Client-Sicherheit zentral verwalten

Es geht voran mit ZENworks von Novell. Die Herstellerin hat die gesamte Produktfamilie in der jüngeren Vergangenheit konsequent überarbeitet und erweitert. Der Fokus lag dabei, neben der funktionalen Erweiterung, auf der Öffnung für Infrastrukturen, in denen das Novell eDirectory nicht - oder nicht an führender Position - eingesetzt wird. Eines der neusten Produkte im Portfolio von Novell ist das ZENworks Endpoint Security Management (ZESM) 3.5 für die Administration der Client-Sicherheit in Netzwerken.

Das ZENworks Endpoint Security Management ist eine verteilte Lösung, die mit zent-ralen Managementkomponenten arbeitet, auf denen Richtlinien bereitgestellt werden. Diese werden über das Netzwerk an die Clients verteilt. Die Kommunikation erfolgt verschlüsselt, um Manipulationen an Richtlinien zu verhindern.

Auf der Serverseite gibt es eine ganze Reihe von Komponenten. Die zentrale Rolle übernimmt der Management Service. Er verwaltet die Richtlinien, empfängt Berichte von den Clients und führt auch die Authentifizierung durch. Der Management Service arbeitet mit Microsoft SQL Server-Datenbanken für die Speicherung von Richtlinien, Berichten und anderen Informationen sowie mit einem LDAP-Verzeichnis für das Benutzermanagement zusammen. Dabei kann es sich um das Active Directory, das Novell eDirectory oder ein anderes LDAP-Verzeichnis handeln.

Eine weitere Komponente ist der Location Assurance Service. Er besorgt die Überprüfung von Netzwerkstandorten, wobei bekannte Parameter des Netzwerks, beginnend bei den IP-Adressen, einbezogen werden. Das ist wichtig, weil damit sichergestellt wird, dass die richtigen Einstellungen in den richtigen Teilsegmenten des Netzwerks verwendet werden.

Diese Komponenten müssen innerhalb einer geschützten Umgebung betrieben werden. Der Management Service arbeitet über eine verschlüsselte Verbindung mit dem Policy Distribution Service zusammen, der die Schnittstelle für die Clients bereitstellt. Über ihn werden Richtlinien verteilt und Informationen für das Reporting eingesammelt.

Die Clients erhalten schliesslich die Richtlinien, die von der dort installierten Client-Komponente verarbeitet werden. Diese Richtlinien steuern anschliessend die Sicherheit des Clients. Die Verteilung der Client Software kann durch lokale Installation oder über das Netzwerk - beispielsweise unter Nutzung von ZENworks Configuration Management - erfolgen.

Da die Herausforderung der Client-Sicherheit heute über eine lokale Firewall und einen Virenscanner hinausgeht - man denke an die Nutzung von USB-Geräten oder die korrekte Konfiguration von VPNs für den Zugriff mobiler Endgeräte auf Anwendungen im Netzwerk - unterstützt ZESM ein sehr breitgefächertes Portfolio von Funktionen.

Eine Personal Firewall auf dem lokalen System sorgt für grundlegenden Schutz. Darüber hinaus kann drahtlose Sicherheit ebenso konfiguriert werden wie sich Daten auf den lokalen Systemen mit einem zentralen Schlüsselmanagement gezielt verschlüsseln lassen. Auch USB-Sicherheit wird unterstützt. Weitere wichtige Funktionen sind ein Schutz der Richtlinien vor Manipulationen, die Kontrolle ausführbarer Anwendungen sowie der Schutz von Netzwerkgeräten gegen nicht zulässige Nutzung und die Alerting- und Reporting-Funktionen.

Was in der Liste ganz offensichtlich fehlt, ist eine Antivirenlösung. Hier gibt es zwar Integrationsschnittstellen, mit denen überprüft werden kann, ob eine solche Lösung installiert ist. Es wird aber dennoch ein -Antivirenwerkzeug eines Drittherstellers benötigt.

Auch wenn die Richtlinien einiges an Client-Sicherheit erzwingen, handelt es sich bei ZESM nicht um eine Anwendung für die Network Access Control/Protection (NAC/NAP). Denn es wird «nur» der Client geschützt. In welchen Situationen ein Client in welchem Umfang auf das Netzwerk zugreifen darf, wird ebenso wenig gesteuert wie Clients bei Abweichungen von einer vorgegebenen Konfiguration automatisch «repariert» werden.

Hier gibt es also durchaus noch Potenzial für Erweiterungen des Produkts. Auch deshalb, weil ZESM einerseits funktionale Überlappungen zu den gängigen Antivirenlösungen (die oft ebenfalls eine Firewall enthalten) aufweist, andererseits Überschneidungen mit gängigen NAC/NAP-Produkten besitzt.

ZESM unterstützt mehrere verschiedene Installationsoptionen. Die einfachste Variante ist die Testversion mit einer Stand-alone-Verwaltungskonsole und dem Client. Sie macht allerdings für die produktive Nutzung wenig Sinn. Empfehlenswerter ist die Single-Server-Installation oder die «konsolidierte Einrichtung», bei der mit einem Server für Management Service und Distribution Service gearbeitet wird. Der Aufwand für die Einrichtung ist dabei kaum höher, man kann aber danach alle Funktionen des Produkts nutzen. Für eine sichere, produktive Infrastruktur empfiehlt sich die verteilte Einrichtung, bei der insbesondere die Funktionen von Management Service und Distribution Service auf getrennten Systemen eingerichtet werden.

Die Installation der Serverkomponenten kann auf dem Windows 2000 Server und dem Windows Server 2003 erfolgen. Als Clients werden Windows XP und Windows 2000 unterstützt. Es gibt keine offizielle Unterstützung für den neuen Windows Server 2008 oder Windows Vista.

Für die Serverkomponenten werden das Microsoft .NET Framework 1.1, der Microsoft SQL Server oder die MSDE und die IIS benötigt. Das .NET Framework wird automatisch eingerichtet, falls es noch nicht vorhanden ist. Die anderen Dienste müssen vorab installiert werden. Falls nicht mit der Standardbezeichnung mssqlserver für die Datenbankinstanz gearbeitet wird, ist eine manuelle Konfiguration der Verbindung zum SQL Server erforderlich. Die Authentifizierung kann ausschliesslich über das lokale Benutzermanagement des SQL Server erfolgen, nicht aber über die integrierte Windows-Authentifizierung - was sicher nicht optimal ist. Ansonsten ist der Installationsvorgang zwar nicht immer elegant, aber gut beherrschbar, auch wenn beispielsweise die wiederholte Eingabe der immer gleichen Parameter für verschiedene Datenbankinstanzen lästig ist. Manches hätte diesbezüglich besser gelöst werden können.

Diese Kritik betrifft auch die Verwaltungskonsole. Bei dieser muss zunächst die Verbindung zu einem Verzeichnisdienst konfiguriert werden, wobei mal in LDAP-Notation, mal nur mit Server- oder Domänennamen gearbeitet wird. Etwas mehr Konsistenz würde die Nutzung erleichtern - genauso wie bei der ersten Authentifizierung, bei der zwar Administrator als Benutzername vorgeschlagen wird, tatsächlich aber eine Eingabe in LDAP-Notation beispielsweise als cn=administrator,cn=users,dc=kuppinger,dc=de erfolgen muss.

Die eigentliche Konfiguration der Richtlinien ist dann einfach, wobei auch hier festzuhalten ist, dass Novell schon bessere Benutzerschnittstellen realisiert hat. Insgesamt wirkt die Schnittstelle ziemlich hölzern - auch wenn man durchaus damit zurecht kommen kann.

Eine interessante Frage ist: «Welche Vorteile liefert ZESM im Vergleich zu den Funktionen, die Windows ohnehin schon hat?» Antwort: Mit den Gruppenrichtlinien lässt sich ebenfalls ein zentrales Sicherheitsmanagement realisieren. Sie sind aber erstens relativ unübersichtlich, zweitens gibt es Aspekte wie die Standorterkennung, die dort nicht unterstützt werden. Auch die Sicherung von USB-Geräten ist eher rudimentär. Die wichtigste Einschränkung ist aber, dass es erst mit Windows Vista eine wirklich leistungsfähige lokale Firewall gibt, wenn die erweiterte Variante der Windows Firewall genutzt wird. ZESM indes unterstützt alle Systeme ab Windows 2000 - aber bisher noch nicht Windows Vista (was nur eine Frage der Zeit sein dürfte). Ausserdem ist ZESM, etwa durch die Verschlüsselung von Richtlinien, mehr auf Sicherheit getrimmt.

Trotz einiger Lücken und kleinen Schwächen punkto Installation und Konfiguration ist das ZENworks Endpoint Security Management 3.5 eine Lösung, mit der man die Sicherheit von Windows-Umgebungen deutlich erhöhen kann - heute für Windows 2000 und Windows XP und wohl bald auch für Windows Vista.