic 99.6% 0
Cybereason 99.5% 0
CrowdStrike 99.3% 0
Sophos 99.2% 0
K7 98.5% 0
ESET 98.2% 0
Malwarebytes
97.6% 0
WatchGuard
92.9% 0

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (die Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen False Alarm Test mit nicht-betrieblicher Software und ungewöhnlichen Dateien durchgeführt. Die Ergebnisse sind in den nachstehenden Tabellen aufgeführt; die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben. Organisationen, die häufig unübliche oder nicht unternehmensrelevante Software oder selbst entwickelte Software verwenden, sollten diese Ergebnisse berücksichtigen. Ab diesem Jahr müssen die Produkte eine FP-Rate für nicht-unternehmensrelevante Dateien aufweisen, die unter dem Auffallend hoch Schwellenwert liegt, um zugelassen zu werden (wie letztes Jahr angekündigt). Damit soll sichergestellt werden, dass getestete Produkte keine höheren Schutzwerte erreichen, indem sie Einstellungen verwenden, die eine übermäßige Anzahl von Fehlalarmen verursachen.

FP-Rate Anzahl der FPs auf
Non-Business-Software
Sehr niedrig 0 – 5
Low 6 – 15
Mittel/Durchschnitt 16 – 35
High 36 – 80
Sehr hoch 81 – 125
Auffallend hoch > 125
  FP-Rate mit Non-Business-Software
Acronis, ESET, Kaspersky, Microsoft Sehr niedrig
Avast, Bitdefender, Cybereason, Sophos, VIPRE, VMware, WatchGuard Low
K7, Trellix Mittel/Durchschnitt
Cisco, Crowdstrike, Elastic, G Data High
Sehr hoch
Malwarebytes Auffallend hoch

Es ist zu beachten, dass Malwarebytes Level an False-Positives für Non-Business-Dateien Auffallend hoch war. Administratoren sollten prüfen, ob dies in den spezifischen Umgebungen ihrer jeweiligen Organisationen zu Problemen führen könnte.


Performance Test (Juni)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemleistung im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter Kopieren von Dateien Archivieren /
Wiederherstellen
Installieren /
Deinstallieren von
Anwendungen
Starten von Anwendungen Download von Dateien Browsen von Websites
Erster Durchlauf Nachfolgender Durchlauf Erster Durchlauf Nachfolgender Durchlauf
Acronis perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-fast
Avast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Bitdefender perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Cisco perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-fast
CrowdStrike perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast
Cybereason perf-level-veryfast perf-level-fast perf-level-veryfast
Elastic perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast
ESET perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
G Data perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
K7 perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Kaspersky perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Malwarebytes perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Microsoft perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
Sophos perf-level-veryfast perf-level-fast perf-level-fast perf-level-veryfast perf-level-fast perf-level-veryfast
Trellix perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast
VIPRE perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast perf-level-fast perf-level-veryfast
VMWare perf-level-fast perf-level-veryfast perf-level-fast perf-level-veryfast perf-level-veryfast
WatchGuard perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast perf-level-veryfast

 

Key Langsam perf-level-mediocre Mittelmäßig perf-level-fast Schnell perf-level-veryfast Sehr schnell

 

PC Mark Tests

Um einen branchenweit anerkannten Leistungstest durchführen zu können, haben wir das Testprogramm PC Mark 10 Professional Edition verwendet (weitere Informationen finden Sie unter https://benchmarks.ul.com). Nutzer, die den PC Mark 10 Benchmark verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie in dem Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i3 Rechner mit 4GB RAM und SSD-Laufwerk

PC Mark® ist eine eingetragene Marke der Futuremark Corporation / UL.

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "schnell" erhält 10 Punkte, "mittelmäßig" erhält 5 Punkte und "langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

AV-C ScorePC Mark ScoreImpact Score
1.WatchGuard9098.21.8
2.K79097.12.9
3.Avast9096.63.4
4.ESET8898.43.6
5.G Data9096.23.8
6.Kaspersky9096.13.9
7.Malwarebytes9096.04.0
8.Bitdefender8596.68.4
9.Elastic8594.610.4
10.Trellix8096.913.1
11.CrowdStrike8095.814.2
12.VIPRE7897.114.9
13.Microsoft7596.218.8
14.Cisco7092.727.3
15.VMware6893.928.1
16.Sophos6893.029.0
17.Acronis5595.639.4
18.Cybereason5094.845.2

 

Produkt Reviews

Im Folgenden finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Bewertungen die Testergebnisse nicht berücksichtigen. Wir bitten die Leser daher, sich sowohl die Bewertung als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir möchten darauf hinweisen, dass Security-Produkte für Unternehmen eine Fülle von Merkmalen und Funktionen umfassen, deren Beschreibung den Rahmen eines solchen Berichts bei weitem sprengen würde. Wir bemühen uns, die wichtigsten Funktionen jedes Produkts, wie sie in der Benutzeroberfläche dargestellt werden, zu beschreiben und für jedes Produkt einen ähnlichen Umfang zu bieten. Aufgrund der unterschiedlichen Anzahl und Art der Funktionen in den verschiedenen untersuchten Produkten kann es zu offensichtlichen Unstimmigkeiten kommen. So kann es sein, dass wir bei einem einfacheren Produkt mit weniger Funktionen eine bestimmte Funktion ausführlicher beschreiben können als bei einem komplexeren Produkt mit einer größeren Anzahl von Funktionen.

Wir betrachten zunächst die Art des Produkts, d.h. ob die Konsole cloud- oder serverbasiert ist. Wir weisen darauf hin, dass einige Produkte eine Auswahl an cloudbasierten und serverbasierten Konsolen bieten können, obwohl nur eine davon im Test beschrieben wird. In diesem Test wurden nur Windows-Systeme berücksichtigt. Informationen zur Unterstützung von macOS, Linux und mobilen Geräten haben wir in der Feature-List zusammengestellt.

Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen).

Die Überprüfung bezieht sich dann auf die laufende Nutzung, d.h. die täglichen Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen. Alle getesteten Produkte enthalten eine Dashboard-ähnliche Seite, die einen Überblick über den Sicherheitsstatus bietet, sowie eine Geräteseite, die die Computer im Netzwerk anzeigt. Wir haben für alle Produkte eine Beschreibung dieser Seiten bereitgestellt. Was die anderen Funktionen der einzelnen Produkte betrifft, so haben wir einen maßgeschneiderten Ansatz gewählt. Das heißt, wir haben versucht, in Absprache mit dem jeweiligen Anbieter einige der wichtigsten Funktionen des einzelnen Produkts herauszugreifen.

Der nächste Abschnitt befasst sich mit der Endpoint-Protection-Software für Client-PCs. Zunächst wird dargestellt, wie diese bereitgestellt werden kann. Anschließend wird dargestellt, ob der Endpunktbenutzer Aufgaben wie Scans und Aktualisierungen selbst durchführen kann oder ob diese Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden.

Wir führen auch eine kurze Funktionsprüfung durch. Dazu schließen wir ein USB-Flash-Laufwerk mit einigen Malware-Samples an einen PC an, auf dem das Produkt installiert ist, und versuchen, die schädlichen Dateien auf den Windows-Desktop zu kopieren und dann auszuführen. Wir notieren, ob das Produkt den Nutzer auffordert, das USB-Gerät zu scannen, wenn es angeschlossen ist, in welcher Phase des Kopiervorgangs die Malware erkannt wird und welche Art von Warnung angezeigt wird.

Vorteile

  • Verfügt über Datensicherung, Notfallwiederherstellung, Schwachstellenbewertung, Patch-Management und sichere Dateisynchronisierung
  • Gut geeignet für kleinere Unternehmen
  • Die Konsole ist leicht zu navigieren
  • Die Seiten der Konsole können individuell angepasst werden
  • Geografisches Bedrohungsdaten-Feature

Über das Produkt

Die Acronis Cyber Cloud-Plattform bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Das Produkt enthält eine Reihe weiterer cloudbasierter Dienste, darunter Backup, Disaster Recovery und sichere Dateisynchronisation. In diesem Test werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Arbeitsplätzen verwalten. Wir sind der Meinung, dass es auch für kleine Unternehmen ohne eigenes IT-Personal geeignet ist.

Management Console

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Es gibt Einträge für Monitoring, Devices, Management, Protection, Software Management, Backup Storage, Reports, und Settings. Die Zahlen rechts neben den einzelnen Menüpunkten stehen für Elemente wie Bedrohungen und Warnhinweise, auf die der Administrator achten sollte.

Monitoring\Overview Seite

Wenn Sie sich zum ersten Mal bei der Konsole anmelden, sehen sie als erstes die Seite wie oben abgebildet. Sie bietet einen grafischen Überblick über den Security- und Backup-Status des Netzwerks, wobei farbige Doughnut- und Balkendiagramme verwendet werden. Es gibt Panels für Protection status, Active alerts summary, Activities, Patch installation status, Missing updates by categories, und Disk health status. Über das Cyber protection Panel im oberen Bereich werden die Elemente Backed up today, Malware blocked, Malicious URLs blocked, Existing vulnerabilities, und Patches ready to installangezeigt. Details zu den letzten Warnhinweisen und anderen Elementen werden in weiteren Feldern am unteren Rand angezeigt. Sie können die Seite individuell anpassen, indem Sie die Dateneinstellungen für jedes Feld ändern oder Felder hinzufügen/entfernen.

Monitoring\Alerts Seite

Hier können Sie Warnhinweise zur Malware-Erkennung, zu blockierten URLs und zu den Backup-Funktionen sehen. Diese können als Liste oder als große Kacheln mit Details (wie oben gezeigt) angezeigt werden. Die Informationen zu Malware-Erkennungen umfassen das Gerät, die Schutzrichtlinie (Plan), Dateiname und -pfad, Datei-Hashes, Name der Bedrohung und durchgeführte Aktion (z.B. Quarantäne). Klicken Sie auf Clear, wird der Eintrag aus der Alerts Seite aber nicht aus den Systemprotokollen entfernt.

Monitoring/Threat feed Seite

Die Seite Threat feed zeigt Warnhinweise zu aktuellen Angriffen und Sicherheitslücken an, auf die Sie achten sollten. Acronis teilt uns mit, dass diese Liste auf den aktuellen geografischen Standort zugeschnitten ist, so dass nur Warnungen angezeigt werden, die für Sie relevant sind. Die Seite warnt Sie gegebenenfalls sogar vor Naturkatastrophen. Wenn Sie auf das Pfeilsymbol am Ende eines Bedrohungseintrags klicken, wird eine Liste mit empfohlenen Maßnahmen zur Bekämpfung der jeweiligen Bedrohung angezeigt. Diese können darin bestehen, einen Malware-Scan durchzuführen, ein Programm zu patchen oder ein Backup Ihres PCs oder Ihrer Daten zu erstellen.

Devices\All devices Seite

Der Devices\All devices Seite werden die Computer im Netzwerk aufgelistet. Auf Unterseiten können Sie die Ansicht filtern, z.B. nach verwalteten und nicht verwalteten Rechnern. Sie können u.a. den Gerätetyp (virtuelle Maschine oder Hardware) und den Namen, das Benutzerkonto und den Sicherheitsstatus sehen. Die angezeigten Spalten können individuell angepasst werden, so dass Sie nicht benötigte Spalten entfernen und z.B. IP-Adresse und Betriebssystem hinzufügen können. Die Geräte können als Liste (wie auf dem Screenshot oben) oder als große Kacheln mit zusätzlichen Details angezeigt werden. Wenn Sie ein Gerät in der Liste auswählen, öffnet sich auf der rechten Seite ein Menüfeld, in dem Sie die angewandte Schutzrichtlinie einsehen, Patches anwenden, "machine details/logs/alerts" einsehen, die Gruppenmitgliedschaft ändern oder das Gerät aus der Konsole löschen können.

Management/Protection plans Seite

Unter Management/Protection plans können Sie die Richtlinien anzeigen, erstellen und bearbeiten, die die Anti-Malware-Funktionen der Plattform steuern. Wenn Sie auf ein Symbol klicken, öffnet sich auf der rechten Seite ein übersichtliches Menüfenster mit den entsprechenden Details und Steuerelementen. Zu den Funktionen, die konfiguriert werden können, gehören "Real-time protection, Network folder protection, Action to be taken on malware discovery, Exploit prevention, Crypto-mining process detection, Scheduled scanning und Exclusions". Auf anderen Registerkarten des Menüfensters können Sie auch andere Elemente wie "URL filtering, Vulnerability assessments und Patch management" konfigurieren.

Protection\Quarantine Seite

Unter Protection, listet die Quarantine Seite die Namen der erkannten bösartigen Dateien auf, zusammen mit dem Datum der Quarantäne und dem Gerätenamen. Sie können über die Seiteneinstellungen Spalten für den Namen der Bedrohung und den anwendbaren Schutzplan hinzufügen. Über ein Mini-Menü am Ende eines jeden Eintrags können Sie die ausgewählten Elemente in die Whitelist aufnehmen, wiederherstellen oder löschen.

Protection\Whitelist Seite

Die Whitelist Seite zeigt alle Anwendungen an, die beim Backup-Scanning gefunden und als sicher eingestuft wurden. Um die automatische Erstellung einer Whitelist zu aktivieren, muss der Backup-Scan geplant werden.

Software Management Seiten

Die Seiten Patches und Vulnerabilities unter Software Management werden ausgefüllt, wenn eine Schwachstellenbewertung in einem Schutzplan erstellt und mindestens einmal ausgeführt wurde.

Reports Seite

Der Reports Seite listet eine Reihe von Themen auf, für die Berichte erstellt werden können, darunter Alerts, Detected threats, Discovered machines, Existing vulnerabilities und Patch management summary. Wenn Sie auf den Namen eines Berichts klicken, öffnet sich eine Detailseite zu diesem Element. Die Seite Alerts enthält zum Beispiel Felder mit folgenden Informationen 5 latest alerts, Active alerts summary, Historical alerts summary, Active alerts details, und Alerts history. Farbige Warnsymbole und Doughnut-Diagramme heben die wichtigsten Punkte dezent hervor. Wie bei anderen Seiten der Konsole kann die Reports Seite individuell gestaltet werden.

Settings Seiten

Unter Settings/Protection können Sie den Zeitplan für die Aktualisierung der Schutzdefinitionen festlegen und die Funktion Remote Connection aktivieren. Auf der Seite Agents können Sie die Version des auf jedem Client installierten Endpunkt-Agenten einsehen und bei Bedarf aktualisieren. Wenn auf einem Gerät ein veralteter Agent installiert ist, wird im Menüfeld der Konsole unter Settings/Agents eine Warnung angezeigt. Dies macht deutlich, dass Sie Maßnahmen ergreifen müssen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe-Format können auf der Devices Seite durch klicken auf die Add Schaltfläche heruntergeladen werden. Es gibt separate Installationsprogramme für Windows-Clients und Windows-Server. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, wenn Sie ein Relais-Gerät in Ihrem LAN einrichten. Durch manuelles Ausführen des .exe-Installationsprogramms können Sie auch .mst- und .msi-Dateien für eine unbeaufsichtigte Installation erstellen. Nachdem Sie eine lokale Installation auf einem Client-PC durchgeführt haben, müssen Sie auf Register the machine im Client-Fenster klicken. Sie müssen sich dann vom Client-PC aus bei der Verwaltungskonsole anmelden, den Eintrag des Geräts suchen und einen Schutzplan anwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem kleinen Informationsfenster. Hier können Sie den Status des Echtzeit-Malware-Schutzes sowie Datum und Uhrzeit des nächsten geplanten Backups sehen. Auch die Einstellungen für die Backup-Verschlüsselung und den Proxy-Server können hier geändert werden. Nutzer können einen Ordner oder eine Datei auf Malware scannen, indem sie mit der rechten Maustaste im Windows File Explorer darauf klicken.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Acronis die schädlichen Dateien sofort und isolierte sie. Es wurde kein Warnhinweis dazu angezeigt.

Über das Produkt

Avast Ultimate Business Security bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Zu den zusätzlichen Funktionen für Windows-Clients gehören USB-Gerätekontrolle, eine Ersatz-Firewall, Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Exchange- und SharePoint-Sicherheit werden für Windows-Server bereitgestellt, und eine vollständige Patch-Verwaltung ist für alle Windows-Computer enthalten. In diesem Bericht werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Aufgrund seiner Benutzerfreundlichkeit eignet es sich unserer Meinung nach jedoch auch für kleine Unternehmen, die über kein eigenes IT-Supportpersonal verfügen.

Vorteile

  • Gut geeignet für kleine und mittlere Unternehmen
  • Ein-Klick-Wiederherstellungsoption auf dem Dashboard
  • Die Konsole ist leicht zu navigieren und entspricht den Standards für Barrierefreiheit
  • Mit der Netzwerk-Scan-Funktion können Sie problemlos nicht verwaltete Geräte erkennen und Security-Software installieren
  • Umfasst Patch-Management, ein VPN, Datenvernichtung, Daten-/Identitätsschutz und Gerätekontrolle

Verwaltungskonsole

Dashboard Seite

Die standardmäßige Dashboard-Seite bietet einen Überblick über den aktuellen Sicherheitsstatus. Sie sehen zu behebende Warnungen, Statistiken zur Threat-Erkennung, die Anzahl der Geräte in den Zuständen sicher/gefährdet/gefährdet sowie Abonnementinformationen. Wenn Sie mit der Maus über eine der Grafiken fahren, wird ein farbiges Informationsfeld mit einer Zusammenfassung des jeweiligen Elements angezeigt. Das Alerts to resolve Panel macht es besonders einfach, offene Risiken zu erkennen und zu beseitigen. Es gibt eine Liste von Alarmtypen, wie zum Beispiel Threats unresolved und Antivirus program is outdated. Für jeden Alarmtyp gibt es eine entsprechende vorgeschlagene Maßnahme, z.B. Restart + boot time scan oder Update - Die Standardeinstellung kann über eine Dropdown-Liste geändert werden. Nachdem Sie die gewünschte Aktion ausgewählt haben, brauchen Sie nur noch auf den Text zu klicken, um sie auszuführen. Auf diese Weise ist es extrem einfach, Sicherheitsprobleme in Ihrem Netzwerk zu erkennen und zu beheben.

Alerts Seite

Hier werden wichtige Warnhinweise (aus verschiedenen Quellen) angezeigt, z.B. Malware-Erkennungen und Geräte, die veraltet sind oder neu gestartet werden müssen. Sie können auf jeden Warnhinweis klicken, um zur entsprechenden Detailseite zu gelangen. Am Ende jedes Eintrags finden Sie dieselben Optionen zur Behebung, die auch auf der Dashboard-Seite verwendet werden. In dieser Dropdown-Liste können Sie die Warnhinweise (für alle Rechner oder bestimmte Gruppen) für 7, 30 oder 90 Tage stummschalten. Stummgeschaltete Alarme werden auf einer separaten Registerkarte der Alarmseite angezeigt. Auf einer weiteren Registerkarte sehen Sie gelöste Fälle, d.h. solche, die Sie bereits bearbeitet haben. Ein Feld am oberen Rand der Seite zeigt die Anzahl der Warnungen und den Critical, Warning und Informative Status. Das Anklicken des Alert Settings in der oberen rechten Ecke führt Sie zu einer Konfigurationsseite, auf der Sie auswählen können, welche Benachrichtigungen in der Konsole angezeigt werden sollen und ob Sie E-Mail-Erinnerungen erhalten möchten.

Devices\Managed devices Seite

Der Managed devices zeigt den Status und die Warnungen, das Betriebssystem, die Gruppenzugehörigkeit und die Richtlinie jedes Geräts sowie das installierte Security-Produkt, den Patch-Status und das zuletzt gesehene Datum. Über die Schaltflächen und Menüs in der oberen rechten Ecke können Sie verschiedene Aufgaben auf den ausgewählten Computern ausführen, wie z.B. Neustart, Scannen, Aktualisierung, Behebung von Warnungen und Änderung der Gruppenmitgliedschaft oder Richtlinie. Mit dem Groups Button können Sie neue Gruppen erstellen, denen Richtlinien zugewiesen werden können. Die drei Kästchen in der oberen linken Ecke der Seite zeigen die Anzahl der Geräte mit rotem, gelbem und grünem Status an und geben so einen Überblick darüber, wie viele Geräte Aufmerksamkeit benötigen.

Device details Seite

Durch Klicken auf den Namen eines Geräts in der Devices öffnet sich die Detailansicht des Geräts. Hier sehen Sie eine Vielzahl von Informationen, darunter die genaue Betriebssystemversion, die AV-Programmversion, die Version der AV-Definitionen, die Version des Verwaltungsagenten, die internen und externen IP-Adressen, die MAC-Adresse und die Domänenzugehörigkeit.

Devices\Network discovery Seite

Auf dieser Seite können Sie Ihr lokales Netzwerk oder Ihre Active Directory-Domäne nach Computern scannen, die noch nicht von Avast verwaltet oder geschützt werden. Dazu müssen Sie zunächst ein derzeit verwaltetes Gerät als Scan-Agent bestimmen, was sehr schnell und einfach einzurichten ist. Dann müssen Sie nur noch auf Scanklicken und nach wenigen Augenblicken sehen Sie eine Liste der nicht verwalteten Geräte. Als wir dies in unserem Test-LAN ausprobierten, wurden alle Windows-Computer und sogar andere Netzwerkgeräte, wie Router und Drucker, erkannt. Sie können die Endpoint-Protection-Software für verwaltbare Geräte direkt von der Network Discovery Seite einsetzen.

Policies Seite

Sie können die Avast-Standardrichtlinie verwenden oder Ihre eigenen Schutzeinstellungen für verwaltete Geräte konfigurieren. Kleine Grafiken neben jedem Steuerelement zeigen die unterstützten Betriebssysteme (Windows-Clients, Windows-Server, macOS) an, für die das Element gilt. Sie können in jeder Richtlinie eine breite Palette von Einstellungen konfigurieren. Es gibt Abschnitte für General Settings (einschließlich Aktualisierungen, Fehlerbehebung und Neustartoptionen); Service Settings (Antivirus, Patch-Management, VPN, Firewall und USB-Gerätekontrolle); Exclusions (für Virenschutz, Patch-Management und USB-Schutz); und Assignments (Geräte, auf die die Richtlinie angewendet werden).

Reports Seite

Es gibt neun verschiedene Berichtskategorien für Avast Ultimate Business Security: Executive Summary, Device Report, Task Report, Antivirus Threat Report, Patch Report, Remote Control Report, Cloud Backup Overview, Cloud Backup History und USB Protection Report. Sie können auf jede dieser Rubriken klicken, um eine grafische Darstellung der jüngsten Aktivitäten zu sehen. Zum Beispiel, Antivirus Threats Report zeigt ein Diagramm der reparierten, blockierten, gelöschten, in Quarantäne gestellten oder nicht behobenen Bedrohungen des letzten Monats. Sie können Berichte nach einem wöchentlichen oder monatlichen Zeitplan erstellen und bereits erstellte geplante Berichte anzeigen.

Users page

Hier können Sie Konsolenbenutzer verwalten. Es gibt zwei Ebenen von Berechtigungen, die im Wesentlichen volle Kontrolle und nur Lesen sind.

Subscriptions Seite

Wie zu erwarten, wird hier angezeigt, welche Produktlizenzen Sie derzeit besitzen, wie viele davon verwendet werden und wann sie ablaufen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien können entweder im .exe- oder im .msi-Format von der Devices Seite heruntergeladen werden. Sie können die zu verwendende Gruppe und Richtlinie sowie die Online- oder Offline-Version des Installationsprogramms angeben. Die Installationsdatei kann manuell, über ein System-Management-Produkt oder über ein AD-Skript ausgeführt werden. In einer Active Directory-Umgebung ist auch eine Remote-Push-Installation möglich, indem ein Dienstprogramm auf einem Relay-Computer im LAN installiert wird. Auf der Download-Seite können Sie einen Download-Link erstellen, den Sie kopieren und per E-Mail an die Nutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Password Protection Option in der entsprechenden Richtlinie aktivieren.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster (Sie können das Symbol in der Systemablage über eine Richtlinie ausblenden, wenn Sie möchten). Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und schnelle, vollständige, gezielte und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk scannen oder eine Sandbox-Analyse durchführen, indem sie mit der rechten Maustaste auf das Menü des Windows Explorers klicken. Falls gewünscht, können Benutzer mit Windows-Administratorkonten in Quarantäne befindliche Objekte wiederherstellen, Schutzkomponenten deaktivieren oder das Programm deinstallieren.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Avast zunächst keine Maßnahmen. Als wir jedoch versuchten, die Malware auf den Windows-Desktop zu kopieren, wurde sie von Avast sofort erkannt und unter Quarantäne gestellt. Es wurde ein Popup-Warnhinweis angezeigt, der so lange bestehen blieb, bis er manuell geschlossen wurde. Eine weitere Nutzeraktion war nicht erforderlich, aber es wurden Optionen zum Scannen des PCs und zur Anzeige von Details der erkannten Bedrohung angezeigt. Sie können die Warnhinweise über eine Richtlinie deaktivieren, wenn Sie möchten.

Über das Produkt

Bitdefender GravityZone Business Security Premium bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unseres Erachtens ist es auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet.

Vorteile

  1. Hochgradig anpassbare Seiten
  2. Anklickbare Grafiken ermöglichen den einfachen Zugriff auf Detailseiten
  3. Detaillierte Malware-Analyse
  4. Risikomanagement-Funktion
  5. Leicht zugängliche Meldungsdetails

Management Console

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Die wichtigsten Punkte sind Monitoring, Incidents, Threats Xplorer, Network, Risk Management, Policies, Reports, Quarantine, Accounts, Sandbox Analyzer und Configuration.

Monitoring/Executive Summary Seite

Die Seite Executive Summary (Screenshot oben) wird angezeigt, wenn Sie die Konsole zum ersten Mal öffnen. Sie ist in Informationsfelder unterteilt, die einen Überblick über verwaltete Endpunkte, blockierte Bedrohungen, Bedrohungstypen und durchgeführte Abhilfemaßnahmen geben. Jedes Informationsfeld kann angeklickt werden. Wenn Sie also z.B. auf Managed endpoints klicken, werden Sie zur Seite Network (Devices) weitergeleitet.

Incidents Seite

Incidents ermöglicht es Ihnen, im Netzwerk erkannte Bedrohungen zu überprüfen und zu untersuchen. Standardmäßig wird eine chronologische Liste der erkannten Bedrohungen angezeigt. Es gibt Spalten für Bedrohungs-ID, Datum und Uhrzeit, Status der Untersuchung, Schweregrad, ergriffene Maßnahmen, Endpunkt, Anzahl der Alarme und Angriffstyp (z.B. Malware). In den Feldern am oberen Rand werden die Anzahl der offenen Warnungen nach Schweregrad, die wichtigsten Warnungen und die am stärksten betroffenen Geräte angezeigt. Sie können auf die angezeigten Zahlen klicken, um die entsprechende Detailseite aufzurufen. In den Feldern am oberen Rand jeder Listenspalte können Sie nach der jeweiligen Kategorie filtern, d.h. Sie können den Schweregrad der Bedrohung, den Zeitraum oder den Endpunkt angeben, um die Liste einzuschränken.

Wenn Sie auf das Prozessbaum-Symbol am rechten Ende des Eintrags eines Threats klicken, sehen Sie eine grafische Darstellung des Bedrohungsereignisses sowie weitere Details wie z.B. die durchgeführten Abhilfemaßnahmen:

Threats Xplorer Seite

Hier wird eine einfache Liste der erkannten Malware angezeigt, einschließlich der Quell-URL oder des lokalen Pfads, des Dateinamens, der durchgeführten Aktion, des Gerätenamens und des Tages/der Uhrzeit der Erkennung.

Network Seite

Die Network Seite zeigt Ihnen alle verwalteten Geräte in Ihrem Netzwerk, geordnet in Gruppen, die Sie selbst erstellen können (siehe Screenshot oben). Ein Navigationsbereich auf der linken Seite der Seite zeigt Ihre Gruppenstruktur und ermöglicht es Ihnen, Geräte per Drag-and-Drop den Gruppen zuzuordnen. Über eine Menüleiste am oberen Rand des Hauptfensters können Sie z.B. Berichte erstellen, Richtlinien zuweisen oder Geräte löschen. Das Tasks Menü enthält verschiedene Aktionen, die auf ausgewählten Geräten durchgeführt werden können, z.B. Scans, Updates, Reparaturen und Neustarts.

Die Packages Seite im Unterverzeichnis lässt Sie die Deployment-Packages konfigurieren. Sie können u.a. die zu installierenden Komponenten, die Verwendung als Relay für die Push-Installation und die Entfernung vorhandener AV-Produkte angeben. Auf der Tasks Seite im Unterverzeichnis können Sie den Status von Aufgaben wie Scans und Updates einsehen.

Risk Management Dashboard Seite

Hier sehen Sie eine breite Palette von Daten, die Sie für den proaktiven Schutz Ihres Netzwerks nutzen können. In verschiedenen Bereichen werden relevante Informationen in farbigen Diagrammen angezeigt. Die Seite Company Risk Score gibt Ihnen eine Bewertung von 1 bis 100, basierend auf Misconfigurations, Vulnerable Apps, und Human Risks (unsicheres Verhalten von Nutzern). Für jeden dieser Punkte gibt es ein eigenes Detailfenster. Außerdem gibt es eine Zeitleiste mit dem Risk Score über die letzten 7 Tage, zusammen mit Panels für die anfälligsten einzelnen Server, Workstations und Benutzer. Die Security Risks Seite im Unterverzeichnis zeigt vollständige Listen der Geräte, Benutzer und gefährdeten Anwendungen, die auf der Hauptseite zusammengefasst sind.

Policies Seite

Hier können Sie die Konfiguration von Gruppen von Client-Geräten ändern. Über eine Menüspalte auf der linken Seite können Sie durch die verschiedenen Bereiche der einzelnen Richtlinien navigieren, z.B. Anti-Malware, Firewall und Gerätekontrolle.

Reports Seite

Hier können Sie Zusammenfassungen von Informationen, zu einer Vielzahl von Aspekten, erstellen, z.B. zu blockierten Websites, Gerätekontrollaktivitäten, dem Status des Endpunktschutzes, der Einhaltung von Richtlinien und dem Aktualisierungsstatus einsehen. Das Berichtsintervall kann auf diesen Monat, den Vormonat, dieses Jahr oder das Vorjahr festgelegt werden. Sie können auch Gerätegruppen auswählen, die einbezogen werden sollen.

Quarantine Seite

Quarantine gibt Ihnen einen Überblick über die gesamte Malware, die im Netzwerk unter Quarantäne gestellt wurde, und die Möglichkeit, ausgewählte Dateien zu löschen oder wiederherzustellen.

Accounts Seite

Mit Accounts können Sie Konsolenbenutzer hinzufügen, entfernen und bearbeiten. Es gibt drei Standard-Berechtigungsstufen, von voller Kontrolle bis hin zu nur lesen. Sie können auch eigene Berechtigungsstufen erstellen. Auf der Unterseite User Activity können Sie die Aktivitäten der Benutzerkonten überwachen.

Sandbox Analyzer Seite

Der Sandbox Analyzer liefert eine Aufschlüsselung der unbekannten Dateien, die von der Sandbox-Funktion analysiert wurden, mit einem Schweregrad von 0 (völlig harmlos) bis 100 (eindeutig bösartig).

Configuration Seite

Der Configuration Seite lässt Sie Konfigurationsänderungen für die Konsole selbst vornehmen.

Notifications Panel

Ein Klick auf das Glockensymbol in der oberen rechten Ecke öffnet das Notifications Panel. Hier wird eine Liste von Ereignissen wie Anmeldungen und Erkennungen angezeigt. Wenn Sie auf ein Element klicken, wird ein Absatz mit Informationen innerhalb des Fensters angezeigt. Zum Beispiel, mit Login From New Device können Sie die IP-Adresse des Geräts, das Betriebssystem des Geräts, den verwendeten Browser sowie Datum und Uhrzeit sehen. Um noch mehr Informationen zu erhalten, klicken Sie auf Show moreund Sie gelangen zur vollständigen Detailseite im Hauptfenster der Konsole.

Windows Endpoint Protection-Client

Deployment

Unter Network\Packages können Sie Installationsdateien im .exe-Format erstellen und herunterladen. Zur Auswahl stehen Light-, Full 32-Bit- und Full 64-Bit-Installer. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem der Endpunkt-Client auf einem Relais-Computer im LAN installiert wird. Alternativ können Sie ein Installationsprogramm direkt von der Seite Packages per E-Mail an die Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Set uninstall password in den Einstellungen der entsprechenden Richtlinie verwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie die Richtlinie ändern, können Sie das Symbol in der Taskleiste ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, forderte uns Bitdefender auf, einen Scan des externen Laufwerks durchzuführen. Wir brachen dies ab und öffneten das Laufwerk im Windows Explorer. Es gelang uns nicht, eines der Malware-Samples auf den Windows-Desktop zu kopieren, und es wurde ein Popup-Warnhinweis angezeigt, der darauf hinwies, dass Malware entdeckt wurde. Diese schloss sich nach einigen Sekunden. Es ist keine Benutzeraktion erforderlich oder möglich. Sie können Erkennungswarnhinweise per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cisco Secure Endpoint Essentials bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware bietet das Produkt Funktionen zur Überwachung, Untersuchung und Abwehr von Sicherheitsbedrohungen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

  • Investigative Merkmale
  • Geeignet für mittlere bis große Unternehmen
  • Es wird eine detaillierte Zeitleiste der Angriffe angezeigt.
  • Die Reaktion auf Angriffe kann automatisiert werden
  • Die gut gestaltete Benutzeroberfläche ermöglicht einen unkomplizierten Zugriff auf eine Vielzahl von Funktionen

Management Console

Dashboard Tab

Der Dashboard Tab des Dashboard ist im obigen Screenshot dargestellt. Es gibt eine Reihe von Feldern mit farbigen Balkendiagrammen. Diese zeigen Compromises, Quarantined Detections, Vulnerabilities, Significant Compromise Observables, und Compromise Event Types. Der Inbox Seite zeigt eine kompakte, zusammengefasste Version desselben Sachverhalts. Die Overview Seite bietet den besten grafischen Überblick über den Zustand des Netzes, mit farbigen Balken- und Doughnut-Diagrammen, die Folgendes zeigen Compromises, Threats, Vulnerabilities, Computers, Network Threats, AV Definition Status, und File Analysis. Diese fassen die wichtigsten Informationen sehr übersichtlich zusammen. Auf der Events Seite sind die jüngsten Entdeckungen aufgeführt.

Analysis Menu

In dem Analysis Menü finden Sie Funktionen zur Untersuchung von Angriffen.

Events zeigt eine Liste von Ereignissen, wie z.B. die Installation und Deinstallation von Endpunkt-Clients und Bedrohungen, die auf geschützten Geräten aufgetreten sind. Dazu gehören der Zugriff auf riskante Websites, Downloads bösartiger Dateien und Versuche, mutmaßliche Malware unter Quarantäne zu stellen. Wenn Sie auf ein Element klicken, werden weitere Details angezeigt, z.B. die IP-Adresse und der Port der Bedrohungswebsite sowie der Hash der schädlichen Datei. Im Detailbereich einer vermuteten bösartigen Datei können Sie auf Analyzeweitere Einzelheiten über die File Analysis ansehen. Sie zeigt Ihnen die spezifischen Verhaltensindikatoren für die Erkennung einer Datei als schädlich.

Um zu sehen, welche legitimen Programme in Malware-Begegnungen verwickelt waren, werfen Sie einen Blick auf die Threat Root Cause Seite. Ein farbiges Tortendiagramm zeigt Ihnen die Verteilung der Malware, auf die bestimmte Anwendungen, wie chrome.exe oder explorer.exe. .

Auf Prevalence Seite wird die Anzahl der Geräte angezeigt, die von einem bestimmten Threat betroffen sind.

Unter Vulnerable Software werden Programme mit bekannten Sicherheitslücken aufgelistet. Außerdem gibt es CVE-ID- und CVSS-Informationen, die bei der Identifizierung und Behebung des Problems helfen.

Reports bietet einen sehr detaillierten Bericht pro Woche und/oder Monat und/oder Quartal. Darin werden zahlreiche Punkte wie Bedrohungen, Kompromittierungen und Schwachstellen behandelt. Diese werden mit farbigen Balken und Doughnut-Diagrammen dargestellt.

Die Seite Indicators zeigt Kompromittierungsindikatoren (IOCs) an, die Ereignisse auslösen. Diese dienen als Benachrichtigung über verdächtige oder bösartige Aktivitäten auf einem Endpunkt, die dann untersucht werden können. Sie können diese Seite über das Menü Analysis aufrufen. Jeder Indikator enthält eine kurze Beschreibung der Art des Angriffs. Außerdem gibt es Informationen über die verwendeten Taktiken und Techniken, die auf der MITRE ATT&CK-Wissensdatenbank basieren.

Outbreak Control Menu

Das Outbreak Control Menü bietet Optionen zum Sperren oder Zulassen bestimmter Anwendungen und IP-Adressen. Außerdem gibt es benutzerdefinierte Erkennungsoptionen. Mit diesen können Sie die Installation jedes Programms blockieren, das Sie als schädlich oder unerwünscht im Netzwerk erachten. Sie können auch IOC-Scans (Indicator of Compromise) durchführen.

Der Automated Actions Funktion (siehe unten) lässt Sie Aktionen festlegen, die automatisch ausgelöst werden, wenn ein bestimmtes Ereignis auf einem Computer eintritt. Wenn der Computer beispielsweise kompromittiert ist, können Sie einen forensischen Schnappschuss erstellen, den Computer isolieren, ihn in eine bestimmte Gruppe verschieben oder eine beliebige Kombination dieser Aktionen durchführen. Sie können auch verdächtige Dateien zur Analyse einreichen, sobald sie entdeckt werden. In jedem Fall wird die Mindestbedrohungsstufe (Critical, High, Medium oder Low), die zum Auslösen der Aktion erforderlich ist, angegeben werden.

Management Menu

Der Management Menü enthält eine Reihe weiterer Standardfunktionen. Dazu gehören Computer, Groups, Policies, Exclusionsund Deployment Options.

Auf der Seite Computers (unten) finden Sie oben eine Reihe von Statistiken, z.B. über Computer mit Fehlern oder solche, die aktualisiert werden müssen. Darunter befindet sich eine Liste der einzelnen Geräte mit einer Statusübersicht für jedes Gerät. Sie können einen Computer für weitere Aufmerksamkeit markieren, indem Sie hier auf das Flaggensymbol klicken. Wenn Sie auf das Pfeilsymbol für ein Gerät klicken, wird ein detailliertes Informationsfenster angezeigt. Hier werden Informationen wie Betriebssystemversion, Anschlussversion, Definitionsversion, interne und externe IP-Adressen sowie Datum und Uhrzeit des letzten Besuchs angezeigt. Die Liste der Computer kann nach jedem der oben genannten Parameter gefiltert werden.

In den Angaben zu den einzelnen Computern findet sich ein Link zu Device Trajectory (siehe Screenshot unten). Hier werden Erkennungsereignisse nach Datum angezeigt (als rote Punkte im Kalenderabschnitt oben auf der Seite). Die Seite bietet eine sehr detaillierte Ansicht jedes Ereignisses mit einer Zeitleiste, die die Reihenfolge der Phasen anzeigt. Es gibt eine Fülle von Informationen, die bei der Untersuchung eines Angriffs hilfreich sind, einschließlich der beteiligten Systemprozesse, Hashes verdächtiger Dateien, IP-Adressen, auf die zugegriffen wurde, und vieles mehr. Wenn Sie mit der rechten Maustaste auf einen Prozessnamen in der System Spalte klicken, öffnet sich ein Kontextmenü mit zahlreichen Optionen, darunter eine Zusammenfassung der Erkennungen oder ein vollständiger Bericht von VirusTotal. Außerdem gibt es die Option Investigate in Cisco Threat Response. Dadurch wird eine separate Konsole geöffnet, mit der Sie die Art der Bedrohung und die Auswirkungen auf Ihr Netzwerk untersuchen können.

Der Endpoint Isolation Funktion muss in der entsprechenden Richtlinie aktiviert werden, bevor sie verwendet werden kann. Sie ermöglicht es Ihnen, den gesamten ein- und ausgehenden Netzwerkverkehr auf einem Computer zu blockieren (mit Ausnahme der Kommunikation mit der Verwaltungskonsole). Auf diese Weise können Sie eine potenzielle Bedrohung sicher untersuchen. 

Windows Endpoint Protection-Client

Deployment

Installationsprogramme im .exe-Format finden Sie durch Klicken aufden Management\Download Connector. Sie müssen eine Gerätegruppe auswählen, die festlegt, welche Richtlinie angewendet werden soll. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Auf der Seite finden Sie auch einen Download-Link, den Sie kopieren und per E-Mail an die Benutzer senden können. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Option Enable Connector Protection in der jeweiligen Richtlinie aktivieren.

Benutzeroberfläche

Die grafische Benutzeroberfläche der Endpoint-Protection-Software umfasst ein System-Tray-Symbol und ein Programmfenster. Damit können Benutzer Updates und Scans ausführen und die Protokolle anzeigen. Es gibt eine Reihe von Scans, die Benutzer ausführen können. Diese sind Flash Scan (laufende Prozesse), Custom Scan, Full Scan, oder Rootkit Scan. Die Nutzer können eine Datei/Ordner/Laufwerk auch über das Rechtsklick-Menü des Windows Explorers scannen. Sie können die Benutzeroberfläche vollständig über die Richtlinien ausblenden lassen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Cisco zunächst keine Maßnahmen. Als wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie sofort erkannt und unter Quarantäne gestellt. Dem Endbenutzer wurde kein Warnhinweis angezeigt. Die Endpunkt-Software kann jedoch per Richtlinie so konfiguriert werden, dass Erkennungsbenachrichtigungen angezeigt werden.

Über das Produkt

CrowdStrike Falcon Pro bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Tausenden von Geräten verwalten. Wir weisen darauf hin, dass CrowdStrike Falcon Pro als vollständig verwalteter Service für Unternehmen erhältlich ist, die eine Lösung zum Schutz von Endgeräten wünschen, bei der sie sich um nichts kümmern müssen. CrowdStrike teilt uns mit, dass das Unternehmen über Rechenzentren in den USA und der EU verfügt, um die jeweiligen Datenschutzbestimmungen einzuhalten.

Vorteile

  • Investigative Funktionen
  • Umfassende Suchmöglichkeiten
  • Die anklickbare Oberfläche bietet einfachen Zugang zu Detailseiten
  • Enzyklopädie der bekannten cyberkriminellen Gruppen
  • Geeignet für mittelgroße bis große Unternehmen

Management Console

Die Navigation in der Konsole erfolgt über das Falcon-Menü in der linken oberen Ecke der Konsole. Hier werden die einzelnen Seiten unter Überschriften wie Activity, Investigate, Hosts, Configuration, Dashboards und Usersangezeigt. Sie können jede beliebige Seite der Konsole mit einem Lesezeichen versehen (über das Lesezeichen-Symbol in der linken oberen Ecke der Seite) und diese dann direkt über die Bookmarks Sektion des Menüs nutzen.

Activity\Dashboard Seite

Dies ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal bei der Konsole anmelden (siehe Screenshot oben). Sie zeigt verschiedene Statuselemente in großen Feldern an. Es gibt eine Liste der jüngsten Erkennungen mit einer grafischen Schweregradbewertung. Sie können auch ein Diagramm der Erkennungen nach Taktik (z.B. Machine learning, Defense Evasion) über den vergangenen Monat sehen. Zur Darstellung der Angriffsstadien werden hier Begriffe aus dem MITRE ATT&CK Framework verwendet. Einige der Panels sind mit Detailseiten verlinkt. Sie brauchen daher nur auf die Schaltfläche New detections klicken, um die Detections Detailseite zu öffnen.

Activity\Detections Seite

Hier können Sie eine Liste der erkannten Bedrohungen nach einer Vielzahl von Kriterien durchsuchen. Dazu gehören Schweregrad, Malware-Taktik, Erkennungstechnik, Datum und Uhrzeit, betroffenes Gerät und angemeldeter Benutzer. Zu jeder Erkennung können Sie alle Details einsehen, einschließlich einer Prozessstruktur (siehe Screenshot unten). Sie können einen Konsolenbenutzer für die Behebung zuweisen.

Activity\Quarantined Files Seite

Wie zu erwarten, können Sie auf dieser Seite Dateien sehen, die vom System unter Quarantäne gestellt wurden. Sie können den Dateinamen, den Gerätenamen, die Anzahl der Erkennungen im Netzwerk, den beteiligten Benutzer, den Status und natürlich Datum und Uhrzeit der Erkennung sehen. In Quarantäne gestellte Dateien können freigegeben oder gelöscht werden. Wenn Sie auf den Eintrag einer unter Quarantäne gestellten Datei klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen. Dazu gehören der Dateipfad für den Ort, an dem die Datei entdeckt wurde, Dateihashes, Dateigröße, Dateiversionsnummer, Erkennungsmethode und Schweregrad. Es gibt eine Suchfunktion und eine Reihe von Filtern, die Sie verwenden können, um bestimmte Dateien in der "Quarantine repository" zu finden.

Configuration\Prevention Policies Seite

Hier können Sie die Schutzrichtlinien für Endpunkte erstellen und bearbeiten. Sie können das Verhalten für eine Reihe verschiedener Arten von angriffsbezogenem Verhalten definieren, z.B. für Ransomware, Exploitation und laterale Bewegungen. Einige Sensorkomponenten, wie z.B. Cloud Machine Learning und Sensor Machine Learning, haben getrennte konfigurierbare Stufen für Erkennung und Prävention. Es können 5 verschiedene Empfindlichkeitsstufen eingestellt werden, von Disabled auf Extra Aggressive. Hier können auch benutzerdefinierte Angriffsindikatoren (Indicators of Attack, IOA) erstellt und zugewiesen werden, und es gibt eine Option zur automatischen Behebung von IOA-Erkennungen.

Richtlinien können den Geräten automatisch über ein Benennungssystem zugewiesen werden. So kann z.B. jedes Gerät mit "Win" im Namen automatisch in eine bestimmte Gruppe von Windows-Computern eingeordnet werden, denen eine bestimmte Richtlinie zugewiesen wird. Geräten/Gruppen kann mehr als eine Richtlinie zugewiesen werden, wobei eine Richtlinienhierarchie festlegt, welche Richtlinie Vorrang hat.

Hosts\Host Management Seite

Auf der Seite Hosts/Host Management werden alle installierten Geräte aufgelistet. Sie können sofort sehen, welche davon online sind. Weitere Informationen sind Betriebssystem, Richtlinie, Sicherheitsstatus und Sensorversion. Wenn Sie auf den Eintrag eines Geräts klicken, öffnet sich ein Detailfenster für dieses Gerät. Hier finden Sie zusätzliche Informationen, wie Gerätehersteller, MAC-Adresse, IP-Adressen und Seriennummer.

Intelligence\Actors Seite

Auf dieser Seite finden Sie Einzelheiten zu bekannten cyberkriminellen Gruppen. Sie können die Länder und Branchen sehen, auf die es die einzelnen Gruppen abgesehen haben, sowie technische Details zu den verwendeten Angriffsmethoden. CrowdStrike teilt uns mit, dass diese Informationen auch in Detection Details verfügbar sind, wenn eine Entdeckung mit einem bestimmten Akteur verbunden ist.

Investigate\Host Search Seite

Das Menü Investigate bietet eine äußerst umfassende Suchfunktion. Damit können Sie nach Geräten, Hashes, Benutzern, IP-Adressen, Domänen und Ereignissen suchen. Auf der Seite Host Search können Sie nach bestimmten Geräten suchen. Über eine separate Menüleiste können Sie nach bestimmten Aspekten wie Activity (einschließlich Erkennungen), Vulnerabilities und Custom Alerts suchen.

Windows Endpoint Protection-Client

Deployment

Installationsdateien für den Sensor (Endpunktschutz-Client) können im .exe-Format von der Hosts\Sensor Downloads Seite heruntergeladen werden. Ältere Versionen des Sensors sind auf Wunsch erhältlich. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Benutzeroberfläche

Es gibt überhaupt keine Schnittstelle zum Endpunkt-Client. Er ist für den Benutzer völlig unsichtbar, mit Ausnahme von Malware-Warnhinweisen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, reagierte CrowdStrike Falcon nicht. Als wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie sofort gelöscht. Die Erkennungen wurden sofort in der Verwaltungskonsole angezeigt. Es wurde ein Windows-Popup-Warnhinweis angezeigt, der nach einigen Sekunden wieder geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Schutzwarnungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Cybereason Enterprise bietet eine cloudbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware umfasst das Produkt Funktionen zur Analyse und Behebung von Angriffen. Es kann Netzwerke mit Hunderttausenden von Geräten verwalten.

Vorteile

  • Investigative Funktionen
  • Einfacher und schneller Client-Bereitstellungs-Prozess
  • Die Verwaltungskonsole ist über ein einziges Menü leicht zu navigieren
  • Klare grafische Darstellungen von bösartigen Aktivitäten
  • Die anklickbare Oberfläche bietet einfachen Zugang zu Detailseiten

Management Console

Die Konsole wird über das dreizeilige Menü in der oberen linken Ecke gesteuert.

Discovery board Seite

Der Discovery board (siehe Screenshot oben) ist die Seite, die Sie sehen, wenn Sie sich zum ersten Mal anmelden. Sie zeigt "Malops" (bösartige Vorgänge) in Spalten, je nach Typ, an. Die blauen Punkte stehen für eine bösartige Aktivität. Die Größe des Punktes steht für die Anzahl der betroffenen Rechner, und die Farbschattierung bezieht sich auf den Zeitpunkt der Aktivität (wie in der Leiste rechts auf der Seite erklärt). Wenn Sie auf einen Punkt klicken, werden in einem Popup-Fenster der Name der Datei/des Prozesses und die Art der Bedrohung (z.B. Einschleusung von bösartigem Code) sowie Datum und Uhrzeit der Aktion und das/die betroffene(n) Gerät(e) angezeigt. Wenn Sie auf das Pop-up klicken, wird die Detailseite für diesen Malop geöffnet. Wir freuen uns, dass Cybereason einen Hauch von Humor in die ernste Welt der IT-Security gebracht hat. Wenn alles in Ordnung ist, wird auf dem Discovery Board stehen: "Heute keine Malops gefunden. Wie wäre es mit einer Tasse Tee?".

Malops Management Seite

Der Malops Management Seite enthält eine Reihe von Feldern, die den Sicherheitsstatus des Netzwerks grafisch darstellen. Außerdem wird eine Liste der erkannten bösartigen Vorgänge in chronologischer Reihenfolge angezeigt (jede Warnung von der Seite Malware-Warnungen wird hier angezeigt). Die Informationen für jedes Element umfassen einen Bezeichner (Datei-/Prozessname), ein Erkennungsmodul und die betroffenen Geräte sowie Datum und Uhrzeit. Diese Informationen sind in großzügigen Reihen angeordnet, so dass sie leicht zu lesen sind. Es gibt Grafiken, die die Grundursache und die betroffenen Geräte darstellen. Sie können die Malops nach Status, Erkennungsmodul, Priorität, Betriebssystemtyp, Gerätestatus, Benutzerberechtigungen und Bezeichnungen filtern. Sie können auch eine Rasteransicht wählen, die mehr Elemente mit weniger Grafiken anzeigt. Wenn Sie auf einen der Malops klicken, wird die unten abgebildete Detailseite geöffnet.

Malop details Seite

Die Seite Malop-Details enthält eine Fülle von Informationen über den fraglichen Malop. Dazu gehören das infizierte Gerät, ein- und ausgehende Verbindungen zu und von dem Prozess sowie eine Zeitleiste. Einzelne Elemente der Übersichtsgrafik und der Zeitleiste sind anklickbar, so dass Sie weitere Details sehen können. Wenn der bösartige Prozess beispielsweise Netzwerkkommunikation verwendet hat, können Sie auf die entsprechende Grafik klicken, um die IP-Adresse des Remote-Computers anzuzeigen.

Die Informationen werden in sehr übersichtlichen Diagrammen dargestellt, die eine Zusammenfassung der Bedrohung auf einen Blick bieten. Dies scheint uns eine bemerkenswert effektive Art zu sein, die wichtigen Informationen schnell und einfach zu vermitteln. Über Registerkarten am unteren Rand der Seite können Sie den Malop aus den zusätzlichen Perspektiven von Prozessen, Netzwerkkommunikation, Maschinen und Benutzern betrachten. Die Seite Processes enthält einen Verweis auf die entsprechende Stufe des MITRE ATT&CK® Frameworks. Die Respond Schaltfläche, oben auf der Seite, können Sie verschiedene Aktionen zur Behebung des Problems durchführen, darunter Kill process und Isolate.

Malware alerts Seite

Hier werden Warnhinweise in Bezug auf bekannte und unbekannte Malware, dateilose Angriffe und Anwendungskontrolle angezeigt. Sie können die Warnhinweise nach all diesen Kategorien filtern. Die für jede Warnung bereitgestellten Informationen umfassen den Dateinamen, die durchgeführte Aktion, das betroffene Gerät sowie Datum und Uhrzeit. Für jede der Warnungen werden Investigate und Exclude Schaltflächen zur Verfügung gestellt, damit Sie damit umgehen können.

Investigation Seite

Der Investigation Seite können Sie anhand von Kriterien wie Rechner, Benutzer, Prozess, Datei, Verbindung, Domänenname und Erkennungsereignis individuelle Suchläufe nach bösartigen Aktivitäten erstellen. Es gibt auch vorgefertigte Abfragen, die es Ihnen ermöglichen, Dinge zu finden wie Unsigned Services employing autostart und Privilege Escalation to System.

Security profile Seite

Hier können Sie konfigurieren Reputation, Behavioral allowlisting, Custom detection rules, und machine isolation exceptions.

System Abschnitt

Die Hauptseite System hat eine Reihe von Unterseiten. Diese sind Overview, Sensors, Policies management, Detection servers und Groups.

System\Overview Seite

Die Standard Overview Seite bietet ein Doughnut-Diagramm des Status der installierten Geräte mit einem Farbleitsystem für Zustände wie Enabled, Disabled und Offline. Darunter zeigt ein Balkendiagramm den Anteil der aktuellen Clients.

System\Sensors Seite

Der System\Sensors wird eine Liste der geschützten Geräte mit Details wie Sensorversion, Betriebssystemtyp und IP-Adresse angezeigt. Wir weisen darauf hin, dass Offline-Computer in einer sehr blassgrauen Farbe angezeigt werden. Die Detailspalten können individuell angepasst werden, so dass Sie eine Vielzahl von Elementen wie CPU-Auslastung, Speichernutzung und Betriebssystemversion hinzufügen können.

Sie können ein Gerät oder mehrere Geräte auswählen und Aufgaben aus dem Menü Actions Menü, wie z.B. Update, Neustart, Einstellen der Richtlinie, Einstellen des Anti-Ransomware-Modus und Starten eines Systemscans. Über ein Panel oben auf der Seite können Sie eine lange Liste von Geräten nach Sensorstatus, Datensammlung, Betriebssystem, Update-Status, App-Kontrollstatus und Ransomware-Schutzstatus filtern.

System\Policies Management Seite

Der System\Policies Management Seite lässt Sie Richtlinien für die Endpoint-Software erstellen und bearbeiten. Für jede Richtlinie gibt es eine Konfigurationsseite mit einer linken Menüspalte. Damit können Sie zu bestimmten Abschnitten der Richtlinie wechseln. Diese sind Name & Description, Anti-Malware, Exploit protection, Fileless protection, Anti-Ransomware, App Control, Endpoint controls, Collection features, und Endpoint UI Settings. Jedes Element öffnet die entsprechende Konfigurationsseite mit übersichtlichen Bedienelementen für die einzelnen Unterkomponenten.

System\Detection servers Seite

Hier können Sie Details zu den Websites und Servern hinzufügen und bearbeiten, die die Schutzsoftware verwalten.

System\Gruppen Seite

Auf dieser Seite können Sie Verwaltungsgruppen für Ihre Geräte erstellen. Die Seite Create new group lässt Sie eine bestimmte Richtlinie zuweisen und neue Geräte automatisch zu der Gruppe hinzufügen, basierend auf der Active Directory-Organisationseinheit, dem Rechnernamen, der Organisation oder der internen/externen IP-Adresse.

Settings Seite

Auf dieser Seite können Sie Systemelemente wie Benachrichtigungen, Authentifizierung und Kennwortrichtlinien konfigurieren.

Support Seite

Die Support-Dienste des Produkts können durch Anklicken von Support, geändert werden, wie Sie es erwarten würden.

Windows Endpoint Protection-Client

Deployment

Installer-Dateien im .exe-Format können von der System\Overview Seite der Konsole heruntergeladen werden. Es gibt 32- und 64-Bit-Installationsprogramme für Windows. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Der Setup-Assistent der manuellen Installation kann mit einem einzigen Klick abgeschlossen werden und ist in wenigen Sekunden fertig.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage, dessen Menü den Schutzstatus, Datum und Uhrzeit der letzten Aktualisierung, Datum und Uhrzeit der letzten Scans, die Signaturversion und die Programmversion anzeigt. Benutzer können Updates, Schnell-Scans und vollständige Scans durchführen. Wenn Sie möchten, können Sie die Benutzeroberfläche und die Warnmeldungen mit Hilfe von Richtlinien vollständig ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Cybereason die schädlichen Dateien sofort und isolierte sie. Es wurde ein Pop-up-Warnhinweis angezeigt, der sich nach einigen Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich.

Über das Produkt

Elastic Security bietet entweder eine serverbasierte oder eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Letztere haben wir in diesem Review beschrieben. Neben dem Schutz vor Malware beinhaltet das Produkt auch investigative Funktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten.

Vorteile

  • Investigative Funktionen
  • Sauberes und einfaches Konsolendesign
  • Detaillierte Informationen über Netzwerkverbindungen werden bereitgestellt
  • Pop-up-Panels zeigen schnell Details von Daten in Diagrammen an
  • Geeignet für mittelgroße bis große Unternehmen

Management Console

Die Elastic-Konsole als Ganzes bietet neben der Sicherheit eine Reihe weiterer Funktionen. Der Zugriff auf die Security-Funktionen erfolgt (wie zu erwarten) über die Security Sektion im Hauptmenü von Elastic. In dieser Übersicht haben wir uns nur den relevanten Security Abschnitt der Konsole angesehen. Es gibt eine einzige Menüspalte auf der linken Seite der Konsole mit den Hauptkategorien Overview, Detect, Explore, Investigate, und Manage.

Overview Seite

Dies ist die Seite, die Sie sehen, wenn Sie den Security-Bereich der Konsole zum ersten Mal öffnen (siehe Screenshot oben). Sie gibt Ihnen einen Überblick über sicherheitsrelevante Ereignisse, die in Panels mit Balkendiagrammen dargestellt werden. Diese sind Detection alert trend, External alert trend, Events, Host events, und Network events. Wenn Sie mit der Maus über eines der Diagramme fahren, wird ein Feld mit einer detaillierten Aufschlüsselung für dieses Element angezeigt. Eine Schaltfläche in der oberen rechten Ecke jedes Feldes verweist auf die entsprechende Detailseite der Konsole.

Hosts Seite

Der Hosts Seite (siehe oben) bietet einen Überblick über die aktiven Clients. Sie können den Gerätenamen, das Betriebssystem und die Betriebssystemversion sehen. Wenn Sie auf den Namen eines Geräts klicken, wird dessen Detailseite geöffnet. Hier sehen Sie detailliertere Informationen wie IP-Adressen und MAC-Adressen, Sensorversion und Authentifizierungsereignisse.

Detect/Alerts Seite

Hier finden Sie eine Zeitleiste der letzten Erkennungswarnungen, die in 3-Stunden-Intervallen angezeigt wird. Außerdem gibt es eine detaillierte Übersicht über die einzelnen Ereignisse. Für jeden Alarm werden die Optionen Mark as acknowledged und Mark as closed angezeigt.

Der Investigate/Timelines und Cases Seiten werden nur ausgefüllt, wenn eine Untersuchung eingeleitet wurde.

Explore/Network Seite

Hierzu gehört eine Weltkarte, auf der die Standorte der Server verzeichnet sind, mit denen sich die Client-PCs verbunden haben. Darunter befindet sich eine Tabelle mit genauen Angaben zu diesen Verbindungen (siehe oben).

Manage/Trusted applications Seite

Damit können Sie Anwendungen auf der Whitelist hinzufügen und verwalten.

Manage/Endpoints Seite

Hier wird eine vollständige Liste aller Geräte im Netzwerk angezeigt, auch derjenigen, die sich in einem inaktiven Zustand befinden. Auf dieser Seite können Sie unter anderem auf die Richtlinien zugreifen, die die Sicherheitseinstellungen für vernetzte Geräte festlegen. Hier können Sie unter anderem Schlüsselereignisse definieren, die zur Analyse aufgezeichnet werden sollen, Benutzerbenachrichtigungen aktivieren und die Integration mit dem Windows Security Center vornehmen.

Windows Endpoint Protection-Client

Deployment

Die Bereitstellung des Endpunktschutz-Agenten kann über eine manuelle Installation auf dem Endpunkt oder über ein Systemverwaltungsprodukt oder Active Directory erfolgen. Ein gezipptes Installationspaket, das ein Installationsprogramm im .exe-Format sowie einige Konfigurationsdateien enthält, kann über die Add Agent Schaltfläche auf der Fleet\Agents Seite heruntergeladen werden. Das Informationsfenster, das sich hier öffnet, enthält auch die PowerShell-Syntax, die für die manuelle Ausführung des Installationsprogramms erforderlich ist. Wir weisen darauf hin, dass Sie die spezifische Version des Installationsprogramms verwenden müssen, die der Versionsnummer der Management-Konsole entspricht.

Benutzeroberfläche

Die Endpoint-Protection-Software ist für den Benutzer völlig unsichtbar, mit Ausnahme der Malware-Erkennungswarnungen (siehe unten). Sie erscheint nicht in den Windows Programs and Features oder Apps Listen. Dies bedeutet, dass selbst Benutzer mit Windows-Administratorkonten Schwierigkeiten bei der Deaktivierung haben.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff Elastic zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die schädlichen Dateien auf den Windows-Desktop zu kopieren, wurden sie von der Endpoint-Software erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

ESET PROTECT Entry mit ESET PROTECT Cloud bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Wir sind der Meinung, dass sie für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet ist, aber auch größere Netzwerke bewältigen kann. Bitte beachten Sie, dass es eine Auswahl an Endpoint Protection-Software für Windows-Clients gibt. ESET Endpoint Antivirus ist ein Anti-Malware-Programm mit vollem Funktionsumfang; ESET Endpoint Security (das in unseren Tests verwendet wurde) enthält zusätzlich weitere Funktionen wie eine Web-Kontrollfunktion und das ESET-Modul Network Protection. Das Paket enthält auch ESET File Security für Windows Server.

Vorteile

  • Modernes, anpassungsfähiges Oberflächendesign
  • Einfacher Zugriff auf Funktionen über eine einzige Menüspalte
  • Die anklickbare, vernetzte Konsole macht es einfach, zu den Detailseiten zu gelangen
  • Aufgabenautomatisierung über dynamische Gruppen
  • Auswahl der Endpoint-Protection-Software

Management Console

Dashboard/Computers Seite

So erhalten Sie auf einen Blick einen Überblick über das Netzwerk in Form von farbcodierten Doughnut-Diagrammen. Sie können den Sicherheitsstatus des Netzwerks sowie Details zu Problemen und abtrünnigen Computern sehen. Die Zeiten der letzten Verbindung/Aktualisierung und die Verteilung der Betriebssysteme werden angezeigt. Mit einem Klick auf die Grafik erhalten Sie weitere Details zu jedem Element. Ähnliche Links zu Details und Lösungen werden überall in der Konsole angeboten. Die Bereiche des Dashboards sind sehr anpassbar. Sie können sie u. a. verschieben, in der Größe verändern und den Diagrammtyp ändern. Andere Registerkarten auf der Dashboard Seite lassen Sie den Gesamtstatus, Antiviren- oder Firewall-Bedrohungen, ESET-Anwendungen und Cloud-basierten Schutz einsehen.

Computers Seite

Der Computers Seite (siehe oben) gibt Ihnen einen Überblick über alle verwalteten Geräte und Gerätegruppen im Netzwerk. Es gibt einige vorkonfigurierte dynamische Gruppen, zum Beispiel Computers with outdated operating system. So finden Sie leicht alle Geräte, die Ihre Aufmerksamkeit benötigen. Sie können Computer auch in Ihre eigenen Gruppen einteilen und Aufgaben für einzelne oder mehrere Geräte über das Actions Menü festlegen. Beispiele sind Scan, Update, Reboot, Shut Down, Manage Policies, Manage Products, und Remove. Wenn Sie auf den Eintrag eines einzelnen Computers klicken, wird eine detaillierte Informationsseite für dieses Gerät geöffnet (siehe Abbildung unten).

Detections Seite

Die Seite Detections zeigt Informationen über alle Bedrohungen, die von allen verwalteten Geräten im Netzwerk erkannt wurden. Zu den Details gehören Status, Erkennungstyp, Malwaretyp, Erkennungsname, durchgeführte Aktion, Gerätename, Benutzer, Dateipfad sowie Datum und Uhrzeit. Sie können auf den Eintrag eines beliebigen Threats klicken, um Details wie den Datei-Hash, die Quell-URL und den Erkennungsmechanismus zu erfahren. Es ist auch möglich, Dateien von dieser Seite aus auf die Whitelist zu setzen.

Reports Seite

Reports ermöglicht es Ihnen, Daten aus einer Vielzahl von Kategorien zu erfassen, darunter Antivirus detections, Automation, ESET LiveGuard, Firewall detections, Hardware inventory und Quarantine. Für jede Kategorie wird eine breite Palette von vorkonfigurierten Szenarien angeboten, die als Kacheln angezeigt werden. Um einen Bericht über eines dieser Elemente zu erstellen, müssen Sie nur auf die entsprechende Kachel klicken. Beispielberichte in der Antivirus detections sind Active detections, Blocked files in last 30 days, High severity detection events in last 7 days, und Last Scan. Sie können auch eigene Berichtsszenarien erstellen, wenn Sie möchten.

Tasks Seite

Mit Tasks können Sie eine Vielzahl von Aktionen auf einzelnen Geräten oder Gerätegruppen durchführen. Dazu gehören die Durchführung von Scans, Produktinstallationen und Updates. Sie können auch betriebssystembezogene Aufgaben ausführen, wie z.B. die Installation von Windows Updates und das Herunterfahren des Betriebssystems.

Installers Seite

Hier können Sie Installationspakete erstellen, die für die Bereitstellung der Endpoint-Protection-Software verwendet werden. Wenn Sie sich zum ersten Mal an der Konsole anmelden, können Sie dies mit Hilfe eines Einführungsassistenten sofort tun. Um ein Installationsprogramm zu erstellen, wählen Sie das entsprechende Produkt aus und konfigurieren die Installationsoptionen.

Policies Seite

Hier finden Sie eine praktische Liste mit vorkonfigurierten Richtlinien, die Sie anwenden können. Dazu gehören verschiedene Sicherheitsstufen, Optionen zur Gerätesteuerung und wie viel von der Benutzeroberfläche den Nutzern angezeigt werden soll. Es gibt separate Richtlinien für Windows-Server, Windows-Clients und macOS/Linux-Clients. Sie können auch Ihre eigenen benutzerdefinierten Richtlinien erstellen, wenn Sie möchten. Für die Mechanismen des maschinellen Lernens gibt es zwei Einstellungen: Reporting oder Protection.

Notifications Seite

Mit Notifications können Sie E-Mail-Benachrichtigungen für eine Reihe von verschiedenen Szenarien erhalten. Dazu gehören erkannte Bedrohungen und veraltete Endpunktsoftware. Diese sind sehr einfach einzurichten und zu bearbeiten. Sie müssen nur das/die Szenario(s) auswählen, eine E-Mail-Adresse eingeben und die Benachrichtigung aktivieren.

Status overview Seite

Der Status Overview Seite einen kurzen Überblick über wichtige Statusinformationen, unterteilt in die Kategorien Licences, Computers, Products, Invalid Objects und Questions. Der Invalid Objects Abschnitt weist z.B. auf Richtlinien hin, die sich auf veraltete Installationsprogramme beziehen. Questions weist auf "Entscheidungen [die] nicht automatisch getroffen werden können und die die Aufmerksamkeit des Verwalters erfordern".

More\Submitted files Seite

Diese Seite zeigt eine Liste von möglicherweise verdächtigen Dateien auf geschützten Endpunkten an, die an ESETs LiveGrid Dienst zur Analyse übermittelt wurden. Die Dateien können automatisch vom System, manuell vom Nutzer oder von einem anderen ESET-Administrator oder -System übermittelt worden sein.

More\Exclusions Seite

Die Seite Exclusions zeigt Dateien/Pfade, die von der Erkennung/dem Scannen ausgeschlossen wurden, und enthält Anweisungen zum Erstellen solcher Ausschlüsse.

More\Quarantine Seite

Hier sehen Sie alle unter Quarantäne gestellten Dateien sowie nützliche Details wie den Hash, den Erkennungstyp (Trojaner, PUA, Testdatei) und die Anzahl der betroffenen Computer. Sie können unter Quarantäne gestellte Dateien wiederherstellen oder löschen.

More\Computer Users Seite

Mit Computer Users können Sie Benutzer erstellen, Kontaktdetails hinzufügen und sie mit Geräten verknüpfen.

More\Audit Log Seite

Hier wird eine Aufzeichnung der von Konsolenbenutzern durchgeführten Aktionen angezeigt. Sie können u.a. An- und Abmeldungen sowie das Umbenennen und Verschieben von Computern sehen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe- oder GPO/SCCM-Skriptformat können von der Installers Seite heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über Active Directory ausgeführt werden. Sie können ein Installationsprogramm auch direkt über die Installers Seite per E-Mail an andere Benutzer senden. Das Installationsprogramm kann so konfiguriert werden, dass keine Entscheidungen getroffen werden müssen, so dass die Installation auch für nicht erfahrene Benutzer einfach ist. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Option Password protect settings in den Richtlinien wählen.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster, das unten abgebildet ist. Sowohl ESET Endpoint Antivirus als auch ESET File Security for Windows Servers verwenden eine nahezu identische Oberfläche wie ESET Endpoint Security.

Der Nutzer kann den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und vollständige oder benutzerdefinierte Scans durchführen. Nutzer können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie Benutzern mit Windows-Administratorkonten die volle Kontrolle über das Programm geben. Alternativ dazu können Sie die Benutzeroberfläche für alle Benutzer ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen, wurden wir von ESET Endpoint Security aufgefordert, das Laufwerk zu scannen. Wir lehnten ab und öffneten das Laufwerk im Windows Explorer. ESET erkannte die schädlichen Dateien sofort und stellte sie unter Quarantäne. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Es war keine Benutzeraktion erforderlich oder möglich. Es wird jedoch ein Link angezeigt, der weitere Details zur Bedrohung enthält. Sie können Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

G Data Endpoint Protection Business bietet eine serverbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Diese kann auf jedem aktuellen Windows-Server- oder Windows-Client-Betriebssystem installiert werden. Innerhalb einer Organisation können mehrere Verwaltungsserver eingesetzt und von einer einzigen Konsole aus verwaltet werden. Für den Schutz virtueller Maschinen ist eine Option verfügbar, die einen "Light"-Agenten und einen virtuellen Scan-Server verwendet. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Geräten.

Vorteile

  • Vertraute, MMC-ähnliche Verwaltungskonsole
  • Gruppen können mit Active Directory synchronisiert werden
  • Einfache Verwaltung von Computergruppen
  • Hoher Grad an Kontrolle über die GUI der Endpunkt-Software
  • Eine einzige Installationsdatei für den Verwaltungsserver und den Windows-Endpoint-Protection-Client

Server-Installation

G Data stellt ein einziges Installationspaket zur Verfügung, mit dem Sie sowohl die Verwaltungskonsole als auch die Endpunktschutz-Software einrichten können. Mit dem Assistenten für die Konsoleninstallation können Sie eine vorhandene SQL Server-Installation verwenden, wenn Sie eine haben. Alternativ kann er SQL Server 2014 Express zusammen mit der Verwaltungssoftware installieren. Die Installation ist sehr schnell und einfach, und Sie können sich mit Ihren Windows-Anmeldedaten bei der Konsole anmelden. Die integrierte Authentifizierung von G Data ist als Option verfügbar. Bei der ersten Anmeldung an der Konsole wird ein (optionaler) Einrichtungsassistent ausgeführt. Dieser deckt Punkte wie die zu installierenden Computer, Internet-Update-Einstellungen, E-Mail-Benachrichtigungen und die Authentifizierung für Android-Clients ab.

Management Console

Die Dashboard Seite der Konsole ist in der obigen Abbildung zu sehen. Mit Management Server und Clients ,in den Registerkarten in der linken oberen Ecke, können Sie zwischen den jeweiligen Computertypen wechseln. Unter Management Server, können Sie Elemente für Ihre(n) Administrationsserver konfigurieren. Dazu gehören Konsolenbenutzer, die Synchronisierung mit Clients/Subnet-Servern/Active Directory, die Verteilung von Software-Updates und die Lizenzverwaltung. Der Rest der Konsolenbeschreibung bezieht sich auf die Seiten der Client-Verwaltung.

Clients Seite

Hier können Sie die Gerätegruppenstruktur für jeden Verwaltungsserver sehen und darin navigieren. Standardmäßig gibt es getrennte Gruppen für Computer (Windows, macOS und Linux) einerseits und für Android-Mobilgeräte andererseits. Sie können innerhalb dieser Gruppen problemlos eigene Untergruppen erstellen, die mit Organisationseinheiten synchronisiert werden können, wenn Sie Active Directory verwenden. Sie können den G Data Endpoint Security Client automatisch auf Computern installieren, indem Sie sie einfach zu einer bestimmten synchronisierten Gruppe hinzufügen. Über die Gruppenstruktur in der Clients Seite können Sie auch Geräte auf der Grundlage ihrer Gruppenzugehörigkeit überwachen, verwalten und konfigurieren. Wenn Sie auf die oberste Gruppe in Clients klicken, werden die im Hauptfenster vorgenommenen Konfigurationsänderungen (z.B. Client Settings) auf alle Computer angewendet. Wenn Sie auf eine Untergruppe klicken, wirken sich die vorgenommenen Änderungen nur auf die Geräte in dieser Gruppe aus. Sie können die Konfiguration eines Geräts ändern, indem Sie es einfach in eine Gruppe mit einer anderen Richtlinie verschieben.

Dashboard Seite

Für den ausgewählten Server oder die Gruppe wird die Standard Dashboard Seite der Konsole bietet eine grafische Anzeige von vier wichtigen Statuselementen. Der erste ist der Status der einzelnen Komponenten, der anzeigt, wie viele Geräte korrekt konfiguriert sind. Dann gibt es den Anteil der Geräte, die sich kürzlich mit der Konsole verbunden haben. Sie können auch sehen, bei welchen Clients die meisten Bedrohungen erkannt wurden. Schließlich gibt es noch eine Zeitleiste mit wichtigen Ereignissen.

Clients Seite

Der Overview Tab der, oben gezeigten, Clients Seite zeigt eine Liste der verwalteten Geräte an. Sie können Informationen wie Status, verwendete Definitionen, Client-Version und ob ein Neustart erforderlich ist, einsehen. Die Spalten sind anpassbar. So können Sie auch das Betriebssystem, den letzten aktiven Benutzer und verschiedene Netzwerkelemente wie IP-Adresse und DNS-Server anzeigen. Sie können Computer nach den Daten in einer der Spalten gruppieren, indem Sie die Spaltenüberschrift auf die graue Leiste direkt darüber ziehen. Über die Schaltflächen in der oberen Reihe können Sie verschiedene Aufgaben auf den Computern ausführen. Dazu gehören das Installieren oder Deinstallieren von Client-Software, das Aktualisieren von Definitionen und Software sowie das Löschen von Geräten. So können Sie z.B. Computer nach Virus signature update/time, gruppieren und dann eine Aktualisierungsaufgabe für alle veralteten Dateien ausführen. Die Software Schaltfläche, in der oberen Symbolleiste, bietet eine detaillierte Übersicht über die auf dem/den Client-Gerät(en) installierten Programme. Hardware zeigt grundlegende Systemdetails wie CPU, RAM und freien Speicherplatz an.

Client settings Seite

Der Client settings Seiten können Sie einige Optionen konfigurieren, z.B. den Proxy-Server und automatische Signatur- und Programm-Updates. Sie können den Benutzern auch ein gewisses Maß an Interaktion mit der Endpunktsoftware auf ihren PCs erlauben. So können Sie ihnen beispielsweise erlauben, Scans durchzuführen und/oder die lokale Quarantäne anzuzeigen.

Wie zu erwarten, können Sie auf der Seite Tasks den Status der von Ihnen eingerichteten Aufgaben, z.B. der Installation, einsehen. Logs bietet eine detaillierte Liste relevanter Ereignisse. Dazu gehören Malware-Erkennungen, Updates und Einstellungsänderungen. Statistics listet den Status einzelner Schutzkomponenten auf, wie z.B. Email Protection und Anti-Ransomware.

In der linken unteren Ecke der Konsole finden Sie eine Reihe von Verknüpfungen zu bestimmten Seiten. Die, unten gezeigte, Security Seite listet Malware-Erkennungen auf. Zu den Details gehören Client-Name, Status (durchgeführte Aktion), Datum und Uhrzeit, Erkennungskomponente, Name der Bedrohung, Dateiname und angemeldeter Benutzer. Durch Auswahl eines oder mehrerer Objekte können Sie Maßnahmen ergreifen, wie z.B. das Löschen oder Wiederherstellen von unter Quarantäne gestellten Objekten.

Auf der Seite Info werden Ereignisinformationen wie Softwareinstallation und Client-Neustart angezeigt. Die Seite Signatures zeigt Konfigurationsoptionen für Definitionsupdates an. Hier können Sie auch ein Update mit einem einzigen Klick starten. Program prüft, ob die Management-Konsole selbst die neueste verfügbare Version ist.

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Endpoint Protection Software auf den Clients bereitstellen, müssen Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Bei der ersten Verwendung der Konsole wird ein Bereitstellungsassistent ausgeführt, mit dem Sie die Endpoint Protection Software über das Netzwerk auf die Clients übertragen können. Alternativ können Sie das Installationsprogramm manuell auf einzelnen Client-Geräten ausführen oder ein Systemverwaltungsprodukt oder eine Active Directory-Integration verwenden. Um den Client mit einem Verwaltungsserver zu verbinden, müssen Sie lediglich den Hostnamen oder die IP-Adresse des Servers in den Einrichtungsassistenten eingeben.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht lediglich aus einem Symbol in der Taskleiste. Über dieses Symbol können Definitionsaktualisierungen ausgeführt und Programminformationen angezeigt werden. Standardmäßig werden keine weiteren Funktionen bereitgestellt. Wenn Sie jedoch die Richtlinie ändern, können Sie den Benutzern die Durchführung von Scans (Schnell-, Voll-, benutzerdefinierte Scans und Rechtsklick), die Anzeige der Quarantäne und die Konfiguration von Schutzkomponenten ermöglichen. Diese können einzeln ausgewählt werden. Sie können das gesamte Programm mit einem Passwort schützen, so dass nur autorisierte Benutzer Zugriff auf die Funktionen haben. Es ist auch möglich, das Symbol im System Tray auszublenden, so dass das Produkt unsichtbar bleibt.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte G Data die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung (Screenshot unten) angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich.

Über das Produkt

Wie der Name schon sagt, bietet K7 On-Premises Enterprise Security eine serverbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Der Zugriff erfolgt über einen Webbrowser. Das Produkt ist für Unternehmen jeder Größe konzipiert. Wir sind der Meinung, dass es aufgrund des sehr einfachen und benutzerfreundlichen Konsolendesigns besonders für kleinere Unternehmen und weniger erfahrene Administratoren geeignet ist.

Vorteile

  • Geeignet für Kleinstunternehmen aufwärts
  • Leicht zu navigierende Konsole
  • Schnelle Kommunikation zwischen Konsole und LAN-Clients
  • Einfach zu bedienende Funktion zur Anwendungssteuerung
  • Granulare Kontrolle der im Endpunktschutz-Client angezeigten Funktionen

Server-Installation

Die Verwaltungskonsole wird auf dem Server installiert, indem die mitgelieferte EXE-Datei ausgeführt wird. Sie können Microsoft SQL Server 2014 als Teil des Installationsassistenten installieren oder eine bestehende MS SQL Server-Instanz verwenden, wenn Sie eine haben. Mit dem Assistenten können Sie dann die Anmeldedaten für den Konsolenadministrator, die Einstellungen für den Proxyserver und die für den Webzugriff zu verwendende Portnummer festlegen. Optional können Sie auch E-Mail-Details für Benachrichtigungen einrichten. Wir fanden die Einrichtung des Servers sehr einfach und unproblematisch.

Verwaltungskonsole

Alle wichtigen Funktionen der Konsole sind über ein einziges Menüfeld auf der linken Seite zugänglich. Die wichtigsten Einträge hier sind Dashboard, Manage Clients, Application Control, Settings, Administration, und Report. Wenn Sie mit der Maus über diese Elemente fahren, werden verschiedene Untermenüs angezeigt.

Dashboard Seite

Nach der Anmeldung öffnet sich die Konsole auf der Dashboard Seite (Screenshot oben), die einen Überblick über den Systemstatus gibt. Es gibt verschiedene Detailbereiche, darunter eine Zeitleiste der in den letzten 24 Stunden entdeckten Bedrohungen, den Sicherheitsstatus der Geräte im Netzwerk, den Anteil der Geräte, auf denen bestimmte Windows-Versionen laufen, und Lizenzinformationen. Sie können auch die Anzahl der erkannten Bedrohungen und Schwachstellen, die Anzahl der gesperrten Geräte, Anwendungen und Websites einsehen, die im Laufe des letzten Tages, der letzten Woche oder des letzten Monats gesperrt wurden. Es gibt einen Link von der Security Status Panel zur Clients Seite, so dass Sie durch Anklicken der Seite weitere Informationen erhalten.

Manage Clients\Clients Seite

Der Clients Seite listet einzelne Computer im Netzwerk auf. Zu den Details gehören Hostname, IP-Adresse, Gruppe, Status der Antiviren- und Firewall-Komponenten, Malware-Definitionen und Produktversionsnummern sowie Datum/Uhrzeit der letzten Aktualisierung/des letzten Kontakts. Sie können die Detailspalten individuell anpassen, so dass Sie z.B. Betriebssystem- oder Domäneninformationen oder Datum und Uhrzeit des letzten Scans hinzufügen können. Wenn Sie mit der Maus über den Hostnamen eines Computers fahren, wird ein Menü angezeigt, in dem Sie die Details des Geräts anzeigen, die Gruppenzugehörigkeit ändern, Schutzkomponenten aktivieren oder vorübergehend deaktivieren, Scans und Updates durchführen, den Computer neu starten oder das Produkt deinstallieren können.

Manage Clients\Group Seite

Der Group Seite der Konsole lässt Sie Gerätegruppen verwalten. Sie können Gruppen hinzufügen, löschen und bearbeiten, wobei der letztgenannte Befehl verwendet werden kann, um eine bestimmte Richtlinie anzuwenden.

Manage Clients\Policy Seite

Der Policies Seite können Sie die Einstellungen für die Endpoint Software steuern. Diese sind praktischerweise in folgende Gruppen unterteilt Antivirus and Spyware, Behaviour Protection, Firewall, Intrusion Detection, Web Filtering, Gerätesteuerung, Update und Client-Rechte. Der Antivirus and Spyware Konfigurations Tab ist oben abgebildet.

Manage Clients\Tasks Seite

Auf dieser Seite können Sie eine Reihe von Aufgaben auf ausgewählten Computern ausführen. Dazu gehören vollständige, schnelle, benutzerdefinierte, Schwachstellen- und Rootkit-Scans sowie Client-Updates. Das Erstellen einer Aufgabe ist sehr einfach: Sie müssen nur eine Aktion aus der Dropdown-Liste auswählen und dann die Computer oder Gruppen auswählen, auf die sie angewendet werden soll.

Application Control\Block Rule Seite

Von dieser Seite aus können Sie ganz einfach regeln, welche Anwendungen ausgeführt werden oder auf das LAN/Internet zugreifen dürfen. Dazu geben Sie ganz einfach den Ordnerpfad und den Dateinamen ein und legen dann fest, für welche Computer oder Gruppen die Sperre gelten soll. In einem letzten Schritt können Sie eine der folgenden Optionen festlegen: Block from running; Block Internet Access; Block Network Access.

Settings Abschnitt

Hier können Sie systemweite Konfigurationen wie Benachrichtigungen, Konsolen-Updates, Proxy-Einstellungen und Lizenzen konfigurieren.

Administration Abschnitt

Unter diesem Hauptmenüpunkt können Sie Konsolenbenutzer, Administrationsrollen und relevante Einstellungen wie Sitzungs-Timeout-Zeit und Passwortkomplexität verwalten.

Report Abschnitt

Auf diese Weise lassen sich auf einfache Weise zusammenfassende oder detaillierte Berichte über Elemente wie erkannte Bedrohungen, blockierte Anwendungen/Websites, Gerätezugriffsverletzungen, Computer mit Vorfällen, Hardware-Assets und Scanergebnisse erstellen. Sie können Tag, Woche, Monat, Jahr oder als Zeitintervall für den Bericht angeben oder einen benutzerdefinierten Zeitraum verwenden.

Windows Endpoint Protection-Client

Deployment

Bevor Sie die Endpoint Protection Software auf den Clients bereitstellen, müssen Sie möglicherweise die Windows-Firewall-Einstellungen auf dem Server und den Clients anpassen, um die Kommunikation zwischen ihnen zu ermöglichen. Auf der Manage Clients\Install Protection Seite können Sie ein Installationspaket im .exe-Format herunterladen. Sie können auch Ihr eigenes Installationsprogramm erstellen und die Gruppe angeben, zu der die installierten Computer hinzugefügt werden sollen. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können sie auch direkt von der Download-Seite aus per E-Mail an die Benutzer senden. Der Setup-Assistent ist sehr schnell und einfach, so dass auch unerfahrene Nutzer keine Schwierigkeiten damit haben werden. Die Standardrichtlinieneinstellungen verhindern, dass Benutzer (auch solche mit Administratorkonten) die Software deaktivieren oder deinstallieren können.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Benutzer können den Schutzstatus anzeigen, Updates ausführen und Schnell-, Voll-, benutzerdefinierte und Rootkit-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklick-Menü von Windows Explorer scannen. Wenn Sie die Richtlinien ändern, können Sie den Benutzern die volle Kontrolle über das Programm geben oder es komplett sperren.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte K7 die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach ein paar Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Warnmeldungen per Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Kaspersky Endpoint Security for Business (KESB) Select ist eine Stufe der Produktlinie Endpoint Security for Business von Kaspersky. Sie richtet sich an mittlere und größere Unternehmen. Das Produkt bietet die Wahl zwischen einer serverbasierten und einer cloudbasierten Konsole zur Verwaltung der Endpunktschutzsoftware. Wir haben uns in diesem Test die Cloud-Konsole angesehen.

Vorteile

  • Wahlweise Server- oder Cloud-basierte Verwaltungskonsole
  • Einfache Navigation der Konsole über ein einziges Menü
  • Einrichtungsassistent für eine vereinfachte Client-Installation
  • Webschnittstelle kann angepasst werden

Verwaltungskonsole

Die Funktionen der Konsole sind in einer einzigen Menüspalte auf der linken Seite angeordnet. Die Hauptmenüpunkte sind Monitoring & Reporting, Devices, Users & Roles, Operations, und Discovery & Deployment. Jeder dieser Punkte lässt sich erweitern und zeigt Unterseiten an.

Monitoring and Reporting Abschnitt

Die Seite Dashboard (siehe oben) bietet einen grafischen Überblick über die wichtigsten Informationen. Dazu gehören der Schutzstatus, neue Geräte sowie Details zu Bedrohungen und infizierten Geräten. Die Seite ist anpassbar, und Sie können verschiedene Bereiche (Web Widgets) nach Belieben hinzufügen oder entfernen.

Auf der Seite Reports können Sie eine Vielzahl von Berichten zu Themen wie Schutzstatus, Bereitstellung, Updates und Bedrohungen erstellen. Diese können einfach aus einer vorkonfigurierten Liste abgerufen werden.

Unter Event können Sie Berichte über Kategorien wie Benutzeranfragen, kritische Ereignisse, Funktionsfehler und Warnungen erstellen.

Devices Abschnitt

Der Policies and Profiles Seite lässt Sie neue Konfigurationsrichtlinien erstellen und anwenden. Auf der Tasks Seite können Sie alltägliche Wartungs- und Sicherungsaufgaben durchführen, z.B. Remote-Installation und -Updates.

Der Managed Devices Seite listet wie oben gezeigt, die verwalteten Computer zusammen mit dem Status der wichtigsten Komponenten auf. Sie können die Liste nach Kriterien wie Status, Echtzeitschutz oder letzte Verbindungszeit sortieren und filtern. Die Liste ist anpassbar, so dass Sie zusätzliche Kriterien wie Betriebssystem oder Netzwerkdetails hinzufügen können. Wenn Sie einzelne Geräte auswählen, können Sie Aufgaben für sie ausführen. Dazu gehören die Installation, Deinstallation oder die Änderung der Gruppenmitgliedschaft.

Sie können auf den Namen eines einzelnen Computers klicken, um dessen Detailseite anzuzeigen. Hier sehen Sie verschiedene Details des Geräts, die auf verschiedenen Tabs angezeigt werden. Dazu gehören Betriebssystem, Netzwerkinformationen, Schutzstatus, installierte Kaspersky-Anwendungen, aktive Richtlinien sowie laufende Schutzkomponenten und Aufgaben. Auf der Seite Events finden Sie detaillierte Informationen zur Erkennung und Beseitigung von Malware.

Die folgende Abbildung zeigt die drei Phasen der Behandlung eines Malware-Samples: Erkennung, Erstellung einer Sicherungskopie und Löschung:

Auf der Seite Device Selections können Sie Geräte in vorkonfigurierten Gruppen finden. Beispiele sind Databases are outdated und Devices with Critical Status.

Users & Roles Abschnitt

Unter Users, können Sie eine Liste der vordefinierten Konsolenbenutzer sowie der lokalen Windows- und Domänenkonten für die Windows-Computer im Netzwerk sehen. Auf der Seite Roles Seite können Konsolenbenutzer einer von 16 verschiedenen Verwaltungsrollen zugewiesen werden, was einen sehr granularen Zugriff ermöglicht.

Operations Abschnitt

Unter anderem enthält der Operations Tab Licensing und Repositories. Letzteres umfasst die Quarantänefunktionen, Installationspakete und Details zur Hardware der verwalteten Geräte. Unter Patch Management\Software Vulnerabilities können Sie (unter anderem) fehlende Windows-Updates sehen:

Discovery & Deployment Abschnitt

Dazu gehören verschiedene Funktionen zur Erkennung nicht verwalteter Geräte im Netzwerk und zur Bereitstellung von Software auf diesen Geräten. Discovery ermöglicht die Suche nach Geräten im Netzwerk, z.B. anhand der Domänenzugehörigkeit. Unassigned Devices zeigt Computer an, die im Netzwerk gefunden wurden, aber noch nicht verwaltet werden.

Windows Endpoint Protection-Client

Deployment

Bei der ersten Verwendung der Konsole wird ein Bereitstellungsassistent ausgeführt, mit dem Sie die Endpoint-Software über das Netzwerk auf die Clients übertragen können. Dieser Assistent kann später über Discovery & Deployment\Deployment & Assignment\Quick Start Wizard(erneut) ausgeführt werden. Das ist ein sehr sauberer und einfacher Prozess. Die Endpoint-Protection-Software kann auch über ein Systemverwaltungsprodukt oder Active Directory bereitgestellt werden. Alternativ können Sie auch ein eigenständiges Installationspaket herunterladen, unter Discovery & Deployment\Deployment & Assignment\Installation Packages.

Benutzeroberfläche

Die Windows Desktop-Schutz-Anwendung besteht aus einem Symbol in der Systemablage und einem Programmfenster. Über das Rechtsklick-Menü des Windows Explorers können Nutzer manuelle Untersuchungen von lokalen und entfernten Laufwerken, Ordnern oder Dateien durchführen. Sie können auch Dateien auf ihre Reputation im Kaspersky Security Network prüfen, ebenfalls über das Kontextmenü des Explorers. Wenn Sie möchten, können Sie die Benutzeroberfläche mithilfe der entsprechenden Richtlinie vollständig ausblenden.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows-Explorer öffneten, erkannte Kaspersky die schädlichen Dateien nach wenigen Sekunden und isolierte sie. Es wurde kein Warnhinweis angezeigt. Sie können jedoch Warnungen über eine Richtlinie aktivieren, wenn Sie dies wünschen.

Über das Produkt

Malwarebytes EDR bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Dank seiner Benutzerfreundlichkeit eignet sich das Produkt für kleinere Unternehmen, kann aber auch mit Zehntausenden von Geräten umgehen.

Vorteile

  • Leicht zu navigierende Cloud-Konsole
  • Seiten können leicht angepasst werden
  • Die anklickbare Oberfläche macht es einfach, mehr Details zu finden
  • Schutz vor Brute-Force-Angriffen
  • Client-Software-Inventar

Verwaltungskonsole

Die Navigation in der Cloud-Konsole erfolgt über eine einzige, übersichtliche Menüspalte auf der linken Seite. Die Elemente sind Dashboard, Endpoints, Software Inventory, Vulnerabilities, Device Control, Detections, Quarantine, Active Block Rules, Suspicious Activity, Reports, Events, Tasks, Downloads, und Settings.

Dashboard-Seite

Diese ist im obigen Screenshot dargestellt. Es bietet einen Überblick über relevante Security-Informationen in verschiedenen Bereichen, viele davon mit grafischen Darstellungen. Die obersten davon sind Endpoints by status, Detections per day, Detections cleaned, Detections by category, und Detections by status. Standardmäßig werden 15 Bereiche angezeigt. Das Dashboard kann jedoch leicht angepasst werden, so dass Sie nach Belieben Bereiche hinzufügen, entfernen oder verschieben können. Die einzelnen Elemente in dem Endpoints by status Panel sind mit gefilterten Seiten verknüpft, auf denen die betreffenden Geräte angezeigt werden. Klicken Sie also zum Beispiel auf Scan Needed , wird eine Liste mit genau diesen Geräten angezeigt. Das gleiche Prinzip wird bei einigen anderen Feldern angewendet. Wenn Sie mit der Maus über die Balkendiagramme fahren, wird ein Popup-Fenster mit weiteren Details angezeigt.

Endpoints Seite

Hier sehen Sie die geschützten Computer in Ihrem Netzwerk. Sie können für jedes Gerät den letzten Benutzer, den Status, Details zur Betriebssystemversion, die zugewiesene Gruppe, die angewendete Richtlinie und das Datum des letzten Besuchs sehen. Wenn Sie ein oder mehrere Endgeräte auswählen, können Sie Aufgaben aus dem Actions Menü starten. Beispiele sind Scannen, Aktualisieren, Neustarten und Löschen.

Software Inventory Seite

Hier sehen Sie die gesamte Software, die auf allen Computern in Ihrem Netzwerk installiert ist. Für jede Anwendung können Sie die Versionsnummer, das Installationsdatum, den Namen des Endpunkts und das Betriebssystem sehen. Diese Daten können im .CSV- oder .XLSX-Format exportiert werden.

Detections Seite

Wie zu erwarten, werden hier Instanzen von Malware angezeigt, die auf Netzwerkcomputern gefunden wurden. Sie können den Namen der Bedrohung, die durchgeführte Aktion, die Kategorie der Bedrohung (z.B. Ransomware), den Typ der Bedrohung (z.B. Datei), den betroffenen Endpunkt, den lokalen Pfad und Datum/Uhrzeit der Erkennung sehen. Wenn Sie auf den Namen einer Bedrohung klicken, öffnet sich ein Fenster mit einer Zusammenfassung der Informationen zu dieser Erkennung.

Quarantine Seite

Hier wird unter Quarantäne gestellte Malware angezeigt, die auf geschützten Geräten erkannt wurde. Sie können den Namen und den Pfad der Bedrohung, die Kategorie und den Typ der Bedrohung, den Gerätenamen sowie Datum und Uhrzeit der Erkennung sehen. Wenn Sie auf den Namen einer Bedrohung klicken, wird ein Fenster mit Details zu dieser bestimmten Erkennung angezeigt. In Quarantäne gestellte Objekte können über das Actions Menü einzeln oder alle zusammen ausgewählt und aus der Liste der erkannten Bedrohungen gelöscht oder wiederhergestellt werden.

Reports Seite

Damit können Sie Berichte zu einer Vielzahl von Themen erstellen: Assets Summary, Detections Summary, Endpoints Summary, Events Summary, Quarantine Summary, Tasks Summary, und Weekly Security Report. Diese können nach Bedarf oder nach einem Zeitplan täglich, wöchentlich oder monatlich ausgeführt und per E-Mail an den Administrator (und auf Wunsch an weitere Empfänger) gesendet werden. Die Weekly Security Report bietet einen einfachen Überblick über die Sicherheitslage und zeigt Kacheln an, die Statistiken für Endpoint activity status, Endpoint protection summary, Endpoints needing attention, Top 5 operating systems, und Threats. Zur Hervorhebung der Statistiken wird ein Ampel-Farbsystem verwendet, wobei z.B. kritische Punkte rot dargestellt werden.

Downloads Seite

Auf dieser Seite finden Sie Installationsdateien für alle unterstützten Betriebssysteme.

Settings\Policies Seite

Hier können Sie die Richtlinien konfigurieren, die die Einstellungen für geschützte Geräte festlegen. Der Screenshot oben zeigt die Endpoint Agent Abschnitt der Standardrichtlinie. Auf der linken Seite der Seite befinden sich Links zu den verschiedenen Richtlinienbereichen: Endpoint Agent, Tamper Protection, Protection Settings, Scan Settings, Endpoint Detection and Response, Brute Force Protection, und Software Management. Für Windows-Geräte können Sie u.a. die Integration mit dem Windows Action Center aktivieren. Mit der Brute-Force-Schutzfunktion können Sie sich z.B. gegen böswillige Remotedesktop-Verbindungen schützen.

Windows Endpoint Protection-Client

Deployment

Auf der Seite Downloads der Konsole können Sie Installationsprogramme herunterladen oder Links zur Installation per E-Mail versenden. Sie haben die Wahl zwischen .exe- und .msi-Installationsdateien; letztere haben spezielle Versionen für 32- und 64-Bit-Systeme. Der Setup-Assistent ist sehr schnell und einfach und sollte für nicht erfahrene Benutzer keine Probleme bereiten. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie den Abschnitt Tamper Protection in der entsprechenden Richtlinie verwenden.

Benutzeroberfläche

Der Malwarebytes-Endpoint-Client hat eine minimalistische Benutzeroberfläche. Es gibt ein Symbol in der Systemablage, über das die Benutzer einen Scan starten können. In einem kleinen Fenster wird dann der Scan-Status angezeigt. Nutzer können ein Laufwerk, einen Ordner oder eine Datei auch über das Rechtsklickmenü des Windows Explorers scannen. Das Symbol in der Systemablage kann per Richtlinie ausgeblendet werden, wenn Sie dies wünschen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware an unseren PC anschlossen und es im Windows Explorer öffneten, reagierte Malwarebytes zunächst nicht. Wir konnten die Malware-Samples auf den Windows-Desktop kopieren. Als wir jedoch versuchten, sie auszuführen, wurden die schädlichen Dateien sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Warnung angezeigt, die den Dateinamen, den Pfad und den Erkennungsnamen der Malware enthielt. Eine Benutzeraktion war weder erforderlich noch möglich, und die Meldung wurde nach wenigen Sekunden geschlossen.

Über das Produkt

Die cloudbasierte Microsoft Endpoint Manager-Konsole ermöglicht Administratoren die zentrale Verwaltung und Überwachung von Funktionen und Einstellungen auf allen Arten von Geräten. In diesem Bericht haben wir nur die Funktionen der Verwaltungskonsole behandelt, die sich auf die Endpoint-Security von Microsoft Defender Antivirus beziehen, Microsofts eigenem Antivirus-Programm, das in das Windows 10-Betriebssystem integriert ist.

Microsoft Endpoint Manager ist für Kunden von Microsofts Cloud-Diensten für Unternehmen verfügbar; die Lizenzierung variiert je nach Art des Abonnements. Er kann zur Verwaltung einer breiten Palette von Microsoft-Funktionen und -Diensten verwendet werden, darunter Microsoft Intune, Configuration Manager, Endpoint Analytics, endpoint security, tenant-attach, co-management, und Windows Autopilot.

Vorteile

  • Steuert alle Windows-Security Einstellungen
  • Die Konsole ist konfigurierbar
  • Außergewöhnlich einfache Client-Bereitstellung
  • Geeignet für Unternehmen jeder Größe, die Microsoft Cloud Services für Unternehmen nutzen
  • Granulare Kontrolle der Security-Optionen

Management Console

Endpoint Security | Overview Seite

Dies ist im obigen Screenshot zu sehen. Es ist das Haupt-Dashboard für die Endpoint-Security-Funktionen der Plattform. Hier sehen Sie einen Überblick über die einzelnen Schutzkomponenten, die konfiguriert werden können. Beispiele sind Antivirus, Disk Encryption, und Firewall. Hier können Sie auch Security Baselinessehen. Dies sind Richtlinienvorlagen mit empfohlenen Einstellungen für alle relevanten Security-Funktionen in Windows. Es gibt Baselines für Windows 10 Security, Microsoft Defender for Endpoint, und Microsoft Edge. Microsoft teilt uns mit, dass diese häufig aktualisiert werden.

Endpoint Security | Antivirus Seite

Die Registerkarte Summary (siehe oben) bietet einen Überblick über den Sicherheitsstatus Ihres Netzwerks. Sie zeigt die Anzahl der Windows 10 unhealthy endpoints (Geräte mit sicherheitsrelevanten Problemen) und Aktive Malware across categories (eine Aufschlüsselung der gefundenen Malware-Typen).

Unter diesem, unter AV policies, können Sie Ihre eigenen Antivirus-Richtlinien erstellen und bearbeiten. Microsoft Defender Antivirus Richtlinien lässt Sie Einstellungen für Malware-Schutzfunktionen festlegen. Diese sind in Kategorien unterteilt: Cloud Protection, Microsoft Defender Antivirus Exclusions, Real-Time Protection, Remediation, Scan, Updates und User Experience.

Die Konfigurationsoptionen für jede Kategorie sind übersichtlich in einer Liste angeordnet, wobei jedes Element über ein eigenes Dropdown-Menü für seine Einstellungen verfügt. Eine kleine Informationsschaltfläche neben jedem Element zeigt eine kurze Erläuterung der Komponente und ihrer Einstellungen an. Beispiele für Optionen, die in dem Real-Time Protection Abschnitt zu finden sind, sind Turn on real-time protection, Enable on-access protection, Turn on behaviour monitoring, Enable network protection, und Scan scripts that are used in Microsoft browsers.

Die Kategorie User Experience hat nur eine Einstellung: Allow user access to Microsoft Defender app. Wenn Sie diese Einstellung deaktivieren, wird die Oberfläche von Microsoft Defender Antivirus (Windows Security) ausgeblendet und Malware-Warnungen auf Client-Geräten werden unterdrückt. Die Security Experience-Richtlinien bieten jedoch einen viel detaillierteren Ansatz. Sie ermöglichen es Ihnen, bestimmte Oberflächenbereiche der Windows Security-App auszublenden, z.B. Firewall and Network Protection oder App & Browser Control.

Es gibt noch eine dritte Kategorie von Maßnahmen, Microsoft Defender Antivirus exclusions, die es Ihnen ermöglicht, Scan-Ausschlüsse zu konfigurieren.

Die Registerkarte Windows 10 unhealthy endpoints der Seite Endpoint Security\Antivirus zeigt einen Bericht über Geräte an, die Aufmerksamkeit erfordern. Zu den Details gehören der Status des Malware-Schutzes, des Echtzeitschutzes und des Netzwerkschutzes. Wie bei anderen Seiten können Sie das Layout mithilfe der Spaltenauswahl ändern, um Felder zu modifizieren, zur besseren Suche in eine Rasteransicht wechseln, nach einer beliebigen Spalte sortieren und die Liste der Datensätze in eine .csv-Datei exportieren, um sie lokal zu speichern. Über eine Reihe von Schaltflächen am oberen Rand der Seite können Sie ausgewählte Computer einfach neu starten oder Schnell- bzw. Vollscans und Updates für sie durchführen.

Auf der Registerkarte Windows 10 detected malware können Sie Geräte und Benutzer mit aktiver Malware sehen. Diese Ansicht enthält Details wie den Malware-Status, aktive Malware, Kategorie und Schweregrad. Sie können hier Remote-Aktionen wie Neustart, Schnellüberprüfung, vollständige Überprüfung oder Aktualisierung von Signaturen durchführen, um das Problem zu beheben.

Devices | All devices Seite

Hier können Sie eine vollständige Liste der Geräte in Ihrem Netzwerk sehen. Die Standardspalten zeigen den Gerätenamen, den Verwalter, den Eigentümer, die Konformitätsplattform, die Betriebssystemversion und Datum/Uhrzeit des letzten Kontakts. Sie können die Seite anpassen, indem Sie Spalten, die Sie nicht benötigen, entfernen und andere hinzufügen. Zu den Möglichkeiten gehören Gerätestatus, Anmeldedatum, Sicherheitspatch-Level, Hersteller, Modell, Seriennummer und Wi-Fi-MAC-Adresse. Die Seite Filter am oberen Rand der Seite lässt Sie die Liste nach verschiedenen Kriterien filtern. Beispiele sind Eigentum, Konformität und Betriebssystem. Bulk Device Actions lässt Sie Aufgaben wie Umbenennung, Neustart oder Löschen für die ausgewählten Geräte durchführen. Wenn Sie auf ein einzelnes Gerät klicken, öffnet sich die Device details Seite, siehe unten.

Device details Seite

Hier können Sie den Status der letzten Aufgaben sowie gerätespezifische Informationen wie Hersteller, Modell, Seriennummer und Hauptbenutzer einsehen. Die Menüleiste am oberen Rand der Seite bietet eine Reihe von Verwaltungsoptionen. Sie können Updates und Schnell- oder Vollscans durchführen und das Gerät sperren oder neu starten. Es ist auch möglich, das Gerät zu löschen oder ihm einen Fresh Start zu geben. Letzteres ist das Äquivalent zur Funktion Reset this PC, die man in den Einstellungen von Windows 10 findet. Sie setzt die Software im Wesentlichen auf die Werkseinstellungen zurück, mit Optionen zum Beibehalten oder Löschen von Benutzerdaten.

Windows Endpoint Protection-Client

Deployment

Dies ist extrem einfach, da Microsoft Defender Antivirus bereits in das Windows 10-Betriebssystem integriert ist. Bei einer domänenverbundenen Maschine kann die Verbindung eines Client-Geräts mit Microsoft Endpoint Manager so einfach sein wie die Anmeldung mit einem entsprechenden Geschäftskonto in dem Accounts\Access work or school Abschnitt der Windows-Einstellungen. Automatische Anmeldemethoden über GPO oder Unternehmensverwaltungstools sind ebenfalls für eine breite Bereitstellung von Microsoft Endpoint Manager verfügbar.

Benutzer, die keine Domäne haben oder die einen Computer kaufen, der noch nicht in einer Domäne konfiguriert ist, können ihr Arbeitskonto unter Windows 10 manuell hinzufügen Settings | Accounts | Add Work or School Accounthinzufügen. Wenn sie sich mit diesem Arbeits- oder Schulkonto anmelden, werden die in Microsoft Endpoint Manager konfigurierten Sicherheits- oder Geräteeinstellungen automatisch übernommen.

Benutzeroberfläche

Die Windows Security App auf dem Client-PC ermöglicht den Zugriff auf die Microsoft Defender Antivirus-Funktionalität. Standardmäßig können die Benutzer den Sicherheitsstatus und die Erkennungsprotokolle einsehen und Scans durchführen. Es gibt eine Auswahl von Quick, Full, Custom und Offline Scans. Nutzer können eine Überprüfung eines Laufwerks, eines Ordners oder einer Datei auch über das Rechtsklickmenü des Windows Explorers starten. Wenn Sie es vorziehen, können Sie die Windows Defender-Oberfläche per Richtlinie ausblenden. In diesem Fall werden auf dem Client-PC keine Oberfläche und keine Warnungen angezeigt (der Administrator sieht die Warnungen weiterhin in der Konsole).

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Microsoft Defender die schädlichen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf die Warnung öffnete jedoch das Microsoft Defender-Fenster mit weiteren Informationen über die Bedrohung. Diese werden auch im Microsoft Endpoint Manager angezeigt.

Über das Produkt

Sophos Intercept X Advanced bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware bietet das Produkt auch investigative Funktionen zur Analyse und Behebung von Angriffen. Es eignet sich für Netzwerke mit Hunderttausenden von Arbeitsplätzen. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

  • Investigative Funktionen
  • Modernes, leicht zu navigierendes Konsolendesign
  • Umfassende Suchfunktion
  • Detaillierte Informationen zu Warnhinweisen
  • Mit dem Early-Access-Programm können Sie neue Funktionen vorab ausprobieren

Management Console

Die Konsole wird über eine einzige Menüspalte auf der linken Seite navigiert. Einige Elemente wie Threat Analysis Center und Endpoint Protection werden in einer Art Unterkonsole mit einem eigenen Menüfeld geöffnet. Das Layout und die grafische Gestaltung der Konsole bleiben gleich, und Sie können leicht zur Hauptkonsole zurückkehren, indem Sie auf Back to Overview oben in der entsprechenden Menüspalte klicken. Einige Seiten, wie z.B. People, können sowohl von der Haupt- als auch von der Nebenkonsole aus aufgerufen werden. Die Sprache der Benutzeroberfläche kann in Echtzeit über das Benutzermenü in der oberen rechten Ecke geändert werden. Über dasselbe Menü können Sie auch dem Sophos Early-Access-Programm beitreten, so dass Sie kommende Funktionen vor der allgemeinen Veröffentlichung testen können.

Dashboard Seite

Das Sophos Central Dashboard (siehe Screenshot oben) ist die Standard-Landingpage, wenn Sie sich bei der Konsole anmelden. Es zeigt einen Überblick über Bedrohungen und den Geräte-/Benutzerstatus mit farblich gekennzeichneten Grafiken, um die Dinge hervorzuheben. Sie können die Gesamtzahl der Alarme sehen, die auch in nach den Levels hoch, mittel und niedrig unterteilt sind. Die letzten einzelnen Warnungen werden aufgelistet, und Name und Pfad der Bedrohung sowie Gerät und Benutzer werden angezeigt. Die Dashboard-Panels sind mit Detailseiten verknüpft, so dass ein Klick auf das High Alerts-Panel eine Liste dieser Alarme auf der Alerts-Seite anzeigt. Der Bereich Global Security News am unteren Rand ist mit dem Blog Naked Security von Sophos verknüpft und zeigt sicherheitsrelevante Neuigkeiten an.

Alerts Seite

Der Alerts Seite zeigt Ihnen die Anzahl der erkannten Bedrohungen, sowohl als Gesamtzahl als auch nach Schweregradkategorie. Sie können die Warnmeldungen nach Beschreibung, Datum/Uhrzeit, Benutzer oder Gerät sortieren. Wenn Sie auf einen Eintrag klicken, öffnet sich ein Detailfenster mit zusätzlichen Informationen und Links, um Maßnahmen zu ergreifen. Mögliche Aktionen (je nach Kontext) sind Mark As Resolved, Clean Up PUA, und Authorize PUA.

Endpoint Protection Abschnitt

Der Endpoint Protection Unterkonsole hat Menüeinträge für Dashboard, Logs & Reports, People, Computers, Policies, Settings, and Protect Devices. Der Dashboard Seite ist ähnlich aufgebaut wie ihr Gegenstück in der Hauptkonsole. Sie zeigt viele der gleichen Bereiche, einschließlich der Liste der letzten Bedrohungen, zusammen mit Devices and users: summary, Web control und Global Security News.

Logs and Reports Seite

Der Logs Abschnitt zeigt die Aktivitäten, die durch die Regeln zur Vermeidung von Datenverlusten ausgelöst werden. Im Abschnitt Reports können Sie eine Reihe von vorkonfigurierten Berichten in folgenden Kategorien ausführen Users, Endpoint Protection und Web Control. Dazu gehören Berichte über Nutzer, die gegen Richtlinien verstoßen haben, indem sie versucht haben, auf gesperrte Anwendungen oder Websites zuzugreifen.

Auf der Seite People können Sie Benutzer und Gruppen verwalten. Dazu gehören Windows-Gerätebenutzer (die automatisch hinzugefügt werden) und auch Konsolenbenutzer. Auf der Detailseite für jeden Benutzer können Sie die Geräte sehen, an denen sich der Benutzer angemeldet hat, und Scans und Updates für diese durchführen.

Auf der Seite Policies können Sie die Konfiguration bearbeiten, die auf die Endpunkte angewendet werden soll. Es gibt separate Richtlinien fürThreat Protection, Peripheral Control, Application Control, Data Loss Prevention, Web Control, Update Management und Windows Firewall. Sie können Richtlinien auf Computer, Benutzer oder Gruppen von beiden anwenden.

Auf der Seite Settings können Sie Optionen konfigurieren, die für das gesamte Netzwerk gelten sollen. Beispiele hierfür sind Directory Service, Role Management (standard and custom permissions for console user), Tamper Protection, Website Management, Proxy Configuration, und Data Loss Prevention Rules. Sie können Installationsprogramme für den Endpunktschutz-Client von der Seite Protect Devices herunterladen.

Unter Computers (Screenshot unten) sehen Sie eine Liste Ihrer Geräte mit Namen, IP-Adresse, Betriebssystemversion, installierten Sophos Produkten, letztem Benutzer, Datum/Uhrzeit der letzten Verwendung und Gruppe. Wenn Sie mit der Maus auf die kleine Schaltfläche rechts neben der IPv4-Adresse fahren, werden IPv6-Adressen angezeigt. Sie können ausgewählte Geräte aus der Konsole mit der Delete Schaltfläche entfernen.

Windows Endpoint Protection-Client

Deployment

Sie können Installationsdateien im .exe-Format von der Seite Protect Devices herunterladen. Diese können manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Sie können ein Installationsprogramm auch direkt von der Download-Seite aus per E-Mail an Benutzer senden. Der Einrichtungsassistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren oder Einstellungen zu ändern, indem Sie die Einstellung Enable Tamper Protection unter Global Settings verwenden.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Systemablage und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen sowie Updates und Standard-Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Administratoren können die Einstellungen auch lokal auf dem geschützten Computer ändern.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC angeschlossen und das Laufwerk im Windows Explorer geöffnet haben, hat Sophos zunächst keine für den Benutzer sichtbaren Maßnahmen ergriffen. Als wir jedoch versuchten, die schädlichen Dateien auf den Windows Desktop zu kopieren, wurden sie sofort erkannt und unter Quarantäne gestellt. Es wurde eine Popup-Meldung angezeigt, die nach einigen Sekunden wieder geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Sie können Erkennungswarnungen über Richtlinien deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Trellix Endpoint Security (HX) bietet eine cloudbasierte Konsole zur Verwaltung der Endpoint-Protection-Software. Es stehen verschiedene Konsolentypen zur Verfügung. Dazu gehören die cloudbasierte, die Hardware-Appliance, die virtuelle Appliance und die von Amazon gehostete Konsole. In diesem Testbericht wird die cloudbasierte Konsole beschrieben. Neben dem Schutz vor Malware umfasst das Produkt auch Untersuchungsfunktionen zur Analyse und Behebung von Angriffen. Das Produkt ist für sehr große Unternehmen ausgelegt und unterstützt bis zu 100.000 Endpunkte pro Appliance.

Vorteile

  • Investigative Funktionen zu Angriffen
  • Eine Vielzahl von Konsolentypen verfügbar
  • Geeignet für mittelgroße bis große Unternehmen
  • Umfassende Suchfunktion
  • Mit der Containment-Funktion können Sie infizierte Geräte isolieren

Verwaltungskonsole

Dashboard

Wenn Sie die Konsole öffnen, sehen Sie einen Überblick über die wichtigsten Statuselemente (siehe Screenshot oben). Dazu gehören die Gesamtzahl der Hosts mit Warnungen und eine Aufschlüsselung nach Exploits und Malware. Ein Klick auf die Total hosts with alerts Schaltfläche öffnet die Hosts with Alerts Seite, siehe unten.

Hosts with alerts

Wie der Name schon sagt, werden auf dieser Seite Details zu geschützten Geräten mit noch nicht bearbeiteten Alerts angezeigt. Wenn Sie auf das Plus-Zeichen für ein Gerät klicken, wird eine Liste der Warnungen für dieses Gerät in chronologischer Reihenfolge angezeigt. Bei Malware-Warnungen wird eine Fülle von Details zu jedem Warnhinweis angezeigt. Dazu gehören der Status (z.B. unter Quarantäne gestellt), der Dateipfad, MD5- und SHA1-Hashes (aber nicht SHA256), die Dateigröße, die Zeiten der letzten Änderung und des letzten Zugriffs, der Prozesspfad, der Benutzername des angemeldeten Benutzers, der Erkennungsname, der Bedrohungstyp sowie die Zeiten der ersten und letzten Warnungen für das Element. Jede Bedrohung kann bestätigt (als "read" markiert) oder als False-Positive markiert werden. Sie können auch Kommentare zu den Bedrohungsdetails hinzufügen, um sie später zu untersuchen.

Alerts

Für eine bedrohungszentrierte und nicht gerätezentrierte Ansicht können Sie die Alerts Seite öffnen. Hier können Sie Bedrohungen nach Namen, Dateipfad, ersten oder letzten Erkennungen und Hostname oder IP-Adresse des jeweiligen Geräts sortieren. Die Optionen Acknowledge, Mark False Positive und Add Comment sind auch hier verfügbar.

Acquisitions

Von der Hosts Seite können Sie eine Datei oder verschiedene Diagnosedaten von einem einzelnen Gerät abrufen. Auf der Seite Acquisitions können Sie Dateien, die Sie von Hosts erworben haben, herunterladen, um sie zu analysieren.

Enterprise Search

Mit dieser Funktion können Sie das Netzwerk nach einer Vielzahl von Elementen durchsuchen. Dazu gehören Anwendungsname, Browserversion, Hostname, verschiedene ausführbare Dateien, Dateinamen/Hashes/Pfade, IP-Adresse, Port, Prozessname, Registrierungsschlüssel, Dienstname/Status/Typ/Modus, Zeitstempel, URL, Benutzername und Windows-Ereignismeldung.

Admin\Policies

Hier können Sie zahlreiche verschiedene Aspekte der Client-Schutzrichtlinie konfigurieren. Beispiele sind Scans, die Anzeige von Warnungen auf dem Client, Protokollierung, Einstellungen für Malware-Scans, Abfragehäufigkeit, Manipulationsschutz, Scan-Ausschlüsse, Management-Server-Adresse und Einstellungen für die Malware-Erkennung. Scans können so eingestellt werden, dass sie nach einem Zeitplan, nach einer Signaturaktualisierung oder nach dem Hochfahren des Geräts ausgeführt werden.

Admin\Host Sets

Dies sind einfach Gruppen von Computern. Sie können nach einer Vielzahl von Kriterien oder einfach durch Ziehen und Ablegen aus der Liste aller Geräte definiert werden. Diese Gruppen werden verwendet, um verschiedene Schutzrichtlinien anzuwenden.

Admin\Agent-Versionen

Damit können Sie aktuelle und ältere Versionen des Endpunkt-Agenten für Windows- und Mac-Systeme herunterladen. Der Administrator kann so z.B. Kompatibilitätsprobleme mit einer bestimmten Agentenversion auf bestimmten Systemen vermeiden.

Admin\Appliance Settings

Auf dieser Seite können Sie die Einstellungen für die Verwaltungskonsole selbst ändern. Es gibt Steuerelemente für Datum und Uhrzeit, Benutzerkonten, Benachrichtigungen, Netzwerkeinstellungen und Lizenzen und mehr.

Windows Endpoint Protection-Client

Deployment

Installer-Dateien im .msi-Format können von der Seite Admin Menü und Agent Versionsheruntergeladen werden. Wie der Name schon sagt, werden die aktuelle und etwa fünf frühere Versionen des Clients bereitgestellt. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden.

Benutzeroberfläche

Es gibt ein Symbol in der Systemablage, über das der Benutzer ein einfaches Programmfenster öffnen kann. Hier können Sie das Ereignisprotokoll, unter Quarantäne gestellte Objekte und Informationen zur Programmversion einsehen.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Trellix die bösartigen Dateien sofort und stellte sie unter Quarantäne. Es wurde eine Pop-up-Benachrichtigung angezeigt, aber es war keine Benutzeraktion erforderlich oder möglich.

Über das Produkt

VIPRE Endpoint Cloud bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software, wie Sie es erwarten würden. Neben dem Schutz vor Malware sind auch Funktionen für die Verwaltung von Schwachstellen und Patches enthalten. Das Produkt kann Netzwerke mit Tausenden von Geräten verwalten. Wir sind der Meinung, dass es auch für sehr kleine Unternehmen mit nur einigen wenigen Arbeitsplätzen sehr gut geeignet ist.

Vorteile

  • Gut geeignet für Kleinstunternehmen und aufwärts
  • Minimale technische Kenntnisse erforderlich
  • Die Konsole lässt sich sehr einfach über ein einziges Menüfeld steuern
  • Sehr gut erreichbare, vernetzte Schnittstelle
  • Timeline Funktion bietet detaillierte Informationen zur Threat-Historie

Management Console

Dashboard Seite

Dies sehen Sie, wenn Sie sich zum ersten Mal bei der Konsole anmelden (Screenshot oben). Sie bietet einen Überblick über den aktuellen Sicherheitsstatus, wobei verschiedene Bereiche verwendet werden. Die Konsole ist so gestaltet, dass sie sehr gut anklickbar ist. Wenn Sie beispielsweise auf die Anzahl der Outdated Definitions klicken, gelangen Sie auf eine Seite, die Ihnen die betreffenden Geräte anzeigt. Der Hauptbereich Threat Trend zeigt eine Grafik der Bedrohungen, die in der letzten Woche aufgetreten sind. Diese können entweder als Gesamterkennungen (einschließlich des mehrfachen Auftretens einer einzelnen Bedrohung) oder als einzelne Bedrohungen angezeigt werden. In separaten Feldern werden die zehn wichtigsten Erkennungen nach Bedrohung bzw. nach Gerät angezeigt.

Andere Dashboard Panels sind: Quarantine Status, Devices Needing Attention, Detection Quellen, Web/DNS Blocks, Severity Breakdown, Protection Summary, Agent Version Spread, Licensing information und ein Security Blog. Jedes Element kann angeklickt werden und führt zur jeweiligen Detailseite.

Quarantine Seite

Hier sehen Sie eine Liste aller Bedrohungen, die auf einem beliebigen Gerät unter Quarantäne gestellt wurden. Sie zeigt das Datum und die Uhrzeit der Erkennung, den Namen der Bedrohung, die Plattform, die Kategorie der Bedrohung, den Schweregrad, die Quelle (Erkennungsmodul) und die Anzahl der betroffenen Geräte an. Die Liste kann nach Zeit, Name, Schweregrad oder Anzahl der Geräte geordnet werden. Wenn Sie auf den Namen der Bedrohung klicken, wird die Detailseite für diese Bedrohung geöffnet, auf der Sie die unter Quarantäne gestellte Datei löschen oder wiederherstellen können.

Reports Seite

Hier werden Kacheln für eine Vielzahl verschiedener vorkonfigurierter Berichte angezeigt: Threat Detection, Threat Summary, Device Registration, Scan, Web Activity Summary, License Summary und Applications Update. Threat Summary verwendet eine Zeitleiste, Balken- und Kreisdiagramme, um die in der letzten Woche gefundenen Threats zu visualisieren.

Devices Seite

Der Devices Seite, wie oben abgebildet, listet Netzwerkcomputer auf und zeigt nützliche Informationen an. Dazu gehören Status, Richtlinie, Betriebssystem und Agentenversion. Die Informationsspalten können individuell angepasst werden. Sie können zusätzliche Elemente wie den Benutzer, den letzten Scan, die IP-Adresse oder die letzte Aktualisierung anstelle der Standardspalten hinzufügen. Sie können die Liste der angezeigten Geräte auch nach Plattform, Betriebssystemversion, Status, Richtlinie, Typ (Workstation/Laptop/Server) oder Versionsnummer des Endpunkt-Agenten sortieren. Alternativ können Sie über ein Suchfeld Geräte nach ihrem Namen suchen. Auf diese Weise können Sie leicht bestimmte Geräte oder Gerätekategorien finden.

Wenn Sie die gesuchten Computer gefunden haben, können Sie über das Actions Menü Befehle auf ihnen ausführen. Verfügbare Aktionen sind: Assign Windows Policy, Full Scan, Quick Scan, Update Definitions, Schedule Agent Update, Update Agent Now, Reboot Devices, Stop Agent, Uninstall Agent, und Delete Device. Uninstall Agent entfernt die Endpunkt-Software, behält aber die zugehörigen Daten. Dies kann nützlich sein, wenn Sie die Version des Agenten neu installieren oder ändern möchten. Delete Device entfernt die zugehörigen Daten und deaktiviert die Lizenz.

Jedes einzelne Gerät hat seine eigene Detailseite mit verschiedenen Registerkarten. Diese sind: Summary (Status usw.); Scans (was wurde gescannt, was wurde gefunden, was wurde getan); Quarantine; Threats (Quelle, Schweregrad und ergriffene Maßnahmen); Web Activity (vom Benutzer besuchte Seiten); Timeline (Scans und Erkennungen); Vulnerabilities; Anwendungen.

Die Funktion Timeline ist unten dargestellt. Sie listet wichtige Systemereignisse wie Scans, blockierte Webseiten und Malware-Erkennungen in chronologischer Reihenfolge auf. Für jedes Ereignis gibt es ein Informationsfeld.

Ein Klick auf den Namen eines Threats öffnet die entsprechende Threat Information Seite, siehe unten. Hier werden die Begegnungen mit der Bedrohung in der letzten Woche, die betroffene Schutzkomponente, der Schweregrad der Bedrohung, die ergriffenen Maßnahmen und die von der Bedrohung betroffenen Geräte angezeigt.

Policies Seite

Hier können Sie die Schutzeinstellungen für Ihre Geräte konfigurieren. Es gibt separate Seiten/Richtlinien für Windows- und macOS-Geräte und separate Standardrichtlinien für jeden der Windows-Computertypen, nämlich Windows-Laptops, Windows-Arbeitsstationen und Windows-Server. Für jede Richtlinie können Sie konfigurieren: Agent (Benutzeroberfläche und Systemintegration); Scanning (was gescannt werden soll, Zeitplan, USB-Geräte); Active Protection (Empfindlichkeit des Echtzeitschutzes); Web/DNS Protection; E-Mail Protection; Threat Handling; Patching; Firewall:; IDS (Intrusion Detection System). Auf der Agent Seite besteht die Möglichkeit, bei der Installation des Agenten inkompatible Software, d.h. vorhandene Endpoint-Protection-Software eines anderen Herstellers, zu entfernen. Es gibt eine große Auswahl an verschiedenen Produkten und Versionen. Diese werden aufgelistet, so dass Sie sehen können, ob ein bestimmtes Produkt/eine bestimmte Version automatisch entfernt werden kann.

Exclusions Seite

Hier können Sie Scan-Ausschlüsse konfigurieren. Diese sind mit bestimmten Richtlinien verknüpft.

System Seite

Auf dieser Seite können Sie Benachrichtigungen, Konsolenbenutzer, systemweite Einstellungen und den Site-Namen (Sub-Domain von "myvipre.com") konfigurieren. Wir weisen darauf hin, dass VIPRE über ein separates EU-Rechenzentrum verfügt, um die EU-Datenschutzbestimmungen einzuhalten.
Mit Notifications können Sie u.a. Warnungen für erkannte Bedrohungen einrichten. Sie können die Quelle (Echtzeitschutz, Scan oder E-Mail) und den Mindestschweregrad der Bedrohung angeben, der für die Auslösung der Benachrichtigung erforderlich ist. Anschließend fügen Sie E-Mail-Adressen hinzu, die benachrichtigt werden sollen, und Sie können sogar das Format des E-Mail-Betreffs anpassen. Die E-Mail enthält dann Links, die direkt zu den entsprechenden Seiten der Verwaltungskonsole führen.

Bereitstellung von Agents Seite

Auf dieser Seite können Sie Installationsprogramme für den Endpoint Protection Agent verwalten, herunterladen und per E-Mail versenden. Über die Konsole können Sie entscheiden, ob Sie alle Clients automatisch mit dem neuesten Build der Software aktualisieren oder die Software zunächst auf bestimmten Geräten testen möchten. Sie können ein benutzerdefiniertes Installationsprogramm erstellen, das mit einer bestimmten Richtlinie verknüpft ist.

Profile Seite

Hier können Sie die Kontaktinformationen des aktuellen Konsolenbenutzers eingeben und die 2-Faktor-Authentifizierung aktivieren.

Windows Endpoint Protection-Client

Deployment

Installationsdateien im .msi-Format für Windows können von der Seite Deploy Agents heruntergeladen werden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, indem ein Dienstprogramm auf einem Relais-Computer im LAN installiert wird. Sie können ein Installationsprogramm auch direkt von der Seite Deploy Agents per E-Mail an die Benutzer senden. Der Setup-Assistent ist sehr schnell und einfach, so dass auch unerfahrene Benutzer keine Schwierigkeiten damit haben werden. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Einstellung Deinstallationsschutz aktivieren in der entsprechenden Richtlinie verwenden. In der Konsole können Sie sehen, wer die Software auf einem bestimmten Gerät installiert hat.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Durch Ändern der Richtlinie können Sie die Benutzeroberfläche vollständig ausblenden oder bestimmten Benutzern mehr Kontrolle geben, z.B. bei der Verwaltung von Scan-Zeitplänen oder der Quarantäne.

Szenario zur Erkennung von Malware

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte VIPRE die bösartigen Dateien sofort und isolierte sie. Es wurde eine Popup-Warnung angezeigt, die so lange bestehen blieb, bis sie manuell geschlossen wurde. Eine Benutzeraktion war weder erforderlich noch möglich. Ein Klick auf Show Details öffnete jedoch ein Fenster mit weiteren Informationen über die Bedrohung. Sie können die Erkennungswarnungen über eine Richtlinie deaktivieren, wenn Sie dies wünschen.

Über das Produkt

Carbon Black Cloud bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Neben dem Schutz vor Malware umfasst das Produkt auch investigative Funktionen zur Analyse und Behebung von Angriffen. Das Produkt kann Netzwerke mit Hunderttausenden von Geräten verwalten. Unserer Meinung nach eignet es sich auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen.

Vorteile

  • Investigative Funktionen zu Angriffen
  • Funktion zur Fernsanierung
  • Integration mit VMware vSphere
  • Einfache, übersichtliche Benutzeroberfläche
  • Die Konsolenseiten können an Ihre Anforderungen angepasst werden

Verwaltungskonsole

Alle wichtigen Funktionen der Konsole befinden sich in einer einzigen Menüspalte auf der linken Seite der Seite. Das macht die Navigation sehr einfach.

Dashboard Seite

Die Seite Dashboard (Screenshot oben) zeigt Ihnen einen Überblick über sicherheitsrelevante Elemente, die in Panels angezeigt werden. Diese sind Alerts, Endpoint Status, Prevented Malware, Top Alerted Assets, Top Alerted Applications und Threat Reports (Security Blog). Der Bereich Getting Started zeigt Links für allgemeine Aufgaben, wie das Hinzufügen von Konsolenadministratoren. Sie können das Dashboard individuell anpassen, indem Sie Bereiche verschieben und nicht benötigte Bereiche entfernen.

Alerts Seite

Die Seite Alerts zeigt Ihnen eine Liste der Bedrohungen, die auf allen Geräten aufgetreten sind, in chronologischer Reihenfolge. Sie können die Liste nach einer Vielzahl von Kriterien filtern, indem Sie das Menüfeld auf der linken Seite verwenden. Sie können nach Gerät, Prozess, Workflow, effektiver Reputation, Sensoraktion und mehr filtern. Das Hauptfenster zeigt Datum und Uhrzeit des Alarms, Grund (z B. Malware-Erkennung), Schweregrad sowie Gerät und Benutzer an. Über die Schaltflächen am rechten Ende jedes Eintrags können Sie die entsprechenden Seiten Alert Triage oder Investigate öffnen oder Maßnahmen ergreifen. Zu den verfügbaren Aktionen gehören das Zurückweisen des Alarms, das Löschen oder die Aufnahme der Datei, die den Alarm verursacht hat, in die Whitelist (Enable bypass) oder das Öffnen der entsprechenden VirusTotal-Seite für die Datei.

Investigate Seite

Auf Investigate können Sie eine chronologische Liste der Ereignisse für jedes einzelne Gerät sehen. Wie bei der Alerts Seite gibt es eine Vielzahl von Filterkriterien, die in einem Feld auf der linken Seite angezeigt werden. Durch Anklicken des Feldes Actions (Pfeilspitze) können Sie weitere Informationen über den Prozess, den übergeordneten Prozess, den untergeordneten Prozess und das Gerät anzeigen (siehe Screenshot oben). So können Sie Netzwerkverbindungen und Programmausführungen überwachen und sich ein detailliertes Bild von sicherheitsrelevanten Ereignissen machen. Über Dropdown-Menüs in der Detailansicht können Sie Aktionen wie das Hinzufügen der Datei zu Listen zugelassener oder gesperrter Dateien, die Überprüfung mit VirusTotal, das Löschen oder die Quarantäne durchführen.

Enforce\Policies Seite

Hier können Sie die Einstellungen konfigurieren, die auf Ihre Geräte angewendet werden sollen. Es gibt Einstellungen für die Malware-Erkennung, den On-Access-Schutz, die Häufigkeit von Updates und die zu verwendenden Server, Scans und die Schnittstelle des Endpoint-Protection-Clients. Eine einzige Richtlinie kann für alle Plattformen verwendet werden, d.h. für Windows, macOS und Linux. Die Windows-, Apple- und Pinguin-Symbole zeigen an, auf welche Plattformen eine Konfigurationsoption angewendet werden kann. Administratoren können Richtlinien erstellen, die auf tragbare Geräte angewendet werden, wenn diese sich außerhalb des Firmen-LANs befinden.

Enforce\Malware-Entfernung Seite

Hier sehen Sie eine Liste der unter Quarantäne gestellten schädlichen Objekte, die Sie z.B. untersuchen, in VirusTotal suchen, löschen oder auf die Whitelist setzen können. Malware kann von einem einzelnen Gerät oder von mehreren Geräten gelöscht werden.

Enforce\Cloud-Analyse Seite

Diese Seite zeigt Ihnen die Ergebnisse der Analyse verdächtiger Dateien an.

Inventory/Endpoints Seite

Der Endpoints Seite bietet, wie oben abgebildet, einen Überblick über die Geräte im Netzwerk. Über ein Suchfeld können Sie nach einem bestimmten Client in einem größeren Netzwerk suchen. Für jedes Gerät sind die Details sehr überschaubar gehalten (Status, Gerätename, Benutzer, Details zum Betriebssystem und zur Sensorversion, Richtlinien und letzte Check-in-Zeit). Sie können jedoch leicht mehr Informationen über ein einzelnes Gerät erhalten, indem Sie auf das Pfeilsymbol am rechten Ende des Eintrags klicken. Dadurch werden Elemente wie die Sensormodellversion, interne und externe IP-Adressen sowie die Person, die die Endpunktschutzsoftware installiert hat, angezeigt. Ein Klick auf den Namen eines Geräts öffnet die Investigate Seite für dieses einzelne Gerät. Über die Go Live Schaltfläche am Ende jedes Geräteeintrags wird eine Fernverwaltungssitzung mit dem Gerät aufgebaut. Wenn Sie ein oder mehrere Geräte auswählen, können Sie Aktionen wie Scans, Richtlinienzuweisungen und Sensoraktualisierungen durchführen. Sie können ein Gerät auch unter Quarantäne stellen. Dadurch werden alle Netzwerkverbindungen zum und vom Gerät unterbrochen, mit Ausnahme der Verbindungen zur und von der Verwaltungskonsole.

Settings Menu

Unter dem Menüpunkt Settings können Sie Optionen für die Konsole/das System als Ganzes konfigurieren. Unter Users können Sie die Benutzer der Konsole verwalten. Es gibt 5 Stufen von Berechtigungen, die einem Benutzer zugewiesen werden können, von Level 1 Analyst bis hin zu System Admin. Im Zusammenhang damit steht die Seite Roles, auf der Sie bearbeiten können, was jede Berechtigungsstufe tatsächlich tun kann. Unter Notifications können Sie den Schweregrad der Bedrohung festlegen, bei dem eine Warnung gesendet werden soll, sowie eine E-Mail-Adresse, an die diese gesendet werden soll. Audit Log zeichnet Konsolenbenutzeranmeldungen und Richtlinienänderungen/-zuweisungen auf.

Windows Endpoint Protection-Client

Deployment

Sie können die Installationsdateien im .msi-Format von dem Sensor Options Menü auf der Inventory\Endpoints Seite herunterladen. Sie haben die Wahl zwischen 32- und 64-Bit-Paketen. Sie müssen einen Installationscode eingeben, den Sie im selben Menü finden. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Die Verwendung des Send installation request lässt Sie den Benutzern einen Installationslink und einen Code per E-Mail zusenden. Der Installationsassistent ist einfach und stellt auch für technisch nicht versierte Benutzer keine Probleme dar. Sie können Benutzer mit Windows-Administratorkonten daran hindern, die Software zu deinstallieren, indem Sie die Require code to uninstall sensor Option in der entsprechenden Richtlinie verwenden. Carbon Black Cloud ist für die Bereitstellung und Aktualisierung in VMware vSphere integriert.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Taskleiste und einem kleinen Informationsfenster. Die Nutzer können eine Liste der zuletzt blockierten Bedrohungen sehen. Letztere enthält den Erkennungsnamen und den Dateipfad sowie das Datum und die Uhrzeit der Erkennung. Weitere Funktionen sind nicht vorhanden. Die Benutzeroberfläche kann per Richtlinie vollständig ausgeblendet werden, wenn Sie dies wünschen. Die Integration mit dem Windows Security Center kann über die Konsole aktiviert oder deaktiviert werden.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Carbon Black die bösartigen Dateien sofort und stellte sie an Ort und Stelle unter Quarantäne. Es wurde eine Pop-up-Warnung angezeigt, die sich nach einigen Sekunden wieder schloss. Eine Benutzeraktion war weder erforderlich noch möglich, obwohl ein Klick auf Details das Fenster mit der Erkennungsliste des Programms öffnete.

Über das Produkt

WatchGuard Endpoint Protection Platform (EPP) bietet eine cloudbasierte Konsole für die Verwaltung der Endpoint-Protection-Software. Das Produkt kann Netzwerke mit Zehntausenden von Geräten verwalten. Unseres Erachtens ist es auch für kleinere Unternehmen mit einigen Dutzend Arbeitsplätzen geeignet.

Vorteile

  • Leicht zu navigierende Konsole
  • Die anklickbare Oberfläche ermöglicht einen einfachen Zugriff auf Detailseiten
  • Netzwerkerkennungsprozess stellt sicher, dass alle Geräte geschützt sind
  • Detaillierte Hardware- und Softwareinformationen und Berichte für einzelne Geräte
  • Konfigurierbare Menüleiste

Management Console

Status Tab

Eine Statusübersicht finden Sie auf der Seite Status tab/Security Seite (Screenshot oben), die sich standardmäßig öffnet. Es gibt Torten- und Balkendiagramme für die angezeigten Elemente, die Folgendes umfassen Protection Status, Offline Computers, Outdated Protection, und Programs Allowed by the Administrator. Sie können sich durchklicken, um genauere Informationen zu erhalten. Klicken Sie zum Beispiel im Hauptmenü auf die Protection Status Grafik führt Sie dies zur Computer protection status Seite. Die Erkennungsfunktionen "log/quarantine" der Konsole werden durch Klicken auf Threats detected by the antivirusgeöffnet. Hier sehen Sie die betroffenen Computer und ihre IP-Adressen und Gruppen, den Bedrohungstyp und -pfad, die ergriffene Maßnahme (z.B. blocked/quarantined/deleted) sowie Datum und Uhrzeit.

Der Status Tab enthält eine linke Menüspalte, über die Sie weitere Statusseiten öffnen können. Web access zeigt die Kategorien von Websites, wie Webmail, Spiele und Business, auf die die Nutzer zugegriffen haben. Ein Abschnitt namens My Lists bietet einfache, aber nützliche Übersichten über verschiedene Aspekte des Netzes. Es gibt Links für Hardware und Software der verwalteten Computer, plus Unprotected Workstations und Unprotected Servers. Scheduled reports lässt Sie die zu versendenden Informationen und den Versandzeitpunkt individuell festlegen.

Der My Lists ist konfigurierbar, und es können eine Reihe weiterer Kategorien hinzugefügt werden. Dazu gehören Unmanaged computers discovered, Computers with duplicate name, Intrusion attempts blocked, und Threats detected by the antivirus. So können Sie schnell feststellen, ob es Sicherheitsprobleme gibt, die behoben werden müssen.

Computers Tab

Der Computers (siehe unten) werden alle geschützten Computer und mobilen Geräte im Netzwerk aufgelistet. Sie können nach verschiedenen Kriterien sortieren, darunter Hostname, IP-Adresse, Betriebssystem, Verwaltungsgruppe und Datum/Uhrzeit der letzten Verbindung. Es ist möglich, die angezeigten Spalten anzupassen, so dass Sie z.B. die Domänenmitgliedschaft und den zuletzt angemeldeten Benutzer hinzufügen können. In einer Windows-Explorer-ähnlichen Ordnerstruktur Tab, auf der linken Seite, lässt Sie Geräte nach Betriebssystem (einschließlich Windows für ARM-Prozessoren), Gerätetyp oder Hardware-/Softwarekriterien filtern. Über die Schaltfläche mit den drei Punkten am Ende eines jeden Eintrags können Sie Aufgaben für das angegebene Gerät ausführen, z.B. Scans durchführen, Software neu installieren, den Computer neu starten, ihn in eine andere Gruppe verschieben oder ihn löschen.

Wenn Sie auf das Ordnersymbol oben im linken Fenster und auf das Symbol mit den drei Punkten rechts neben "All" klicken, können Sie Computergruppen erstellen und verwalten, die mit Active Directory synchronisiert werden können.

Wenn Sie auf den Namen eines Computers klicken, wird die unten abgebildete Detailseite für dieses Gerät geöffnet. Hier finden Sie Netzwerk- und Domäneninformationen, Details zum Betriebssystem, Versionen des WatchGuard-Agenten und des Endpoint-Clients und vieles mehr. Der Status der einzelnen Schutzkomponenten wird ebenfalls angezeigt. Der Hardware Tab enthält Details zur CPU, zum RAM, zur Systemfestplatte und zum BIOS, zusammen mit den entsprechenden Nutzungsstatistiken. Ein Klick auf Software ermöglicht es Ihnen, Informationen über installierte Programme zu sehen, während Settings die Richtlinien- und Netzwerkkonfigurationen anzeigt. Über eine Menüleiste am oberen Rand der Seite können Sie das Gerät verschieben oder löschen, einmalige oder geplante Scans durchführen, den Verwaltungsagenten oder die Schutzsoftware neu installieren und den Computer neu starten.

Settings Tab

Der Settings/Security Seiten lässt Sie separate Sicherheitsrichtlinien für Computer einerseits und mobile Android-Geräte andererseits definieren. Unter My Alerts können Sie E-Mail-Benachrichtigungen für verschiedene Elemente einrichten. Dazu gehören Erkennungen von Malware und Phishing, nicht lizenzierte/unverwaltete/ungeschützte Computer und Installationsfehler. Unter Network settings können Sie die Proxy- und Cache-Server von WatchGuard verwalten, die beide Updates für andere Computer im LAN bereitstellen. Ersterer ist für den Einsatz in isolierten LANs gedacht, letzterer z.B. für Zweigstellen mit Internetverbindungen mit geringer Bandbreite. Unter Proxy finden Sie auch Enable real-time communication. Diese ermöglicht eine nahezu sofortige Kommunikation zwischen den Clients und der Verwaltungskonsole. In der Beschreibung der Konsole wird darauf hingewiesen, dass sie ein hohes Volumen an Netzwerkverkehr erzeugen kann.

Tasks Tab

Auf der Registerkarte Tasks können Sie geplante Überprüfungen einrichten.

Settings Menu

Das Einstellungsmenü wird über das Zahnradsymbol in der oberen rechten Ecke der Konsole aufgerufen. Es enthält Hilfe- und Support-Links, Lizenz- und Produktinformationen sowie die Möglichkeit, die Sprache der Konsole in Echtzeit zu ändern.

Windows Endpoint Protection-Client

Deployment

Die Verteilungsoptionen finden Sie unter Add Computers auf der Computers Seite. Sie können ein Installationsprogramm im .msi-Format erstellen, das vorkonfiguriert sein kann. Sie können eine WatchGuard- oder Active Directory-Computergruppe angeben und Einstellungen auswählen. Das Installationsprogramm kann dann direkt von der Konsole heruntergeladen oder per E-Mail an die Benutzer gesendet werden. Die manuelle Installation ist äußerst schnell und einfach und stellt auch für nicht erfahrene Benutzer kein Problem dar. Sie können die Software mit einem Passwort schützen (unter Settings/Per-computer settings), was bedeutet, dass selbst Benutzer mit Windows-Administratorkonto es nicht deinstallieren können.

Sie können die Software auch über ein Systemverwaltungsprodukt oder ein Active Directory-Skript bereitstellen. Die Option Discovery and Remote Installation ermöglicht es Ihnen zusätzlich, die Software per Remote-Push zu installieren. Der Erkennungsprozess findet alle Computer im Netzwerk, so dass Sie sicher sein können, dass kein Computer ungeschützt ist.

Benutzeroberfläche

Die Benutzeroberfläche auf geschützten Endpunkten besteht aus einem Symbol in der Taskleiste und einem Programmfenster. Die Benutzer können den Schutzstatus und die Erkennungsprotokolle einsehen, Updates ausführen und Schnell-, Voll- und benutzerdefinierte Scans durchführen. Sie können auch eine Datei, einen Ordner oder ein Laufwerk über das Rechtsklickmenü des Windows Explorers scannen. Wenn Sie möchten, können Sie die Benutzeroberfläche in den Richtlinieneinstellungen vollständig ausblenden. Warnhinweise werden jedoch weiterhin angezeigt.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, ergriff WatchGuard zunächst keine Maßnahmen. Sobald wir jedoch versuchten, die bösartigen Dateien auf den Windows-Desktop zu kopieren, wurden sie erkannt und gelöscht. Es wurde eine Popup-Warnung angezeigt, die sich nach einigen Sekunden schloss. Eine Benutzeraktion war weder erforderlich noch möglich.

In diesem Business Security Test und Review erreichte Award-Levels

Wie in den vergangenen Jahren vergeben wir unseren "Approved Business Product" Award an qualifizierte Produkte. Da wir zwei Tests für Business-Produkte pro Jahr durchführen, werden qualifizierte Produkte im Juli (für die Tests im Zeitraum März-Juni) und im Dezember (für die Tests im Zeitraum August-November) separat ausgezeichnet.

Um im Juli 2022 von AV-Comparatives als "Approved Business Product" zertifiziert zu werden, müssen die getesteten Produkte im Malware Protection Test mindestens 90% erreichen, mit null Fehlalarmen bei gängiger Unternehmenssoftware und einer FP-Rate bei nicht-unternehmensrelevanten Dateien unter der Auffallend hoch Schwelle. Darüber hinaus müssen die Produkte im gesamten Real-World Protection Test (d.h. über einen Zeitraum von vier Monaten) mindestens 90% erreichen, mit weniger als hundert Fehlalarmen bei jeder sauberen Software/Website und null Fehlalarmen bei gängiger Unternehmenssoftware. Die getesteten Produkte müssen außerdem keine größeren Performanceprobleme aufweisen (der Impact Score muss unter 40 liegen) und es müssen alle gemeldeten Fehler behoben sein, um die Zertifizierung zu erhalten.

Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und daher mit dem AV-Comparatives Approved Business Security Product Award für Juli 2022 ausgezeichnet wurden:

APPROVED
AcronisAPPROVED
AvastAPPROVED
BitdefenderAPPROVED
CiscoAPPROVED
CrowdStrikeAPPROVED
CybereasonNOT APPROVED
ElasticAPPROVED
ESETAPPROVED
G DataAPPROVED
K7APPROVED
KasperskyAPPROVED
MalwarebytesNOT APPROVED
MicrosoftAPPROVED
SophosAPPROVED
TrellixAPPROVED
VIPREAPPROVED
VMwareAPPROVED
WatchGuardAPPROVED

Cybereason erreichte akzeptable Schutzwerte, aber leider nicht alle Anforderungen für den Approved Award im Juli 2022. Dies war auf die erheblichen Auswirkungen auf die Performance auf Low-End-Hardware zurückzuführen. Wir hoffen, dass das Performanceproblem in der zweiten Testrunde dieses Jahres (deren Ergebnisse im Dezember 2022 erwartet werden) nicht mehr auftritt. Der Performance Test in der zweiten Jahreshälfte wird auf High-End-Hardware durchgeführt.

Obwohl Malwarebytes gute Ergebnisse beim Malware-Schutz erzielt hat, hat es leider nicht alle Anforderungen für den Approved Award im Juli 2022 erfüllt. Dies lag an der hohen Anzahl von False-Positives bei nicht-unternehmensrelevanten Dateien. Wir hoffen, dass dieses Problem in der zweiten Testrunde dieses Jahres (deren Ergebnisse im Dezember 2022 erwartet werden) nicht mehr auftreten wird.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2022 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstandes von AV-Comparatives vor jeglicher Veröffentlichung erlaubt. Dieser Test wird von den Teilnehmern unterstützt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Juli 2022)