Reference Guide Business Software

Transcription

SIMPLY
SECURE





ReferenceGuide_Business_13.2_German_2015-11-04 14:04






G Data Business Solutions Reference Guide
Inhalt
Einleitung ...........................................................................................................................................................5
Abschnitt A: Planung und Bereitstellung..........................................................................................................6
1.
2.
3.
4.
Netzwerk- und Client-Verwaltung .............................................................................................................6
1.1.
Netzwerk-Layout .......................................................................................................................................................... 6
1.2.
Sicherheitskomponenten ......................................................................................................................................... 11
Auswahl einer Lösung ..............................................................................................................................13
2.1.
G Data Business-Lösungen ....................................................................................................................................... 13
2.2.
Systemanforderungen .............................................................................................................................................. 14
2.3.
Lizenzierung ................................................................................................................................................................ 16
Installationsszenarien..............................................................................................................................17
3.1.
Lokale Bereitstellung ................................................................................................................................................. 17
3.2.
Managed Endpoint Security..................................................................................................................................... 23
Bereitstellung ...........................................................................................................................................24
4.1.
Vorbereitung ............................................................................................................................................................... 24
4.2.
Saubere Installation ................................................................................................................................................... 25
4.3.
Update-Installation .................................................................................................................................................... 28
4.4.
Netzwerkkonfiguration ............................................................................................................................................. 29
4.5.
Erste Konfiguration und Standardeinstellungen ................................................................................................. 30
4.6.
Server-Updates und Registrierung ......................................................................................................................... 32
4.7.
Server-Datenbank-Backup und -Wiederherstellung .......................................................................................... 33
4.8.
Client-Bereitstellung .................................................................................................................................................. 34
4.9.
Abschließen der Bereitstellung ............................................................................................................................... 42
4.10. Subnet-Server.............................................................................................................................................................. 43
5.
2
Fernadministration ..................................................................................................................................44
5.1.
Desktop-Anwendung ................................................................................................................................................ 44
5.2.
Browser ......................................................................................................................................................................... 45
5.3.
Mobile ........................................................................................................................................................................... 47
5.4.
MasterAdmin ............................................................................................................................................................... 48
Copyright © 2015 G Data Software AG
Einleitung
Abschnitt B: Verwenden von G Data Business-Lösungen...............................................................................50
6.
7.
8.
9.
Dashboard und Überwachung .................................................................................................................50
6.1.
Dashboard und Statistik............................................................................................................................................ 50
6.2.
Berichte und Alarmmeldungen ............................................................................................................................... 52
6.3.
ReportManager ........................................................................................................................................................... 54
Verwalten von Clients ..............................................................................................................................57
7.1.
Verwenden von Gruppen ......................................................................................................................................... 57
7.2.
Integrieren von Active Directory ............................................................................................................................. 58
7.3.
Signatur- und Programmdatei-Updates ............................................................................................................... 58
7.4.
Sicherheitsberechtigungen für Endbenutzer ....................................................................................................... 62
7.5.
Leistung ........................................................................................................................................................................ 64
7.6.
Verwalten von Linux-Clients .................................................................................................................................... 65
7.7.
Entfernen eines Clients.............................................................................................................................................. 65
Echtzeit-Schutz .........................................................................................................................................66
8.1.
Scans des Internet-Datenverkehrs .......................................................................................................................... 67
8.2.
Wächter ........................................................................................................................................................................ 69
8.3.
Leistung ........................................................................................................................................................................ 72
8.4.
Betriebssystemsicherheit .......................................................................................................................................... 73
On-Demand-Schutz ..................................................................................................................................76
9.1.
Leerlauf-Scan ............................................................................................................................................................... 76
9.2.
Scan-Aufträge.............................................................................................................................................................. 77
9.3.
Ausnahmen.................................................................................................................................................................. 84
9.4.
Lokale Scan-Aufträge................................................................................................................................................. 84
10. Umgang mit einer Malware-Infektion .....................................................................................................86
10.1. Automatisierte Erkennung und Entschärfung ..................................................................................................... 86
10.2. Erweiterte Entschärfung ........................................................................................................................................... 88
10.3. Analyse ......................................................................................................................................................................... 89
11. MobileDeviceManagement......................................................................................................................92
11.1. Android ......................................................................................................................................................................... 92
11.2. iOS .................................................................................................................................................................................. 98
12. Backups ................................................................................................................................................. 101
12.1. Verwalten von Backups ........................................................................................................................................... 102
12.2. Erstellen eines Backups ........................................................................................................................................... 104
3
12.3. Wiederherstellen eines Backups ........................................................................................................................... 108
13. Firewall .................................................................................................................................................. 110
13.1. Verwalten von Firewall-Clients .............................................................................................................................. 111
13.2. Autopilot .................................................................................................................................................................... 112
13.3. Regelsätze .................................................................................................................................................................. 112
13.4. Berechtigungen für Endbenutzer ......................................................................................................................... 115
13.5. Protokolle ................................................................................................................................................................... 115
14. PolicyManager....................................................................................................................................... 118
14.1. Anwendungen .......................................................................................................................................................... 118
14.2. Geräte.......................................................................................................................................................................... 121
14.3. Web-Inhalt ................................................................................................................................................................. 122
14.4. Internetnutzungszeit ............................................................................................................................................... 124
15. PatchManager ....................................................................................................................................... 126
15.1. Schritt 1: Aktualisierung des Inventars ................................................................................................................ 127
15.2. Schritt 2: Sammeln von Informationen................................................................................................................ 128
15.3. Schritt 3: Strategie und Planung ........................................................................................................................... 129
15.4. Schritt 4: Testen ........................................................................................................................................................ 129
15.5. Schritt 5: Planung und Zuweisung ....................................................................................................................... 131
15.6. Schritt 6: Patch-Bereitstellung ............................................................................................................................... 131
15.7. Schritt 7: Überprüfen und Berichten .................................................................................................................... 131
16. E-Mail-Server-Sicherheit ....................................................................................................................... 132
16.1. Exchange-Plugin ....................................................................................................................................................... 132
16.2. MailGateway .............................................................................................................................................................. 136
17. Erweiterte Konfiguration ...................................................................................................................... 156
17.1. Bearbeiten der erweiterten Einstellungen .......................................................................................................... 156
17.2. G Data ManagementServer .................................................................................................................................... 158
17.3. G Data Security Client .............................................................................................................................................. 165
17.4. G Data MailSecurity für Exchange ......................................................................................................................... 167
17.5. Debuggen .................................................................................................................................................................. 168
17.6. Deinstallation ............................................................................................................................................................ 171
17.7. Deinstallationsbereinigung .................................................................................................................................... 172
Akronyme ...................................................................................................................................................... 174
Index.............................................................................................................................................................. 175
4
Einleitung
Einleitung
G Data bietet High-End-Malware-Schutz für KMU- und Konzernnetzwerke. Die Lösungen basieren auf einer
zentralen Konfiguration und Verwaltung und bieten so viel Automatisierung wie möglich, während eine
umfassende Anpassung erfolgen kann. Alle Clients, egal ob Workstations, Notebooks, Fileserver oder mobile
Clients, werden zentral verwaltet. Client-Prozesse werden unsichtbar im Hintergrund ausgeführt, und
automatische Online-Updates ermöglichen extrem schnelle Reaktionszeiten. G Data unterstützt verschiedene
Verwaltungsansätze, wobei entweder Sicherheitsfunktionen für einen autonomen Betrieb konfiguriert werden
können oder die volle Kontrolle über die Software-Aktionen beibehalten werden kann. Dieses Dokument dient als
Unterstützung bei fundierten Entscheidungsfindungen zur Bereitstellung von G Data Geschäftslösungen und
enthält Empfehlungen sowie optimale Konfigurationen für den Schutz von KMU- und Konzernnetzwerken.
Die Bereitstellung der Netzwerk- und Client-Sicherheit kann in drei Teile gegliedert werden. Idealerweise sollte die
Sicherheit von Anfang an ein wichtiger Aspekt sein, noch bevor Hard- oder Software bereitgestellt wird. Selbst
vorhandene Netzwerke können und sollten von einer gut durchdachten Sicherheitsrichtlinie profitieren. Die
Planungsphase hilft Administratoren, sich über die Bedürfnisse und Wünsche der Endbenutzer, die physikalischen
Möglichkeiten der Hardware, das optimale Layout des Unternehmensnetzwerks und die Sicherheitsebenen klar zu
werden, die allen Knoten hinzugefügt werden. Mit einem umfassenden Netzwerk-Layout im Hinterkopf kann eine
fundierte Entscheidung über die bereitzustellende G Data Sicherheitslösung getroffen werden.
Nach Festlegung der Grundlagen können Administratoren zur eigentlichen Bereitstellung der G Data
Geschäftslösung ihrer Wahl übergehen. Ob es sich nun um ein KMU-Netzwerk mit weniger als 50 Clients oder eine
Konzernumgebung mit über 1.000 Clients handelt, die Installation der G Data Software kann optimiert und an jede
Situation angepasst werden. Für eine schnelle Client-Bereitstellung unterstützen G Data Lösungen mehrere ClientInstallationsszenarien, die von automatisierten Remote-Installationen mithilfe von Active Directory bis zu lokalen
Client-Bereitstellungen reichen.
Nach der Bereitstellung von Servern und Clients wird die finale Phase eingeleitet. Durch die Verwendung der neu
geschaffenen Client-Server-Infrastruktur können Administratoren den Client-Schutz, die Server-Sicherheit,
Backups, das Patch-Management, die Sicherheitsrichtlinien und vieles mehr konfigurieren. Dieses Dokument hilft
bei der effektiven Konfiguration der G Data Software für eine optimale Sicherheit ohne Leistungseinbußen.
5
Abschnitt A: Planung und Bereitstellung
1.
Netzwerk- und Client-Verwaltung
Die Einrichtung und Verwaltung eines sicheren Geschäftsnetzwerks können eine Herausforderung sein. Netzwerkund Client-Hardware sowie -Software müssen konfiguriert werden, um verschiedene Endbenutzer-Workflows zu
unterstützen, während nicht autorisierte Benutzer, Angreifer und andere Bedrohungen ferngehalten werden.
Anstatt sofort G Data Software auf allen vorhandenen Servern und Clients im Netzwerk bereitzustellen, sollten
zunächst das Netzwerk-Layout und die Client-Verwaltung berücksichtigt werden. Durch die Unterteilung des
Netzwerks in verschiedene Zonen und die Definition von Client-Rollen kann eine nachfolgende Konfiguration
wesentlich vereinfacht werden. Durch diese Netzwerkunterteilung und die Verwendung von standardisierten
Client-Profilen wird Zeit eingespart, wenn neue Sicherheitsupdates bereitgestellt, Scans geplant oder Backups
angesetzt werden. Zusätzlich können kritische Teile des Netzwerks und ihre Clients definiert werden, damit der
Fokus gegebenenfalls auf die wichtigste Infrastruktur gelegt werden kann.
1.1.
Netzwerk-Layout
Das Netzwerk-Layout umfasst die physische Anordnung der gesamten Netzwerk-Hardware wie Modems, Router,
Switches, Server, Clients und andere Netzwerkgeräte. Anstatt Netzwerkgeräte nach Erwerb und Bereitstellung
hinzuzufügen, ermöglicht ein standardisiertes Netzwerk-Layout den Netzwerkadministratoren eine Übersicht über
das Netzwerk als Ganzes zu behalten. Durch die Arbeit mit Netzwerkzonen und Client-Rollen kann jedem neuen
Gerät eine standardisierte Konfiguration bereitgestellt werden, sobald es hinzugefügt wird. Dadurch wird Zeit
eingespart und die Compliance im gesamten Netzwerk gesichert. Dieses Konzept gilt für kleinere UND größere
Netzwerke. Sobald mehr als ein Client in einem geschäftlichen Workflow-Kontext verwendet wird, verhindert eine
Standardkonfiguration mögliche Frustration bei der Behebung von Client-Problemen, Sicherheitsproblemen und
Netzwerkunregelmäßigkeiten.
Der Aufbau eines Netzwerks kann durch die Erstellung eines Netzwerkdiagramms geplant werden. Das Diagramm
sollte alle Netzwerkgeräte einschließlich Router, Switches und andere unterstützende Geräte enthalten. Es bietet
eine Übersicht über die verschiedenen physischen Sicherheitsebenen einschließlich Modems, Routern und
Firewalls. Vor der Bereitstellung einer Software-Sicherheitslösung müssen diese Geräte konfiguriert werden, die
als erste Verteidigungslinie des Netzwerks dienen. Wenn beispielsweise ein Modem oder Router mit integrierter
Firewall verwendet wird, muss sichergestellt sein, dass die Firewall aktiviert und die passenden Regelsätze zur
Abwehr von schädlichem Datenverkehr definiert wurden. Weitere integrierte Sicherheitsfunktionen sollten
beurteilt und gegebenenfalls aktiviert werden. Dabei ist zu beachten, dass alle diese Einstellungen als Fundament
der Netzwerksicherheit angesehen werden müssen: Die Aktivierung einer Firewall schützt nicht die NetzwerkClients. Sobald eine Sicherheitslösung auf den Client-Geräten bereitgestellt wurde, müssen zuvor konfigurierte
Maßnahmen für die Hardware eventuell neu konfiguriert werden, um die Kompatibilität sicherzustellen.
Neben der Visualisierung der verschiedenen Hardware-Sicherheitsebenen können mit einem Netzwerkdiagramm
effektiv Clients gruppiert werden. Hier kommen die Konzepte der Netzwerkzonen und Client-Rollen ins Spiel. In
ihrer grundlegendsten Form ist eine Netzwerkzone ein spezifisches Segment des Netzwerks, das für einen
bestimmten Zweck zugewiesen wurde. Netzwerkzonen ermöglichen die Konfiguration von
Sicherheitsmaßnahmen nach IP-Bereich, wodurch Administratoren einen sofortigen Einblick in die erforderlichen
Richtlinien für eine neue Gerätebereitstellung in einer bestimmten Zone erhalten. Die Gruppierung durch eine
Netzwerkzone stellt eine Gruppierung von Geräten nach Parametern wie physischer Standort, Zweck,
Sicherheitsbeschränkungen und anderen Eigenschaften dar. Geräte können beispielsweise basierend auf ihrem
6
1. Netzwerk- und Client-Verwaltung
physischen Standort im Gebäude („Vertriebsabteilung“, „Front Office“) in einer Netzwerkzone gruppiert werden.
Bei der Unterteilung von Geräten basierend auf Sicherheitsbeschränkungen könnte eine Netzwerkzone mit dem
Internet verbundene Server (DMZ), lokale Clients mit beschränktem Zugang oder eine andere Gerätegruppe
enthalten, die mithilfe von gemeinsamen Richtlinien konfiguriert werden. Unternehmen, die ihre eigenen mit dem
Internet verbundenen Server hosten (wie z. B. zum Website-Hosting oder als E-Mail- bzw. FTP-Server), wird
besonders die Bereitstellung einer DMZ empfohlen. Durch die Konfiguration dieser Computer als eine separate
Netzwerkzone mit strengen Firewall-Regeln, die sie vom internen Netzwerk trennen, wird das Risiko reduziert,
dass ein Angreifer auf Geräte im internen Netzwerk zugreift. Jede Netzwerkzone kann als ihre eigene
Vertrauenszone mit eigenen Sicherheitsbeschränkungen angesehen werden. Der Datenfluss zu und von jeder
Netzwerkzone kann auf eine Netzwerkebene beschränkt werden, um sicherzustellen, dass der Zugriff auf die
kritische Infrastruktur nur mit Autorisierung erfolgt. Selbst bei vorhandenen Netzwerken kann die Definition von
einigen unterschiedlichen Vertrauenszonen dabei helfen, die für das Unternehmen wichtigsten Computer zu
identifizieren und entsprechend zu schützen.
Jedem Netzwerk-Client kann eine bestimmte Client-Rolle zugewiesen werden, die seiner Nutzung, Priorität,
Sicherheitseinstufung und anderen Parametern entspricht. Bei bestehenden Netzwerken, deren Clients im Active
Directory (AD) organisiert sind, entspricht eine Client-Rolle im Groben einer AD-Organisationseinheit (OE). Einem
Client, der zumeist für grundlegende Büroaufgaben genutzt wird, könnte die Rolle „Büro“ zugewiesen werden. Bei
prioritätsbasierten Rollen könnte einem allgemein bereitgestellten Client für Büroaktivitäten eine Client-Rolle mit
niedrigerer Priorität als der des sorgfältig konfigurierten Clients des Entwicklers zugewiesen werden. Die ClientRolle definiert sowohl die lokalen Sicherheitsrichtlinien als auch die Software-Bereitstellung. Wenn
Netzwerkzonen beispielsweise basierend auf der physischen Nähe konfiguriert wurden, könnte es zu
Überschneidungen zwischen der Client-Rolle und der jeweiligen Netzwerkzone kommen. Idealerweise gibt es so
viele Überschneidungen wie möglich, damit Administratoren eine Richtlinie pro Zone konfigurieren können, die
alle ihre Clients abdeckt. So würde die auf Nähe basierende Netzwerkzone „Vertriebsabteilung“ zum Beispiel nur
Geräte mit der Client-Rolle „Vertrieb“ enthalten, wodurch Administratoren die gleiche(n) Netzwerkkonfiguration
und Sicherheitsrichtlinie(n) auf allen Clients dieser Netzwerkzone bereitstellen können. Jedoch werden oft nicht
alle Clients innerhalb einer Netzwerkzone für die gleichen Zwecke verwendet. Bei der Verwendung einer
Netzwerkzone, die auf Sicherheitsberechtigungen basiert, teilen sich die Clients einen großen Teil ihrer
Sicherheitseinstellungen, können aber dennoch unterschiedliche Software-Bereitstellungen und somit
unterschiedliche Client-Rollen besitzen. Die folgenden Diagramme verdeutlichen die Konzepte von
Netzwerkzonen und Client-Rollen in verschiedenen allgemeinen Netzwerkumgebungen.
Das kleine Büronetzwerk ähnelt sehr einem Heimnetzwerk und wird in der Regel dort umgesetzt, wo nur ein
Server und relativ wenige Clients vorhanden sind. Schematisch ist dies das einfachste Netzwerk-Layout. Alle
Netzwerk-Clients befinden sich in der gleichen Netzwerkzone und verbinden sich direkt über einen (drahtlosen)
Modemrouter mit dem Internet. Die Netzwerksicherheit auf Hardware-Ebene erfolgt durch eine integrierte RouterFirewall. Den Clients könnten dabei gleiche oder unterschiedliche Client-Rollen zugewiesen sein. Einige Clients,
wie Smartphones, Tablets und Laptops, werden im vertrauenswürdigen Büronetzwerk und in nicht
vertrauenswürdigen öffentlichen oder privaten Netzwerken verwendet. Sie werden nicht nur im Büronetzwerk
verwaltet, sondern sollten auch ausreichend gesichert sein, wenn sie in nicht vertrauenswürdigen Umgebungen
verwendet werden, um sich mit dem Büronetzwerk zu verbinden.
In einem kleinen Büronetzwerk müssen die meisten Sicherheitsmaßnahmen auf den Clients angewendet werden.
Mit Ausnahme der optionalen Hardware-Firewall sind keine Sicherheitsvorkehrungen auf Netzwerkebene
vorhanden. Es gibt keine klare Unterscheidung zwischen den Netzwerkzonen, aber die Client-Rollen sollten
dennoch durchgesetzt werden, selbst wenn pro Rolle nur ein oder zwei Computer vorhanden sind. Die zentrale
Definition von Sicherheitsrichtlinien für bestimmte Client-Rollen bietet unter Verwendung von AD-
7
Gruppenrichtlinienobjekten und G Data ManagementServer maßgeschneiderte Sicherheit für jeden Client im
Netzwerk. Es sollte besonders darauf geachtet werden, dass der Server über angemessene Fallback-Vorkehrungen
verfügt. Wenn der Server aufgrund von Hardware-Problemen oder Verbindungsschwierigkeiten ausfällt, sollten
die Clients dennoch eine Verbindung mit den Netzwerkressourcen aufbauen können. Zusätzlich ist es nicht
möglich, Backup-Verfahren effizient zu automatisieren, da der Server nicht selbstständig arbeitet. Die ServerKonfiguration und Datenbanken sollten auf einem zweiten, separaten Gerät oder einem externen
Speichermedium gesichert werden.
Abbildung 1: Kleines Büronetzwerk
Da die Anzahl der Netzwerk-Clients stetig ansteigt, verhindert ein einfaches Netzwerk eine effektive Bereitstellung
und Wartung. Ein festgeschriebenes Netzwerk-Layout mit Netzwerk-Zonen und Client-Rollen ermöglicht es
Administratoren, Richtlinien für verschiedene zu bedienende Client-Typen zu entwickeln. Dieser Netzwerktyp lässt
sich einfach skalieren, wodurch die Anzahl der Clients von zehn auf mehrere Hundert ansteigen kann. Ein
typisches mittelgroßes bis großes Büronetzwerk baut nicht auf einem einzelnen Gerät auf, das Modem, Router
und Firewall in sich vereint. Stattdessen werden mehrere Gateway-Geräte verwendet, die einen geschützten
Internetzugang ermöglichen. Ein separates Firewall-Gerät auf Netzwerkebene ermöglicht eine
Hochleistungsfilterung des Netzwerkverkehrs. Hinter der Firewall wird der Verkehr auf das interne Netzwerk
verteilt. Die unterschiedlichen Netzwerkzonen werden physikalisch voneinander separiert, indem sie jeweils
einem Netzwerkgerät zugewiesen und in unterschiedliche Subnetze aufgeteilt werden. Router und Switches
ermöglichen den Zugang zu den verschiedenen Netzwerkzonen über Kabelverbindungen und verwalten bzw.
beschränken den Datenverkehr zwischen unterschiedlichen Vertrauenszonen. Wenn sie für das
Unternehmensnetzwerk bereitgestellt und eingerichtet wurden, können sich mobile Geräte mit einem
vertrauenswürdigen Geräte-WLAN verbinden. Für unbekannte Geräte wird ein nicht vertrauenswürdiges
Gästenetzwerk konfiguriert.
8
Abbildung 2: Mittelgroßes bis großes Büronetzwerk
Es ist wichtig, zwischen den unterschiedlichen Server-Typen und den Client-Typen, die sie bedienen, zu
unterscheiden. In kleinen oder mittelgroßen Büronetzwerken gibt es immer einen oder mehrere interne Server.
Diese Server bieten, egal ob in einer dedizierten Netzwerkzone oder nicht, interne Client-Dienste wie
Dateispeicherung, Druckdienste oder ERP. Gleichzeitig können einer oder mehrere Server als E-Mail-Server,
Webserver oder FTP-Server eingesetzt werden und Client-Dienste außerhalb des Netzwerks bereitstellen. Obwohl
mittelgroße und große Netzwerke sowohl mit nach innen als auch nach außen gerichteten Servern in einer
internen Zone betrieben werden können, kann eine zusätzliche Sicherheitsebene hinzugefügt werden, wenn mit
dem Internet verbundene Server aus dem Netzwerk heraus betrieben werden sollen. Die demilitarisierte Zone
(DMZ) ist ein logisches Unternetzwerk, das explizit nur diese Dienste enthält, die Kommunikationsanfragen von
außerhalb des Netzwerks empfangen müssen. Zur Verhinderung eines nicht autorisierten Zugriffs auf das interne
Netzwerk sollte der Kontakt zwischen Servern in der DMZ und den internen Netzwerkzonen auf den beschränkt
werden, der für die ordnungsgemäße Funktion der Dienste (wie z. B. E-Mail) erforderlich ist. In diesem Szenario
spielen die beiden Firewalls auf Netzwerkebene eine wichtige Rolle, da sie sicherstellen müssen, dass fast der
gesamte externe Datenverkehr in der DMZ ankommt, wenn dies nicht von einem internen Client anderweitig
9
angefordert wurde. Jeder Kontakt zwischen Diensten in der DMZ und internen Diensten sollte sorgfältig überprüft
werden.
Abbildung 3: Mittelgroßes bis großes Büronetzwerk mit demilitarisierter Zone (DMZ)
Bei größeren Konzernen mit mehreren Bürostandorten wird das Netzwerk-Layout ein wenig komplizierter. Lokale
Dienste werden oftmals für alle Standorte dupliziert, während nach außen gerichtete Server für alle oder einige
Standorte bereitgestellt werden. Das grundlegende Prinzip ist dennoch das gleiche wie für ein Unternehmen mit
nur einem Büro. Die Internetverbindung wird durch eine Reihe von Hardware-Einrichtungen auf Netzwerkebene
geleitet, die den schädlichen Datenverkehr filtern und entweder auf einen Server in der DMZ oder in eine der
internen Netzwerkzonen weiterleiten.
10
Abbildung 4: Mittelgroßes bis großes Büronetzwerk mit DMZ und auf mehrere Standorte verteilt
Es gibt viele Geräte, die nicht in das traditionelle Netzwerkparadigma passen. Mitarbeiter könnten mobile Geräte
nutzen, die manchmal innerhalb des Unternehmensnetzwerks und manchmal außerhalb verwendet werden. Ob
diese Nutzung mit dem Unternehmen verbunden ist, sei dahingestellt, sie muss jedoch bei der Verbindung mit
dem Unternehmensnetzwerk mit den Sicherheitsrichtlinien konform gehen. Das Gleiche gilt für Geräte, die sich
physisch außerhalb des Netzwerks befinden, aber auf Ressourcen innerhalb des Netzwerks zugreifen können. Das
sind z. B. Clients, die sich über ein VPN verbinden. Die Sicherheit dieser Gerätetypen hängt sowohl von einer
Hardware-Komponente als auch von der Software-Durchsetzung der Sicherheitsrichtlinien ab.
Bei einem organisierten physischen Netzwerk-Layout sind die logischen Einheiten für Netzwerk-Clients relativ
einfach einzurichten. Idealerweise enthält jede Netzwerkzone eine Gruppe von Clients, die sich alle die gleiche
Rolle teilen. In manchen Fällen könnte eine Netzwerkzone Clients mit mehr als einer Rolle enthalten, wodurch
mehrere Gruppen erstellt werden müssen. Diese Client-Struktur sollte sich in den Organisationseinheiten des
Netzwerks widerspiegeln. Bei der Nutzung von Windows-basierten Netzwerken ist dies in der Regel eine Active
Directory-Struktur, in der jede Client-Rolle ihrer eigenen Organisationseinheit zugewiesen ist, die wiederum die
entsprechenden Richtlinien enthält.
1.2.
Sicherheitskomponenten
Einige Sicherheitsmaßnahmen werden auf der Hardware-Ebene implementiert, wie es in den
Netzwerkdiagrammen in Abschnitt 1.1 dargestellt ist. Ein Router mit integrierter Firewall oder ein dediziertes
Firewall-Gerät ist eine großartige physische Sicherheitsmaßnahme, die einen Großteil des Datenverkehrs filtert.
Sie kann jedoch allein keine vollständige Betriebssicherheit bieten. Eine Netzwerksicherheitsrichtlinie muss eine
Kombination aus unterschiedlichen Ebenen sein, die Lösungen für den Aufbau eines allumfassenden
Sicherheitskonstrukts in sich vereint. Einige dieser Ebenen werden in Hardware umgesetzt, bei anderen handelt es
sich um Software-Lösungen. Einige bieten Sicherheit durch die Analyse des Netzwerkverkehrs. Andere
11
beschränken gefährliche Aktivitäten auf Clients. Aber keine davon ist für sich allein ausreichend: Es muss
sichergestellt werden, dass die Sicherheitskomponenten alle möglichen Zugangspunkte abdecken und effektiv
zusammenarbeiten.
Das Netzwerkdiagramm kann als Ausgangspunkt verwendet werden, um herauszufinden, welche
Sicherheitskomponenten wo eingesetzt werden müssen. Neben der Bereitstellung von Hardware-Maßnahmen
müssen auch einzelne Netzwerkgeräte gesichert werden. Für jedes Gerät oder jede Gerätekategorie im
Netzwerkdiagramm muss berücksichtigt werden, welche Art von Datenverkehr gesendet und empfangen wird,
wie dieser genutzt wird und was seine Bedeutung für das Unternehmen ist. Eine Maßnahme ist die Installation
einer lokalen Sicherheitssoftware auf Clients und Servern, um eine Verbreitung von Malware zu und von einzelnen
Clients zu verhindern. Zusätzlich sollten empfindliche Server geschützt werden. Bei E-Mail-Servern sollten die einund ausgehenden E-Mails auf Malware gescannt werden (mit dem zusätzlichen Vorteil von Spam-Filtern). In
Kapitel 3 werden die Möglichkeiten zur Bereitstellung von G Data Software auf kritischen Netzwerkgeräten für
einen maximalen Schutz beschrieben.
12
2. Auswahl einer Lösung
2.
Auswahl einer Lösung
Mit einem gut organisierten Netzwerk-Layout und einer entsprechenden Client-Verwaltung kann eine fundierte
Entscheidung darüber getroffen werden, welche G Data Business-Lösung installiert werden soll. Basierend auf den
Unternehmensbedürfnissen können Kunden die Lösung auswählen, die am besten für ihr Netzwerk geeignet ist.
Ob nun maximale Sicherheit, Flexibilität, Leistung oder alle dieser Eigenschaften erforderlich sind, die
Kombination der Module in den G Data Business-Lösungen wird jedem Netzwerk gerecht. Zur optimalen
Sicherung des Netzwerks muss festgestellt werden, welche Sicherheitsmodule notwendig sind.
2.1.
G Data Business-Lösungen
Der Malware-Schutz bildet das Fundament des G Data Geschäftsportfolios. Jede Lösung, beginnend mit dem
grundlegenden AntiVirus Business, enthält das Virenschutzmodul, das Techniken für signaturbasierenden Schutz
und heuristische Analysen enthält, um Clients hervorragend zu schützen. Seine aktive Hybrid-Technologie
kombiniert zwei Engines für optimale Erkennungsraten. Die G Data CloseGap-Engine optimiert die Leistung,
während selbst lokal begrenzte Bedrohungen erkannt werden. Das BankGuard-Modul bietet zusätzlichen Schutz
beim Online-Banking. ReportManager ermöglicht Administratoren einen Einblick in den Status ihrer Netzwerke
und der verbundenen Clients. MobileDeviceManagement integriert Android und iOS in den Verwaltungsbereich
von G Data, um so die Verwaltung von Sicherheit und Datenschutz sowie Diebstahlmaßnahmen zu realisieren.
Client Security Business fügt G Data Firewall hinzu. Dabei handelt es sich um ein host-basiertes
Eindringschutzsystem (HIPS), das den Client-Netzwerkverkehr überwacht und so unerwünschten Zugriff auf
Client-Systeme verhindert. Das client-basierte AntiSpam-Modul schützt vor unerwünschten und infizierten E-Mails
mithilfe von Scans auf Netzwerkebene sowie einem Plugin für Microsoft Outlook. Letztlich unterstützt Endpoint
Protection Business Unternehmen bei der zentralen Verwaltung von Sicherheitsrichtlinien zur Kontrolle der
Mediengeräte und der im Internet verbrachten Zeit.
Einige Module sind separat erhältlich. MailSecurity bietet Spam- und Malware-Filterfunktionen für E-Mail-Server
auf Protokollebene und kann als eigenständiger Gateway installiert werden. Das Plugin für Microsoft Exchange
fügt sich nahtlos in den Malware- und Spam-Schutz im Exchange Server-Workflow ein. Das Backup-Modul
ermöglicht Administratoren die flexible Planung von dateibasierten Backups für alle Clients im Netzwerk, um im
Notfall einen Datenverlust zu verhindern. PatchManager hilft bei der Verringerung der Verwaltungskosten beim
Patch-Test und der Bereitstellung. Es enthält eine integrierte Lösung für den Erhalt und die Verteilung der
neuesten Software-Patches von allen gängigen Anbietern.
Zur Entscheidung über die bereitzustellende Software muss eine Lösung ausgewählt werden, die erforderliche
Module enthält, wobei MailSecurity, Backup und PatchManager immer als optionales Extra erhältlich sind. Es muss
sichergestellt werden, dass alle Netzwerkentitäten durch die ausgewählte Lösung geschützt sind: (E-Mail-)Server,
Netzwerk-Clients und mobile Geräte. Die Module können für eine optimale Netzwerklösung beliebig kombiniert
werden. Ein Unternehmen, das beispielsweise Sicherheit benötigt, aber keine integrierte Backup-Lösung
verwenden muss, kann AntiVirus Business wählen. Wenn die Sicherheit für den E-Mail-Server erforderlich wird,
kann MailSecurity separat erworben werden. Die umfassendste Lösung ist Endpoint Protection Business, die
optional durch die MailSecurity-, Backup- und PatchManager-Module ergänzt werden kann.
13
Abbildung 5: G Data Software-Lösungen
2.2.
Systemanforderungen
Für eine problemfreie Bereitstellung sollten die Systemanforderungen von G Data mit der Hardware abgeglichen
werden, die momentan im Unternehmensnetzwerk genutzt wird. Dabei muss sichergestellt werden, dass alle zu
14
2. Auswahl einer Lösung
schützenden Server und Clients die Systemanforderungen erfüllen, gegebenenfalls durch eine Aktualisierung und
Standardisierung der Hardware-Umgebungen. G Data optimiert seine Software zur Verwendung auf einer Vielzahl
von Server- und Client-Betriebssystemen und -Hardware, damit die Bereitstellung in den meisten Netzwerken
ohne Probleme abläuft. Es ist kein dedizierter Server erforderlich, er wird jedoch für größere Netzwerke
empfohlen.
G Data ManagementServer/G Data MailSecurity MailGateway
•
•
Betriebssystem: Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP SP3 (32 Bit), Windows
Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 oder Windows
Server 2003
Arbeitsspeicher: 1 GB
G Data Administrator/G Data WebAdministrator/G Data MailSecurity Administrator
•
Betriebssystem: Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP SP3 (32 Bit), Windows
Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 oder Windows
Server 2003
G Data MobileAdministrator
•
Betriebssystem: Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012
oder Windows Server 2008 R2
G Data Security Client
•
•
Betriebssystem: Windows 8.1, Windows 8, Windows 7, Windows Vista SP1, Windows XP SP3 (32 Bit),
Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 oder
Windows Server 2003
G Data Security Client für Linux
•
Betriebssystem: 32- und 64-Bit-Editionen von Debian 6.0 und 7.0, OpenSUSE 11.4, 12.2, 12.3 und 13.1,
Suse Linux Enterprise Server 10 SP4, 11 SP3 und 12, Red Hat Enterprise Linux 5.11, 6.6 und 7.0,
Ubuntu 10.04.4 LTS, 12.04.5 LTS, 14.04.1 LTS und 14.10, CentOS 5.11, 6.6 und 7.0, Fedora 19, 20 und 21
G Data Internet Security für Android
•
•
Betriebssystem: Android 2.3 oder höher
Festplattenspeicher: 14 MB
G Data MailSecurity für Exchange (64-Bit-Exchange-Plugin)
•
E-Mail-Server: Microsoft Exchange Server 2013, Microsoft Exchange Server 2010 oder Microsoft Exchange
Server 2007 SP1
G Data ManagementServer und G Data Administrator erfordern Microsoft .NET Framework 4.0, das automatisch
mit installiert wird. WebAdministrator und MobileAdministrator benötigen ebenfalls Microsoft .NET Framework.
Da es sich um Webdienste handelt, erfordern sie zusätzlich die Microsoft-Internetinformationsdienste (IIS), die
zuvor installiert werden müssen. Zur Anmeldung am WebAdministrator muss im lokalen Browser das Microsoft
Silverlight-Plugin installiert sein. Zur Speicherung verwendet G Data ManagementServer einen SQL-Server.
Microsoft SQL Server 2008 SP3 Express wird installiert, oder es kann eine vorhandene Version von Microsoft SQL
Server 2008 (Express) bzw. 2012 verwendet werden. Bei der Verwendung von G Data ManagementServer/G Data
15
MailSecurity MailGateway mit einer lokalen SQL-Datenbank oder anderen anspruchsvollen Anwendungen auf
dem gleichen Computer sollten folgende Systemanforderungen erfüllt sein:
•
•
2.3.
CPU: mehrere Kerne
Lizenzierung
Sobald die Entscheidung für eine Lösung gefallen ist, können Informationen über die Lizenzierung von der G Data
Website1 oder einem offiziellen Vertriebspartner eingeholt werden. Im Allgemeinen sind Geschäftslizenzen für
Umgebungen von 5 oder mehr Clients erhältlich. Der Preis der einzelnen Lizenzen hängt von der gewählten
Lösung, den eventuellen Add-On-Modulen und der Anzahl der zu bedienenden Clients ab.
1
Siehe www.gdatasoftware.com.
16
3. Installationsszenarien
3.
Installationsszenarien
Nach der Entscheidung für eine passende G Data Lösung für das Netzwerk muss die Bereitstellung geplant
werden. G Data Lösungen nutzen das Client-Server-Modell. Dabei verwaltet eine zentrale Serveranwendung alle
Clients im Netzwerk und wird optional von einem sekundären Server und einem oder mehreren Subnet-Servern
unterstützt. Auf jedem Client-Computer verwaltet die Client-Software die Sicherheit, Backups, Patches und andere
Prozesse. Bei der Bereitstellung geht es zunächst um die Einrichtung eines oder mehrerer Server, die anschließend
zur Bereitstellung der Client-Software auf den Netzwerkcomputern verwendet werden. Ob einer oder mehrere
Server eingerichtet werden sollen, hängt vom Netzwerk-Layout ab. Kleine Netzwerke können durch einen lokalen
ManagementServer verwaltet werden. Dahingegen können Bereitstellungen in großen Netzwerken oder an
unterschiedlichen Standorten von einer Einrichtung mit mehreren ManagementServers profitieren, die durch eine
zentrale MasterAdmin-Installation per Fernzugriff verwaltet werden.
G Data Lösungen können als ein lokal verwaltetes Produkt oder als verwalteter Dienst bereitgestellt werden.
Ersteres gibt Administratoren die Flexibilität, die sie zur Konfiguration der Lösung entsprechend ihrer Bedürfnisse
benötigen. Es erfordert jedoch Zeit und Aufwand, um mit der Lösung vertraut zu werden und sie genau an die
Netzwerkbedürfnisse anzupassen. Der verwaltete Dienst verschiebt die Verwaltungspflichten an einen ManagedService-Partner, der die Lösung per Fernzugriff konfiguriert und verwaltet. Dadurch ist kein Eingreifen des lokalen
Administrators erforderlich.
Die Konfiguration der G Data Lösungen erfolgt mithilfe von G Data Administrator, G Data WebAdministrator
und/oder G Data MobileAdministrator. Diese Tool-Auswahl bietet Konfigurationsmöglichkeiten wie eine Lokaloder Fernadministration, einen browser-basierten Zugriff und eine mobile Konfiguration. Weitere Informationen
über die Administrationstools und deren Anwendungsfälle können Kapitel 5 entnommen werden.
3.1.
Lokale Bereitstellung
Das Client-Server-Modell von G Data kann auf jede Netzwerkkonfiguration angewendet werden. Eine Installation
einer oder mehrerer Server-Komponenten (G Data ManagementServer und die Sekundär- oder Subnet-Server
sowie G Data MailSecurity) wird mit einer Client-Software-Komponente (G Data Security Client und G Data Internet
Security für Android) auf jedem Client kombiniert. Die verschiedenen Komponentenarten und
Bereitstellungsmöglichkeiten für die zentrale ManagementServer-Komponente werden basierend auf den
Netzwerk-Layout-Diagrammen in Abschnitt 1.1 besprochen.
3.1.1. Netzwerkkomponenten
G Data Lösungen bestehen aus mehreren Netzwerkkomponenten. Je nach Netzwerk-Layout und
Netzwerkanforderungen können verschiedene Komponenten installiert werden. ManagementServer ist der
zentrale Teil des Client-Server-Schutzprinzips und nimmt einen zentralen Platz in jeder Bereitstellung ein. Es gibt
verschiedene Bereitstellungswege. Abschnitt 3.1.2 enthält Beispiele für Netzwerke in kleinen Büros und Szenarien
für große Unternehmen.
Die Client-Komponente (G Data Security Client) wird auf den Netzwerkcomputern installiert. Security Client bietet
verschiedene Schutzebenen: Die Firewall prüft eingehenden und ausgehenden Netzwerkverkehr, während der
Dateisystemwächter alle Dateien auf Malware prüft. Android-Geräte können mit G Data Internet Security für
Android geschützt werden.
17
Abbildung 6: Netzwerkumgebung in einem kleinen Büro
Für Netzwerke mit eigenem E-Mail-Server ist die MailSecurity-Komponente für den Schutz des E-Mail-Servers als
optionales Modul erhältlich, das E-Mails auf Malware und Spam scannt. MailSecurity kann als eigenständiges
Produkt auf seinem eigenen Server installiert werden, wodurch der Datenverkehr vor dem E-Mail-Server gefiltert
wird. Es kann jedoch auch als Plugin für Microsoft Exchange Server installiert werden.
Abbildung 7: Kleines Büronetzwerk mit E-Mail-Server-Umgebung
3.1.2. ManagementServer-Bereitstellung
Die Auswahl der Bereitstellungsart für ManagementServer hängt voll und ganz vom Netzwerk ab. Aktuelle und
18
zukünftige Netzwerkeigenschaften wie die Art der Infrastruktur, die Anzahl der Clients und die Art des ClientZugriffs müssen dabei berücksichtigt werden. Die unteren Szenarien geben einen Hinweis darauf, wie eine G Data
Umgebung für mehrere Netzwerkarten aussehen könnte. Dank der modularen Natur der Lösungen kann die
Umgebung an die Netzwerkumstände angepasst werden. Des Weiteren kann die Installation auch nach der
Entscheidung für ein Umgebungsszenario jederzeit verändert werden. Wenn das Netzwerk über eine bestimmte
Anzahl von Clients hinauswächst, können Komponenten im Netzwerk verschoben und zusätzliche (Subnet-)Server
bereitgestellt werden.
Die Hauptinstallation von G Data Lösungen beinhaltet die Server-Komponente „G Data ManagementServer“. Aus
Leistungsgründen wird davon abgeraten, ManagementServer auf einem der Clients zu installieren, der ebenfalls
für tägliche Aufgaben genutzt wird. Es ist jedoch möglich: ManagementServer benötigt kein ServerBetriebssystem. Dadurch kann es problemlos unter Windows XP, Windows 7 oder einem anderen unterstützen
Windows-Desktop-Betriebssystem installiert werden. Dies ist eine wertvolle Alternative für kleine Büronetzwerke.
Bei der Verwendung eines dedizierten Servers muss kein Server-Betriebssystem installiert oder dedizierte ServerHardware vorhanden sein. Der Computer sollte jedoch allein als Host für ManagementServer genutzt werden. Bei
der Installation von anderen Diensten auf dem gleichen Server sollte besonders bei Datenbanken, der E-MailSicherheit, Domänen-Controllern und Web-Server-Diensten mit Vorsicht vorgegangen werden. Je mehr Dienste
auf einem Computer ausgeführt werden, desto mehr beeinflussen sich diese Dienste gegenseitig, was zu
Verzögerungen während Hauptgeschäftszeiten führt. Gleichermaßen hat die Anzahl der zu bedienenden Clients
einen direkten Einfluss auf die Serverleistung. In Netzwerken mit einer kleinen Anzahl von Clients ist die Last
relativ klein, wodurch mehr Dienste auf dem gleichen Server ausgeführt werden können. Größere Netzwerke
könnten die Grenzen der Serverleistung früher sprengen, wodurch die Dienste auf einen dedizierten Server
verschoben oder auf mehrere Server verteilt werden müssen.
Abbildung 8: Allumfassende ManagementServer-Umgebung
Auf Server-Ebene ist die einfachste Bereitstellungsart eine allumfassende Bereitstellung. In Netzwerken mit einer
relativ kleinen Anzahl von Clients oder ohne dedizierten Server können alle Komponenten der
ManagementServer-Umgebung auf einem Computer installiert werden. Dazu gehören die ManagementServerInstallation, die lokale Installation des Microsoft SQL Server oder des enthaltenen Microsoft SQL Server 2008 SP3
Express, sowie die lokale Installation von G Data Administrator. Sollte eine Fernadministration erforderlich sein,
können die Microsoft-Internetinformationsdienste (IIS) und G Data WebAdministrator oder MobileAdministrator
ebenfalls auf dem gleichen Computer bereitgestellt werden.
19
Abbildung 9: ManagementServer-Umgebung mit dediziertem Webserver
Die Installation von ManagementServer und der dazugehörigen Datenbank sowie der
Administrationskomponenten auf einem Computer führt zu einem Server, der einfach zu verwalten, aber bei
wachsendem Netzwerk anfällig für Leistungsprobleme ist. Optional können die IIS und
Administrationskomponenten auf ihrem eigenen Webserver bereitgestellt werden. Besonders Netzwerke mit
vorhandenem IIS-Server benötigen keine zusätzliche IIS-Installation auf dem ManagementServer.
WebAdministrator und MobileAdministrator können einfach auf einem vorhandenen IIS-Server ab IIS 5.1
(Windows XP) bereitgestellt werden. Wie im Abschnitt zu den Netzwerk-Layouts beschrieben (siehe Abschnitt 1.1)
kann der Webserver entweder lokal im Netzwerk oder in der DMZ platziert werden.
Abbildung 10: ManagementServer-Umgebung mit dediziertem (Cluster-)SQL-Server
20
Obwohl ManagementServer integrierte Lastbegrenzungsfunktionen besitzt (siehe Abschnitt 7.4) kann eine
Veränderung der Umgebung eine effektive Lösung bei großen Netzwerken sein. Ein großer Teil der Serverlast
kann durch die Bereitstellung eines Microsoft SQL-Servers (mit Clustern) übernommen werden. Das Hosten der
ManagementServer-Datenbank auf einem dedizierten SQL-Server verbessert die Leistung von ManagementServer
durch die Entlastung der Datenbanktransaktionen. Obwohl es möglich ist, direkt von Anfang an einen dedizierten
Server zu nutzen, ist der häufigste Anwendungsfall ein Migrationsszenario, wenn sich zeigt, dass die Anzahl der
Clients zu groß geworden ist, um durch eine Datenbank auf dem ManagementServer verwaltet zu werden. Der
Vorgang ist simpel: Nach der Installation und Konfiguration von Microsoft SQL Server auf dem dedizierten Server
kann das Tool „GdmmsConfig.exe“ zur Migration der Datenbank verwendet werden. Weitere Informationen zur
Datenbankmigration können Abschnitt 17.2.1 entnommen werden.
Abbildung 11: ManagementServer-Umgebung mit sekundärem ManagementServer
Ein mittelgroßes bis großes Büronetzwerk kann von der Installation eines sekundären ManagementServer als
Fallback-Maßnahme profitieren. Der sekundäre ManagementServer wird auf einem anderen Server installiert und
funktioniert parallel zum primären ManagementServer. Wenn der primäre ManagementServer für mehr als eine
Stunde nicht verfügbar ist, verbinden sich die Clients zum Erhalt von Updates mit dem sekundären Server. Der
primäre und sekundäre ManagementServer teilen sich die gleiche Datenbank. Deshalb kann diese Option nur
genutzt werden, wenn die Datenbank auf einem externen Microsoft SQL-Server gehostet wird. Obwohl die beiden
die gleiche Datenbank nutzen, erhalten sie unabhängig voneinander Updates vom G Data Update-Server. Dies
führt zu einer zusätzlichen Redundanz, falls einer der Server die Verbindung zum Internet verliert. In Kombination
mit einem dedizierten SQL-Server mit Clustern bietet die Bereitstellung eines sekundären Servers eine hohe
Zuverlässigkeit, wodurch Schwierigkeiten aufgrund von Hardware-Problemen vermieden werden.
Zur Entlastung unterstützt G Data ManagementServer die Bereitstellung eines oder mehrerer Subnet-Server, die
Client-Subnetze verwalten und so die erforderliche Leistung vom primären ManagementServer verringern. Das ist
besonders hilfreich für große Netzwerke und Netzwerke über mehrere Niederlassungen hinweg. Ein Subnet-
21
Server ist eine ManagementServer-Installation, die sich um ein Subnetz aus Clients kümmert. Der Server reduziert
die Netzwerklast, da der ManagementServer nur den Subnet-Server kontaktieren muss, der anschließend
automatisch seine Clients bedient. Durch die Nutzung von Subnet-Servern kann eine einzelne
ManagementServer-Bereitstellung mühelos tausende Clients bedienen. Subnet-Server werden in der Regel nach
der Bereitstellung des primären und/oder sekundären Servers und dessen Clients installiert, falls es die Umstände
erfordern.
Abbildung 12: ManagementServer-Umgebung mit Subnet-Server
Der primäre ManagementServer muss sich nicht im gleichen physischen Netzwerk wie der Subnet-Server
befinden. Niederlassungen kann durch einen Subnet-Server verwaltet werden, der sich mit einem zentralen
ManagementServer verbindet. Die gleiche Einrichtung kann von Service-Partnern verwendet werden, die eine
Kundenbereitstellung nutzen. Das geht jedoch mit einigen Einschränkungen einher: Die direkte Kommunikation
zwischen einem ManagementServer und seinen Clients ist begrenzt, wenn sie über das Internet stattfindet. Die
Client-Ordnerauswahl, die in einigen Dialogfeldern zur Dateiauswahl genutzt wird, funktioniert beispielsweise
nicht.
In einigen Situationen müssen mehrere ManagementServer verwaltet werden. Ein großes Unternehmen kann
seine Clients auf mehrere ManagementServer verteilen. Service-Partner können ManagementServer für mehrere
Kunden verwalten. In diesem Fall kann die Verwaltung zentralisiert werden, indem alle ManagementServer einer
MasterAdmin-Umgebung hinzufügt werden. Die ManagementServer funktionieren unabhängig voneinander,
werden jedoch zentral von einer MasterAdmin-Installation verwaltet. Dies erfordert die richtigen
Portweiterleitungseinstellungen, damit die Server über das Internet erreichbar sind. Ansonsten handelt es sich um
eine regulär verwaltete Umgebung. Mithilfe von MasterAdmin haben Administratoren Zugriff auf alle Module und
Einstellungen. Weitere Informationen zur Verwaltung von Servern mithilfe von MasterAdmin können Abschnitt 5.4
entnommen werden.
22
Abbildung 13: ManagementServer-Umgebung mit MasterAdmin
Ungeachtet der Größe des Netzwerks zahlt sich der Aufwand, der zur Organisation des Netzwerks betrieben
wurde, durch die Verwendung einer G Data Lösung aus. Die dazugehörigen Sicherheitsmodule wurden um das
Konzept der Client-Gruppen herum organisiert. Sicherheitseinstellungen, Scan- und Backup-Aufgaben sowie jeder
andere Sicherheitsaspekt können auf einzelne Clients oder ganze Client-Gruppen angewendet werden. Gruppen
können manuell erstellt werden und enthalten eine beliebige Anzahl von Clients, entweder nach Spiegelung einer
Netzwerkzone bzw. Client-Rolle oder durch die Gruppierung dieser gemäß anderer Attribute. Bei Netzwerken mit
Clients in Active Directory-Organisationseinheiten (OE) wird der Aufwand weiter reduziert, da Client-Gruppen mit
OE verknüpft werden können, um automatisch ihre Client-Liste zu erben.
3.2.
Managed Endpoint Security
Eine Alternative zur lokalen Bereitstellung und Verwaltung ist die Nutzung der Managed Services-Lösung von
G Data: Managed Endpoint Security. Administratoren können G Data Managed Endpoint Security für ein Minimum
von 75 Clients erhalten. G Data Partner, die diesen Service bieten, helfen ihren Kunden, indem sie ihnen die
gesamte Arbeit abnehmen. Der Partner kümmert sich sowohl um die Bereitstellung als auch um die Verwaltung
der vollständigen Lösung. Für Kunden bringt diese verwaltete Herangehensweise ein Zeit- und Aufwandsersparnis
während der Bereitstellung und der Verwaltung. Mitarbeiter müssen nicht für die Verwaltung der
Sicherheitslösung geschult werden und Administratoren können sich auf andere Verwaltungsaufgaben
konzentrieren. Partner können mit Managed Endpoint Security die Kunden erreichen, die es nicht in Betracht
gezogen hätten, eine lokal verwaltete G Data Lösung zu nutzen.
Verwaltungsaufgaben können per Fernzugriff ausgeführt werden, ohne dass der lokale Administrator etwas tun
muss. Das Produkt vereinfacht nicht nur die Bereitstellung, sondern stellt auch ein transparentes Lizenzmodell dar.
Partner berechnen Unternehmen monatlich die genaue Anzahl von genutzten Clients, wodurch monatliche
Schwankungen durch Hinzufügen und Entfernen von Clients möglich sind.
Auf der Client-Seite funktioniert eine Managed Endpoint Security-Bereitstellung wie eine lokale Bereitstellung, wie
es im weiteren Verlauf dieses Handbuchs beschrieben wird. Es muss jedoch keinerlei Aufwand für die Verwaltung
betrieben werden. Alle Aufgaben werden per Fernzugriff vom Partner erledigt, der den Dienst bereitstellt. Partner
verwalten Managed Endpoint Security-Netzwerke per Fernzugriff mithilfe von MasterAdmin (siehe Abschnitt 5.4).
23
4.
Bereitstellung
Ungeachtet davon, ob eine Bereitstellung durch einen lokalen Administrator oder per Fernzugriff durch einen
Managed Service-Partner ausgeführt wird, können je nachdem, ob die Lösung als ein Upgrade installiert oder als
reine Installation genutzt wird, mehrere Szenarien verfolgt werden. In jedem Fall wird es empfohlen, eine
Testbereitstellung auszuführen, bevor eine echte Bereitstellung das physische Netzwerk beeinträchtigen könnte.
Es kann ein virtuelles Netzwerk oder ein Subnetz des physischen Netzwerks verwendet werden, um die G Data
Lösung auf dem Server und den Clients zu installieren und so eventuell auftretende Probleme zu erkennen. Dabei
muss sichergestellt werden, dass die Testbereitstellung auf einer Gruppe von Clients durchgeführt wird, die alle
Client-Rollen repräsentiert (z. B. IT, Back-Office, F&E). Dadurch können die Ergebnisse der Testbereitstellung auf
das ganze Netzwerk angewendet werden. Der Testlauf sowie die eigentliche Bereitstellung einer G Data
Sicherheitslösung sollten gemäß den eventuell vorhandenen Bereitstellungsrichtlinien des Unternehmens
durchgeführt werden. In kleinen Unternehmen kann dies ein relativ geradliniger Vorgang sein. Aber größere
Unternehmen müssen vielleicht einen Projektplan entwickeln, in dem die Bereitstellungsplanung, die
Risikobewertung und mehr dokumentiert werden.
Jede Bereitstellung wird in mehreren Phasen ausgeführt. Da G Data Lösungen als Server-Client-Lösungen
entwickelt wurden, ist der erste Schritt die Installation und Einrichtung der Server-Komponenten. Nach der
Installation sollten die Server-Einstellungen (wie Update-Plan und -Verteilung) sowie die standardmäßigen ClientEinstellungen konfiguriert werden, um sicherzustellen, dass die Clients nach dem Rollout ordnungsgemäß
geschützt sind. Nach dem Abschluss der eigentlichen Bereitstellung muss überprüft werden, ob alle Clients
ordnungsgemäß bereitgestellt wurden. Wenn sich alle Clients regelmäßig mit dem primären ManagementServer
verbinden, können die Einstellungen für jeden einzelnen Client angepasst werden.
G Data MailSecurity, das als optionales Modul erworben wird, ist eine eigenständige Lösung. Somit gibt es ein
separates Installationsprogramm, und die Konfiguration unterscheidet sich leicht von den anderen
Sicherheitslösungen. Während der Installation wird MailSecurity gemäß seiner Position im Netzwerk konfiguriert
(siehe Abschnitt 3.1.1). Anschließend können der Schutz und die Anti-Spam-Maßnahmen vollständig angepasst
werden.
4.1.
Vorbereitung
Vor der Bereitstellung von Server- oder Client-Installationen ist es wichtig, dass die Systeme bestimmte
Grundanforderungen erfüllen. Windows Update sollte auf den Servern ausgeführt werden, auf denen G Data
ManagementServer installiert werden soll. Anschließend sollten alle verfügbaren Sicherheitsupdates installiert
werden. Wenn Frameworks wie Microsoft .NET Framework vorhanden sind, müssen diese ebenfalls aktualisiert
werden. Letztlich müssen Clients, die per Fernzugriff installiert werden sollen, mit der entsprechenden Datei und
den Ordnerzugriffsberechtigungen vorbereitet werden (siehe Abschnitt 4.8.2.1).
Vor der Installation einer Sicherheitslösung auf einem beliebigen Computer muss sichergestellt werden, dass
keine Malware vorhanden ist. Vorhandene Malware kann die Installation der Sicherheitssoftware beeinträchtigen,
was die Systemsicherheit kompromittieren kann. Aus diesem Grund dient das Installationsmedium jeder G Data
Geschäftslösung als startbares Medium mit seinem eigenen, auf Linux basierenden Betriebssystem2. Beim Start
des Mediums können die Administratoren mithilfe der G Data Startumgebung einen vollständigen Malware-Scan
aller lokalen Festplatten durchführen. Dadurch wird sichergestellt, dass keine Malware-Spuren auf dem System
zurückgeblieben sind. Bei kleineren Netzwerken wird empfohlen, das startbare Medium auf allen Servern und
2
Wenn das Originalinstallationsmedium nicht verfügbar ist, kann die digitale Version (ISO) verwendet werden, um den G Data Bootmedium
Wizard zu installieren und auszuführen, der ein startbares G Data Medium (CD, DVD oder USB-Stick) erstellt.
24
4. Bereitstellung
Clients zu verwenden, bevor die G Data Software installiert wird. Bei größeren Netzwerken ist dies jedoch nicht
immer möglich: Jeder Client muss manuell vom startbaren Medium aus gestartet werden, und ein vollständiger
Scan dauert einige Zeit, was zu langen Ausfallzeiten der Server führen würde. In diesem Fall könnte der Scan nur
auf einer begrenzten Anzahl von Systemen durchgeführt werden, wie z. B. Clients mit hoher Priorität oder hohem
Risikopotential, und auf Servern, die eventuell mit Malware infiziert worden sein könnten.
4.2.
Saubere Installation
Wenn zuvor keine G Data Lösung im Netzwerk bereitgestellt war, können alle Komponenten als saubere
Installation bereitgestellt werden. Das heißt, dass der Hauptserver, die potentiellen sekundären oder SubnetServer, die lokale Datenbankinstanz und die Clients alle von Grund auf eingerichtet werden. Das ist ein einfaches
Verfahren, wenn die Standardeinstellungen verwendet werden. Die Server-Komponenten werden zuerst
installiert, gefolgt von den Verwaltungstools, Clients und der E-Mail-Server-Sicherheit. Eine saubere Installation
kann mit minimalem Konfigurationsaufwand in wenigen Stunden durchgeführt werden. Aber wie bei jeder
Bereitstellung erfordert die Installation einer G Data Lösung, dass der Administrator weiß, wie das Netzwerk
aufgebaut ist. Komponenten sollten auf den geeigneten Zielen installiert und grundlegend konfiguriert werden.
Die Kapitel 1, 2 und 3 enthalten Informationen zum Netzwerkaufbau.
4.2.1. Server
Während der Installation von ManagementServer müssen mehrere Optionen eingerichtet werden, wie der
Servermodus (primärer ManagementServer, sekundärer ManagementServer oder Subnet-Server) und die
Datenbankkonfiguration. Diese Entscheidungen hängen vollständig vom Netzwerkaufbau und den resultierenden
Bereitstellungsentscheidungen ab.
Abbildung 14: G Data Installationsmedium – Produktauswahl
Der primäre ManagementServer muss als erste Komponente installiert werden. Er ist der zentrale Server, der alle
Clients koordiniert, die potentiell von einem sekundären Server bzw. einem oder mehreren Subnet-Servern
unterstützt werden. ManagementServer kann mithilfe des G Data Installationsmediums durch die Auswahl von
G DATA MANAGEMENTSERVER im Komponentenauswahlfenster installiert werden. Obwohl der Installationsassistent sehr
einfach ist, bedürfen zwei Schritte besonderer Aufmerksamkeit.
ManagementServer kann als Hauptserver, als sekundärer Server oder als Subnet-Server installiert werden. Die
erste Installation ist ein Hauptserver. Wenn das Netzwerk-Layout die Bereitstellung eines sekundären Servers oder
25
Subnet-Servers erfordert (siehe Abschnitt 3.1.2 für Informationen über typische Szenarien zur Bereitstellung von
sekundären Servern oder Subnet-Servern), müssen diese nach der Installation und ersten Konfiguration des
Hauptservers auf den entsprechenden Computern installiert werden. In Abschnitt 4.10 wird der
Installationsvorgang für einen Subnet-Server beschrieben.
Nach der Auswahl des Servertyps muss der Datenbanktyp ausgewählt werden. Bei Netzwerken mit bis zu
1.000 Clients ist eine lokale Installation von Microsoft SQL Server 2008 SP3 Express ausreichend. Bei Auswahl der
Expressoption installiert und konfiguriert der Installationsassistent automatisch die lokale Datenbankserverinstanz
und die erforderliche Datenbank. Bei Netzwerken mit mehr als 1.000 Clients oder Szenarien mit einem sekundären
Server muss die Datenbank so konfiguriert werden, dass eine vorhandene Microsoft SQL Server-Instanz auf einem
separaten, dedizierten Server verwendet wird. Wenn ManagementServer erneut auf einem Computer installiert
wird, auf dem sich bereits eine SQL Server Express- oder ManagementServer-Datenbank befindet, sollte die
Option zur Verwendung einer vorhandenen Instanz ausgewählt werden. Zur Konfiguration der Verbindung mit
der SQL Server (Express)-Instanz wird automatisch das Konfigurationstool „GdmmsConfig.exe“ (siehe
Abschnitt 17.2.1) gestartet, sobald die Installation und Aktivierung abgeschlossen sind.
Nach Abschluss der Installation fragt der Installationsassistent nach Informationen über die Lösungsaktivierung.
Wenn die Lösung zuvor nicht aktiviert wurde, kann der Lizenzschlüssel eingegeben werden, um die Software
automatisch zu aktivieren und einen Benutzernamen und ein Kennwort anzufordern. Der Benutzername und das
Kennwort werden anschließend in der Konfiguration der Lösung gespeichert, damit Updates automatisch
heruntergeladen werden können. Falls die Lösung zuvor aktiviert wurde und die Lizenz noch gültig ist, können der
Benutzername und das Kennwort manuell eingegeben werden. Alternativ kann die Aktivierung verschoben
werden. Eine nachfolgende Aktivierung wird unterstützt (siehe Abschnitt 4.6), jedoch nicht empfohlen. Eine nicht
aktivierte Lösung bietet nur die grundlegendsten Funktionen. Selbst wenn die Lösung als eine Endpoint
Protection Business- oder Client Security Business-Edition gekauft wurde, sind nur die Funktionen der AntiVirus
Business-Edition verfügbar, bis die Lösung aktiviert wird. Des Weiteren können ohne eine Aktivierung keine
Programmdatei- oder Virensignatur-Updates heruntergeladen werden. Dadurch wird die Effektivität der
verschiedenen Schutzebenen enorm beeinträchtigt.
Während der ManagementServer-Installation wurde Microsoft .NET Framework 4.0 installiert, falls es noch nicht
auf dem Server installiert war. Nach der Installation von ManagementServer wird empfohlen, mithilfe von
Windows Update auf Updates für Microsoft .NET Framework 4.0 zu prüfen. Nach der Installation wird in jedem Fall
ein Neustart empfohlen.
Nach der Installation des primären Servers hängt der nächste Schritt von der gewünschten Bereitstellung ab.
Zunächst sollte der primäre Server konfiguriert werden (siehe Abschnitt 4.5). Wenn ein sekundärer Server im
Netzwerk bereitgestellt werden soll, muss der ManagementServer-Installationsassistent zur Installation auf dem
entsprechenden Server ausgeführt werden. Falls Subnet-Server bereitgestellt werden sollen, muss dies nach der
Bereitstellung der Clients erfolgen (siehe Abschnitt 4.10). Für alle Server muss sichergestellt sein, dass die TCPKommunikationsports verfügbar sind. Falls eine Netzwerk- oder Software-Firewall verwendet wird, müssen einige
Ports offen sein. Weitere Informationen über TCP-Ports, die der G Data Server und Clients verwenden, und über die
Änderung der Ports bei Konflikten können den Systemanforderungen entnommen werden (Abschnitt 2.2).
4.2.2. Administration
Sobald der primäre Server und eventuell der sekundäre Server ordnungsgemäß eingerichtet wurden, sollten die
Verwaltungsanforderungen betrachtet werden. Jede ManagementServer-Installation beinhaltet eine lokale
Installation des G Data Administrator-Tools, mit dem Administratoren ManagementServer konfigurieren können.
26
4. Bereitstellung
Falls der Server per Fernzugriff konfiguriert werden soll (was dringend empfohlen wird), gibt es verschiedene
Möglichkeiten: die Installation von G Data Administrator auf einem anderen Client, die Installation von G Data
WebAdministrator zur Remote-Konfiguration von ManagementServer von einem Browser oder die Installation von
G Data MobileAdministrator zur Remote-Verwaltung des Servers mithilfe eines Smartphones oder Tablets. Die
Optionen für die Fernadministration werden in Kapitel 5 beschrieben.
4.2.3. Clients
Sobald ManagementServer und Administrator bereitgestellt wurden, muss der G Data Security Client auf alle
Windows- und Linux-Clients verteilt werden. Zum Schutz des Servers vor Malware wird ebenfalls die Installation
von G Data Security Client auf dem Server empfohlen. Wie bei anderen Netzwerk-Clients ist die RemoteInstallation der einfachste Weg. Android- und iOS-Clients können ebenfalls bereitgestellt werden, sobald
ManagementServer und Administrator installiert wurden. Weitere Informationen über die Client-Bereitstellung
können Abschnitt 4.8 entnommen werden.
4.2.4. E-Mail-Server-Sicherheit
Falls die Bereitstellung G Data MailSecurity (ein optionales Modul) beinhaltet, sollte es nach der Bereitstellung von
ManagementServer installiert werden. Mithilfe des dedizierten Installationsmediums kann MailSecurity als
Exchange-Plugin installiert werden, falls Microsoft Exchange Server als E-Mail-Server verwendet wird. Alternativ
kann MailSecurity als eigenständiges Gateway-Produkt installiert werden. MailSecurity MailGateway dient als
zusätzliche Schutzebene vor dem tatsächlichen E-Mail-Server und verarbeitet alle eingehenden und ausgehenden
E-Mails. Dies kann auf zwei Arten erfolgen: durch die Installation von MailGateway auf dem E-Mail-Server oder
durch die Einrichtung eines Gateways auf einem anderen Server.
4.2.4.1. Exchange-Plugin
Das Exchange-Plugin von G Data MailSecurity kann unter Microsoft Exchange Server 2007 SP1, 2010 und 2013
installiert werden. Es sollte auf allen Exchange-Servern installiert werden, auf denen Postfach- oder HubTransportrollen ausgeführt werden. Das Plugin meldet an G Data ManagementServer: Der Installationsassistent
konfiguriert entweder MailSecurity zur Verwendung eines vorhandenen ManagementServer oder es installiert
einen neuen lokalen ManagementServer. Aufgrund der Systemleistung wird die Verwendung eines vorhandenen
ManagementServer empfohlen (der sich idealerweise auf einem anderen Netzwerkserver befindet). Nach der
Installation registriert sich das Exchange-Plugin bei ManagementServer. Durch die Anmeldung am
ManagementServer mithilfe von G Data Administrator können alle Einstellungen des Exchange-Plugins verwaltet
werden. Es wird empfohlen, sofort einen On-Demand-Scan zu planen, der den gesamten Exchange-Speicher
abdeckt (siehe Abschnitt 16.1.1.2), um sicherzustellen, dass keine Viren von vor der Bereitstellung mehr vorhanden
sind.
4.2.4.2. Eigenständige Installation
Wenn im Netzwerk ein anderer als ein Exchange-E-Mail-Server verwendet wird, kann das eigenständige Produkt
MailSecurity MailGateway installiert werden. Wenn der vorhandene E-Mail-Server die CPU- und RAM-Auslastung
bewältigen kann, ist die Installation von MailGateway auf dem gleichen Computer möglich. Das hat den Vorteil,
dass die IP-Adresse des E-Mail-Servers nicht geändert werden muss. Die Software des E-Mail-Servers muss jedoch
anschließend neu konfiguriert werden, um andere Ports für eingehende und ausgehende E-Mails zu verwenden.
27
Alternativ kann MailGateway auf einem dedizierten Gateway-Server installiert werden, der die E-Mails vor dem EMail-Server filtert. Weitere Informationen über Bereitstellungsarten und Porteinstellungen für MailGateway
können Abschnitt 16.2.1 entnommen werden.
Ungeachtet des Servers, auf dem MailGateway installiert ist, sollte der G Data Security Client zunächst auf dem
gleichen Server bereitgestellt werden. Dadurch wird nicht nur das lokale Dateisystem des Servers vor Malware
geschützt, sondern MailGateway bezieht automatisch die Virensignaturen von Security Client in den MalwareScan ein.
Der Installationsassistent von MailGateway ist sehr einfach. Er kann optional auf einem lokalen Datenbankserver
(Microsoft SQL Server 2008 SP3 Express) installiert werden. Dies ermöglicht die statistische Bewertung von E-MailNachrichten (siehe Abschnitt 16.2.1) und das Greylisting (siehe Abschnitt 16.2.4.4). Diese sind jedoch nicht
erforderlich.
Die Einstellungen von MailGateway werden mithilfe von G Data MailSecurity Administrator konfiguriert, das
automatisch mit MailGateway installiert wird. Wie G Data Administrator, das G Data ManagementServer per
Fernzugriff konfiguriert, muss MailSecurity Administrator nicht auf dem gleichen Server wie die MailGatewayKomponente installiert werden. Mithilfe des Installationsmediums kann MailSecurity Administrator auf jedem
Netzwerk-Client installiert werden, der Zugriff auf den MailGateway-Server hat. Damit MailSecurity Administrator
den MailGateway-Server kontaktieren kann, muss der Zugriff auf den TCP-Port 7082 zugelassen werden.
4.3.
Update-Installation
Bei vorhandenen Bereitstellungen von G Data ManagementServer und seinen Clients ist der Update-Pfad in der
Regel sehr einfach. Es gibt zwei Wege, einen primären ManagementServer zu aktualisieren. Der einfachste Weg ist
die Verwendung des Internet Update-Tools, um die neue Version herunterzuladen und zu installieren. Das ist ein
automatischer Vorgang, der nur den anschließenden Neustart des ManagementServer-Dienstes erfordert. Wenn
ein sekundärer Server bereitgestellt wurde, wird er automatisch vom primären Server benachrichtigt, wenn ein
Update des primären Servers bereitgestellt wurde. Anschließend führt er selbst das Update durch. Für SubnetServer wird ebenfalls automatisch ein Update durchgeführt. Nachdem die Server aktualisiert wurden, wird die
aktualisierte Software auf die Clients verteilt. Das erfolgt als Teil des regulären Software-Update-Mechanismus:
automatische Programmdatei-Updates oder manuelle Verteilung (siehe Abschnitt 7.3.2). Bei größeren Netzwerken
wird die Peer-to-Peer-Update-Verteilung empfohlen, um sicherzustellen, dass aufgrund des hohen Datenverkehrs
kein Leistungsverlust auf dem Server stattfindet. Wie bei allen Software-Verteilungen muss sichergestellt werden,
dass keine Kompatibilitätsprobleme auftreten. Durch eine stufenweise Softwareverteilung kann der aktualisierte
Client zunächst auf eine kleine Gruppe verteilt werden, bevor er im gesamten Netzwerk bereitgestellt wird.
Alternativ kann eine manuelle Verteilung in einer kleinen, repräsentativen Testgruppe Einblicke in mögliche
Probleme geben.
Bei Upgrades (also eine Hochstufung der Version), bei denen ein direktes Update nicht möglich ist, muss zunächst
der primäre ManagementServer deinstalliert werden, bevor die neue Version bereitgestellt werden kann. Die
vorhandene Datenbank sollte nicht entfernt werden, da sie in der neuen Version verwendet und gegebenenfalls
konvertiert werden kann. Wenn manuelle Änderungen an den Konfigurationsdateien vorgenommen wurden (z. B.
mithilfe von Gdmms.exe.config; siehe Abschnitt 17.1.1), müssen diese nach der Neuinstallation erneut
vorgenommen werden. Während der Installation der neuen Version muss die Option zur Nutzung einer
vorhandenen Datenbankinstanz ausgewählt werden. Nach der Installation wird GdmmsConfig.exe automatisch
gestartet, um die Datenbank zu konfigurieren (siehe Abschnitt 17.2.1). Für einen sekundären Server gilt der
gleiche Vorgang. Beim nächsten Start zeigt G Data Administrator alle Clients und Einstellungen, wie sie zuvor
28
4. Bereitstellung
waren. Subnet-Server werden automatisch nach der Aktualisierung des primären ManagementServer aktualisiert.
Für zusätzliche Sicherheit sollte die alte Datenbank vor der Entfernung des ManagementServer gesichert werden
(siehe Abschnitt 4.7). Bei Problemen während der Installation der neuen Version kann ein Downgrade oder eine
Neuinstallation durchgeführt werden, bevor die Originaldatenbank wiederhergestellt wird.
Eine eigenständige Installation von MailSecurity kann über das MailSecurity Administrator-Interface aktualisiert
werden. Unter UPDATE wird die aktuell installierte Version von MailSecurity und Administrator angezeigt. Durch
Klicken auf PROGRAMM-UPDATE wird das Update gestartet, das problemlos ähnlich wie das Update von
ManagementServer, mithilfe des Internet Update-Tools ausgeführt wird.
Das Microsoft Exchange-Plugin von MailSecurity aktualisiert sich selbst, sobald eine neue Version verfügbar ist.
Dies gilt jedoch nur, wenn der übergeordnete ManagementServer bereits auf die neue Version aktualisiert wurde
und die Option PROGRAMMDATEIEN AUTOMATISCH AKTUALISIEREN aktiviert ist. Alternativ kann G Data Administrator
verwendet werden, um ein Update manuell auszuführen. Aufgrund der Änderungen im Installationsvorgang
können „MailSecurity für Exchange“-Installationen, die anfangs mit Version 12 bereitgestellt wurden, nicht auf
Version 13.2 aktualisiert werden, selbst wenn sie zuvor auf Version 13.0 oder 13.1 aktualisiert werden. In diesem
Fall muss die vorherige Version von MailSecurity für Exchange deinstalliert werden, damit die Version 13.2
installiert werden kann. Bei einem Update auf 13.2 sollte MailSecurity für Exchange auf allen Exchange-Servern
installiert werden, auf denen Postfach- oder Hub-Transportrollen ausgeführt werden.
4.4.
Netzwerkkonfiguration
Die verschiedenen Komponenten der G Data Lösungen verwenden das TCP/IP-Protokoll für die Kommunikation
zwischen Server und Clients. Auf den Servern und Clients müssen bestimmte Ports verfügbar sein, um die
Kommunikation und die Update-Verteilung zu steuern. Dabei muss sichergestellt sein, dass die Software zur
Netzwerküberwachung und die Firewalls konfiguriert sein, um den Datenverkehr auf diesen Ports zuzulassen. Bei
Portkonflikten ist eine manuelle Neukonfiguration einiger Portnummern möglich (siehe Anschnitt 17.2.2).
Primärer/sekundärer ManagementServer
•
•
•
•
Port 7161 (TCP): Kommunikation mit Clients und Subnet-Servern
Port 7182 (TCP): Kommunikation mit G Data Administrator
Port 7183 (TCP): Kommunikation mit Android-Clients
Port 7184 (TCP): Kommunikation mit Android-Clients (Verteilung von Installationsdateien)
Subnet-Server
•
Port 7161 (TCP): Kommunikation mit Clients und Hauptservern
•
Port 7169 (TCP): Kommunikation mit Clients (Peer-zu-Peer-Update-Verteilung) und (Subnet-)Servern
Clients
MailSecurity MailGateway-Server
•
Port 7182 (TCP): Kommunikation mit G Data MailSecurity Administrator
MailSecurity-Exchange-Plugin
•
•
Port 7171 (TCP): Kommunikation mit G Data Administrator
Ports 7185–7195 (TCP): Kommunikation mit Microsoft Exchange Server
Bei Verwendung des PatchManager-Moduls (siehe Kapitel 15) ist neben der Portkonfiguration eine zusätzliche
Firewall-Konfiguration erforderlich. Der Datenverkehr zwischen G Data ManagementServer und den folgenden
29
URLs muss immer zugelassen werden:
URLs
cache.patchlinksecure.net
gdata.cdn.lumension.com
Je nach Software, für welche die Patches bereitgestellt werden, muss der Datenverkehr zwischen G Data
ManagementServer und den folgenden URLs zugelassen werden:
Anbieter
7-Zip
Adobe
Microsoft
Mozilla
UltraVNC
VideoLAN
4.5.
URLs
http://downloads.sourceforge.net
ardownload.adobe.com
armdl.adobe.com
download.adobe.com
swupdl.adobe.com
www.adobe.com
go.microsoft.com
download.windowsupdate.com
www.download.windowsupdate.com
download.skype.com
download.microsoft.com
http://ftp.mozilla.org
http://support1.uvnc.com
http://download.videolan.org
Erste Konfiguration und Standardeinstellungen
Nach der Installation von G Data ManagementServer und den anderen Komponenten findet die erste
Konfiguration des Servers und der Client-Einstellungen statt. Einstellungen können mithilfe von G Data
Administrator konfiguriert werden, das automatisch auf dem gleichen Computer wie G Data ManagementServer
installiert wurde. Wenn der Server per Fernzugriff konfiguriert werden soll, muss zunächst G Data
WebAdministrator eingerichtet oder G Data Administrator auf einem Netzwerk-Client mit Zugriff auf den primären
ManagementServer installiert werden (siehe Kapitel 5). Ungeachtet der verwendeten Anwendung können sich
Administratoren mit einem lokalen oder Domänenadministratorkonto anmelden.
Es gibt einige Einstellungen, die vor der Bereitstellung der Clients konfiguriert werden müssen. Der SERVEREINRICHTUNGSASSISTENT, der bei der ersten Anmeldung an G Data Administrator gestartet wird, hilft bei der
Konfiguration der grundlegendsten Einstellungen und kann sowohl in G Data Administrator als auch G Data
WebAdministrator ausgeführt werden. Nach der ersten Einrichtung kann der Assistent weiterhin über das Menü
ADMIN gestartet werden. Zusätzlich sind die meisten Optionen separat in den verschiedenen Konfigurationsmenüs
von G Data Administrator verfügbar.
Der erste Schritt des SERVER-EINRICHTUNGSASSISTENTEN befasst sich mit der Client-Bereitstellung. Bei der ersten
Einrichtung kann dieser Schritt übersprungen werden (in Abschnitt 4.8 sind die verschiedenen Methoden der
Client-Bereitstellung beschrieben). Wichtig ist die Konfiguration der automatischen Internet-Updates. Es muss
beachtet werden, dass diese Einstellungen das Herunterladen von Virensignatur-Updates und ProgrammdateiUpdates vom G Data Update-Server zum ManagementServer betreffen. Die anschließende Verteilung der Updates
auf die Netzwerk-Clients kann später konfiguriert werden. Falls die Lösung während der Einrichtung registriert
wurde, wurden Benutzername und Kennwort bereits gespeichert. Anderenfalls kann das Internet Update-Tool
verwendet werden, um die Lösung zu registrieren und einen Benutzernamen und ein Kennwort zu erhalten (siehe
Abschnitt 4.6). Der Update-Plan für Client-Virensignaturen und Client-Programmdateien muss so konfiguriert
werden, dass er die Netzwerkbedürfnisse erfüllt. Dafür müssen die zwei Zeitpläne geprüft und gegebenenfalls
30
4. Bereitstellung
angepasst werden. Für Server, die eine permanente Internetverbindung nutzen, werden stündliche UpdateÜberprüfungen empfohlen. Die genaue Update-Zeit kann durch Eingabe der Stunden und Minuten definiert
werden. Für eine optimale Leistung sollten die beiden Update-Überprüfungen nicht für die gleiche Uhrzeit
geplant werden. Updates für Programmdateien können beispielsweise 15 Minuten nach einer vollen Stunde
überprüft werden, während auf Updates für Signaturdateien 15 Minuten vor einer vollen Stunde geprüft wird.
Im nächsten Schritt werden die E-Mail-Berichte konfiguriert. Die Berichte müssen nicht konfiguriert werden, um
den Server-Einrichtungsassistenten abschließen zu können, die Konfiguration wird jedoch empfohlen. Weitere
Informationen über die Konfiguration von E-Mail-Berichten können Abschnitt 6.2 entnommen werden. Selbst
wenn die E-Mail-Berichte nicht direkt konfiguriert werden, ist es der richtige Zeitpunkt, um die E-Mail-ServerEinstellungen einzugeben und Empfängergruppen zu definieren. Durch Klicken auf das Zahnradsymbol wird das
Fenster E-MAIL-EINSTELLUNGEN geöffnet, wo ein SMTP-Server definiert werden kann. Dazu müssen ein gültiger SMTPServer und -Port (in der Regel 25) sowie eine Absender-E-Mail-Adresse eingegeben werden. Diese E-Mail-Adresse
wird als Antwortadresse verwendet, wenn Elemente an die G Data Security Labs übermittelt werden. Unter
MAILGRUPPEN können die Empfängergruppen definiert werden, die später für E-Mail-Berichte und andere
Funktionen verwendet werden. Gruppen wie „Administratoren“, „Verwaltung“ und „Technisches Personal“ sind
sinnvoll: jede Entität, die in die Benachrichtigungsschleife für wichtige Server-Ereignisse oder
Notfallbenachrichtigungen aufgenommen werden soll. Einstellungen für E-Mail-Server- und Empfängergruppen
können später im Fenster SERVER-EINSTELLUNGEN bearbeitet werden.
Der letzte Schritt des Server-Einrichtungsassistenten beinhaltet einige grundlegende Einstellungen für die
Android-Geräteverwaltung. Dazu muss das Kennwort eingegeben werden, mit dem sich Android-Geräte am
ManagementServer authentifizieren müssen. Zur Anwendung von Notfallaktionen müssen die SENDER-ID und der
API-KEY des Google Cloud Messaging-Kontos eingegeben werden. Für dieses Framework für PushBenachrichtigungen können kostenlose Konten unter code.google.com/apis/console registriert werden.
Weitere Informationen zur Konfiguration eines Cloud Messaging-Kontos können Abschnitt 11.1.6 entnommen
werden. Die Einstellungen können später durch Öffnen der Registerkarte MOBILE im Fenster SERVER-EINSTELLUNGEN
bearbeitet werden.
Nach der Konfiguration der Android-Geräte wird der Server-Einrichtungsassistent mit der Initialisierung der ClientInstallationen abgeschlossen (siehe Abschnitt 4.8). Es müssen jedoch einige zusätzliche Einstellungen konfiguriert
werden, bevor die Client-Software im Netzwerk bereitgestellt wird. Im Menü OPTIONEN bietet das Fenster SERVEREINSTELLUNGEN wichtige Optionen für die Client-Synchronisation und Client-Updates. Auf der Registerkarte
SYNCHRONISATION muss die Option ZEITINTERVALL FÜR DIE SYNCHRONISATION MIT DEM SERVER UND PRÜFUNG AUF NEUE UPDATES
konfiguriert werden. Dieser Wert bestimmt, wie oft sich Clients mit ManagementServer verbinden, um auf neue
Updates oder Einstellungen zu prüfen. Je mehr Clients bereitgestellt werden, desto höher ist die Netzwerklast bei
der Planung von regelmäßigen Synchronisationen. Ein akzeptabler Wert sind 5 Minuten, die verringert werden
können, wenn das Netzwerk nur eine kleine Anzahl von Clients enthält. Der Wert muss erhöht werden, wenn die
Anzahl der Clients zu Lastspitzen führt. Mithilfe der Registerkarte PROGRAMM-UPDATES kann die stufenweise
Verteilung von Client-Software-Updates aktiviert werden. Bei Netzwerken mit mehr als zehn Clients verringert
eine stufenweise Verteilung die Server- und Netzwerklastspitzen, die auftreten können, wenn Updates für ClientProgrammdateien verfügbar sind. Zusätzlich können Clients so gruppiert werden, dass kritische Systeme später
aktualisiert werden, wobei die ersten Phasen als Testplattformen dienen. Zur Vermeidung einer hohen Serverlast
bei Signatur-Updates kann die Peer-to-Peer-Verteilung auf der Registerkarte VIRENDATENBANK im Menü INTERNETUPDATE aktiviert werden. Dadurch können Clients als Update-Server füreinander dienen und die Updates der
Programmdateien und Signaturen verteilen. Die Peer-to-Peer-Verteilung der Updates wird vollständig vom
primären ManagementServer verwaltet und erfolgt ohne Interaktion, wenn der entsprechende Client-Port
konfiguriert wurde (siehe Abschnitt 2.2). Erweiterte Einstellungen können geändert werden, indem die
31
entsprechende Konfigurationsdatei bearbeitet wird (siehe Abschnitt 17.2.6). Weitere Informationen zur
stufenweisen Verteilung und Peer-to-Peer-Verteilung können Abschnitt 7.3.2 entnommen werden.
Vor einer netzwerkweiten Client-Bereitstellung muss sichergestellt sein, dass die standardmäßigen ClientSicherheitseinstellungen gemäß den Bedürfnissen und Richtlinien konfiguriert wurden. Die G Data AdministratorModule CLIENT-EINSTELLUNGEN (siehe Kapitel 8) und ANDROID-EINSTELLUNGEN (siehe Kapitel 11) können für die gleichzeitige
Konfiguration der Sicherheitseinstellungen aller Clients verwendet werden, indem der primäre
ManagementServer oder eine Gruppe nach der anderen ausgewählt wird, für die separate Einstellungen
erforderlich sind.
4.6.
Server-Updates und Registrierung
Der Server-Einrichtungsassistent konfiguriert ManagementServer, um regelmäßig auf Updates für ClientProgrammdateien und -Virensignaturen zu prüfen. Da Server-Updates einen Neustart des ManagementServerHintergrunddienstes erfordern, müssen sie immer manuell ausgeführt werden. Wenn ein Programm-Update für
ManagementServer verfügbar ist, werden Kunden in der Regel per E-Mail darüber benachrichtigt. Alternativ kann
das Internet Update-Tool verwendet werden, um manuell auf Updates zu prüfen.
Abbildung 15: Internet-Update
Die Prüfung auf Updates erfolgt durch Klicken auf „Start > (Alle) Programme > G Data > G Data
ManagementServer > Internet-Update“. Das Tool enthält verschiedene Funktionen, die alle mit der Aktualisierung
von G Data ManagementServer in Verbindung stehen. Mithilfe der Option PROGRAMMDATEIEN (SERVER) AKTUALISIEREN wird
auf Updates geprüft. Dabei werden die G Data Update-Server auf aktualisierte ManagementServerProgrammdateien geprüft und der Installationsvorgang wird gestartet, wenn Updates verfügbar sind.
Zur Durchführung von Updates, ob mithilfe von Internet-Update oder durch automatisierte Prozesse von G Data
ManagementServer, müssen Benutzername und Kennwort eingegeben werden. Diese Daten können durch
Abschluss der Online-Registrierung abgefragt werden, die in der Regel während der Installation von
ManagementServer durchgeführt wird. Der Assistent fordert anschließend automatisch einen Benutzernamen und
ein Kennwort an und speichert sie. Wenn die Software jedoch nicht registriert wurde, kann die OnlineRegistrierung anschließend manuell mithilfe des Internet-Update-Tools durchgeführt werden.
32
4. Bereitstellung
Mithilfe der Option ONLINE-REGISTRIERUNG wird das Registrierungsformular geöffnet. Dieses Formular muss unter
Angabe der korrekten Registrierungsnummer ausgefüllt werden. Durch Klicken auf ANMELDEN werden die Daten an
G Data übermittelt, und ein Benutzername und ein Kennwort werden generiert. Benutzername und Kennwort
müssen notiert werden, da die Registrierungsnummer nur einmal verwendet werden kann. Wenn
ManagementServer erneut installiert wird, können Benutzername und Kennwort in den Installationsassistenten
eingegeben werden, um Updates zu aktivieren.
Neben den ManagementServer-Updates kann Internet-Update auch Client-Programmdatei-Updates und
aktualisierte Virensignaturen herunterladen. Diese Funktion entspricht der Funktion in G Data Administrator mit
einem Zusatz: Updates können aus einem lokalen Ordner geladen werden, falls ein Server ohne Internetzugang
aktualisiert werden muss (siehe Abschnitt 7.3.1).
4.7.
Server-Datenbank-Backup und -Wiederherstellung
Wie bei allen Datenarten wird empfohlen, die Datenbank von G Data ManagementServer regelmäßig zu sichern.
Bei einem Hardware-Ausfall oder anderen Problemen bei der Datenspeicherung ist dadurch ein aktuelles Backup
verfügbar, um ManagementServer schnell wieder zum Laufen zu bringen. Je nach Auswahl während der
Installation wird die Datenbank entweder lokal als SQL Server Express-Instanz oder in einer SQL Server-RemoteInstallation gespeichert. Mithilfe des GdmmsConfig.exe-Tools kann ungeachtet des Speicherorts ein vollständiges
Backup der Datenbank erstellt werden.
GdmmsConfig.exe befindet sich im Installationsordner von G Data ManagementServer, in der Regel unter
C:\Programme (x86)\G DATA\G DATA\AntiVirus ManagementServer. Die Oberfläche zeigt verschiedene Parameter
für die SQL Server-Bereitstellung an. Server-Name, Authentifizierung und Datenbankdaten werden automatisch
aus der ManagementServer-Konfiguration gelesen. Der Server-Name kann eine lokale SQL Server Express-Instanz
oder ein Remote-SQL-Server sein. Dies erfordert Sorgfalt bei der Definition der Anmeldedaten. Das Benutzerkonto
muss Zugriffsberechtigungen für den Datenbank-Server sowie Schreibberechtigungen für den DatenbankBackup-Ordner besitzen. Der Datenbankname ist standardmäßig „GDATA_AntiVirus_ManagementServer“, er kann
jedoch für erweiterte Migrations- oder Wiederherstellungsszenarien angepasst werden. Durch Klicken auf
EINSTELLUNGEN TESTEN wird verifiziert, ob die Datenbank erfolgreich geöffnet werden kann.
Abbildung 16: GdmmsConfig.exe
33
Durch Klicken auf DATENBANK-BACKUP ERSTELLEN wird der Ordner geöffnet. Wenn ein lokaler Datenbankserver definiert
wurde, kann ein lokaler Ordner ausgewählt werden. Wenn eine SQL Server-Remote-Instanz definiert wurde, muss
der Pfad als UNC-Pfad eingegeben werden (z. B. \\Backupserver\C$\Backups). Mithilfe der Option DATENBANK
WIEDERHERSTELLEN wird die Datenbank aus einem Backup wiederhergestellt. Dadurch wird ein Ordnerauswahlfenster
geöffnet, das den zuletzt geöffneten Ordner zeigt. Die Datenbank-Backups können jedoch aus jedem beliebigen
Ordner wiedergestellt werden.
GdmmsConfig.exe kann als eine Befehlszeilenanwendung verwendet werden, die bei der Automatisierung von
Datenbank-Backups hilft. Zur Sicherstellung, dass die Datenbank regelmäßig gesichert wird, kann der WindowsAufgabenplanung eine Aufgabe hinzugefügt werden (Start > Ausführen > taskschd.msc). Eine wöchentliche
Aufgabe mit dem entsprechenden Hintergrundbefehl stellt sicher, dass immer ein aktuelles Datenbank-Backup
vorhanden ist, um im Notfall eine Wiederherstellung durchzuführen. Der genaue Befehl hängt von der SQL ServerUmgebung ab. Wenn ManagementServer konfiguriert wurde, um eine lokale SQL Server Express-Instanz zu
verwenden, lautet der Befehl in den meisten Fällen gdmmsconfig.exe /dbfullbackup /DBBackupFolder:Ordner, wobei
Ordner durch einen absoluten Pfad zum Backup-Ordner ersetzt werden muss. Anschließend wird mithilfe der
gespeicherten Anmeldeinformationen (die mit GdmmsConfig.exe verifiziert werden können) eine Verbindung mit
der Datenbank hergestellt und ein Backup im angegebenen Zielordner gespeichert. Dazu muss das lokale Konto
über ausreichende Berechtigungen verfügen, um eine Verbindung mit der Datenbank herstellen und die Datei im
Zielordner speichern zu können. Wenn zuvor in GdmmsConfig.exe ein Datenbank-Backup oder ein
Wiederherstellungsordner ausgewählt wurde, kann der Parameter /DBBackupFolder weggelassen werden, um den
zuvor definierten Ordner als Backup-Ziel zu verwenden. Falls ManagementServer eine SQL Server-Remote-Instanz
nutzt, müssen weitere Parameter definiert werden. Benutzername, Kennwort, Datenbankname und
Datenbankinstanz müssen einbezogen werden: gdmmsconfig.exe /dbfullbackup /DBBackupFolder:Ordner
/Logon:Benutzername /Password:Kennwort /Database:Datenbank /ServiceInstance:SQL-Servername. Der BackupOrdner muss als ein UNC-Pfad definiert werden, und das Anmeldekonto muss über Schreibberechtigungen
verfügen. Beispiel: Mit der Datenbank GDATASQLSRV2K8 auf dem Server DATABASESRV, dem Backup-Ordner
MMS auf dem Server BACKUPSRV und dem Benutzerkonto „BackupAdmin“ mit dem Kennwort „Kennwort“ sieht
der Befehl wie folgt aus: gdmmsconfig.exe /dbfullbackup /DBBackupFolder:\\BACKUPSRV\MMS /Logon:BackupAdmin
/Password:Kennwort /Database:GDATASQLSRV2K8 /ServiceInstance:DATABASESRV. Wie bei allen Backupspezifischen Aufgaben muss überprüft werden, ob die konfigurierte Aufgabe erfolgreich ausgeführt und
tatsächlich ein Backup am gewünschten Speicherort erstellt wurde.
Mithilfe der gleichen Backup- und Wiederherstellungsfunktionen kann GdmmsConfig.exe auch in Datenbanktests
und Migrationsszenarien verwendet werden. Weitere Informationen können Abschnitt 17.1.3 entnommen
werden.
4.8.
Client-Bereitstellung
Welche Clients in die G Data Client-Bereitstellung einbezogen werden sollen, ist dem Administrator überlassen. Es
wird empfohlen, alle Computer im Unternehmensnetzwerk zu schützen, da bereits ein einzelner ungeschützter
Computer einen Zugangspunkt für Malware darstellt. Alle Windows-, Linux-, Android- und iOS-Geräte sollten
durch G Data geschützt sein. Dazu gehören sowohl Clients als auch Server. Obwohl nicht alle G Data
Sicherheitsmodule für Server geeignet sind (z. B. die Client-orientierte Firewall) bieten die Anti-Malware-Module
von G Data Security Client (wie der Dateisystemwächter) ebenfalls einen hervorragenden Server-Schutz. Es muss
beachtet werden, dass je nach Server-Typ zusätzliche Tests durchgeführt werden müssen. Stabilität und Leistung
müssen optimiert werden. Für den Dateisystemwächter und Scan-Aufträge müssen eventuell mehrere
Ausnahmen konfiguriert werden, um so regelmäßig verwendete Datenbankdateien auf einem Datenbankserver,
34
4. Bereitstellung
die E-Mail-Datenbank eines E-Mail-Servers oder verschiedene Protokollarten und Verwaltungsdateien auf einem
Domänencontroller von der Überwachung und den Scans auszuschließen.
4.8.1. Aktivierung von Windows- und Linux-Clients
Windows- und Linux-Clients müssen im Client-Verwaltungsbereich von G Data Administrator hinzugefügt
(„aktiviert“) werden, bevor ihnen die Client-Software bereitgestellt werden kann. Dadurch können
Administratoren den Überblick über Netzwerk-Clients behalten, selbst über die, deren Software noch nicht
bereitgestellt wurde. Der Prozess kann auf verschiedene Weise gestartet werden. Der SERVER-EINRICHTUNGSASSISTENT
von G Data Administrator enthält eine Liste mit Netzwerk-Clients, die im lokalen Netzwerk erkannt wurden. Die
Liste kann verwendet werden, um mit einem Klick einen oder mehrere Clients zu aktivieren. Wenn ein Client nicht
aufgeführt ist, kann er manuell durch Eingabe seines Namen oder seiner IP-Adresse aktiviert werden. Bei der
Aktivierung eines oder mehrerer Clients und der Auswahl von CLIENT-SOFTWARE AUTOMATISCH AUF DEN AKTIVIERTEN COMPUTERN
INSTALLIEREN wird nach Abschluss des Assistenten eine Remote-Client-Installation (siehe Abschnitt 4.8.2.1) ausgelöst.
Eine Alternative ist die Verwendung des Client-Verwaltungsbereichs. Dazu müssen der entsprechende
ManagementServer ausgewählt, in der Symbolleiste auf CLIENT AKTIVIEREN geklickt und die Client-Namen oder IPAdressen eingegeben werden. Im folgenden Fenster kann die Anzahl der zu aktivierenden Clients eingegeben
werden. Die dritte Option ist das Fenster COMPUTER SUCHEN, das sich im Menü ORGANISATION befindet. In diesem Fenster
kann ein vollständiger IP-Bereich nach aktiven Netzwerk-Clients durchsucht werden, die anschließend direkt
aktiviert werden können. Letztlich kann die Active Directory-Synchronisation automatisch Windows-Clients
aktivieren. Dazu muss eine ManagementServer-Gruppe mit einer Active Directory-Organisationseinheit verknüpft
werden, um automatisch die enthaltenen Clients in ManagementServer zu importieren (siehe Abschnitt 7.2).
4.8.2. Windows-Clients
Nach der Aktivierung eines oder mehrerer Windows-Clients kann G Data Security Client bereitgestellt werden. Die
bevorzugte Installationsmethode ist eine Remote-Installation. Alternativ kann G Data Security Client lokal über ein
Installationsmedium oder mithilfe eines Client-Installationspakets installiert werden.
4.8.2.1. Remote-Installation
Eine Remote-Installation von G Data Security Client kann über den SERVER-EINRICHTUNGSASSISTENTEN, durch Active
Directory-Synchronisation (siehe Abschnitt 7.2) oder durch Auswahl eines Clients in der Übersicht CLIENTS
eingeleitet werden, indem mit der rechten Maustaste darauf geklickt und die Option G DATA SECURITY CLIENT
INSTALLIEREN ausgewählt wird. Eine Remote-Installation ist der einfachste Weg, G Data Security Client zu installieren.
Sie spart Zeit, da der Administrator keinen physischen Zugang zum Client haben muss. Es könnten jedoch einige
Konfigurationsänderungen notwendig sein, um G Data Security Client per Fernzugriff bereitzustellen:
•
•
•
•
Gdmms.exe muss Zugriff auf das Netzwerk haben (es müssen Firewall-Ausnahmen konfiguriert
werden).
In einer Windows-Arbeitsgruppe muss die Option EINFACHE DATEIFREIGABE (Windows XP) oder FREIGABEASSISTENT VERWENDEN (Windows Vista/Windows Server 2008 oder höher) deaktiviert werden. Sie ist
standardmäßig in allen Windows-Client-Installationen aktiviert und kann durch Öffnen eines
beliebigen Ordners im Windows Explorer, Klicken auf ORGANISIEREN > ORDNER- UND SUCHOPTIONEN > ANSICHT
und Deaktivieren der entsprechenden Option deaktiviert werden.
Die BENUTZERKONTENSTEUERUNG (UAC) muss deaktiviert sein.
Zugriffsberechtigungen für die UNC-Freigaben „C$“ und „Admin$“ müssen vorhanden sein. Dabei
35
•
kann es sich um ein lokales oder Domänen-Administratorkonto handeln. Bei Remote-ClientInstallationen muss das Konto nicht unbedingt über ein Kennwort verfügen. Die Zielcomputer müssen
jedoch explizit konfiguriert sein, um Netzwerkanmeldungen für Konten ohne Kennwort zuzulassen3.
Für eine Remote-Installation eines Subnet-Servers muss ein Kontokennwort eingerichtet werden: Ein
leeres Kennwortfeld ist nicht zulässig.
Unter DIENSTE muss der Dienst REMOTEREGISTRIERUNG deaktiviert werden.
Auf Windows 8-, Windows 8.1- und Windows Server 2012-Clients, die Teil einer Arbeitsgruppe sind, ist der Zugriff
auf die UNC-Freigabe „Admin$“ nicht möglich. Für eine erfolgreiche Remote-Installation muss ein
Registrierungsschlüssel angegeben werden. Dazu muss im Registrierungs-Editor der Schlüssel
„HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System“ bearbeitet werden.
Zur Aktivierung der Remote-Installation in Security Client wird der DWORD-Wert LocalAccountTokenFilterPolicy mit
dem Wert 1 hinzugefügt. Alternativ können Windows 8-Arbeitsgruppen-Clients mithilfe einer lokalen Installation
oder einem Client-Installationspaket bereitgestellt werden.
Wenn alle Anforderungen erfüllt sind, kann die Remote-Installation gestartet werden. Je nachdem, wie die
Installation gestartet wird, müssen verschiedene Fragen beantwortet werden. Die Sprache der G Data Security
Client-Installation kann aus einem Dropdown-Menü ausgewählt werden. Es muss berücksichtigt werden, dass
diese Einstellung im Anschluss nicht geändert werden kann: Der Client muss neu installiert werden, um die
Sprache zu ändern. Die Firewall kann ebenfalls per Fernzugriff installiert werden. Wenn diese Komponente aus
einem beliebigen Grund zu diesem Zeitpunkt nicht installiert werden soll, kann sie später per Fernzugriff über das
Firewall-Modul installiert werden (siehe 13.1).
Eine Remote-Installation kann auf zwei verschiedene Arten ausgeführt werden. Wenn die Clients die notwendigen
Voraussetzungen erfüllen, werden die Dateien direkt kopiert und Einträge in der Registry vorgenommen. Wenn
der Server nur Zugriff auf die Festplatte, aber nicht auf die Registry hat, oder wenn andere Voraussetzungen nicht
erfüllt sind, wird das gesamte Einrichtungsprogramm auf den Client kopiert und beim nächsten Computerstart
automatisch gestartet. Wenn letztere Option ebenfalls nicht erfolgreich ist, wird die Installation abgebrochen.
Abbildung 17: G Data Administrator – Installationsübersicht
Im Fenster INSTALLATIONSÜBERSICHT kann der Fortschritt einer Remote-Installation verfolgt werden. Es öffnet sich
automatisch, wenn eine Remote-Installation als Aufgabe hinzugefügt wird. Oder es kann durch Klicken auf die
Schaltfläche INSTALLATIONSÜBERSICHT in der Symbolleiste des Client-Verwaltungsbereichs geöffnet werden. Es enthält
3
Zur Netzwerkanmeldung ohne Kennwort muss die Registry auf dem Zielcomputer bearbeitet werden. Dazu muss unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa der DWORD-Wert „LimitBlankPasswordUse“ auf 0 gesetzt werden. Zusätzlich
muss die folgende Gruppenrichtlinieneinstellung für den Zielcomputer deaktiviert werden: Computerkonfiguration > Windows-Einstellungen >
Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Konten: Für lokale Konten muss die Nutzung von leeren Kennwörtern auf
„Konsolenanmeldung“ beschränkt werden.
36
4. Bereitstellung
eine Liste aller Clients, für die ausstehende oder abgeschlossene Remote-Installationen vorhanden sind. Die Spalte
TYP zeigt den Installationstyp (z. B. G Data Security Client, G Data Firewall oder Subnet-Server). Nach dem
Abschluss einer Remote-Installation wird die Spalte STATUS aktualisiert. Clients, die durch eine Active DirectorySynchronisation hinzugefügt wurden (siehe Abschnitt 7.2), werden für die Installation eingeplant. Unter NÄCHSTER
INSTALLATIONSVERSUCH wird das geplante Installationsdatum mit Uhrzeit angezeigt. Durch einen Rechtsklick auf einen
Eintrag und Klicken auf INSTALLATIONSBERICHT ANZEIGEN wird ein Installationsprotokoll angezeigt, das bei der Behebung
von Problemen bei der Remote-Bereitstellung hilfreich sein kann.
In einigen Fällen, wenn z. B. G Data Firewall installiert wird, muss der Client neu gestartet werden, um die
Installation abzuschließen. Falls ein Neustart erforderlich ist, wird dem Modul BERICHTE während der Installation ein
Bericht hinzugefügt. Falls die Remote-Installation nicht möglich ist, wird der Fehler in der Spalte STATUS angezeigt.
Weitere relevante Fehlercodes können der Client-Registry entnommen werden (siehe Abschnitt 4.8.2.4).
4.8.2.2. Lokale Installation
G Data Security Client kann lokal auf einem beliebigen Client oder Server mit unterstütztem Betriebssystem
installiert werden. Das ist in Szenarien hilfreich, in denen sich ein Netzwerk-Client nicht in der gleichen Domäne
wie der primäre ManagementServer befindet, die Systemanforderungen für die Remote-Installation nicht erfüllt
werden können oder der Client sich nicht regelmäßig mit dem Netzwerk verbindet (Laptops). Das G Data
Installationsmedium enthält eine Installationsdatei, die mit lokalen Administratorrechten auf einem beliebigen
Client ausgeführt werden kann. Das Security Client-Installationsprogramm enthält alle verfügbaren Sprachen. Der
Installationsassistent ist einfach: Es muss nur der Name des primären ManagementServer eingegeben werden, mit
dem sich der Client verbinden soll. Nach der Installation kontaktiert der Client den ManagementServer innerhalb
von wenigen Minuten, woraufhin er im Client-Verwaltungsbereich angezeigt wird.
Dabei muss beachtet werden, dass der lokale Installationsassistent nicht die Firewall-Komponente installiert. Es
wird empfohlen, die Firewall per Fernzugriff über das Firewall-Modul von G Data Administrator zu installieren.
Falls die Firewall ebenfalls lokal installiert werden soll, ist dies durch Hinzufügen eines Parameters zum
Einrichtungsassistenten möglich. Dazu muss die Eingabeaufforderung geöffnet und zu „\Setup\<Client-Ordner>“
auf dem G Data Installationsmedium navigiert werden. Der Installationsassistenten wird durch Eingabe von
setup.exe /v"INSTALLFW=yes" gestartet. Nach Abschluss des Installationsassistenten ist ein Neustart erforderlich.
4.8.2.3. Client-Installationspaket
Wenn eine Remote-Bereitstellung nicht möglich ist und lokale Installationen zu viel Zeit in Anspruch nehmen,
kann das Client-Installationspaket eine praktische Lösung sein. ManagementServer kann eine ausführbare Datei
erstellen, welche die neueste Version der G Data Security Client-Programmdateien und -Virensignaturen sowie
vorkonfigurierte Einstellungen enthält, damit sich der Client nach der Installation automatisch mit dem
ManagementServer verbinden kann. Das Client-Installationspaket erfordert kein Benutzereingreifen und ist eine
ideale Lösung, um G Data Security Client schnell in der gesamten Domäne bereitzustellen. Netzwerke, die Active
Directory nutzen, können Startskripte verwenden, damit der Client die Installationsdatei nach der Anmeldung
abruft und automatisch im Hintergrund ausführt4.
Ein Client-Installationspaket kann in G Data Administrator erstellt werden. Dazu muss im Menü ORGANISATION die
Option G DATA SECURITY CLIENT-INSTALLATIONSPAKET ERSTELLEN ausgewählt werden. Das Administrator-Programm fragt nach
der Installationssprache und dem ManagementServer. Security Client wird in dieser Sprachversion erstellt und
4
Eine Anleitung zur Verteilung eines Installationspakets mithilfe von Gruppenrichtlinien und Startskripts kann dem TechPaper #0204 (Installing
G Data Security Client using GPOs and logon scripts) entnommen werden.
37
verbindet sich mit dem ManagementServer, wie er hier angegeben ist. Letztlich kann ein Speicherordner
angegeben werden. G Data Administrator erstellt das Paket im Hintergrund. Dieser Vorgang kann einige Minuten
dauern. Während dieser Zeit darf die Administrator-Anwendung nicht geschlossen werden. Das ClientInstallationspaket enthält die neueste Version von Security Client sowie die neuesten Virensignatur-Updates.
Dadurch wird sichergestellt, dass der Client sofort optimal geschützt ist, ohne dass separat Updates vom
ManagementServer heruntergeladen werden müssen. Das heißt jedoch, dass regelmäßig ein neues ClientInstallationspaket erstellt werden muss, falls die Bereitstellung über einen längeren Zeitraum andauert.
Sobald das Installationspaket zusammengestellt wurde, muss es nur auf die Clients kopiert und ausgeführt
werden. Das kann manuell oder mithilfe einer Gruppenrichtlinie erfolgen. Eine Anleitung zur Verteilung eines
Installationspakets mithilfe von Gruppenrichtlinien und Startskripts kann dem TechPaper Nr. 0204 (Installing
G Data Security Client using GPOs and logon scripts) entnommen werden. Vor der Ausführung des
Installationspakets muss eine eventuell vorhandene Security Client-Installation vollständig entfernt werden: Das
Installationspaket funktioniert nur, wenn keine Installation vorhanden ist. Aufgrund der Dateigröße wird nicht
empfohlen, das Client-Installationspaket aus einer Netzwerkfreigabe heraus auszuführen. Die Installation könnte
fehlschlagen. Mit 15 Minuten dauert der Installationsvorgang ein wenig länger als eine Remote-Installation oder
lokale Installation vom Installationsmedium. Während Security Client installiert wird, können Endbenutzer den
Client auch weiterhin benutzen. Nach 15 Minuten muss der Client zweimal neu gestartet werden, um die
Installation fertigzustellen.
Das Client-Installationspaket installiert standardmäßig nicht das Firewall-Modul. Falls erforderlich, kann die
Firewall anschließend per Fernzugriff über das FIREWALL-Modul von Administrator installiert werden. Alternativ
kann das Client-Installationspaket über die Eingabeaufforderung mit einem bestimmten Parameter gestartet
werden, um zu erzwingen, dass die Firewall in die Installation einbezogen wird. Dazu muss in der
Eingabeaufforderung zu dem Ordner navigiert werden, der das Paket enthält, und der folgende Befehl
eingegeben werden: gdclientpck.exe /fw. Dadurch wird die Installation gestartet, bei der Security Client sowie sein
Firewall-Modul installiert werden. Wie bei Installationen, die nur Security Client enthalten, schlägt die Installation
von Security Client mit Firewall fehl, wenn bereits eine Instanz von Security Client vorhanden ist. Das Paket kann
nicht verwendet werden, um nur das Firewall-Modul zu installieren.
4.8.2.4. Fehlerbehebung
Ob der Client nun lokal, per Fernzugriff oder mithilfe eines Client-Installationspakets installiert wurde, es können
dennoch Komplikationen auftreten. Besonders bei Remote-Installationen ist es schwer, direkt die
Installationsfehler zu erkennen. Wenn sich ein Client nach der Bereitstellung nicht mit dem ManagementServer
verbindet, kann es verschiedene Gründe geben. Am wichtigsten ist, dass der Client eine Netzwerkverbindung mit
dem ManagementServer herstellen kann und umgedreht (siehe Abschnitt 4.9). Falls eine Netzwerkverbindung
verfügbar ist, aber sich der Client nach wie vor nicht mit dem ManagementServer verbinden kann, könnte der
Installationsvorgang für G Data Security Client fehlgeschlagen sein. Wenn die Installation fehlschlägt, speichert
das Installationsprogramm einen Fehlercode in der Registry des Clients. Dieser befindet sich im Windows
Registrierungs-Editor im Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKClient“5. Der
Wert „InstallError“ enthält einen der folgenden Installationsfehlercodes:
5
Fehlercode
0 (Success)
Beschreibung
Die Installation war erfolgreich.
2 (Success)
Der Servername wurde erfolgreich aktualisiert.
Auf 32-Bit-Systemen: HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKClient.
38
4. Bereitstellung
10
Das angegebene Kennwort war falsch.
12
Der Pfad zur Quelldatei ist nicht vorhanden.
13
Keine Verbindung mit Service Control Manager oder Remote Registry.
14
Die Dateien konnten nicht kopiert werden.
17
Das Betriebssystem des Client muss auf NT basieren.
18
Es konnte keine Verbindung mit dem Remote Registry-Dienst hergestellt werden.
19
Es wurde bereits ein Client installiert.
22
System und Programmpfad des Clients konnten nicht gelesen werden.
27
Der Computer besitzt nicht das erforderliche Patch-Level (Service Pack).
28
Die Dateien sind in Gebrauch.
29
Der Client wurde nach der Deinstallation eines Clients nicht neu gestartet.
44
Der Client ist nicht verbunden.
48
Authentifizierung fehlgeschlagen (identisch mit Fehlercode 10)
49
Firewall-Installationsfehler
50
Es fand ein Versuch statt, die Firewall ohne einen Client zu installieren.
51
Die Firewall wurde bereits installiert.
52
Es fand ein Versuch statt, die Firewall unter einem Server-Betriebssystem zu installieren.
Die meisten Fehler können behoben werden, indem sichergestellt wird, dass die korrekten
Berechtigungen eingestellt sind und dass das System die Anforderungen für eine Remote-Installation
erfüllt (siehe Abschnitt 4.8.2.1). Wenn ein Installationsfehler auftritt, muss sichergestellt werden, dass
keine Security Client-Dateien mehr auf dem Client vorhanden sind, bevor die Installation erneut versucht
wird (Abschnitt 17.6). Das Tool „AV-Cleaner“ kann dabei helfen, die Reste der Installation zu entfernen
(Abschnitt 17.7).
4.8.3. Linux-Clients
Nach der Aktivierung eines oder mehrerer Linux-Clients kann G Data Security Client bereitgestellt werden. Die
bevorzugte Installationsmethode ist eine Remote-Installation. Alternativ kann G Data Security Client für Linux
lokal über ein Installationsmedium installiert werden.
4.8.3.1. Remote-Installation
Für eine Remote-Installation muss auf dem Linux-Client ein SSH-Server installiert sein und ausgeführt werden. Er
muss so konfiguriert sein, dass eine kennwortgeschützte Authentifizierung und Root-Anmeldungen möglich sind.
In der Regel gibt es Standardeinstellungen, diese können jedoch bei Bedarf manuell geändert werden. Dazu muss
die SSH-Daemon-Konfigurationsdatei (in der Regel „/etc/ssh/sshd_config“) geöffnet und „PermitRootLogin“ und
„PasswordAuthentication“ auf „yes“ eingestellt werden.
Anschließend wird für eine Remote-Installation mithilfe von G Data Administrator im Modul CLIENTS ein beliebiger
Linux-Client ausgewählt. Daraufhin wird im Menü CLIENTS die Option G DATA SECURITY CLIENT FÜR LINUX INSTALLIEREN
gewählt. Es muss einer der zwei Client-Typen ausgewählt werden: Der Workstation-Client enthält eine Funktion
für On-Demand-Virenscans; der File Server-Client unterstützt zusätzlich Samba, um SMB-Netzwerkfreigaben zu
scannen. Anschließend muss das ROOT-KENNWORT eingegeben werden. Das Root-Kennwort muss eingestellt werden,
39
auch wenn für die Linux-Verteilung des Clients standardmäßig kein Kennwort eingestellt ist (wie z. B. Ubuntu).
Durch Klicken auf OK wird die Remote-Installation gestartet. Das Fenster INSTALLATIONSÜBERSICHT zeigt den
Installationsfortschritt.
Abbildung 18: G Data Administrator – Installation von G Data Security Client für Linux
4.8.3.2. Lokale Installation
Nach dem Einlegen des G Data Installationsmediums muss zum Ordner „\Setup\LinuxClient“ navigiert werden. Der
Ordner enthält drei Dateien: ein Installationsprogramm, ein Deinstallationsprogramm und Virensignaturen. Zur
Installation des Clients müssen die Dateien „installer.bin“ und „signatures.tar“ auf den Client kopiert und
anschließend die Berechtigung zur Ausführung des Installationsprogramms hinzugefügt werden (Befehlszeile:
chmod +x installer.bin). Das Installationsprogramm benötigt Root-Berechtigungen, um den Client und
unabhängige Pakete zu installieren. Der Benutzerstatus kann in einem Terminal-Fenster erhöht werden, indem su
und das Root-Kennwort eingegeben werden. Nun muss in dem Ordner mit den kopierten Dateien das
Installationsprogramm ausgeführt werden: ./installer.bin -t <Produkt> -s <ManagementServer-IP-Adresse> -c
<Client-Hostname>. Die Parameter lauten wie folgt:
Parameter
Wert
Beschreibung
-t
WS oder SMB
Durch Verwendung von WS wird die Workstation-Version installiert, durch SMB die File
Server-Version.
-s
IP-Adresse
Es wird die IP-Adresse des übergeordneten ManagementServer eingegeben.
-c
Hostname
Es wird der Hostname des Clients eingegeben, auf dem G Data Security Client für Linux
installiert wird. Ohne Angabe des Parameters wird der Hostname von /etc/hostname
verwendet.
Beispiel: Für die Installation der File Server-Version auf einem Linux-Client mit dem Namen „debian1“ und die
Verbindung zu einem ManagementServer mit der IP-Adresse 10.0.1.1 muss Folgendes eingegeben werden:
./installer.bin -t SMB -s 10.0.1.1 -c debian1.
4.8.3.3. Aktivierung des Samba-Schutzes
Die File Server-Version von G Data Security Client für Linux enthält ein Plugin für Samba-Server. Es führt bei jedem
Zugriff auf Samba-Freigaben einen Dateiscan durch und verhindert so die Ausbreitung von Malware von Windows
auf Linux und umgekehrt. Nach der Remote- oder lokalen Installation kann der Samba-Schutz aktiviert werden,
indem die Zeile vfs objects = gdvfs in die Samba-Konfigurationsdatei eingefügt wird (in der Regel
/etc/samba/smb.conf). Zum Schutz aller Freigaben muss sie in den Abschnitt [global] eingefügt werden. Wenn
40
4. Bereitstellung
sich die Zeile in einem anderen Abschnitt befindet, gilt der Schutz nur für die entsprechende Freigabe. Nach dem
Speichern der Konfigurationsdatei muss der Samba-Dienst neu gestartet werden.
4.8.4. Android-Clients
Android-Client-Installationen können aus G Data Administrator heraus gestartet werden. Es gibt einige
Voreinstellungen. Dazu muss auf der Registerkarte SERVER-EINSTELLUNGEN >MOBILE ein Kennwort unter AUTHENTIFIZIERUNG
FÜR MOBILE CLIENTS eingegeben werden. Das Kennwort muss in die App eingegeben werden, damit sie sich mit G Data
ManagementServer authentifizieren kann. Zusätzlich muss sichergestellt werden, dass der ManagementServer
Verbindungen über den TCP-Port 7184 akzeptiert. Android-Clients verbinden sich über diesen Port mit dem
Server, um die Installationsdatei für die App herunterzuladen.
Die Bereitstellung erfolgt per E-Mail. Im Client-Verwaltungsbereich wird ein Android-Client oder eine Gruppe
ausgewählt und auf die Symbolleistenschaltfläche INSTALLATIONSLINK AN MOBILE CLIENTS SENDEN geklickt. Es können
mehrere E-Mail-Adressen eingegeben werden, denn die Aktivierungs-E-Mail kann an jede beliebige E-MailAdresse geschickt werden. Wenn die E-Mail auf dem Client geöffnet wird, ist ein Link enthalten, um die
Installationsdatei für Internet Security für Android vom ManagementServer herunterzuladen. Durch Tippen auf
den Download-Link wird die APK-Datei für die Installation heruntergeladen. Dabei muss die Option UNBEKANNTE
HERKUNFT (INSTALLATION VON APPS AUS UNBEKANNTEN QUELLEN ZULASSEN) aktiviert sein, um die APK-Dateien installieren zu
können. Diese Option befindet sich im Android-System unter EINSTELLUNGEN > SICHERHEIT > GERÄTEVERWALTUNG. Nach
dem Öffnen der APK-Datei und der Bestätigung der angefragten Berechtigungen wird G Data Internet Security
installiert und kann im Android-App-Menü gestartet werden.
Zur Aktivierung der Fernadministration muss der zweite Link in der Installations-E-Mail geöffnet werden. G Data
Internet Security für Android wird automatisch mit den korrekten Serverdaten konfiguriert. Alternativ kann die
Fernadministration manuell konfiguriert werden. Dazu muss auf das Einstellungssymbol in der oberen rechten
Ecke des Bildschirms getippt, das Kontrollkästchen FERNADMINISTRATION GESTATTEN aktiviert und der Name oder die IPAdresse des ManagementServer unter SERVERADRESSE eingegeben werden. Unter GERÄTENAME kann ein Name
eingegeben, der zur Identifizierung des Geräts in G Data Administrator verwendet wird. Das Feld KENNWORT muss
das Kennwort enthalten, dass in G Data Administrator eingegeben wurde (es ist ebenfalls in der Installations-EMail aufgeführt). Das Gerät wird unter den anderen Clients im Modul CLIENTS von G Data Administrator aufgeführt
und von dort verwaltet. Wenn das Gerät nicht automatisch erscheint, muss es neu gestartet werden, um eine
Anmeldung am ManagementServer zu erzwingen.
4.8.5. iOS-Clients
iOS-Client-Bereitstellungen können aus G Data Administrator heraus gestartet werden. Da die Kommunikation mit
iOS-Geräten von G Data ActionCenter verwaltet wird, müssen unter https://ac.gdata.de ein kostenloses Konto
registriert und die Kontodetails in G Data Administrator unter SERVER-EINSTELLUNGEN > G DATA ACTIONCENTER eingegeben
werden. Zusätzlich ist eine gültige G Data Lizenz erforderlich. Es muss sichergestellt sein, dass der Benutzername
und das Kennwort für Internet-Update unter INTERNET-UPDATE > ZUGANGSDATEN UND EINSTELLUNGEN eingegeben wurden.
Die Bereitstellung erfolgt per E-Mail. Dazu wird im Client-Verwaltungsbereich unter IOS MOBILE DEVICE MANAGEMENT ein
Knoten ausgewählt und auf die Symbolleistenschaltfläche INSTALLATIONSLINK AN MOBILE CLIENTS SENDEN geklickt. Wie bei
der Android-Client-Bereitstellung können mehrere E-Mail-Adressen eingegeben werden. Zusätzlich können einige
Parameter eingegeben werden, die auf dem iOS-Gerät angezeigt werden, wenn der Endbenutzer die MDMAnfrage prüft. In der MDM-Anfrage und anschließend in der Liste der iOS-MDM-Profile werden NAME, BESCHREIBUNG
und ORGANISATION angezeigt. Das END USER LICENSE AGREEMENT kann verwendet werden, um den Endbenutzer darüber zu
41
informieren, dass das Gerät per Fernzugriff verwaltet wird. Wenn der Endbenutzer den Link aus der Installations-EMail auf einem iOS-Gerät öffnet, wird es sofort in G Data Administrator angezeigt (wobei der SICHERHEITSSTATUS auf
der Registerkarte CLIENTS als „Ausstehend“ angezeigt wird). Sobald der Endbenutzer die MDM-Anfrage akzeptiert,
kann das iOS-Gerät vollständig über G Data Administrator verwaltet werden.
4.9.
Abschließen der Bereitstellung
Nach der Bereitstellung von Server(n) und Clients muss überprüft werden, ob alle Prozesse ordnungsgemäß
ausgeführt werden und alle Sicherheitsmaßnahmen vorhanden sind. Am wichtigsten ist, dass sich alle Clients mit
dem ManagementServer verbinden können. Jeder Windows- und Linux-Client meldet seinen Status
standardmäßig alle 5 Minuten an ManagementServer (mit Ausnahme während eines geplanten Scans). Das Modul
CLIENTS von G Data Administrator hilft dabei, Verbindungsprobleme zu erkennen und zu beheben. Zunächst muss
geprüft werden, ob alle Netzwerk-Clients im Client-Auswahlbereich ausgeführt sind. Fehlt ein Client, könnte er
nicht korrekt bereitgestellt worden sein. Je nach Bereitstellungsmethode kann versucht werden, den Client
manuell hinzuzufügen und zu aktivieren. Alternativ kann der Domänencontroller des Netzwerks überprüft
werden, um zu sehen, ob der Client zu Active Directory hinzugefügt wurde. Wenn der Client aufgeführt ist, wird in
der Spalte LETZTER ZUGRIFF angezeigt, wann sich der Client das letzte Mal mit dem ManagementServer verbunden
hat. Es muss sichergestellt sein, dass der Client mit dem Netzwerk verbunden und eingeschaltet ist. Der TCPDatenverkehr muss für die relevanten Ports sowohl auf dem Client (7169) als auch auf dem Server (7161)
zugelassen werden. Letztlich muss der Client in der Lage sein, die IP-Adresse des Servers aufzulösen. Für einen
Verbindungstest dient der Befehl telnet auf dem Client, um eine Verbindung mit dem Server herzustellen: telnet
<ManagementServer-IP> <ManagementServer-Port>. Wenn sich der Client nicht mit dem Server verbinden kann,
werden in der Eingabeaufforderung kryptische Zeichen angezeigt. Wenn keine Verbindung besteht, erscheint ein
leeres Eingabefenster. Weitere Informationen zum Modul CLIENTS und dem Client-Management können Kapitel 7
entnommen werden.
Abbildung 19: Telnet (mit ManagementServer verbunden)
Wenn sich alle Clients regelmäßig mit ManagementServer verbinden und durch die standardmäßigen
Netzwerkeinstellungen geschützt sind, ist die grundlegende Bereitstellung abgeschlossen. Es gibt jedoch weitere
Dienste, die konfiguriert werden müssen. Damit die Konfiguration schnell geändert werden kann, muss die G Data
Lösung für eine Fernadministration konfiguriert werden (siehe Abschnitt 5). Die Echtzeit-Schutzeinstellungen
müssen für jeden Client nach Bedarf angepasst werden (siehe Kapitel 8). Es können wiederkehrende Aufgaben
geplant werden, um Malware-Scans (siehe Kapitel 9) und Backups (siehe Kapitel 11) durchzuführen. Wenn das
Bereitstellungsszenario die Firewall-Komponente der G Data Lösung enthält, müssen ihre Einstellungen
konfiguriert werden (siehe Kapitel 13). Die meisten Einstellungen können mithilfe von G Data Administrator
konfiguriert werden, aber auf einige erweiterte Einstellungen kann durch Bearbeitung der Konfigurationsdateien
42
4. Bereitstellung
oder mithilfe der spezialisierten Konfigurationstools zugegriffen werden (siehe Abschnitt 17).
4.10.
Subnet-Server
Wenn die Leistung nach der Bereitstellung des primären ManagementServer und seinen Clients nicht ausreichend
ist, können Lastgrenzen und eine erneute Aufgabenkonfiguration die Serverlast verringern (siehe Abschnitt 7.4).
Eine effektive Alternative ist jedoch die Installation eines oder mehrerer Subnet-Server. Ein Subnet-Server
unterstützt den primären ManagementServer. Clients können einem Subnet-Server zugeordnet werden und
verbinden sich mit diesem Server, um Virensignaturen zu erhalten und die Serverlast auf dem primären
ManagementServer sowie den Netzwerkdatenverkehr zwischen den Clients und dem primären
ManagementServer zu verringern. Besonders für lokale Niederlassungen wird die Ausführung eines SubnetServers empfohlen: Um eine optimale Geschwindigkeit des Server-Client-Verkehrs zu erhalten, kann die
Kontaktabhängigkeit zu einem primären ManagementServer über ein WAN eliminiert werden.
Jeder Netzwerkcomputer, der die Systemanforderungen erfüllt, kann durch eine lokale oder Remote-Installation
als Subnet-Server konfiguriert werden. Der empfohlene Weg ist eine Remote-Installation über G Data
Administrator. Mithilfe der Optionen SERVERVERWALTUNG > SUBNET-SERVER HINZUFÜGEN kann ein beliebiger Computer im
Netzwerk ausgewählt werden. Nach der Eingabe der Anmeldedetails für ein Administratorkonto mit
Berechtigungen für diesen Computer wird eine Remote-Installation initiiert. Im Fenster INSTALLATIONSÜBERSICHT wird
der Installationsstatus angezeigt. Nach der Installation des Subnet-Servers können durch Klicken auf CLIENTS
ZUORDNEN die Clients vom primären ManagementServer auf den neu installierten Subnet-Server verschoben
werden. Eine Remote-Installation erfordert, dass der zukünftige Subnet-Server genauso konfiguriert wird, wie ein
Client für eine Remote-Installation konfiguriert werden muss. Weitere Informationen zu den Voraussetzungen
können Abschnitt 4.8.2.1 entnommen werden.
Abbildung 20: G Data Administrator – Serververwaltung
Wenn eine Remote-Installation keine Option ist, können Subnet-Server mithilfe des G Data Installationsmediums
lokal installiert werden. Die Installation entspricht dem Prozedere eines primären ManagementServer (siehe
Abschnitt 4.2.1). Dazu wird der Server-Typ SUBNET-SERVER ausgewählt und der Computername des primären
ManagementServer eingegeben, damit der Subnet-Server den richtigen primären Server kontaktieren kann. Nach
Abschluss der Installation verbindet sich der Subnet-Server mit dem primären ManagementServer. Damit keine
defekten Subnet-Server im Netzwerk installiert und die Daten ohne Autorisierung vom ManagementServer
empfangen werden, muss jeder lokal installierte Subnet-Server manuell autorisiert werden. Dazu muss im Fenster
SERVERVERWALTUNG der neu hinzugefügte Subnet-Server ausgewählt und auf AUTORISATION ERTEILEN geklickt werden, um
ManagementServer die Synchronisation seiner Datenbank mit dem Subnet-Server zu erlauben.
43
5.
Fernadministration
Manche Konfigurationsänderungen müssen unerwartet ausgeführt werden. Es kann notwendig sein, über einen
Computer auf die Konfiguration von G Data ManagementServer zuzugreifen, der nicht über das
Konfigurationstool G Data Administrator verfügt, oder von unterwegs. G Data bietet vollständige
Konfigurationsmöglichkeiten über den Browser sowie eine Auswahl der am häufigsten genutzten Optionen für
mobile Geräte (wie Smartphones und Tablets).
Während der Installation von G Data ManagementServer wird das Konfigurationstool „G Data Administrator“ auf
dem gleichen Computer installiert. G Data ManagementServer kann anschließend mithilfe eines tatsächlichen
Zugriffs auf den Servercomputer, durch Remote-Anmeldung an diesem mithilfe des Remotedesktopprotokolls von
Windows oder mithilfe einer Remote-Steuerlösung eines Drittanbieters konfiguriert werden. Zusätzlich kann
G Data Administrator von anderen Computern ausgeführt werden, ohne dass eine Sitzung auf dem Server
ausgeführt werden muss. Dazu wird es mit auf einem beliebigen Computer installiert, der Netzwerkzugriff auf den
Server hat.
Als optionaler Teil der Bereitstellung können die Konfigurationsfunktionen der G Data Lösung per Remote-Zugriff
zugänglich gemacht werden. G Data Administrator kann so installiert und konfiguriert werden, dass der Zugriff
von außerhalb des Netzwerks möglich ist. Falls die Installation der Administrator-Software jedoch keine Option ist,
bietet G Data WebAdministrator eine browser-basierte Schnittstelle, die Zugriff auf alle Einstellungen und Module
ermöglicht. Für mobile Benutzer ist G Data MobileAdministrator die perfekte Schnittstelle, die die am häufigsten
ausgewählten Aufgaben, wie die Client- und Sicherheitsverwaltung sowie die Überprüfung von Berichten
ermöglicht. Damit ManagementServer per Fernzugriff verwaltet werden kann, muss der TCP-Port 7182 zugänglich
sein (siehe Abschnitt 2.2).
5.1.
Desktop-Anwendung
Bei der standardmäßigen Bereitstellung von G Data ManagementServer wird G Data Administrator auf dem
gleichen Computer installiert. Administratoren können sich per direktem oder Fernzugriff auf den Server bei
G Data Administrator anmelden, um Zugriff auf alle Module zu erhalten. In Fällen, wo der Zugriff auf den Server
über eine Desktop-Anwendung unmöglich oder unpraktisch ist, kann G Data Administrator auf einem beliebigen
anderen Windows-Client installiert werden, solange dieser ManagementServer erreichen kann.
Abbildung 21: G Data Administrator – Anmeldung
44
5. Fernadministration
Durch Verwendung des G Data Installationsmediums wird G Data Administrator auf dem Computer installiert, von
dem Konfigurationsaufgaben ausgeführt werden sollen. Dabei muss zur Anmeldung die IP-Adresse oder (falls
auflösbar) der Name des ManagementServer-Computers als SERVER-Adresse eingegeben werden. Der Server-Port
(standardmäßig: TCP 7182) darf dabei nicht durch die Firewall blockiert sein und er muss auf Router-Ebene
weiterleiten, falls dies notwendig ist.
5.2.
Browser
Sich die Zeit zu nehmen, um G Data Administrator auf einem Computer zu installieren, ist nicht immer eine
Option. Lokale Richtlinien können die Installation der Software verhindern oder eine dringende Angelegenheit
erfordert sofortige Aufmerksamkeit und lässt somit keine Zeit für eine Software-Installation. In diesen Fällen ist es
sehr praktisch, G Data ManagementServer nur mithilfe eines Browsers konfigurieren zu können. Diese Möglichkeit
bietet das webbasierte Modul „G Data WebAdministrator“. WebAdministrator wird am häufigsten auf einem
vorhandenen Webserver im Unternehmensnetzwerk bereitgestellt, kann jedoch auch auf einem beliebigen
Windows-Computer installiert werden, der die Microsoft-Internetinformationsdienste (IIS) ausführt. Die folgenden
Versionen von IIS werden mit den entsprechenden Betriebssystemen unterstützt:
IIS-Version
Betriebssystem
5.1
Windows XP Professional
6.0
Windows Server 2003
7.0
Windows Server 2008, Windows Vista
7.5
Windows Server 2008 R2, Windows 7
8.0
Windows Server 2012 R2, Windows Server 2012, Windows 8.1, Windows 8
Microsoft IIS muss zuerst installiert werden, bevor WebAdministrator bereitgestellt werden kann. Jede oben
aufgeführte Windows-Version beinhaltet die IIS-Komponente, die jedoch oftmals manuell aktiviert werden muss.
Dazu muss unter Windows Vista, Windows 7 oder Windows 8 das Fenster WINDOWS-FUNKTIONEN geöffnet werden
(unter „Systemsteuerung > Programme und Funktionen“). Durch Auswahl von INTERNETINFORMATIONSDIENSTE wird das
vollständige Webserver-Paket installiert. Es können jedoch auch einzelne Komponenten ausgewählt werden.
Außerdem muss KOMPATIBILITÄT MIT DER IIS 6-VERWALTUNG > KOMPATIBILITÄT MIT IIS-METABASIS UND IIS 6-KONFIGURATION aktiviert
werden, da WebAdministrator davon abhängt. Durch Klicken auf OK werden die IIS installiert und der Computer
bei Aufforderung neu gestartet.
Abbildung 22 und 23: Windows 7 > Windows-Funktionen; Windows Server 2008 R2 > Assistent „Rollen hinzufügen“
45
Unter Windows Server 2003 muss nun die Anwendung „Serververwaltung“ aus dem Startmenü gestartet werden.
Unter Windows Server 2008 und 2012 wurde diese Funktion in „Server-Manager“ umbenannt. Beide
Anwendungsfunktionen bieten die Möglichkeit, der aktuellen Server-Konfiguration Rollen hinzuzufügen. Unter
Windows Server 2003 wird die entsprechende Rolle ANWENDUNGSSERVER (IIS, ASP.NET) genannt, unter Windows
Server 2008 und 2012 ist es WEBSERVER (IIS). Für die letzten beiden muss IIS 6-METABASISKOMPATIBILITÄT im Fenster
ROLLENDIENSTE ausgewählt werden. Nach der Installation der Webserver-Rolle (und einem möglichen Neustart des
Servers) muss überprüft werden, ob der Webserver zugänglich ist, indem im lokalen Browser http://localhost
geöffnet wird.
Wie bei jeder Website kann der Zugriff auf G Data WebAdministrator über den Browser den HTTP-Verkehr für
Angreifer mit Netzwerkzugang sichtbar machen. Besonders in Situationen, in denen von außerhalb des
Unternehmensnetzwerks auf G Data WebAdministrator zugegriffen wird, ist die Sicherung des Datenverkehrs
empfehlenswert. Dies kann mithilfe eines SSL-Zertifikats erfolgen. Zertifikate können von einer
Zertifizierungsstelle erworben oder kostenlos lokal erstellt und selbst signiert werden. Die erste Option wird dann
empfohlen, wenn von außerhalb des Unternehmensnetzwerks auf WebAdministrator zugegriffen wird. Sie ist
jedoch mit zusätzlichen Kosten verbunden, wenn das Unternehmen nicht bereits ein oder mehrere Zertifikate
besitzt. Letztere Option kann einfach konfiguriert werden und schützt vor dem Abhören des HTTP-Verkehrs. Sie ist
jedoch für „Man-in-the-Middle“-Angriffe anfällig.
Mithilfe von Windows XP Professional oder Windows Server 2003 kann ein SSL-Zertifikat mithilfe des kostenlosen
Microsoft-Tools „SelfSSL“ hinzugefügt werden, das auf der Microsoft-Website als Teil der IIS 6.0-Tools im Resource
Kit verfügbar ist6. Nach der Installation wird die SelfSSL-Befehlszeile über „Start > Programme > IIS-Ressourcen >
SelfSSL“ geöffnet. Der lokalen Website kann ein selbstsigniertes Zertifikat hinzugefügt werden, indem ein
einzelner Befehl eingegeben wird: selfssl /N:CN=localhost /K:2048 /V:365 /S:1 /T. Die Zertifikatserstellung wird durch
Klicken auf Ja bestätigt. Dadurch wird ein Zertifikat für die standardmäßige IIS-Site auf dem lokalen Server erstellt
und localhost der Liste vertrauenswürdiger Zertifikate hinzugefügt. Die Schlüssellänge beträgt 2.048 und das
Zertifikat ist für 365 Tage gültig. Falls die Site nicht die standardmäßige Site von IIS ist, muss der BEZEICHNER unter
„Start > Verwaltungstools > Internetinformationsdienste (IIS)-Manager“ gesucht und der Parameter /S:1
entsprechend geändert werden.
Abbildung 24: Internetinformationsdienste (IIS)-Manager – Sitebindung hinzufügen
Unter Windows Vista, Windows 7, Windows 8, Windows Server 2008/R2 oder Windows Server 2012 wird nun der
Internetinformationsdienste (IIS)-Manager geöffnet, indem unter „Start > Ausführen“ (oder alternativ die
Windows-Taste und R drücken) der Befehl inetmgr eingegeben wird. Anschließend wird der lokale Webserver im
Bereich „Verbindungen“ ausgewählt. In der Mitte des Fensters zur Kategorie IIS muss nun auf SERVERZERTIFIKATE
doppelgeklickt werden. Im Bereich AKTIONEN wird SELBSTSIGNIERTES ZERTIFIKAT ERSTELLEN ausgewählt. Das Zertifikat wird
nach der Eingabe eines Anzeigenamens erstellt und im Bereich SERVERZERTIFIKATE aufgeführt. Es muss beachtet
werden, dass das standardmäßige Ablaufdatum des Zertifikats genau ein Jahr nach dem Erstellungsdatum liegt.
6 Siehe www.microsoft.com/en-us/download/details.aspx?id=17275.
46
Zur Anwendung des Zertifikats auf die Site-Kommunikation muss die entsprechende Site im Bereich VERBINDUNGEN
ausgewählt werden. Dazu wird im rechten Bereich AKTIONEN die Option BINDUNGEN genutzt. Durch Klicken auf
„Hinzufügen“ wird eine neue Bindung hinzugefügt. Anschließend werden der Typ https und das neue Zertifikat im
Dropdown-Menü SSL-ZERTIFIKAT ausgewählt. Durch Klicken auf OK wird die Bindung hinzugefügt.
Da die IIS konfiguriert sind, kann nun G Data WebAdministrator installiert werden. Es wird mithilfe des
Einrichtungsassistenten auf dem G Data Installationsmedium installiert. Microsoft .NET Framework wird
automatisch installiert, wenn der Server nicht über die erforderliche Version verfügt. Nach der Installation kann
über den Browser auf WebAdministrator zugegriffen werden, indem der Unterordner „/GDAdmin“ (wie z. B.
https://10.0.2.150/GDAdmin) geöffnet wird. Falls kein SSL-Zertifikat auf dem Webserver installiert ist, kann
alternativ mit http:// geöffnet werden. Der Ordner lautet anders, falls der Installationsordner verändert wurde. Im
Falle eines selbstsignierten Zertifikats könnten manche Browser eine Warnung anzeigen, bevor WebAdministrator
geöffnet wird. Die Kommunikation ist dennoch vollständig verschlüsselt. Falls das Silverlight-Browser-Plugin noch
nicht installiert wurde, wird der Benutzer beim ersten Besuch dazu aufgefordert.
G Data WebAdministrator kann zur Anmeldung an einem beliebigen ManagementServer verwendet werden. Die
Authentifizierungsmethoden bei Anmeldung, die Schnittstelle und die Funktionen entsprechen genau denen von
G Data Administrator. Über die Webschnittstelle können alle Konfigurations- und Verwaltungsaufgaben
ausgeführt werden.
5.3.
Mobile
Für Konfigurationsaufgaben, die direkt ausgeführt werden müssen, sind G Data Administrator und G Data
WebAdministrator nicht immer die perfekte Lösung. Für den Fall, dass kein Software- oder Desktop-BrowserZugriff möglich ist, hat G Data die Anwendung „MobileAdministrator“ entwickelt.
Abbildung 25: G Data MobileAdministrator – Dashboard
G Data MobileAdministrator bietet Zugriff auf die am häufigsten verwendeten Funktionen von G Data
Administrator in einer für Mobiltelefone optimierten Webschnittstelle. MobileAdministrator kann auf allen
47
Smartphone-Plattformen und auf allen Tablets verwendet werden und erfordert im Gegensatz zu
WebAdministrator nicht das Silverlight-Plugin. Die Webanwendung kann verwendet werden, um Clients zu
verwalten und mit den neuesten Berichten über Malware-Infektionen, PolicyManager-Anfragen und mehr auf
dem Laufenden zu bleiben. Sie ermöglicht eine effektive Client-Verwaltung und Berichterstattung. Die
Webanwendung bietet nicht nur passive Berichtsfunktionen, sondern unterstützt auch direkte Antworten.
Malware-Infektionen können überprüft und direkt behoben werden. Dateien können in die Quarantäne oder
zurück verschoben werden, und PolicyManager dient der direkten Bearbeitung von White- und Blacklists. Die
Webanwendung kann außerdem verwendet werden, um schnell einen Überblick über den Status aller NetzwerkClients zu erhalten. Berichte können mithilfe des ReportManager-Moduls definiert und in einer Vorschau
angezeigt werden.
MobileAdministrator ist wie WebAdministrator eine Webanwendung. Sie kann vom G Data Installationsmedium
installiert werden, wenn bereits die Microsoft-Internetinformationsdiensten (IIS) vorhanden sind.
MobileAdministrator erfordert mindestens Windows 7 oder Windows Server 2008 R2. Weitere Informationen zur
Konfiguration der IIS, einschließlich eines SSL-Zertifikats, können Abschnitt 5.2 entnommen werden.
5.4.
MasterAdmin
Obwohl G Data Administrator, WebAdministrator und MobileAdministrator zur Anmeldung an einem
ManagementServer verwendet werden können, sollte eine effektive Verwaltung von sehr großen Netzwerken mit
MasterAdmin erfolgen. Diese Version von G Data Administrator ermöglicht die Verwaltung von mehreren
ManagementServers innerhalb der gleichen Schnittstelle, wodurch die Konfiguration und Bereitstellung
rationalisiert werden.
Abbildung 26: G Data MasterAdmin
48
Zur Verwaltung von mehreren Servern kann die MasterAdmin-Funktion in G Data Administrator aktiviert werden.
ManagedServices-Partner sowie Endkunden, die ein großes Netzwerk mit mehreren ManagementServerInstallationen verwalten, können einen MasterAdmin-Aktivierungscode bei G Data anfordern. Zur Aktivierung der
entsprechenden Anmeldeoptionen im regulären Anmeldefenster muss die Option MEHRERE SERVER VERWALTEN
ausgewählt werden. Anschließend werden der Aktivierungscode sowie ein Benutzername und ein Kennwort nach
Wahl eingegeben. Nach der erfolgreichen Anmeldung wird automatisch der MASTERADMIN-ASSISTENT gestartet.
Mithilfe des Assistenten können die ManagementServers für eine Fernadministration hinzugefügt werden. Dazu
müssen der Domänenname oder die IP-Adresse des Servers sowie der Benutzernamen und das Kennwort
eingegeben werden. Durch Eingabe eines Aliasnamen kann der Server von anderen Servern in der MasterAdminSchnittstelle unterscheiden werden. Durch Klicken auf WEITER wird ein neuer Server hinzugefügt. Durch Klicken auf
FERTIGSTELLEN wird der Assistent geschlossen. Der MasterAdmin-Assistent kann jederzeit über das Menü ADMIN
geöffnet werden.
Nach dem Hinzufügen der Server sind die in MasterAdmin verfügbaren Optionen praktisch nicht mehr von den
regulären Funktionen von G Data Administrator zu unterscheiden. Jeder ManagementServer und seine Clients
können durch Auswahl im Client-Verwaltungsbereich verwaltet werden. Je nach ausgewählter Serverlizenz
werden die entsprechenden Module auf der rechten Seite angezeigt.
49
Abschnitt B: Verwenden von G Data Business-Lösungen
6.
Dashboard und Überwachung
Nach einem erfolgreichen Abschluss der Bereitstellung der G Data Business-Lösungen im Netzwerk werden alle
Clients permanent geschützt. Jedoch muss der Sicherheitsstatus jedes Clients regelmäßig überprüft werden. Der
Schutz könnte aus verschiedenen Gründen unterbrochen worden sein. Netzwerkprobleme oder fehlender
Festplattenspeicher können die Verteilung von Updates verhindern. Programm- und Treiber-Updates können mit
einem Schutzmodul in Konflikt stehen oder die Leistung beeinträchtigen. Jedenfalls ist die Ausführung einer
Sicherheitslösungsumgebung kein unabhängiger Prozess. Es muss sichergestellt werden, dass alle relevanten
Informationen effizient zugänglich sind und dass Administratoren bei möglichen Dienstunterbrechungen
benachrichtigt werden.
G Data Sicherheitslösungen bieten verschiedene Benachrichtigungsmöglichkeiten. Eine umfassende Statistik kann
dem Modul DASHBOARD entnommen werden. Es enthält Diagramme mit Informationen über Infektionen, ClientVerbindungen und vielem mehr. Allgemeine Aufgaben können direkt ausgeführt werden, wie die Aktualisierung
von Virensignaturen oder die Aktivierung der Firewall. Ein umfassenderer Überblick über Client-Status kann der
Registerkarte ÜBERSICHT im Modul CLIENTS entnommen werden. Diese enthält die Spalte SECURITY-STATUS, die sofort
zeigt, wenn einzelne Clients Aufmerksamkeit erfordern. Weitere Statistiken können dem dedizierten Modul
STATISTIK entnommen werden. Zusätzlich erstellen Clients Berichte über Malware-Infektionen, beschädigte Dateien
und vieles mehr. Berichte können über das gleichnamige Modul aufgerufen werden, wo für einige
Nachrichtentypen direkte Aktionen ausgeführt werden können. Letztlich ermöglicht das Modul REPORTMANAGER den
Administratoren, ihre eigenen Berichte mit verschiedenen Modulen zusammenzustellen und regelmäßig
Ergebnisse per E-Mail zugeschickt zu bekommen.
Als allgemeine Empfehlung sollten Administratoren versuchen, ein ausbalanciertes Benachrichtigungssystem
einzurichten. Durch die Kombination von statistischen Informationen, E-Mail-Benachrichtigungen und
ReportManager-Berichten kann ein guter Überblick erstellt werden. Es muss jedoch auf eine
Informationsüberlastung geachtet werden: Wenn der Software-Bericht für zu viele Dinge eingerichtet wird,
können wichtige Benachrichtigungen unbemerkt untergehen.
6.1.
Dashboard und Statistik
Standardmäßig wird beim Öffnen von G Data Administrator direkt die Ansicht DASHBOARD geöffnet. Dadurch erhält
der Administrator einen sofortigen Überblick über wichtige Statistiken. Obwohl die Ansicht DASHBOARD selbst keine
E-Mail-Berichte erstellt (diese können über die ALARMEINSTELLUNGEN und das Modul REPORTMANAGER verwaltet werden),
sind die Diagramme ein sehr wertvolles Hilfsmittel, um Anomalien im Schutzstatus der Netzwerk-Clients zu
erkennen.
Die Spalte G DATA SECURITY STATUS enthält einen unverzichtbaren Überblick in Zahlen. Es ist das erste Fenster, das
nach dem Start von G Data Administrator überprüft werden sollte. Wenn in einem der verwalteten Systeme kein
G Data Security Client ausgeführt wird, zeigt die Spalte „Security Status“ den betroffenen Client. Gleichermaßen
werden Clients mit veralteten Virensignaturen aufgeführt, die Administratoren sofort aktualisieren können. Wenn
wichtige Sicherheitskomponenten deaktiviert wurden, können sie direkt wieder aktiviert werden. Wenn auf
bestimmten Clients keine Firewall installiert wurde, kann eine Remote-Installation initiiert werden.
Auf Computern, auf denen G Data Security Client installiert ist, zeigt die Übersicht CLIENT-VERBINDUNGEN die letzte
Verbindung. Indem das Diagramm CLIENT-VERBINDUNGEN beobachtet wird, können Administratoren überprüfen,
50
6. Dashboard und Überwachung
wann Computer das letzte Mal mit ManagementServer verbunden waren, und potenzielle Server- und
Netzwerkprobleme erkennen. Computer, die sich nicht regelmäßig mit ManagementServer verbinden, erhalten
keine Virensignatur-Updates und können keine Aufgaben und andere Einstellungen synchronisieren. Einige
Computerarten wie Laptops für externes Personal können auf Reisen für längere Zeit keine Verbindung herstellen.
Reguläre Desktop-Clients können sich im Vergleich dazu öfter mit ManagementServer verbinden, und wenn eine
beträchtliche Anzahl von Clients für mehr als 3 oder 7 Tage keine Verbindung herstellen konnte, können Serverund Netzwerkprobleme aufgetreten sein. Wenn ein Computer mit dem Netzwerk verbunden und eingeschaltet
ist, müssen die Verbindung zwischen dem Client und ManagementServer (siehe Abschnitt 4.9) sowie der
Netzwerkschutz und die Portkonfiguration (siehe Abschnitt 2.2) untersucht werden.
Abbildung 27: G Data Administrator – Dashboard
Die Übersicht TOP 10 CLIENTS – ABGEWEHRTE INFEKTIONEN hilft bei der Lokalisierung der problematischen Clients. Das
Tortendiagramm zeigt die Clients, welche die meisten Virenberichte generiert haben. Während G Data diese
Infektionen erfolgreich abwehrt, kann die Tatsache, dass bestimmte Clients oft von Malware-Angriffen betroffen
sind, auf Probleme hinweisen. Einer der anderen Schutzmechanismen könnte falsch konfiguriert sein, oder der
Endbenutzer könnte besonders anfällig für Angriffe sein, entweder aufgrund eines gezielten Malware-Angriffs
oder aufgrund von unvorsichtigem (Surf-)Verhalten. Es wird empfohlen die Sicherheitskonfiguration für diesen
Client zu überprüfen. Falls das (Fehl-)Verhalten des Endbenutzers eine mögliche Ursache ist, kann die Einstellung
der PolicyManager-Richtlinien dabei helfen, den Zugriff auf dubiose Ressourcen zu verhindern (siehe Kapitel 14).
Das Tortendiagramm zeigt standardmäßig nur die abgewehrten Infektionen der letzten zwei Wochen an. Durch
Klicken auf das Kalendersymbol in der oberen rechten Ecke kann der Zeitraum auf die letzten Tage, Wochen oder
Monate festgelegt oder manuell ein Zeitraum eingestellt werden.
REPORT-STATUS zeigt eine Übersicht der Berichte (durch den Zugriff auf das Modul BERICHTE). Infektionen, Fehler sowie
Firewall- und PolicyManager-Anfragen werden im Diagramm aufgeführt. Übermäßige Fehler von einem der
Module oder andere beträchtliche Spitzen im Diagramm können untersucht werden, indem das Modul „Berichte“
geöffnet und die einzelnen Berichte geprüft werden. Wie das Diagramm TOP 10 CLIENTS – ABGEWEHRTE INFEKTIONEN kann
51
der REPORT-STATUS konfiguriert werden, um Informationen nur für einen bestimmten Zeitraum anzuzeigen.
Zusätzlich zum DASHBOARD können der Registerkarte STATISTIK umfangreichere Informationen entnommen werden.
Sie bietet in verschiedenen Bereichen einen Überblick über den Schutzstatus des Netzwerks. Der Bereich CLIENTS
zeigt die Anzahl der Clients, auf denen der Wächter, OutbreakShield und der E-Mail-Schutz aktiviert sind, sowie
den Engine-Status, die Einstellungen und vieles mehr. Der Bereich CLIENTS kann so konfiguriert werden, dass acht
verschiedene Statistikinformationen angezeigt werden, entweder in einer Tabelle (Text), in einem
Balkendiagramm oder in einem Tortendiagramm. Die HITLISTE MELDER zeigt die Komponenten, die Malware erkannt
haben, sowie Informationen, die bei der Bestimmung von Malware-Angriffsvektoren und der Identifizierung von
unterdurchschnittlichen oder falsch konfigurierten Schutzkomponenten helfen. Der Bereich HITLISTE VIREN
identifiziert die Malware, die am häufigsten erkannt wurde, und stellt Informationen bereit, die auch bei der
Analyse von Angriffen helfen können. Letztlich zeigt die HITLISTE ABGEWEHRTE INFEKTIONEN die Clients, die am häufigsten
Malware-Angriffen ausgesetzt waren. Wenn einer oder mehrere Clients hervorstechen, könnten eine weitere
Untersuchung und aktiver Schutz notwendig sein, entweder aufgrund eines (halb-)gezielten Angriffs oder
aufgrund der Nachlässigkeit auf Seiten des Endbenutzers. Mithilfe der Funktion DRUCKEN kann die Statistik
beispielsweise zur Verwendung in externen Berichten gedruckt werden.
Abbildung 28: G Data Administrator – Statistik
6.2.
Berichte und Alarmmeldungen
Das Modul BERICHTE ist der Ort, wo Berichte (Benachrichtigungen) von allen Sicherheitsmodulen zu finden sind.
Obwohl Bedrohungen voll automatisch blockiert werden, ist es wichtig, mit den Berichten Schritt zu halten. Sie
enthalten detaillierte Informationen über den Status der Netzwerk-Clients, potentielle Probleme und andere
Module. Wenn beispielsweise das Modul POLICYMANAGER oder PATCHMANAGER verwendet wird, müssen die Berichte für
Richtlinienänderungsanfragen oder Patch-Bereitstellungs- bzw. Rollback-Anfragen überwacht werden. Aufgrund
der großen Menge an Berichten, die potentiell erstellt werden, ist es wichtig, dass Administratoren wissen, wie die
Berichte gefiltert werden, um das Signal-Rausch-Verhältnis zu verringern.
52
Berichte werden von unterschiedlichen Modulen der G Data Sicherheitslösung generiert. Standardmäßig werden
alle Berichte in einer einfachen Liste in umgekehrter zeitlicher Reihenfolge (neuester zuerst) aufgeführt. Je nach
Anzahl der Clients kann die Liste überwältigend erscheinen. Durch Verwendung der Listensteuerung im unteren
Bereich des Fensters wird die Anzahl der pro Seite angezeigten Elemente eingestellt. Die Gruppenleiste über den
Spaltenköpfen kann zur Gruppierung der Berichte nach Spalte verwendet werden. Durch das Ziehen der Spalte
MELDER in die Gruppenleiste werden beispielsweise alle Berichte angezeigt, die entsprechend dem Modul gruppiert
sind, durch das sie gemeldet wurden. Des Weiteren bietet das Modul BERICHTE eine große Auswahl an Optionen zur
Filterung der Liste. Mithilfe der Symbolleiste können verschiedene Berichtarten ausgeblendet werden, wie z. B.
Berichte, die von anderen Berichten auf der Liste abhängen (zur Verhinderung von Duplikaten), oder Berichte, die
bereits gelesen wurden. Es ist außerdem möglich, Berichte für spezifische Kategorien anzuzeigen, wie z. B. Viren,
die noch nicht entfernt wurden, Quarantäneinhalte oder BankGuard-Berichte. Mithilfe der Option ZEITFENSTER
können Administratoren die Anzahl der angezeigten Berichte auf einen bestimmten Zeitraum begrenzen.
Die Sicherheitsmodule, die am häufigsten Berichte erstellen, sind Wächter, Scanner und BankGuard. Die meisten
der erstellten Berichte befassen sich mit Malware, die bereits blockiert wurde. Diese Art von Berichten ist dennoch
wichtig. Sie ermöglichen es, Einblicke in den Netzwerkstatus und die angegriffenen Computer zu erhalten. Des
Weiteren können falsch-positive Ergebnisse erkannt und einer Ausnahmeliste hinzugefügt werden. Wächter- und
Scanner-Berichte enthalten die Aktion, die durchgeführt wurde, als das Virus erkannt wurde, wie z. B.
Virenentfernung, Dateiquarantäne oder Löschung der Datei. Dateien, die in die Quarantäne verschoben wurden,
können im Falle einer falsch-positiven Erkennung zurück verschoben oder direkt im Modul „Berichte“ gesäubert
werden, indem auf die entsprechende Schaltfläche geklickt wird. Das kann ein Risiko sein: Falls eine Datei nicht
vollständig gesäubert wurde, bleibt sie infektiös und kann das Client-System weiter schädigen. Das Modul
„Berichte“ kann außerdem verwendet werden, um direkt eine Ausnahme zu definieren. Falls eine Datei zu Unrecht
als Malware erkannt wurde, kann mit der rechten Maustaste darauf geklickt und die Option ALS WÄCHTERAUSNAHME
DEFINIEREN ausgewählt werden, um die Datei für Wächter-Scans als sicher zu markieren. Clients, auf denen das
Modul „Firewall“ installiert ist, erstellen ebenfalls Berichte, beispielsweise wenn die Blockierung einer Anwendung
aufgehoben werden sollte. Mithilfe der Option EIGENSCHAFTEN dieser Berichte können direkt Firewall-Regeln
angepasst werden, um die Anwendung zuzulassen.
Abbildung 29: G Data Administrator – Berichte
53
Zusätzlich den Sicherheitsberichten generieren einige unterstützende Module ebenfalls Berichte. Das
PolicyManager-Modul protokolliert den Webinhalt, Anwendungen und Geräte, die aufgrund von
Richtlinieneinstellungen blockiert wurden oder für die der Benutzer Zugriff angefordert hat. Durch das Öffnen der
Berichtseigenschaften können der entsprechenden Whitelist oder Blacklist Zugriffsrechte hinzugefügt werden.
Gleichermaßen erstellt PatchManager Berichte, die Benutzeranfragen, wie eine Patch-Verteilung oder RollbackAnfrage, enthalten. Die Komponente „Internet Security für Android“ fügt dem Modul einen Bericht hinzu, wenn
ein Endbenutzer Zugriff auf eine Telefonnummer anfordert, die zuvor auf die Blacklist gesetzt wurde.
Berichte können automatisch bereinigt werden. Die Registerkarte EINSTELLUNGEN des Fensters SERVER-EINSTELLUNGEN
ermöglicht es dem Administrator, automatische Berichtlöschungen für Protokolle festzulegen, die älter als eine
angegebene Anzahl von Monaten sind. Diese Einstellung kann Berichte drastisch bereinigen, aber auch wichtige
Benachrichtigungen entfernen, falls diese für längere Zeit nicht gelesen wurden. Es wird empfohlen, die
Bereinigungseinstellung für Berichte nur als automatisierte Bereinigungsmaßnahme in einem Workflow zu
aktivieren, wenn die Berichte regelmäßig gelesen werden (oder per E-Mail verteilt werden).
Es wird dringend empfohlen, die ALARMMELDUNGEN zu konfigurieren. Mit dieser Einstellung können Administratoren
kritische Berichte direkt an ihre E-Mail-Adresse schicken lassen. Dabei kann es sich um Berichte zu
Virenerkennungen, veralteten Clients, Firewall-Aktionen und PolicyManager-Anfragen handeln. Obwohl nicht
jedes Virenereignis kritisch ist, sind Alarmmeldungen ein wichtiges Hilfsmittel, um mit dem auf dem Laufenden zu
bleiben, was im Netzwerk passiert. Sie können verwendet werden, um Administratoren oder ihre
Bereitschaftsteams in Notfällen zu benachrichtigen oder Benutzern Informationen bereitzustellen, die keinen
Zugriff auf G Data Administrator haben oder sich nicht oft anmelden. Im Fenster OPTIONEN > ALARMMELDUNGEN kann
konfiguriert werden, welche Berichte an wen geschickt werden sollen. Dort kann eine Empfängergruppe
hinzugefügt werden, die mindestens die E-Mail-Adresse des Administrators und des IT-Personals enthält, die im
Notfall reagieren7. Standardmäßig werden nur veraltete Virensignaturen und Probleme mit ClientVirensignaturdatenbanken und Programmdateien gemeldet. Diese Benachrichtigungen erfordern in der Regel
(fast) sofortige Reaktionen, da sie direkt die Client-Sicherheit betreffen. Berichte zu Virenerkennungen und durch
die Firewall blockierte Anwendungen sind von informativer Natur, können jedoch aktiviert werden, um einen
umfassenderen Überblick zu erhalten. Bei der Verwendung des PolicyManager-Moduls kann durch die Aktivierung
von Benachrichtigungen bei POLICYMANAGER-ANFRAGEN eine E-Mail empfangen werden, wenn Benutzer Anfragen
über PolicyManager stellen (wie z. B. zum Hinzufügen von bestimmten Websites oder Anwendungen zur
Whitelist).
6.3.
ReportManager
Mithilfe von ReportManager können Administratoren Berichte von verschiedenen Informationsmodulen
zusammenstellen. Es bietet eine hochgradige Anpassung und einen tiefen Einblick in den Netzwerk- und
Sicherheitsstatus. ReportManager kann als proaktives Gegenstück zu E-Mail-Benachrichtigungen angesehen
werden. Wenn E-Mail-Benachrichtigungen für Ereignisse wie Virenalarme und PolicyManager-Anfragen eingestellt
sind, können Administratoren schnell darauf reagieren. Auf der anderen Seite bietet ReportManager analytische
Informationen und lässt Administratoren vorausplanen. Als Ergänzung zur regelmäßigen Anmeldung bei G Data
Administrator sollten regelmäßige E-Mail-Berichte Teil des täglichen Administrationsablaufs sein.
Das ReportManager-Modul ermöglicht die Erstellung von Berichten, die Informationen von verschiedenen Teilen
der G Data Sicherheitslösung enthalten. Zusätzlich können Diagramme in die Berichte integriert werden, um die
enthaltenen Informationen auf die spezifischen Zielgruppen abzustimmen. Ein Bericht für Verwaltungsmitarbeiter
7
Dabei muss sichergestellt werden, dass die E-Mail-Empfängergruppen und ein SMTP-Server im Fenster „E-Mail-Einstellungen“ eingegeben
werden. Siehe Abschnitt 4.5.
54
enthält beispielsweise umfassende Statistiken über die Anzahl der geschützten Clients, die aktuellen SoftwareVersionen und den Patch-Status. Technisches und administratives Personal könnte detaillierte
Statistikinformationen über Netzwerk-Clients und abgewehrte Vireninfektionen erhalten.
Abbildung 30: G Data Administrator – ReportManager, Bericht
Wie bei Scan- und Backup-Aufträgen kann ReportManager die Berichterstellung planen. Nach der Definition eines
neuen Berichts kann er so konfiguriert werden, dass er einmal, täglich, wöchentlich, monatlich, vierteljährlich,
halbjährlich oder jährlich erstellt wird. Obwohl ein einmaliger Bericht ein großartiger Weg ist, um Einblick in eine
bestimmte Komponente des G Data Schutzes zu erhalten, liegt die Leistung des ReportManager-Moduls in der
Möglichkeit, Statusberichte automatisch über einen langen Zeitraum zu erstellen. Berichte können als Quelle für
verfolgbare Informationen, zur Hilfestellung für Administratoren, damit diese im Netzwerk auf dem neuesten
Stand sind, aber auch zur Speicherung für spätere externe Berichte verwendet werden.
Es wird empfohlen, Berichte so zu konfigurieren, dass sie regelmäßig per E-Mail an das relevante Personal
geschickt werden. Mithilfe von E-Mail-Empfängergruppen kann die Berichtzustellung koordiniert werden (siehe
Alarmmeldungen im Kapitel 6.2). Die Auswahl der Module hängt von der Zielgruppe und den
Informationsbedürfnissen ab. Die Kategorien CLIENT-ALLGEMEIN und CLIENT-SCHUTZ enthalten eine Vielzahl von
Diagrammen mit prägnanten und präzisen Informationen. Als eine Quelle für verfolgbare Informationen wird
empfohlen, mindestens zwei Arten von täglichen Berichten zu erstellen: eine Verwaltungsversion mit
umfassenden Informationen und einen technischen detaillierten Statusbericht für Administratoren. Bei der
Verwendung von Berichten als Mittel zur Aufzeichnung des Netzwerkschutzes über einen längeren Zeitraum kann
ein wöchentlicher oder monatlicher Bericht definiert werden. Es ist nicht notwendig, E-Mail-Empfänger zu
definieren, wenn Berichte bevorzugt in G Data Administrator gelesen werden. Bei Verwendung des
PatchManager-Moduls enthält die zusätzliche Kategorie PATCHMANAGER verschiedene Diagramme, die Berichten
hinzugefügt werden können, um den Status der Patch-Bereitstellung zu erfassen. Das ist besonders hilfreich, wenn
ein Patch-Verwaltungsverfahren eingerichtet wird (siehe Kapitel 15).
55
Obwohl es verlockend sein kann, sich allein auf tägliche oder wöchentliche Berichte zu verlassen, sind sie kein
Ersatz für regelmäßige Überprüfungen wie z. B. die Anmeldung in G Data Administrator und die Überprüfung der
Abschnitte DASHBOARD und BERICHTE.
56
7. Verwalten von Clients
7.
Verwalten von Clients
Eine ordnungsgemäße Netzwerksicherheit beginnt mit einer ordentlichen Client-Verwaltung. Indem aktive
Netzwerk-Clients überwacht und in relevanten Gruppen organisiert werden, können Administratoren die
Wahrscheinlichkeit von Komplikationen verringern, wenn sie Software und Konfigurationsänderungen
bereitstellen. Idealerweise wurde das Layout jedes Unternehmensnetzwerks im Voraus gemäß logischen
Strukturen definiert (siehe Kapitel 1). Diese Strukturen können in der G Data Sicherheitslösung gespiegelt werden,
um die Client-Verwaltung effizienter zu gestalten. Durch die Verwendung von Client-Gruppen können
Administratoren logische Einheiten erstellen, die alle gleichzeitig verwaltet werden. Auf diese Gruppen können
Sicherheitseinstellungen, Backup-Aufträge, Richtlinien und viele weitere Optionen angewendet werden. Bei der
Verwendung von Active Directory können Einheiten automatisch importiert werden, um bei der Konfiguration der
Gruppen Zeit zu sparen. Für Netzwerke, die groß genug sind, um Active Directory zuvor bereitgestellt zu haben,
wird empfohlen, AD-Einheiten in die G Data Administrator-Gruppen zu integrieren. Dadurch verringert sich die
Zeit, die für die Neuordnung der Gruppen und die Sicherheitskonfiguration von neu bereitgestellten Clients
benötigt wird.
7.1.
Verwenden von Gruppen
Der Client-Verwaltungsbereich von G Data Administrator bietet einige Werkzeuge, um
Clients in Gruppen einzuteilen. Gruppen können manuell oder automatisch mithilfe
einer vorhandenen Active Directory-Einrichtung erstellt und gefüllt werden (siehe
Abschnitt 7.2). Im Grunde genommen funktionieren Gruppen wie eine Ordnerstruktur.
Clients können frei zwischen Gruppen verschoben werden, wodurch Administratoren
schnell Gruppenstrukturen aufbauen können. Dennoch sollte die Erstellung der
Gruppen geplant werden. Es gibt verschiedene Gründe für das Gruppieren von Clients.
Computer, die für ähnliche Aufgaben verwendet werden (z. B. Entwicklung, Back Office,
Vertrieb), besitzen ähnliche Software-Umgebungen. Durch deren Gruppierung können
identische Software-Nutzungsrichtlinien eingeführt werden. Bei der Verwendung von
Abbildung 31: G Data
PatchManager kann jede ähnlich bereitgestellte Gruppe schnell getestet werden, indem
Administrator – ClientVerwaltungsbereich
Patches auf einem designierten Test-Client bereitgestellt werden. Eine zweite
Möglichkeit, die zum Teil die aufgaben- und bereitstellungsbasierte Gruppierung
überlappt, ist die physische Gruppierung. Client-Computer, die sich physisch nahe beieinander befinden, können
gebündelt werden. Dies entspricht oftmals den Niederlassungen und Abteilungen (wobei eine Überlappung mit
der aufgabenbasierten Gruppierung besteht). Die standortbasierte Gruppierung hat den Vorteil, dass die Planung
von Wartungs- und Konfigurationsänderungen einfacher ist, wenn ein physischer Zugang zu den Computern
notwendig ist. Viele dieser Überlegungen entsprechen den Fragen, die während der Definition und Einrichtung
des lokalen Netzwerks gestellt werden müssen. Eine einfache Lösung ist die Spiegelung des Netzwerk-Layouts
(siehe Abschnitt 1.1).
Mit definierten Gruppen können Administratoren von verschiedenen Optionen profitieren. Die grundlegendste
Art der Gruppennutzung ist die gleichzeitige Anwendung von Einstellungen auf mehreren Clients. Dazu wird eine
Gruppe im Client-Verwaltungsbereich ausgewählt und ihre Einstellungen bearbeitet (z. B. die Schutzeinstellungen
im Modul CLIENT-EINSTELLUNGEN). Durch Klicken auf ÜBERNEHMEN werden die ausgewählten Einstellungen auf allen
Clients in der Gruppe angewendet. Alternativ können die Einstellungen von einem Client einfach mithilfe der
Option FÜR GESAMTE GRUPPE ÜBERNEHMEN auf die gesamte Gruppe übertragen werden. Dadurch wird es sehr einfach, mit
verschiedenen Einstellungen auf einem Client zu experimentieren und sie anschließend als bewährte
Konfiguration auf den Rest der Gruppe anzuwenden.
57
Gruppen vereinfachen die Client-Auswahl um ein Vielfaches. Prozesse wie die Patch-Bereitstellung oder die
Planung der stufenweisen Update-Verteilung können schnell ausgeführt werden, indem die entsprechende
Gruppe ausgewählt wird. Dafür muss jede Gruppe einen beschreibenden Namen tragen, der dem physischen
Standort, dem Aufgabentyp, der Abteilung oder einer anderen logischen Einheit entspricht, auf der das System
basiert. Zusätzlich können die Einstellungen einfach exportiert und importiert werden. Durch die Auswahl eines
Clients und der Option EINSTELLUNGEN EXPORTIEREN in dessen Kontextmenü können die Einstellungen von
PolicyManager und die Client-Einstellungsmodule in eine .dbdat-Datei exportiert werden. Die Option EINSTELLUNGEN
IMPORTIEREN dient dem selektiven Import von Einstellungen aus einer .dbdat-Datei in einen Client oder eine Gruppe.
7.2.
Integrieren von Active Directory
Active Directory ist ein Verzeichnisdienst für Windows-Netzwerke. In einem Netzwerk befindliche Active DirectoryServer enthalten Informationen über Einheiten innerhalb des Netzwerks, wie z. B. Benutzer, Computer und
Ressourcen. Active Directory (AD) erleichtert die Organisation eines Netzwerks, die Authentifizierung von
Benutzern und die Koordination des Ressourcenzugriffs. Die Netzwerkstruktur in AD muss zur Bereitstellung und
Nutzung einer Sicherheitslösung von G Data nicht erneut eingerichtet werden.
Jeder AD-Container bzw. jede Organisationseinheit kann mit einer Gruppe im Client-Verwaltungsbereich
verknüpft werden. Alle aktuellen und zukünftigen Computer des Elements werden automatisch zur Übersicht in
G Data Administrator hinzugefügt. Einer neu erstellten Gruppe wird per Rechtsklick ein AD-Element zugewiesen.
Jeder Gruppe kann nur ein AD-Element zugewiesen werden. Im Dialogfenster können Administratoren Elemente
aus der Standarddomäne auswählen oder durch Eingabe von Domänencontroller, Domänenname, Benutzername
und Kennwort eine weitere Domäne hinzufügen. Nach Bestätigung der AD-Gruppe und Aktualisierung des ClientVerwaltungsbereichs wird die Gruppe in eine mit AD verknüpfte Gruppe umgewandelt, der alle Computer der ADEinheit hinzugefügt werden. G Data ManagementServer synchronisiert die AD-Elemente automatisch alle
sechs Stunden mit dem Domänencontroller. Das Zeitintervall kann im Fenster SERVER-EINSTELLUNGEN geändert
werden. Außerdem können mit AD verknüpfte Gruppen direkt über das Kontextmenü (Rechtsklick auf die Gruppe
oder den übergeordneten ManagementServer) und die Option ACTIVE DIRECTORY AKTUALISIEREN aktualisiert werden.
Durch das Zuweisen von AD-Elementen zu Gruppen können Clients schneller manuell zu Gruppen hinzugefügt
werden. Neue Clients können Konfigurationseinstellungen und andere Richtlinien automatisch von der
übergeordneten Gruppe erben, so dass keine sofortige Konfiguration neuer Computer erforderlich ist. Weitere
Automatisierungen sind möglich, wenn G Data Security Client automatisch auf Computern installiert wird, die der
AD-Gruppe neu hinzugefügt wurden. Diese Option kann während der Zuweisung eines AD-Elements zu einer
Gruppe in G Data Administrator aktiviert werden. Sind die Systemanforderungen für eine Remote-Installation
erfüllt (siehe Abschnitt 4.8.2.1), wird G Data Security Client automatisch jedem neu hinzugefügten Active
Directory-Client bereitgestellt.
7.3.
Signatur- und Programmdatei-Updates
Die signaturbasierten Schutzebenen der G Data Sicherheitslösung müssen mit aktualisierten Virensignaturen
versorgt werden, damit die neuesten Bedrohungen erkannt werden. Jeder Client kann unabhängig den UpdateVorgang starten, wobei der Server auf neue Signaturdateien geprüft wird oder Virensignaturen auf die Clients
verteilt werden. Entsprechend den Wünschen der Netzwerkadministratoren können Clients den zentralen G Data
ManagementServer des Netzwerks prüfen oder direkt die von G Data gehosteten Update-Server kontaktieren. Für
Unternehmensnetzwerke wird empfohlen, die Clients so zu konfigurieren, dass sie die Signatur-Updates von
G Data ManagementServer erhalten. Dadurch ist eine bessere Kontrolle möglich, wenn ein Update
58
zurückgenommen werden muss, und der Netzwerkverkehr wird verringert. Neben Signaturdateien können Clients
auch aktualisierte Programmdateien erhalten. G Data Security Client empfängt regelmäßig Updates, um den
Schutz zu verbessern. Im Gegensatz zu Virensignaturen können Clients die Programmdateien nicht direkt von den
G Data Update-Servern erhalten. Zur Verringerung der Serverlast können Virensignatur- und ProgrammdateiUpdates mithilfe eines Peer-to-Peer-Systems verteilt werden, wobei veraltete Clients Dateien von bereits
aktualisierten Clients erhalten.
Für die Aktivierung von automatischen Virensignatur- und Programmdatei-Updates für alle Clients sind zwei
Schritte erforderlich: Zunächst muss ManagementServer die Update-Dateien regelmäßig von den G Data UpdateServern erhalten. Die optimale Einstellung ist die Konfiguration von automatischen Updates. Wenn das nicht
möglich ist, können die Updates durch die manuelle Verbindung mit dem G Data Update-Server oder im OfflineModus durchgeführt werden. Als zweiter Schritt müssen die aktualisierten Dateien auf die Clients verteilt werden.
Dies sollte ebenfalls in einem automatisierten Vorgang erfolgen, wobei verschiedene Einstellungen verfügbar
sind, um die Verteilung zu optimieren und Lastspitzen im Netzwerk zu verhindern.
7.3.1. Erhalt von Updates
ManagementServer muss die neuesten Dateien von den G Data Update-Servern erhalten. Diese Aktion kann
manuell initiiert oder mithilfe des Fensters INTERNET-UPDATE von G Data Administrator für eine regelmäßige
Ausführung geplant werden. Die empfohlene Einstellung ist die stündliche Prüfung der Update-Server auf neue
Virensignaturen. Programmdatei-Updates werden nicht stündlich herausgegeben, weshalb das Update-Intervall
auf eine tägliche oder wöchentliche Prüfung eingestellt werden kann. Selbst für einen Server, der nicht permanent
mit dem Internet verbunden ist, wird die Planung der Virensignatur- und Programmdatei-Updates empfohlen. Die
Option INTERNETVERBINDUNGSAUFBAU führt nur ein Update durch, wenn G Data ManagementServer erkennt, dass der
Server über eine Internetverbindung verfügt. Es gibt keinen Grund, die Signaturen und Programmdateien nicht
automatisch von G Data ManagementServer aktualisieren zu lassen, außer wenn nicht immer eine
Internetverbindung verfügbar ist. Damit Dateien nicht automatisch auf die Clients verteilt werden, müssen
entsprechende Konfigurationen im Modul CLIENT-EINSTELLUNGEN vorgenommen werden.
Abbildung 33: G Data Administrator – Optionen, Internet-Update, Virendatenbank
Für einige ManagementServers könnte eine permanente Internetverbindung aus praktischen Gründen oder
aufgrund der Sicherheit nicht möglich sein. Obwohl sich ein ManagementServer ohne eine aktive
59
Internetverbindung nicht automatisch selbst aktualisieren kann, kann er dennoch die neuesten ServerProgrammdateien, Client-Programmdateien und Virensignaturen mithilfe von Offline-Updates erhalten. Das
Internet-Update-Tool (siehe Abschnitt 4.6) kann zur Anwendung von Update-Dateien genutzt werden, die ohne
Internetverbindung von einem anderen ManagementServer auf den Server kopiert wurden. Auf diese Weise
können Updates angewendet werden, indem sie auf einen USB-Stick kopiert oder auf eine CD oder DVD gebrannt
werden. Dabei muss sichergestellt sein, dass ein ManagementServer mit Internetverbindung über die neuesten
Updates verfügt, entweder mithilfe des Internet-Update-Tools oder über G Data Administrator. Kopieren Sie die
folgenden Unterordner aus dem Ordner „C:\Benutzer\All Users\G DATA\AntiVirus ManagementServer\Updates“
auf einen USB-Stick oder brennen Sie sie auf eine CD oder DVD: BB, bd, Client, exchg, GD_SIG, ScanWL und Server.
Legen Sie die CD oder DVD in den Ziel-ManagementServer ein oder stecken Sie den USB-Stick an, und kopieren Sie
die Update-Ordner in einen temporären Ordner (z. B. C:\Updates). Öffnen Sie das Internet-Update-Tool, und
aktivieren Sie die Option OFFLINE-UPDATE. Dadurch verändert sich das Verhalten der drei Update-Schaltflächen: Beim
Start eines Updates der VIRENDATENBANK, der PROGRAMMDATEIEN DES CLIENTS oder der PROGRAMMDATEIEN DES SERVERS wird in
einem Popup-Fenster nach einem Ordner gefragt. Wählen Sie den Ordner, der alle Update-Ordner enthält (z. B.
C:\Updates), und klicken Sie auf OK. Beginnen Sie mit den Server-Programmdateien, um sicherzustellen, dass der
Server selbst über die neueste Version verfügt. Fahren Sie dann mit dem Update der Client-Programmdateien und
der Virendatenbank fort.
7.3.2. Bereitstellen von Updates
Der zweite Schritt ist die tatsächliche Verteilung der Virensignatur- und Programmdatei-Updates auf die Clients.
Auf der Registerkarte ALLGEMEIN des Moduls CLIENT-EINSTELLUNGEN können Administratoren Update-Einstellungen für
einen oder mehrere Clients konfigurieren (indem sie eine Gruppe von Clients oder den ManagementServer als
Ganzes auswählen). Es wird empfohlen, die automatischen Updates der Virensignaturen zu aktivieren, da Clients
zur Erkennung von neuen Bedrohungen über die neuesten Signaturen verfügen müssen. Das Fenster UPDATEEINSTELLUNGEN bietet verschiedene Optionen zum Herunterladen von Virensignaturen. Clients können sich mit dem
zentralen ManagementServer verbinden und von dort die Virensignaturen beziehen. Sie prüfen den
ManagementServer in dem Intervall auf aktualisierte Virensignaturen, das unter SERVER-EINSTELLUNGEN >
SYNCHRONISATION definiert ist. Zur Aktivierung der zentralen Verwaltung (mit Möglichkeiten wie Signatur-Rollbacks)
wird empfohlen, dass Clients ihre Virensignaturen vom ManagementServer herunterladen. Alternativ können sie
die Virensignaturen von den G Data Update-Servern herunterladen, entweder immer (INTERNET-UPDATE SELBST
DURCHFÜHREN) oder nur wenn keine Verbindung mit dem ManagementServer besteht (INTERNET-UPDATE BEI VERALTETEN
VIRENSIGNATUREN SELBST DURCHFÜHREN, WENN KEINE VERBINDUNG ZUM MANAGEMENTSERVER HERGESTELLT WERDEN KANN). Clients, die sich
nur selten mit dem ManagementServer verbinden (wie Laptops, die nicht immer mit dem Unternehmensnetzwerk
verbunden sind), sollten so konfiguriert werden, dass sie die G Data Update-Server als Fallback-Möglichkeit
nutzen. Damit sich Clients selbst mit den G Data Update-Server verbinden können, müssen die
Anmeldeinformationen im Fenster EINSTELLUNGEN UND ZEITPLANUNG definiert werden. Clients können die Zugangsdaten
von ManagementServer oder ihre eigenen (falls verfügbar) verwenden. In diesem Fall muss die Registerkarte
ZEITPLANUNG SIGNATUR-UPDATE verwendet werden, um Virensignatur-Updates zu planen. Für Virensignaturen werden
stündliche Updates empfohlen. Bei Clients, die nicht immer online sind, kann die Option INTERNETVERBINDUNGSAUFBAU
verwendet werden.
60
Abbildung 34: G Data Administrator – Client-Einstellungen, Allgemein, Update-Einstellungen
Programmdatei-Updates können ebenfalls automatisch installiert werden. Dadurch können Clients die neuesten
Sicherheitsfunktionen der Client-Software nutzen. Hierbei bestehen jedoch mehr Vorbehalte als bei SignaturUpdates. Ein Update der Client-Software könnte zusätzliche Tests erfordern, um die Kompatibilität mit allen ClientKonfigurationen im Netzwerk sicherzustellen. Obwohl kleine Versionsänderungen in der Regel weniger
beeinträchtigend sind, wird ein stufenweises Rollout empfohlen. Für eine STUFENWEISE VERTEILUNG kann die
Registerkarte PROGRAMM-UPDATES unter SERVER-EINSTELLUNGEN verwendet werden. Dadurch wird eine mathematische
Berechnung eingeleitet, wobei alle aktiven Netzwerk-Clients in Gruppen aufgeteilt werden (Stufen). Nur nachdem
das Programmdatei-Update in einer der Stufen erfolgreich auf den Clients bereitgestellt wurde, werden die Clients
der nächsten Stufe bedient. Wenn die Installation auf zu vielen Clients fehlschlägt, wird die Verteilung
automatisch angehalten. Die Anzahl der Stufen kann manuell definiert werden. Je größer das Netzwerk ist, desto
mehr Stufen sollten verwendet werden, um eine problemfreie Bereitstellung sicherzustellen. Zusätzlich kann die
Anzahl der Tage konfiguriert werden, nach denen die nächste Stufe bereitgestellt werden soll. Mit dem Standard
von 3 Tagen können Administratoren Clients auf Probleme prüfen und die Verteilung eines bestimmten Updates
anhalten, falls ernsthafte Probleme auftreten. Falls erforderlich, können die Einstellungen der stufenweisen
Verteilung durch die Bearbeitung der Konfigurationsdatei „Gdmms.exe.config“ optimiert werden (siehe
Abschnitt 17.2.7).
Programmdatei-Updates erfordern manchmal einen Neustart des Clients. Bei manchen Client-Rollen muss dies
sorgfältig geplant werden, um sicherzustellen, dass die Computer nicht während einer wichtigen Aufgabe neu
gestartet werden. In diesen Fällen steuert die Einstellung NEUSTART NACH DER AKTUALISIERUNG das Client-Verhalten. Der
Endbenutzer kann benachrichtigt werden, dass der Client einen Neustart erfordert. Es kann ein Neustart
erzwungen oder ein Bericht im Abschnitt BERICHTE erstellt werden, mit dem der Administrator manuell eingreifen
und den Computer zu einem späteren Zeitpunkt neu starten kann.
Die Verteilung von Updates erfordert eine ausreichende Netzwerkbandbreite. ManagementServer und seine
Subnet-Server schicken regelmäßig Signatur- und Programmdatei-Updates an alle Clients im Netzwerk. UpdateDateien sind inkrementell und deshalb relativ klein. Für Netzwerke mit einer großen Anzahl von Clients kann dies
dennoch zu Lastspitzen führen. Um das zu verhindern, können Clients so konfiguriert werden, dass Updates
mithilfe eines Peer-to-Peer-Systems verteilt werden. Diese Option kann unter OPTIONEN > INTERNET-UPDATE aktiviert
werden. Nach der Aktivierung verteilt ManagementServer aktualisierte Signaturdateien auf einige Clients, die sich
wiederum gegenseitig aktualisieren. Mit jedem, durch ManagementServer verteiltem Update erhalten die Clients
Informationen über die Clients in ihrer Nähe, die noch nicht aktualisiert wurden, woraufhin die Updates dort
verteilt werden. Das Peer-to-Peer-System kann ohne eine Konfiguration verwendet werden, aber seine
Einstellungen können für bestimmte Netzwerksituationen optimiert werden (siehe Abschnitt 17.2.6).
Selbst ohne automatische Updates können die Clients aktualisiert werden. Administratoren können dem
Endbenutzer erlauben, selbst Signatur-Updates zu starten (siehe Abschnitt 7.4). Das kann eine Option für
Endbenutzer sein, die sich nur selten mit dem Unternehmensnetzwerk verbinden, aber die Kontrolle über den
61
Update-Vorgang behalten möchten. Alternativ kann der Administrator das Modul „Clients“ von G Data
Administrator verwenden, um die Versionsnummern und Updates zu kontrollieren, die auf jedem Client
bereitgestellt wurden. Das Modul „Clients“ zeigt die Version von G Data Security Client, Informationen über die
neuesten Updates für die Engines A und B sowie die Zeit, zu der die Clients das letzte Mal mit dem Server
verbunden waren. Durch die Sortierung und/oder Gruppierung der Client-Liste nach diesen Eigenschaften können
veraltete Clients schnell erkannt und manuell aktualisiert werden, indem mit der rechten Maustaste auf den Client
geklickt und die Option VIRENDATENBANK JETZT AKTUALISIEREN oder PROGRAMMDATEIEN JETZT AKTUALISIEREN ausgewählt wird. Eine
Alternative zur Verwendung des Moduls „Clients“ ist der Erhalt von Versionsinformationen durch die Anzeige des
Dashboards oder durch die Konfiguration von E-Mail-Berichten (siehe Kapitel 6).
7.3.3. Rollbacks
Gelegentlich können Virensignatur-Updates auf bestimmten Clients Probleme verursachen. Eine generische
Virensignatur könnte eine Datei fälschlicherweise als schadhaft erkennen oder eine Signaturdatei könnte
beschädigt werden. Die erste Maßnahme ist die Blockierung des spezifischen Virensignatursatzes (EngineUpdate), der das Problem verursacht. Mithilfe der Funktion UPDATE-ROLLBACK kann das Update blockiert werden.
Danach wird es nicht mehr durch den ManagementServer verteilt, und alle Clients, die den ManagementServer
kontaktieren, werden über die Blockierung informiert. Wenn ein Rollback das Problem nicht behebt, wenn z. B.
eine Datei beschädigt wurde, könnte ein vollständiges Update der Virensignaturen notwendig sein.
Normalerweise laden G Data ManagementServer und G Data Security Client nur partielle (inkrementelle)
Virensignatur-Updates herunter, um die Netzwerklast und den Datenverkehr zu verringern. Im Fenster INTERNETUPDATE bietet die Registerkarte ZUGANGSDATEN UND EINSTELLUNGEN die Option VERSIONSPRÜFUNG. Sie ist standardmäßig
aktiviert, wodurch G Data ManagementServer Updates nur anhand der Versionsnummer vergleicht. Durch die
Deaktivierung der Option und die Erzwingung eines Virendatenbank- und/oder Programmdatei-Updates auf den
entsprechenden Registerkarten überprüft ManagementServer die Integrität aller Update-Dateien und lädt sie
gegebenenfalls erneut herunter. Das Modul CLIENT-EINSTELLUNGEN kann verwendet werden, um nachträglich die
VERSIONSPRÜFUNG für betroffene Clients zu deaktivieren, indem auf der Registerkarte ALLGEMEIN die UPDATE-EINSTELLUNGEN
geöffnet werden. Daraufhin wird durch die Initiierung des Updates für diesen Client ein vollständiger Satz
Signaturen und/oder Programmdateien bereitgestellt.
7.4.
Sicherheitsberechtigungen für Endbenutzer
Sicherheitseinstellungen werden zentral durch den Administrator verwaltet. In einigen Fällen kann es jedoch
hilfreich sein, den Start der Virenscans oder die Änderung der Einstellungen den Endbenutzern zu überlassen. In
anderen Fällen müssen Administratoren vielleicht auf lokale Sicherheitseinstellungen zugreifen, während sie
einen Support-Anruf beantworten. Mithilfe der Registerkarte ALLGEMEIN im Modul CLIENT-EINSTELLUNGEN können
Administratoren die lokale Änderung verschiedener Berechtigungen mithilfe der Infobereichssymbole von G Data
Security Client gewähren. Diese Optionen können mit einem Kennwort geschützt werden, falls nicht alle
Endbenutzer des Computers Zugriff erhalten sollen oder falls nur der Administrator berechtigt sein soll,
Einstellungen zu ändern.
Um die Anzahl der Support-Anrufe im Falle einer möglichen Malware-Infektion zu verringern, kann Endbenutzern
erlaubt werden, Dateien oder Ordner manuell auf Malware zu prüfen. Durch Aktivierung der Option DER BENUTZER
DARF SELBST VIRENPRÜFUNGEN DURCHFÜHREN kann ungeachtet des serverseitigen Scanzeitplans ein manueller Virenscan
gestartet werden. Weitere Informationen über lokale Scan-Aufträge können Abschnitt 9.4 entnommen werden.
Falls die Option DER BENUTZER DARF SELBST SIGNATURUPDATES LADEN aktiviert wurde, dürfen Endbenutzer die lokalen
Virensignaturen unabhängig vom Update-Zeitplan aktualisieren. Das kann für Endbenutzer hilfreich sein, die
62
regelmäßig ihre Geräte verwenden, während sie nicht mit dem Unternehmensnetzwerk verbunden sind, wie z. B.
Laptops. Andererseits kann dies zur Fragmentierung in der Anzahl der im Netzwerk verfügbaren
Signaturdateiversionen kommen, was die Client-Verwaltung und Fehlerhebung erschwert.
Abbildung 35: G Data Administrator – Client-Einstellungen, Allgemein
Alle Sicherheitsoptionen für den Dateisystemwächter, den E-Mail-Scan und den Web-/IM-Scan können dem
Endbenutzer zugänglich gemacht werden. Diese Möglichkeit sollte jedoch mit Vorsicht genutzt werden. Zum
Erhalt einer einheitlichen Sicherheitsrichtlinie ist es empfehlenswert, die Endbenutzer keine
Sicherheitseinstellungen ändern zu lassen. Alle Änderungen sollten durch den Administratoren autorisiert und
zuvor getestet werden. Durch die Aktivierung einer der entsprechenden Optionen können alle
Sicherheitsmaßnahmen durch den Endbenutzer deaktiviert werden. Die Option sollte nur aktiviert werden, wenn
bei der Pflege eines Clients der administrative Zugriff auf die Einstellungen lokal erforderlich ist, und das nur wenn
ein Kennwort eingestellt ist.
G Data Security Client kann Zugriff auf die lokale Quarantäne bieten. Wenn der Administrator Regeln für die
Verschiebung von infizierten Dateien in die Quarantäne definiert hat, können Endbenutzer die Dateien anschauen,
die isoliert wurden. Für jede infizierte Datei werden das Datum und die Uhrzeit der Erkennung sowie der
vollständige Datei- und Ordnerpfad und der Name des Virus aufgeführt. Dateien können manuell desinfiziert,
gelöscht und zurück verschoben werden. Diese letzte Option ist der Grund, warum der lokale Zugriff auf die
Quarantäne nur erfahrenen Benutzern oder Administratoren gewährt werden sollte. Dateien, die ohne
Desinfektion zurück verschoben werden, stellen ein Risiko für das System dar.
Während der Verwendung des PatchManager-Moduls können Administratoren entscheiden, Endbenutzern die
Anzeige von Patches zu erlauben, die auf dem System installiert sind, oder von Patches, die verfügbar sind, aber
noch nicht installiert wurden. Diese Option stellt kein Sicherheitsrisiko dar und kann hilfreich sein, falls
Endbenutzer nach einer Patch-Installation Probleme haben und eine Rollback-Anfrage stellen möchten, oder falls
ein Patch mit der Priorität bereitgestellt werden soll, ein Kompatibilitätsproblem eines Benutzers zu beheben.
Weitere Informationen können Kapitel 15 entnommen werden. Administratoren, die die G Data Firewall aktiviert
63
haben, können Benutzern die Aktivierung oder Deaktivierung der Firewall und die Änderung der dezentralen
Konfiguration erlauben. Benutzern die Deaktivierung der Firewall nach Belieben zu erlauben, wird nur empfohlen,
wenn eine strenge Sicherheitslösung auf Netzwerkebene vorhanden ist. Die Änderung der dezentralen
Konfiguration ist für Clients hilfreich, die sich oft mit anderen als dem Unternehmensnetzwerk verbinden.
Benutzer können dann Regeln und Regelsätze für diese Netzwerke erstellen, die bei einer Verbindung mit dem
Unternehmensnetzwerk automatisch außer Kraft gesetzt werden. Weitere Informationen über Regelsätze können
Kapitel 12 entnommen werden.
Es muss beachtet werden, dass die Berechtigung zur Änderung von G Data Security Client-Einstellungen nicht mit
den Anwendungsberechtigungen, den Geräteberechtigungen, der Webinhaltskontrolle oder der
Internetnutzungsdauer in Beziehung steht. Berechtigungen für diese Aktionsarten können mithilfe des
PolicyManager-Moduls gewährt oder widerrufen werden (siehe Kapitel 14).
7.5.
Leistung
G Data ManagementServer kann eine große Anzahl von Clients verwalten. Je nach Größe des Netzwerks, der
Anzahl der konfigurierten Aufträge und der Synchronisationseinstellungen können Leistungsverluste auftreten,
wenn eine große Anzahl von Aktionen gleichzeitig ausgeführt wird. Zur Behebung dieser Leistungsprobleme sind
mehrere Maßnahmen verfügbar. Es wird empfohlen, diese Maßnahme nur zu ergreifen, wenn ein wesentlicher
Leistungsverlust auftritt. Die proaktive Begrenzung der gleichzeitigen Client-Aktivität wird nicht empfohlen, wenn
die Leistung nicht beeinträchtigt ist.
Abbildung 36: G Data Administrator – Server-Einstellungen, Lastbegrenzung
Das Fenster SERVER-EINSTELLUNGEN bietet eine Option zur Lastbegrenzung. Dabei können unterschiedliche
Aktionsarten so beschränkt werden, dass sie nur für eine maximale Anzahl von Clients gleichzeitig ausgeführt
werden. Falls aufgrund von zu vieler gleichzeitiger Client-Verbindungen ein Leistungsverlust auftritt, kann die
Lastbegrenzung die Anzahl der Verbindungen deckeln. Auf Server-Seite könnte eine große Anzahl von UpdateDownloads einen Leistungsverlust auslösen, falls der Festplattenzugriff den Vorgang verlangsamt. Die ClientSynchronisation könnte eine höhere CPU-Last auf dem Server verursachen, während große Datei-Downloads und
-Uploads zwischen Clients und dem Server ebenfalls zu einem Netzwerkstau führen können. Durch die
Begrenzung der Anzahl von Clients, die gleichzeitig diese Aktionen ausführen dürfen, können Lastprobleme
gemindert werden.
Wenn geplante Aufgaben oder Aufträge einen Leistungsverlust auf dem Server verursachen, sollte die
Verringerung der gleichzeitig geplanten Aufgaben Abhilfe schaffen. Besonders wenn Clients so eingestellt sind,
dass sie regelmäßig ihren Status an den Server melden, kann die Leistung beeinträchtigt werden. Des Weiteren
kann die Synchronisation zwischen Servern, Subnet-Servern und Clients so eingestellt werden, dass sie weniger
häufig erfolgt, obwohl dadurch die Leistung in den meisten Fällen nicht merklich angehoben wird.
64
Eine Alternative zur Verringerung der geplanten Aufgaben oder Client-Verbindungen mit dem
ManagementServer ist die Bereitstellung eines oder mehrerer Subnet-Server. Clients verbinden sich anstelle des
ManagementServer mit ihrem zugewiesenen Subnet-Server und verringern dadurch die ManagementServerAuslastung. Weitere Informationen zur Installation von Subnet-Servern können Abschnitt 4.10 entnommen
werden.
7.6.
Verwalten von Linux-Clients
Nach der Bereitstellung von G Data Security Client für Linux (siehe Abschnitt 4.8.3) werden Clients automatisch
dem Client-Verwaltungsbereich hinzugefügt. Sie können mithilfe der gleichen Module wie ihre WindowsGegenstücke verwaltet werden. Aufgrund unterschiedlicher Funktionsweisen sind jedoch einige Funktionen nicht
verfügbar. Wenn ein einzelner Linux-Client oder eine Gruppe von Linux-Clients im Client-Verwaltungsbereich
ausgewählt wurde, werden die Funktionen ausgegraut, die nicht auf Linux-Clients zutreffen. Wenn eine Gruppe
mit Windows- und Linux-Clients ausgewählt wurde, werden die Funktionen mit grünem Text angezeigt, die nicht
auf Linux-Clients zutreffen. Diese Funktionen können auf Windows-Clients, jedoch nicht auf Linux-Clients
angewendet werden.
7.7.
Entfernen eines Clients
Falls ein Client Kompatibilitätsprobleme hat oder nicht mehr durch die G Data Sicherheitssoftware verwaltet
werden soll, kann er entfernt werden. Dieser Vorgang besteht aus zwei Phasen: die Entfernung des G Data Security
Client vom Client und die Entfernung des Clients aus der Client-Liste von G Data ManagementServer. Die erste
Phase erfolgt, indem das Modul CLIENTS in G Data Administrator geöffnet wird und der entsprechende Client und
danach die Option G DATA SECURITY CLIENT DEINSTALLIEREN im Menü CLIENTS ausgewählt werden. Daraufhin muss der
Administrator wählen, ob nur der Client oder auch die damit verknüpften Aufträge, Berichte, Nachrichten und
Backup-Archive entfernt werden sollen. Falls ein Client später wiederhergestellt werden soll, sollten die
verknüpften Daten erhalten bleiben. Bei Clients, die auf Geräten installiert wurden, die endgültig außer Betrieb
genommen werden, können alle Daten entfernt werden. Als eine Alternativ zur Remote-Deinstallation kann der
Vorgang auch lokal auf dem Client vorgenommen werden (siehe Kapitel 17.6).
Abbildung 37: G Data Administrator – Clients, G Data Security Client deinstallieren
Nachdem G Data Security Client entfernt wurde, ist der Client-Computer nach wie vor im ClientVerwaltungsbereich von G Data Administrator aufgelistet. Er kann weiterhin verwaltet werden, obwohl viele
Funktionen erst nach einer erneuten Installation von Security Client wieder verfügbar sind. Damit ein Client
vollständig vom Server entfernt wird, ist ein Rechtsklick auf den Client im Client-Verwaltungsbereich und die
Auswahl der Option LÖSCHEN erforderlich. Nach der Bestätigung der Aktion wird der Client aus der Liste entfernt
und muss manuell hinzugefügt werden, wenn er erneut verwaltet werden soll.
65
8.
Echtzeit-Schutz
Die Client-Sicherheit ist eine mehrschichtige Lösung, die sicherstellt, dass eine Malware-Infektion in allen Phasen
verhindert werden kann. Bevor Malware einen Computer infizieren kann, muss sie die Netzwerksicherheit (wie z. B.
eine Gateway-Firewall) und die Client-Sicherheit (z. B. einen Dateisystemwächter oder einen HTTPDatenverkehrsfilter) durchbrechen. Die lokalen Sicherheitskomponenten spielen eine wichtige Rolle, wenn es
darum geht, die Infektion der Systeme durch Malware zu verhindern. Nicht autorisierte Netzwerkverbindungen
werden durch die lokale Firewall blockiert (siehe Kapitel 13 für weitere Informationen). Passierender Datenverkehr
erreicht den Client, der den Verkehr mithilfe von verschiedenen Sicherheitsmodulen filtert. EchtzeitSicherheitsmodule wie ein Dateisystemwächter, heuristische Scans, verhaltensbasierte Scans und ein BrowserPlugin stellen sicher, dass die Malware ungeachtet des Angriffsvektors gestoppt wird, bevor sie ausgeführt werden
kann. Beim Versand von infektiösen E-Mails werden Malware-Anhänge entfernt oder direkt in die Quarantäne
verschoben, ohne dass die Datei jemals das Dateisystem erreicht. Bei der Internet- und Instant MessagingSicherheit wird ähnlich vorgegangen, wobei der HTTP- und IM-Datenverkehr gefiltert und bei einem Verdacht
blockiert wird. Falls Malware durch andere Methoden wie Wechseldatenträger das System erreicht, wird sie durch
den Dateisystemwächter blockiert, sobald die schadhafte Datei auf die Festplatte geschrieben oder ausgeführt
wird. Zusammen sorgen die Sicherheitsmaßnahmen dafür, dass das System nicht durch Malware infiziert wird. Das
heißt, dass die Maßnahmen zusammen anstatt als separate Entitäten konfiguriert werden sollten.
Obwohl es verlockend sein kann, die maximale Sicherheit für alle Clients im Netzwerk zu aktivieren, können nicht
alle Sicherheitseinstellungen gleichermaßen auf alle Clients angewendet werden. Einige Clients müssen für eine
maximale Sicherheit konfiguriert werden, während bei anderen die Leistung wichtiger ist. Sicherheitsoptionen
können für einzelne Clients oder für Gruppen konfiguriert werden. Das hängt davon ab, welches Element im
Client-Verwaltungsbereich ausgewählt ist. Es wird empfohlen, alle Netzwerk-Clients in angemessene Gruppe
einzuteilen, damit relevante Sicherheitseinstellungen auf mehrere Computer gleichzeitig angewendet werden
können (siehe Kapitel 7 für weitere Informationen über die Verwaltung von Clients).
Der Echtzeit-Client-Schutz sollte vor der Bereitstellung von Clients konfiguriert werden. Mithilfe von G Data
Administrator können Client-Geräte im Netzwerk lokalisiert, organisiert und konfiguriert werden, bevor G Data
Security Client bereitgestellt wird. Es muss für jeden Client oder jede Gruppe sichergestellt werden, dass ein
optimaler Schutz konfiguriert und aktiviert wird, bevor der Client bereitgestellt wird. Idealerweise wurden diese
Einstellungen bereits für jeden Client optimiert. Das kann jedoch in dieser Phase schwierig sein, da eine Messung
der tatsächlichen Leistung nicht möglich ist. Administratoren können stattdessen einen restriktiven Satz von
Sicherheitseinstellungen standardmäßig bereitstellen und sie anschließend nach Bedarf anpassen. Alternativ
können grundlegende Sicherheitseinstellungen verwendet werden, um dafür zu sorgen, dass die Leistung und
Nutzbarkeit nicht leiden, bevor der Administrator die Möglichkeit hat, die Schutzeinstellung nach der
Bereitstellung anzupassen.
Welche Einstellungen auf welchen Client angewendet werden sollen, hängt von der Software und Hardware ab,
die auf einem Client verwendet werden, sowie von seiner Rolle (der Kontext, in dem der Computer verwendet
wird). Für die meisten Sicherheitseinstellungen kann nur eine allgemeine Empfehlung gegeben werden. Oftmals
schreiben Unternehmensrichtlinien bestimmte Sicherheitsebenen vor, wodurch eine hilfreiche Vorgabe zur
Implementierung einer Sicherheitslösung geschaffen wird. In anderen Situationen muss eine fallspezifische
Richtlinie pro Netzwerkzone oder sogar auf Client-Ebene bereitgestellt werden. Dies kann eine Versuch-undIrrtum-Methode darstellen, was die Empfehlung stützt, dass eine Sicherheitslösung nach und nach ausgerollt
werden sollte und die Einstellungen sorgfältig überwacht werden müssen.
Die wichtigsten Sicherheitseinstellungen für einen Echtzeit-Schutz können mithilfe des Moduls CLIENT-EINSTELLUNGEN
66
8. Echtzeit-Schutz
von G Data Administrator konfiguriert werden. Diese Einstellungen können für jeden Client oder jede Gruppe
sowie den vorgesehenen Zweck angepasst werden. Damit jeder Client ordnungsgemäß konfiguriert werden kann,
enthält die Registerkarte ALLGEMEIN das Feld BEMERKUNG. Dort können Administratoren eine Beschreibung des Clients
und seiner Umgebung oder eine Bemerkung hinzufügen, die bei der Unterscheidung zwischen spezifischen
Sicherheitskonfigurationen hilft.
8.1.
Scans des Internet-Datenverkehrs
Hinter der Firewall besteht die nächste Verteidigungslinie in der Überprüfung des Datenverkehrs, der passieren
darf. G Data Security Client analysiert verschiedene Arten von Datenverkehr.
8.1.1. HTTP
Durch die Eingabe eines Ports unter INTERNETINHALTE (HTTP) scannt G Data Security Client den eingehenden HTTPDatenverkehr (standardmäßig: 80 und 443/SSL). Durch den Besuch von Websites mit schädlicher Software, das
Herunterladen von Malware und den Besuch von Phishing-Websites wird eine Warnung ausgelöst und der Zugriff
blockiert. Das Scannen von größeren Dateien auf Malware kann eine Weile dauern. Damit die Browser während
des Scans keine Zeitüberschreitung erfahren, kann das Kontrollkästchen ZEITÜBERSCHREITUNG IM BROWSER VERMEIDEN
aktiviert werden. Es wird empfohlen, diese Option aktiviert zu lassen. Zur Verhinderung von Verzögerungen kann
eine maximale Dateigröße definiert werden. Dadurch wird HTTP-Datenverkehr, der größere Dateien enthält, nicht
gescannt. Diese Option kann die Leistung erhöhen, Administratoren müssen jedoch sicherstellen, dass die
Downloads im Anschluss von einer anderen Sicherheitsebene gescannt werden (wie z. B. durch den
Dateisystemwächter). Falls der Datenverkehr einer bestimmten Website nicht gescannt werden muss (wie z. B. das
Intranet des Unternehmens), kann diese Website zu den NETZWERKWEITEN WEBSCHUTZ-AUSNAHMEN hinzugefügt werden.
8.1.2. E-Mail
Die zweite Verkehrskategorie, die gescannt werden kann, sind die E-Mails (Standardports: 110/POP3, 143/IMAP,
25/SMTP)8. Die Ports können im unteren Teil des Einstellungsfensters E-MAIL angepasst werden, wodurch
Administratoren in der Lage sind, Zeitüberschreitungen von E-Mail-Clients zu verhindern, indem die Option für die
entsprechenden Ports aktiviert wird. Unter SCANOPTIONEN können Administratoren definieren, welche Scan-Engine
verwendet werden soll. G Data nutzt zwei Scan-Engines für eine optimale Sicherheit. Aber in Fällen, in denen
dadurch die Leistung beeinträchtigt wird, kann es nützlich sein, nur eine der beiden Engines zu aktivieren (siehe
Abschnitt 8.4).
8.1.2.1. Eingehend
Alle eingehenden E-Mails werden automatisch auf Viren geprüft. Bei einem Malware-Fund kann die E-MailNachrichten desinfiziert werden oder der infizierte Inhalt wird entfernt, wobei ein Hinweis zur Infektion in den EMail-Text eingefügt wird. Es wird empfohlen, E-Mail-Nachrichten zu desinfizieren und infizierten Inhalt
automatisch zu löschen, falls die Desinfektion fehlschlägt. Eine geradlinigere Richtlinie ist, den infizierten Inhalt
automatisch zu entfernen und den Benutzer optional zu benachrichtigen. Die Option NUR PROTOKOLLIEREN / WARNUNG
EINFÜGEN kann in Netzwerken, Netzwerkzonen oder Abteilungen verwendet werden, in denen Endbenutzer Zugriff
auf eingehende E-Mails benötigen, selbst wenn sie infizierten Inhalt und infizierte Anhänge enthalten. In diesem
8
Es muss beachtet werden, dass dadurch nur die Scans der E-Mail-Nachrichten auf den Clients abgedeckt sind. E-Mail-Scans auf dem Server
können mithilfe von G Data MailSecurity ausgeführt werden.
67
Fall kann der Malware dennoch durch den Dateisystemscanner entgegengewirkt werden. Dies ist jedoch kein
empfohlenes Szenario, da die Deaktivierung einer Schutzebene das Risiko einer Malware-Infektion erhöht.
Netzwerke, die Microsoft Outlook in Kombination mit Microsoft Exchange Server nutzen, können nicht die
standardmäßigen Portüberwachungsoptionen anwenden, da die Kommunikation zwischen Exchange Server und
den Clients über ein proprietäres Protokoll gesendet wird. Zur Sicherung von Exchange-Umgebungen sollten
Administratoren das Outlook-Plugin aktivieren oder das Exchange-Plugin von MailSecurity installieren (siehe
Abschnitt 16.1).
Als zusätzliche Erkennungsmaßnahme kann OutbreakShield aktiviert werden. Es verwendet eigene Signaturen,
um die Erkennungsrate von Spam-Kampagnen zu verbessern, die Malware verteilen. Da es auf allgemeinen
Eigenschaften der Massenverteilung von Spam-Nachrichten beruht, ist die Erkennung bereits möglich, wenn die
Virensignaturen der herkömmlichen Engines noch nicht aktualisiert wurden. OutbreakShield ist relativ
ressourcensparend und beeinträchtigt nicht die Client-Leistung.
Zusätzlich zu den E-Mail-Sicherheitsscans kann G Data auch Spam bekämpfen. Die Funktion ANTISPAM überprüft
den E-Mail-Verkehr und filtert Spam (auf Verdacht). In Kombination mit Filterregeln im lokalen E-Mail-Client oder
dem Outlook-Plugin hilft ANTISPAM bei der Eliminierung von Spam, bevor er überhaupt den Posteingang erreicht.
ANTISPAM hat keinen großen Einfluss auf die Systemleistung, kann jedoch deaktiviert werden, falls andere SpamMaßnahmen angewendet werden, wie z. B. eine E-Mail-Server-basierte Lösung.
Abbildung 38: G Data Administrator – Client-Einstellungen, E-Mail
8.1.2.2. Ausgehend
Ausgehende E-Mails sollten nach Viren gescannt werden, um ein unwissentliches Versenden von Malware zu
vermeiden. Optional kann ein Bericht an ausgehende E-Mails angehängt werden, der besagt, dass die Nachricht
gescannt wurde. Dadurch erhalten Empfänger eine Bestätigung, dass die E-Mail-Nachricht tatsächlich sicher ist.
68
8. Echtzeit-Schutz
8.1.3. Instant Messaging
Die dritte und letzte Datenverkehrskategorie, die gescannt werden kann, ist Instant Messaging. IM-Anwendungen,
die Benutzern oftmals den Austausch von Dateien ermöglichen, können durch Aktivierung der Option IM-INHALTE
VERARBEITEN überprüft werden. Der Client kann eingehenden IM-Datenverkehr überprüfen (Standard: 5190, der vom
ICQ-Protokoll verwendete Port, einschließlich ICQ und AIM). Alternativ kann die Integration von Microsoft
Messenger 4.7 oder höher und Trillian 3.0 oder höher aktiviert werden, um automatisch die eingehenden
Datenübertragungen auf Malware zu prüfen.
8.2.
Wächter
Die Kategorie „Wächter“ stellt die finale Sicherheitsebene dar. Sie ist gestuft und bietet Sicherheit basierend auf
Dateisystemscans und Verhaltensüberwachung sowie spezifischen Schutz vor Bank-Trojanern und schädlichen
USB-Geräten.
8.2.1. Dateisystem
Sobald eine Datei in das lokale Dateisystem geschrieben oder daraus gelesen wird, aktiviert sich der
Dateisystemwächter. Zunächst nutzt der Wächter eine oder zwei Scan-Engines, um die Datei zu scannen und sie
mit lokal gespeicherten Virensignaturen zu vergleichen. Bekannte Malware wird erkannt und der Wächter führt
die konfigurierte Aktion aus (wie z. B. eine Desinfektion, Entfernung oder Verschiebung der Datei in die
Quarantäne). Wenn eine Datei nach dem Vergleich mit den Virensignaturen nicht als Malware erkannt wird, wird
sie mithilfe der heuristischen Technologie gescannt. Ähnlich den Virensignaturen wird bei diesem Verfahren die
Malware-Datei auf Muster geprüft, die häufig durch Malware erzeugt werden. Obwohl heuristische Scans eine
leicht erhöhte Falsch-Positiv-Rate verursachen können, helfen sie dabei, Malware zu erkennen, für die keine
Signaturen verfügbar sind.
Abbildung 39: G Data Administrator – Client-Einstellungen, Wächter
69
Die Registerkarte WÄCHTER bietet Zugriff auf Einstellungen für den Dateisystemwächter. Der Wächter ist
standardmäßig mit einem ausbalancierten Profil aktiviert, wodurch die Sicherheit ohne große Leistungseinbuße
gewährleistet werden kann. Administratoren können sich nichtdestotrotz dafür entscheiden, weitere
Sicherheitsmaßnahmen hinzuzufügen oder die Leistung durch Deaktivierung einer Maßnahme zu erhöhen. Wie
bei den meisten Einstellungen wird empfohlen, die optimale Sicherheit für alle Fälle zu wählen, wenn dadurch die
Leistung nicht wesentlich beeinträchtigt wird. Der WÄCHTERSTATUS sollte immer auf AKTIVIERT eingestellt sein. Durch
die vollständige Deaktivierung des Wächters wird eine der zentralen Komponenten der G Data Sicherheitslösung
deaktiviert. Dies sollte nur in Betracht gezogen werden, wenn ein einzelner Client extreme
Kompatibilitätsprobleme hat oder er ausreichend durch alternative Sicherheitsmaßnahmen geschützt ist.
Der Dateisystemwächter verwendet zwei Software-Engines, um die Dateien auf Malware zu scannen. Dies bietet
eine optimale Sicherheit, indem gewährleistet wird, dass eine Malware-Infektion, die durch eine Engine nicht
erkannt wird, von der anderen erfasst wird. Die standardmäßige und empfohlene Option ist die Aktivierung beider
Engines. Wenn die Leistung geringer als erwartet ist, können die Clients so konfiguriert werden, dass Dateien mit
nur einer der beiden Engines gescannt werden.
G Data kann verschiedene Aktionen durchführen, wenn eine mit Malware infizierte Datei erkannt wird. Die
restriktivste Einstellung ist das sofortige Löschen der infizierten Datei. Dadurch wird sichergestellt, dass die
Malware keine Chance im System hat. Es kann jedoch zu Datenverlust kommen, falls wichtige Dokumente infiziert
oder falsch als Malware erkannt wurden. Es wird empfohlen, die Desinfektion als primäre Aktion auszuwählen.
Dadurch versucht der Dateisystemwächter die infizierte Datei zu reparieren, um den Zugriff darauf wieder zu
ermöglichen. Wenn das nicht möglich ist, kann die Datei gelöscht, in die Quarantäne verschoben oder blockiert
werden. Während durch die Blockierung des Zugriffs die Ausführung der Malware verhindert wird, bleibt die Datei
unberührt. Das Verschieben der Datei in die Quarantäne stellt sicher, dass sie nicht aus Versehen von jemandem
ausgeführt wird, während die Möglichkeit offen gelassen wird, sie wiederherzustellen oder manuell zu reparieren.
In der Quarantäne können Administratoren auswählen, die Datei zur weiteren Analyse an G Data zu schicken. Der
Dateisystemwächter kann die Inhalte von Archiven (wie z. B. ZIP-Dateien) scannen, jedoch keine einzelnen
infizierten Dateien aus einem Archiv entfernen. Archive, die eine infizierte Datei enthalten, können als Ganzes in
die Quarantäne verschoben, gelöscht oder blockiert werden. Da archivierte Dateien nach der Extraktion oder beim
Öffnen gescannt werden, besteht ein geringeres Risiko bei der Arbeit mit infizierten Archiven. Anstatt eine Datei
zu löschen, sollte der Zugriff darauf blockiert werden. Archivüberprüfungen können zugunsten der Leistung
vollständig deaktiviert werden. Die Überwachung des Netzwerkzugriffs ist standardmäßig aktiviert, kann jedoch
deaktiviert werden, wenn sich der Computer in einem Netzwerk befindet, indem alle Clients durch G Data
geschützt werden.
Der Scanmodus entscheidet, wann der Dateisystemwächter seiner Arbeit nachgeht. Dateien können bei
LESEZUGRIFFEN, bei LESE- UND SCHREIBZUGRIFFEN oder BEI AUSFÜHRUNG gescannt werden. BEI AUSFÜHRUNG bietet grundlegenden
Schutz beim Scannen von Dateien, wenn diese ausgeführt werden. Dadurch wird verhindert, dass Malware den
Client infiziert. Aber wie beim Blockieren des Zugriffs hilft es nicht dabei, die Verbreitung der Malware zu
verhindern. Um sicherzustellen, dass die infizierten Dateien sogar erkannt werden, wenn sie nicht ausgeführt
werden, muss die Option LESEZUGRIFFE oder LESE- UND SCHREIBZUGRIFFE ausgewählt werden. Auf diese Weise werden
Dateien, die aus oder in andere Ordner, Festplatten oder Clients kopiert werden, ebenfalls gescannt. So wird
Malware erkannt, die sich aktiv selbst im Netzwerk verbreitet, wenn sie versucht, andere Computer durch das
Schreiben von Dateien in Netzwerkfreigaben zu infizieren. Das Scannen auf Malware mit der Option LESE- UND
SCHREIBZUGRIFFE ist der für die Festplatte intensivste Vorgang. Wenn die Client-Leistung beeinträchtigt wird, kann der
Scanmodus auf LESEZUGRIFFE verringert werden. BEI AUSFÜHRUNG sollte nur verwendet werden, wenn selbst Scans bei
Lesezugriff zu belastend für das System sind.
70
8. Echtzeit-Schutz
Der Dateisystemwächter prüft standardmäßig Archive, E-Mail-Archive und Systembereiche auf Malware. Aufgrund
ihrer Größe können Archive beim Scannen problematisch sein. Deshalb kann eine Größenbegrenzung definiert
werden, damit der Wächter die Leistung nicht durch langwierige Zugriffsscans von Archiven herabsetzt. Alternativ
können Archivscans komplett deaktiviert werden. Selbst wenn automatische Zugriffsscans von Archiven
deaktiviert sind, können Benutzer dennoch einen manuellen Scan starten, wenn sie eine verdächtige Archivdatei
finden. Bei der Aktivierung von E-Mail-Archivscans muss berücksichtigt werden, dass die E-Mail-Software einen
Fehler hervorbringt, wenn deren Datendatei in die Quarantäne verschoben wird. In den meisten Fällen ist es
besser, E-Mail-Archivscans zu deaktivieren und den Dateisystemwächter Dateien prüfen zu lassen, wenn sie
extrahiert werden (z. B. beim Speichern eines Anhangs auf der lokalen Festplatte). Systembereiche (BootSektoren) können beim Start oder beim Medienwechsel gescannt werden. Dieser Scan sollte aktiviert sein, um
Viren in Boot-Bereichen zu erkennen. Außerdem ist standardmäßig die Option zur Suche nach Dialern, Spyware,
Adware und Riskware aktiviert. Obwohl es sich dabei nicht unbedingt um Malware handelt, sind diese Dateiarten
in der Regel unerwünscht.
Wenn der Dateisystemwächter eine Bedrohung erkennt, führt er automatisch die Aktion durch, die vom
Administrator definiert wurde. Zusätzlich kann G Data Security Client eine Meldung auf dem Client anzeigen, die
den Benutzer über den Fund von Malware informiert. Die Meldung enthält den Dateinamen, den Dateipfad und
den Namen der gefundenen Malware. Durch die Anzeige einer Warnung wird der Benutzer darüber in Kenntnis
gesetzt, dass das aktuell ausgeführte Programm oder die aktuelle Website schädlich ist. Einige Benutzer könnten
jedoch durch die Meldung verwirrt werden. Meldungen über Bedrohungen, die bereits blockiert wurden, sind für
alle Benutzer irrelevant und können einzeln deaktiviert werden.
Bestimmte Dateien oder Ordner können von den Scans des Dateisystemwächters ausgeschlossen werden. Mithilfe
von AUSNAHMEN können Dateien ignoriert werden, die für Zugriffsscans unpraktisch sind. So können große Dateien,
die selten genutzt werden, von den Zugriffsscans ausgeschlossen werden, falls sie in einem geplanten ScanAuftrag enthalten sind (siehe Abschnitt 9.2.1.3). Auf ähnliche Weise können Datenbankdateien von Zugriffsscans
ausgeschlossen werden, falls sie regelmäßig durch einen On-Demand-Scan geprüft werden. Es wird empfohlen,
nicht zu viele Ausnahmen hinzuzufügen. Nur Dateien, die beim Zugriffsscan die Leistung beeinträchtigen, sollten
als Ausnahme definiert werden, und das nur, wenn sie regelmäßig durch einen regulären Scan-Auftrag geprüft
werden. Dateien, die falsch-positive Ergebnisse generieren, aber als sicher bekannt sind, können ebenfalls der
Ausnahmeliste hinzugefügt werden, nachdem sichergestellt wurde, dass sie tatsächlich sicher sind. Bei der
Definition von Ausnahmen muss mit Sorgfalt darauf geachtet werden, dass sie nur für die Clients oder Gruppen
gelten, die wirklich die Ausnahme benötigen. Da eine Ausnahme verhindert, dass eine Datei durch den
Dateisystemwächter auf Malware gescannt wird, kann sie weitreichende Folgen haben und sollte, wenn möglich,
nur auf ein paar Clients beschränkt werden. Die Ausnahmeliste kann mit Verzeichnis-, Laufwerks-, Datei- und
Prozessausnahmen gefüllt werden. Verzeichnisse, Laufwerke und Prozesse können manuell in das Textfeld
eingegeben oder aus einer Ordnerstruktur ausgewählt werden. Die Auswahl kann aus lokalen Ordnern und
Dateien erfolgen oder durch Öffnen der Ordnerstruktur auf einem der Clients im Netzwerk. Bei Prozessen müssen
der vollständige Pfad und der Dateiname in das Textfeld eingegeben werden. Dateiausnahmen sollten als ein
Dateiname eingegeben werden und können mithilfe von Platzhaltern (? und *) definiert werden. Diese Platzhalter
stellen einzelne Zeichen bzw. gesamte Zeichenfolgen dar.
8.2.2. Verhaltensüberwachung
Die Verhaltensüberwachung bringt das heuristische Verfahren auf die nächste Ebene. Während der Ausführung
von Dateien wird jede Aktion verfolgt. Falls die Datei ein Verhalten zeigt, das dem von Malware gleich kommt (wie
z. B. übermäßiges Schreiben in die Registry oder die Erstellung von Autostart-Einträgen), kann ihre Ausführung
71
blockiert werden. Zusätzlich kann die Datei in die Quarantäne verschoben werden. Falls die
Verhaltensüberwachung falsch-positive Ergebnisse erzeugt, kann ein Whitelist-Eintrag hinzugefügt werden,
indem der entsprechende Bericht im Modul BERICHTE ausgewählt wird.
8.2.3. BankGuard
Eine spezifischere Form der Verhaltensüberwachung ist BankGuard (auf der Registerkarte WEB/IM verfügbar).
BankGuard überwacht die Browser-Systemdateien für Microsoft Internet Explorer, Mozilla Firefox und Google
Chrome und schützt vor Malware, die versucht, Websites für Internet-Banking zu manipulieren.
8.2.4. USB Keyboard Guard
USB Keyboard Guard schützt Clients vor BadUSB-Angriffen. Böswillig neu programmierte USB-Geräte, wie
Kameras, USB-Sticks oder Drucker, können als Tastaturen dienen, wenn sie an einen Computer angeschlossen
werden. Damit diese Geräte keine nicht autorisierten, automatischen Befehle ausführen, bittet USB Keyboard
Guard den Benutzer um Bestätigung, wenn es ein USB-Gerät erkennt, das sich als Tastatur ausgibt. Wenn der
Benutzer tatsächlich eine Tastatur angeschlossen hat, kann die Bestätigung ohne Bedenken gegeben werden.
Wenn sich das Gerät selbst als Tastatur identifiziert, der Benutzer jedoch etwas anderes angeschlossen hat, sollte
es nicht autorisiert werden, da es schädlich sein könnte. Ungeachtet der Entscheidung des Benutzers wird im
Modul BERICHTE ein Bericht hinzugefügt. Wenn ein Gerät autorisiert wurde, kann der Administrator entscheiden, es
dennoch zu blockieren, indem er mit der rechten Maustaste auf den Bericht klickt und die Autorisierung
zurücknimmt.
USB Keyboard Guard sollte aktiviert sein, um einen optimalen Schutz vor schädlichen USB-Geräten zu bieten. Im
Gegensatz zu anderen Schutzmaßnahmen funktioniert diese Option nicht vollkommen transparent, da der
Endbenutzer seine Bestätigung geben muss, falls sich ein angeschlossenes Gerät als Tastatur identifiziert. Die
Administratoren haben dennoch volle Kontrolle mithilfe der Berichte, die erstellt werden, wenn ein Benutzer ein
Gerät autorisiert oder blockiert.
8.3.
Leistung
Client-Hardware und -Software sowie die Netzwerkinfrastruktur bieten nur eine begrenzte Kapazität. In der
Vergangenheit musste die Informationssicherheit immer auf Kosten der Leistung etabliert werden. Je mehr
Sicherheitsmaßnahmen implementiert werden mussten, desto höher war der gemessene Leistungsabfall. Für die
meisten modernen Client-Server-Sicherheitslösungen ist deshalb die Leistung der Schlüsselfaktor. G Data bietet
optimierte Sicherheitsmodule, die kaum die Client-Leistung beeinträchtigen, selbst wenn sie für eine optimale
Sicherheit konfiguriert sind. Verschiedene Umstände, wie Hardware-Spezifikationen oder SoftwareBereitstellungen können ein unterschiedliches Gleichgewicht zwischen Sicherheit und Geschwindigkeit erfordern.
Der Aufbau eines Netzwerks gemäß den definierten Netzwerkzonen und Client-Rollen (siehe Abschnitt 1.1) hilft
bei der Entscheidung, welche Clients mehr Sicherheit benötigen und welche Clients sich auf Leistung
konzentrieren können. Das Finden des korrekten Gleichgewichts ist schwer: In manchen
Unternehmensnetzwerken sollten so viele Sicherheitsebenen wie physisch möglich aktiviert sein, in anderen ist
die Geschwindigkeit der Clients wichtiger. Der Vorteil des mehrschichtigen Konzepts, das G Data bietet, ist die
Optimierung der Sicherheitsfunktionen für jeden einzelnen Client. Verschiedene Optionen ergänzen sich, wodurch
eine oder zwei deaktiviert werden können, ohne die Leistung zu beeinträchtigen.
Im Allgemeinen wird empfohlen, auf Nummer sicher zu gehen und zweimal nachzudenken, bevor eine
72
8. Echtzeit-Schutz
Sicherheitsfunktion aus Leistungsgründen deaktiviert wird. Bei der Bereitstellung einer Sicherheitslösung sollte
mit dem maximalen Sicherheitsniveau begonnen werden, das für den jeweiligen Client angemessen ist. Das
Sicherheitsniveau sollte nur verringert werden, falls der Client wesentlich beeinträchtigt wird. Einige der
Sicherheitseinstellungen beeinflussen die Leistung mehr als andere. Der Dateisystemwächter kann viel
abverlangen, wenn der Client vor allem für Dateivorgänge genutzt wird. Einstellungen wie der Archivscan können
die Verarbeitung von großen Dateien verzögern, während Scans bei Lese- und Schreibzugriff die Festplatten
erheblich ausbremsen können. Clients mit einer Low-End-CPU können bei der Verwendung von beiden ScanEngines eine Verzögerung erfahren. Die Deaktivierung einer Engine erhöht die Leistung wesentlich. Andere
Dateiwächtereinstellungen, wie die Heuristik oder die Verhaltensüberwachung, schlagen sich nur minimal auf die
Client-Leistung nieder.
Die Nutzbarkeit wird von anderen Faktoren als der Leistung allein beeinflusst. Sicherheitssoftware beinhaltet
immer ein geringes Risiko, dass reguläre Dateien als Malware erkannt werden. Grund dafür sind die Muster im
Heuristikmodul oder der Verhaltensüberwachung. Falls der Schutz zu streng konfiguriert wurde, treten mehr
falsch-positive Ergebnisse auf, aber wenn die Sicherheit zu locker ist, könnte Malware unbemerkt eindringen. Wie
bei allen Leistungsproblemen sollten falsch-positive Ergebnisse nur behoben werden, wenn sie tatsächlich
auftreten. Wenn eine Datei als Malware erkannt wurde, zeigt der Abschnitt BERICHTE von G Data Administrator, auf
welchem Client und durch welches Schutzmodul sie erkannt wurde. Administratoren können dann auswählen, die
Einstellungen für das relevante Modul weniger streng zu konfigurieren oder die spezifische Datei auf die Whitelist
zu setzen (falls das Sicherheitsmodul diese Maßnahme unterstützt). Da der Client durch die Verringerung der
Sicherheit einem Risiko ausgesetzt wird, sollte die betroffene Datei zunächst nur auf die Whitelist gesetzt werden.
Dadurch wird sie nicht erneut als Malware erkannt, entfernt oder in die Quarantäne verschoben. Wenn ein
bestimmtes Sicherheitsmodul Dateien oft fälschlicherweise als schädlich identifiziert, kann die Sicherheit
verringert werden. Die vollständige Abschaltung eines Moduls sollte nur der allerletzte Ausweg sein. In den
meisten Fällen reicht es aus, eine Datei in die Quarantäne zu verschieben, anstatt sie zu löschen, oder eine
Infektion zu protokollieren, anstatt sie direkt zu bekämpfen. Diese Fälle erfordern jedoch ein administratives
Eingreifen. Falls G Data so konfiguriert ist, dass Infektionen nicht automatisch bekämpft werden, ist eine manuelle
Untersuchung nötig. Alarmmeldungen können dabei helfen, die Administratoren in solchen Fällen zu
benachrichtigen (siehe Abschnitt 6.2). Falls die Lockerung der Beschränkungen des Sicherheitsmoduls keine
Option ist (wenn beispielsweise eine Client-Gruppe absolute Sicherheit benötigt), kann PolicyManager dabei
helfen, den Zugriff auf Anwendungen, Geräte und Websites zu beschränken (siehe Kapitel 14).
8.4.
Betriebssystemsicherheit
Obwohl Sicherheitssoftware die Wahrscheinlichkeit von Malware-Infektionen wesentlich verringert, können
zusätzliche Maßnahmen auf Betriebssystemebene konfiguriert werden. Einige Aspekte der Netzwerksicherheit
und der lokalen Betriebssystemsicherheit können effizient mithilfe von lokalen Einstellungen oder
netzwerkbasierten Gruppenrichtlinien gesteuert werden. Administratoren können wählen, diese Einstellungen auf
allen Clients durchzusetzen oder nur die gefährdetsten Netzwerkzonen und Client-Rollen zu schützen.
Windows ist standardmäßig so konfiguriert, dass viele Hintergrunddienste ausgeführt werden, egal ob wichtig
oder unwichtig. Einige unterstützen wichtige Windows-Funktionen, andere werden nur für sehr spezifische
Konfigurationen oder Software-Suiten verwendet. Jeder Dienst kann jedoch ein Angriffsvektor sein. Angreifer
suchen ständig nach Schwachstellen in Windows-Diensten, um eine Sicherheitslücke zu nutzen und so Zugriff zu
erlangen. Die Fehlerbehebung in den betroffenen Diensten kann helfen. Sie kann jedoch erst erfolgen, wenn
Microsoft oder ein Software-Anbieter die Schwachstelle entdeckt und ein Patch herausgibt. Ungenutzte Dienste
können im Voraus deaktiviert werden, wodurch die Möglichkeit genommen wird, dass eine Schwachstelle durch
73
Hacker missbraucht wird. Des Weiteren kann die Deaktivierung von Diensten die Leistung erhöhen. Durch die
Ausführung des Befehls services.msc auf einem Windows-Computer wird das Fenster DIENSTE geöffnet, der alle auf
dem System installierten Dienste aufführt, ungeachtet davon, ob sie aktiviert und ausgeführt werden oder nicht.
Die Deaktivierung von Diensten ist keine schnelle Behelfsmaßnahme; vor der Deaktivierung eines Dienstes sollten
Administratoren sicherstellen, dass die betroffenen Clients nicht auf diesen Dienst angewiesen sind.
Um das Risiko einer Malware-Verbreitung über Wechseldatenträger (wie z. B. USB-Sticks oder CD-ROMs) zu
verringern, hat Microsoft die Autostart-Funktion in neuen Versionen des Betriebssystems mit einem Fenster
ersetzt, in dem der Benutzer eine bestimmte Aktion auswählen kann, wie z. B. das Öffnen des Stammordners eines
Mediums oder das Importieren von darin enthaltenen Daten. Dadurch wird die oft verwendete
Konfigurationsdatei „autorun.inf“ umgangen. Obwohl die Verbreitung von Malware durch autorun.inf effektiv
gestoppt wird, können sie Benutzer übergehen. In dem Fenster, das nun beim Anschluss eines
Wechseldatenträgers angezeigt wird, können Benutzer eine Standardaktion auswählen, die jedes Mal ausgeführt
wird, wenn ein Medium dieser Art angeschlossen wird. Wird zu einem späteren Zeitpunkt ein infizierter USB-Stick
angeschlossen, wird er wie jeder andere Wechseldatenträger ausgeführt. Mit einer installierten Sicherheitslösung
wird selbst bei der Ausführung von Malware kein Schaden angerichtet. In Unternehmensnetzwerken wird durch
die Deaktivierung der Autostart-Funktion jedoch die Sicherheit erhöht. In kleineren Netzwerken kann die
Verwendung von lokalen Registrierungseinstellungen zur Deaktivierung der Autostart-Funktion hilfreich sein: So
kann mithilfe des Registrierungs-Editors der DWORD-Wert NoDriveTypeAutoRun mit dem hexadezimalen Wert
0xFF in den Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer“
eingefügt werden, um die Autostart-Funktion für alle Laufwerksarten zu deaktivieren. Alternativ ist ein Hotfix von
Microsoft verfügbar, um die Einstellung automatisch zu ändern9. In Unternehmensnetzwerken steht eine
Gruppenrichtlinie zur Verfügung, um die Autostart-Funktion für bestimmte Computer oder Benutzer zu
deaktivieren.
Heruntergeladene Dateien und E-Mail-Anhänge sind eine weitere häufige Infektionsquelle. Aus diesem Grund
warnen Browser und E-Mail-Clients die Endbenutzer in der Regel, bevor eine Datei heruntergeladen wird. Dadurch
wird theoretisch über die Risiken beim Herunterladen von Dateien aus öffentlichen Quellen informiert. In der
Praxis werden die Meldungen häufig verworfen, ohne sie gelesen zu haben. Sicherheitslösungen erfassen
Malware, lange bevor die Datei die Festplatte erreicht (durch Webschutz, Blacklists oder andere Lösungen). Und
selbst wenn die Datei die Festplatte erreicht, erkennt und blockiert sie der Dateisystemwächter. Einige
Administratoren könnten es dennoch bevorzugen, das Risiko des Eindringens von Malware über einen ClientBrowser vollkommen auszuschließen. Mithilfe von Sicherheitszonen können Datei-Downloads für alle Browser
blockiert werden, die den integrierten Windows Anlagen-Manager unterstützen (Microsoft Internet Explorer,
Google Chrome). Dadurch können Administratoren die URL-Aktionen so konfigurieren, dass sie in bestimmten
Sicherheitszonen, wie bei der Ausführung eines Downloads, nicht zulässig sind10. Andere Browser ignorieren
möglicherweise die Zoneneinstellungen. In diesem Fall können die Beschränkung des Dateispeicherungszugriffs
und die Aktivierung der Benutzerkontensteuerung oder einer angemessenen Gruppenrichtlinie helfen.
Weitere grundlegende Sicherheitspflichten beinhalten die Beschränkung der Berechtigungsstufe für Endbenutzer
auf die niedrigste Stufe. Wenn ein Endbenutzer keine erweiterten Systemberechtigungen benötigt, um Aufgaben
auf dem Client-Computer auszuführen, dann sollten diese Berechtigungen nicht gewährt werden, um Schaden
durch Malware zu verhindern. Dazu gehört, dass der Endbenutzer kein Administratorkonto auf dem ClientComputer verwendet, und dass Gruppenrichtlinien angewendet werden, um den Zugriff auf lokale und
Netzwerkressourcen zu beschränken. Blockierungen für andere Aktionen, wie die Anzeige von
Wechseldatenträgern oder die Verwendung von bestimmten Anwendungen können einfach mithilfe des
9
Siehe http://support.microsoft.com/kb/967715.
Siehe http://msdn.microsoft.com/library/ms537183.aspx.
10
74
8. Echtzeit-Schutz
PolicyManager-Moduls von G Data konfiguriert werden (siehe Kapitel 14).
Wenn es um lokale Sicherheitseinstellungen geht, gibt es keine Lösung, die alles abdeckt. Jede Netzwerkzone hat
andere Anforderungen für ihre Client-Computer und jeder einzelne Benutzer könnte weitere Änderungen der
Sicherheitsrichtlinien erfordern. Ein guter Ausgangspunkt für Netzwerke, die Active Directory verwenden, ist die
Nutzung der Möglichkeiten von Gruppenrichtlinien. Diese integrierte Funktion ermöglicht es Administratoren,
umfassende Regeln für die Nutzung von lokalen und Netzwerkressourcen sowie für die Verwaltung von
Berechtigungen zu konfigurieren. Bei Netzwerken, die kein Active Directory nutzen, können die Einstellungen
lokal angepasst werden.
75
9.
On-Demand-Schutz
Zusätzlich zum Echtzeit-Schutz können Client-Computer auch auf Abruf, also „on demand“, geschützt werden. OnDemand-Scans werden einmal oder regelmäßig ausgeführt, um einen vordefinierten Bereich des ClientComputers auf Malware zu prüfen. Der On-Demand-Schutz sollte zusätzlich zum Echtzeit-Schutz konfiguriert
werden, da letzterer keine Dateien scannt, auf die momentan nicht zugegriffen wird. On-Demand-Scans erkennen
Malware in allen Dateien auf dem Client-Computer, ungeachtet davon, ob ein Lese- oder Schreibzugriff erfolgt.
Durch die Planung eines wiederkehrenden On-Demand-Scans für einen Client-Computer kann die gesamte
Festplatte gescannt werden, um zu prüfen, ob Malware inaktive Dateien infiziert hat. Mithilfe der G Data Software
können zwei Arten von On-Demand-Scans geplant werden: einen Leerlauf-Scan oder einzelne bzw. regelmäßige
Scan-Aufträge. Der Leerlauf-Scan ist der empfohlene Typ für den On-Demand-Schutz, da er nicht geplant werden
muss: Er scannt automatisch Clients, wenn sie nicht in Gebrauch sind. Alternativ können Scan-Aufträge verwendet
werden, um Clients zu einem vordefinierten Zeitpunkt zu scannen.
9.1.
Leerlauf-Scan
Ein traditioneller vollständiger Scan-Auftrag, der zu einem bestimmten Zeitpunkt des Tages geplant ist, erfordert
eine Menge Computerressourcen, was es unpraktisch macht, den Scan auszuführen, während ein Benutzer
angemeldet ist. Die Planung eines vollständigen Scans außerhalb der Geschäftszeiten verhindert
Produktivitätsunterbrechungen, erfordert jedoch, dass der Client eingeschaltet ist. Somit ist die Konfiguration
eines Leerlauf-Scans die ideale Lösung: Wenn der Client eingeschaltet, aber nicht in Gebrauch ist, startet G Data
Security Client einen automatischen Scan im Hintergrund. Dabei werden vordefinierte Laufwerke, Dateien und
Ordner gescannt. Wenn der Benutzer an den Client zurückkehrt, wird der Scan pausiert. Das stellt die Funktion und
Sicherheitsstufe eines regulären Scans dar, verhindert jedoch einen Leistungsverlust, der einhergehen könnte.
Bei Clients, die nicht immer mit dem Unternehmensnetzwerk verbunden sind, kann ein Leerlauf-Scan ein Ersatz
für geplante Scans sein. Ein Laptop, der sich nach langer Zeit mit dem Netzwerk verbindet, erhält neu geplante
Scan-Aufträge, die sofort ausgeführt werden, wenn sie überfällig sind. Dadurch kann die Leistung herabgesetzt
werden. Die Aktivierung eines Leerlauf-Scan für Clients wie diese und die Deaktivierung des geplanten
vollständigen Scans stellen sicher, dass die Clients vollständigen Schutz erfahren, während eine Überbelastung
beim Start vermieden wird.
Um zu bestimmen, ob der Client im Leerlauf ist, muss das Infobereichssymbol von G Data Security Client für alle
Sitzungen aktiviert sein. Der Leerlaufstatus wird mithilfe von mehreren Parametern bestimmt. Der Scan wird nur
gestartet, wenn der Endbenutzer den Client für mindestens eine Minute nicht genutzt hat und niemals in den
ersten zehn Minuten, nachdem der Client eingeschaltet wurde. Falls der Benutzer nicht am Computer ist, aber
andere Hintergrundaufgaben CPU- oder E/A-Aktivität generieren, wird der Leerlauf-Scan pausiert. Des Weiteren
werden geplante Aufträge ausgeführt, bevor der Leerlauf-Scan startet. Falls der Leerlauf-Scan läuft, sich aber einer
der Parameter ändert (z. B. wenn der Benutzer an den Client zurückkehrt oder ein geplanter Auftrag beginnt), wird
der Leerlauf-Scan pausiert. Wenn die Parameter das nächste Mal erfüllt werden, wird er an der pausierten Stelle
fortgesetzt. Für den Endbenutzer funktioniert ein Leerlauf-Scan genau wie jeder andere geplante Auftrag. Die
Arbeit wird im Hintergrund ausgeführt und der Benutzer wird benachrichtigt, wenn Malware gefunden wurde
(falls diese Einstellung vom Administrator aktiviert wurde). Für Administratoren erstellt ein Leerlauf-Scan keinen
regulären Bericht, jede gefundene Malware wird jedoch wie gehabt im Modul BERICHTE gemeldet. Nachdem der
Leerlauf-Scan einmal vollständig ausgeführt wurde und die festgelegten Ordner gescannt hat, wird nach sieben
Tagen automatisch ein neuer Scan gestartet.
Der Leerlauf-Scan kann auf der Registerkarte ALLGEMEIN des Moduls CLIENT-EINSTELLUNGEN aktiviert werden. Wie bei
76
9. On-Demand-Schutz
anderen Einstellungen kann er für jeden Client aktiviert bzw. deaktiviert werden. Es wird empfohlen, den LeerlaufScan für alle Netzwerk-Clients zu aktivieren und ihn nur zu deaktivieren, wenn er zu Leistungsproblemen oder
anderen Schwierigkeiten führt. Der ANALYSEUMFANG kann pro Client definiert werden und reicht von allen lokalen
Festplatten bis hin zu einzelnen Ordnern. Bei risikobehafteten Clients kann der Leerlauf-Scan so konfiguriert
werden, dass er empfindliche Ordner überwacht. Alternativ kann er teilweise Aufgaben eines vollständigen Scans
übernehmen und alle lokalen Festplatten scannen. Die Scan-Einstellungen für den Leerlauf-Scan stimmen mit den
Scan-Einstellungen des Wächters überein und werden der Registerkarte WÄCHTER entnommen. Dies betrifft die
Engine-Einstellungen sowie die Optionen AKTION BEI VIRENFUND, INFIZIERTE ARCHIVE und SCANMODUS sowie die ScannerSpezifikationen NETZWERKZUGRIFFE PRÜFEN, HEURISTIK, ARCHIVE, E-MAIL-ARCHIVE ÜBERPRÜFEN, PRÜFE SYSTEMBEREICHE, AUF DIALER
PRÜFEN und BENUTZER BEI VIRENFUND BENACHRICHTIGEN. Da der Leerlauf-Scan ein besonderer Scan-Auftrag ist, werden die
Ausnahmen für diesen Scan der Ausnahmeliste für Scan-Aufträge auf der Registerkarte ALLGEMEIN entnommen.
9.2.
Scan-Aufträge
Geplanter On-Demand-Schutz wird in der Form von einzelnen oder regelmäßigen Scan-Aufträgen ausgeführt.
Einzelne Scan-Aufträge werden nur einmal ausgeführt, während regelmäßige Scan-Aufträge gemäß einem
Zeitplan wiederholt werden. Beide Auftragstypen können im Modul AUFTRÄGE geplant und verwaltet werden. Wie
bei anderen Modulen von G Data Administrator gelten die geplanten Aufträge für den oder die im ClientVerwaltungsbereich ausgewählte(n) Client oder Gruppe. Das Modul zeigt eine Liste der aktuell definierten
Aufträge an. Standardmäßig werden alle Auftragstypen, also Backup-Aufträge, PatchManager-Aufträge usw.
angezeigt. Für jeden Auftrag werden verschiedene Eigenschaften aufgeführt. Bei Client-Aufträgen wird der Client
angezeigt, für den sie definiert worden sind (bei Gruppen der Gruppenname). Die Spalte STATUS zeigt den aktuellen
Status des Auftrags an. Bei Gruppenaufträgen kann der Status je nach Client überprüft werden, indem links der
entsprechende Client ausgewählt wird.
Abbildung 40: G Data Administrator – Modul „Aufträge“, Scan-Aufträge
Damit nur ein Scan-Auftrag angezeigt wird, kann auf die entsprechende Schaltfläche in der Symbolleiste des
77
Moduls geklickt werden. Wenn ein Scan-Auftrag mindestens einmal ausgeführt wurde, kann die Auftragslistung
erweitert werden, um verknüpfte Scanprotokolle anzuzeigen. Durch Doppelklicken auf ein Protokoll wird eine
detaillierte Liste mit Auftragsergebnissen angezeigt. In der Spalte INTERVALL wird das definierte Scanintervall
angezeigt, etwa „Einmal“ für einen einzigen Scan-Auftrag oder „Täglich“ für einen regelmäßigen Scan-Auftrag, der
jeden Tag ausgeführt wird. Unter UMFANG wird schließlich der Scanumfang angezeigt, der für den Auftrag definiert
wurde.
Einzelne und regelmäßige Scan-Aufträge können definiert werden, indem in der Taskleiste auf die
entsprechenden Schaltflächen geklickt wird oder indem das Menü AUFGABEN geöffnet und die Optionen NEU >
EINMALIGER SCAN-AUFTRAG oder PERIODISCHER SCAN-AUFTRAG ausgewählt werden (siehe Abschnitte 9.2.1 und 9.2.2 für
weitere Informationen über das Planen von Scan-Aufträgen). Nach der Definition des Auftrags wird er sofort in der
Liste AUFTRÄGE angezeigt. Die Spalte STATUS zeigt den aktuellen Status. Sobald der Auftrag mindestens einmal
ausgeführt wurde, werden Datum und Uhrzeit der letzten Ausführung sowie das Scan-Protokoll angezeigt (indem
in der linken Spalte auf das Plussymbol geklickt wird). Wenn während eines geplanten Scans Malware erkannt
wurde, wird die bei der Definition des Auftrags definierte Aktion automatisch ausgeführt. Das Scan-Protokoll zeigt
einen Eintrag über die Infektion, und es wird ein Bericht zum Modul BERICHTE hinzugefügt (siehe Abschnitt 6.2).
Für einzelne und regelmäßige Scan-Aufträge können einige allgemeine Optionen auf der Registerkarte JOBPLANUNG
des Scan-Auftragsfensters eingestellt werden. Endbenutzer kann erlaubt werden, einen Scan-Auftrag zu pausieren
oder abzubrechen. In Fällen, in denen ein geplanter Auftrag die Arbeit eines Endbenutzers unterbrechen könnte,
kann das Pausieren erlaubt werden, um die Arbeit ohne Leistungseinbuße fortzusetzen. Diese Option sollte jedoch
mit Vorsicht verwendet werden: Die Systemsicherheit kann kompromittiert werden, falls ein Endbenutzer
entscheidet, einen wichtigen geplanten Auftrag abzubrechen. Endbenutzer können benachrichtigt werden, wenn
während eines geplanten Scans ein Virus gefunden wurde. Obwohl das eine hilfreiche Option für Scans des
Dateisystemwächters sein kann (siehe Abschnitt 8.2.1), muss der Endbenutzer nicht unbedingt während eines
geplanten Scans benachrichtigt werden, da sich der Scanner automatisch um die infizierte Datei kümmert und die
Infektion dem Modul BERICHTE von G Data Administrator gemeldet wird. Während des Scans kann G Data Security
Client alle zwei Minuten seinen Fortschritt dem ManagementServer melden (und so die Details des Scan-Auftrags
im Modul AUFTRÄGE aktualisieren). Das kann für Administratoren hilfreich sein, um eine Auge auf den genauen
Fortschritt eines Scans zu werfen. Es ist jedoch selten bei wiederkehrenden Scans nützlich. Nur wenn ein
einmaliger Scan sofort ausgeführt wird, kann die direkte Verfolgung der Funde notwendig sein. Clients können
nach dem Abschluss eines Scan-Auftrags automatisch ausgeschaltet werden. Damit jedoch ein Datenverlust oder
anderes, unerwartetes Verhalten verhindert wird, ist ein automatisches Abschalten nicht möglich, wenn bei ScanAbschluss ein Endbenutzer am Client angemeldet ist. Eine automatische Abschaltung ist meistens hilfreich, wenn
Scans nach einem regulären Arbeitstag oder an Wochenenden geplant sind, also wenn die Clients nach dem Scan
nicht direkt verwendet werden. Periodische Scan-Aufträge können hinausgezögert werden, wenn der Client zum
geplanten Zeitpunkt nicht eingeschaltet ist. Durch die Auswahl dieser Option wird sichergestellt, dass kein Auftrag
übersprungen wird. Durch das Überspringen eines Auftrags könnte eine infizierte Datei bis zum nächsten Scan auf
dem System bestehen bleiben, wodurch sie möglicherweise auf andere Systeme übertragen werden könnte. Diese
Option sollte nur für regelmäßig ausgeführte Aufträge deaktiviert werden, damit der nächste Auftrag kurz nach
dem übersprungenen Auftrag ausgeführt wird.
9.2.1. Periodische Scan-Aufträge
Vor der Planung eines periodischen Scan-Auftrags wird empfohlen, den Scan-Zeitplan als Ganzes zu betrachten.
Jeder Netzwerk-Client sollte regelmäßig gescannt werden, aber die Planung eines einzelnen Scan-Auftrags, der
jeden Computer im Netzwerk enthält, bietet keine optimale Sicherheit. Geplante Scans für Server sollten sich
78
9. On-Demand-Schutz
beispielsweise von denen unterscheiden, die für Clients verwendet werden, und unterschiedliche Client-Rollen
könnten unterschiedliche Scan-Einstellungen erfordern. Für einen Client können mehrere Scan-Aufträge geplant
werden: z. B. ein täglicher schneller Scan und ein wöchentlicher vollständiger Scan. Der Scan-Zeitplan sollte als
Ganzes sicherstellen, dass jeder Client regelmäßig gescannt wird. Zusätzlich zum Echtzeit-Schutz garantieren
regelmäßig ausgeführte Scan-Aufträge, dass die Client-Computer vollständig malware-frei sind. Scan-Aufträge
können je nach Anzahl der zu scannenden Dateien jedoch auch zu Leistungseinbrüchen führen. Daher wird ein
täglicher Scan der kompletten Festplatte nicht empfohlen: Er könnte sehr lange dauern, viel CPU-Leistung
erfordern und einen fast konstanten Zugriff auf die Festplatte haben. Für die meisten Clients ist der Leerlauf-Scan
die beste Option (siehe Abschnitt 9.1). Wenn der Leerlauf-Scan nicht verwendet wird, finden ein wöchentlicher
vollständiger Scan und ein täglicher schneller Scan kombiniert mit dem Echtzeit-Client-Schutz die möglichen
Malware-Infektionen und entfernen sie. Bei Clients, die einem höheren Risiko einer Malware-Infektion ausgesetzt
sind (z. B. Clients, die für Downloads aus dem Internet verwendet werden), kann öfter ein vollständiger Scan
geplant werden, falls es die Client-Leistung erlaubt. Server, wie z. B. Datei- oder Datenbankserver, könnten unter
einer hohen Last stehen, wodurch fast keine CPU-Zyklen für einen Malware-Scan zur Verfügung stehen. Für diese
Art von Computern könnte es notwendig sein, Scans außerhalb der Geschäftszeiten oder während eines
festgelegten Wartungsfensters zu planen.
Für fast jedes Unternehmensnetzwerk sollten mehrere Scan-Aufträge konfiguriert werden. Alle diese Aufträge
sollten periodisch ausgeführt werden und optional von einmaligen Scans ergänzt werden, um Ausnahmen oder
akute Fälle abzudecken. In den folgenden Abschnitten werden die verschiedenen Arten von periodischen ScanAufträgen erläutert, die als Vorlagen für die spezifischen Bedürfnisse eines Unternehmensnetzwerks dienen
können. Für alle periodischen Scan-Aufträge gilt: Es gibt keinen Scan, der in jeder Situation geeignet ist. Bei Bedarf
müssen die Einstellungen an das Unternehmensnetzwerk bis hin zur Netzwerkzone oder auf einzelne Clients
angepasst werden. Nachdem der Auftrag einige Male ausgeführt wurde, sollte überprüft werden, ob er die
erwarteten Ergebnisse liefert und die Client-Leistung nicht zu sehr beeinträchtigt.
9.2.1.1. Kompletter Scan
Die erste und wohl wichtigste Art von periodischen Scans ist der komplette Scan. Zusätzlich zum Echtzeit-Schutz
sollte jeder Netzwerk-Client regelmäßig durch einen geplanten Scan-Auftrag geprüft werden. Ein kompletter Scan
findet Malware, die nicht durch den Echtzeit-Client-Schutz erkannt wird. Obwohl ein Dateisystemwächter die
gesamte Malware erkennt, die gelesen, geschrieben oder ausgeführt wird, scannt er nicht proaktiv die Dateien, die
auf der Festplatte gespeichert wurden. Wenn eine Datei auf die Festplatte geschrieben wurde, während der
Wächter (noch) nicht aktiviert war, erkennt sie der Dateisystemwächter nur, wenn das System versucht, sie zu
öffnen oder auszuführen. Da ein kompletter Scan die gesamte Festplatte scannt, erkennt er Malware, bevor das
System versucht, sie auszuführen. Je öfter ein kompletter Scan ausgeführt wird, desto höher ist die
Sicherheitsstufe und Gewissheit, dass sich keine infizierten Dateien im System befinden. Da der Scan jedoch alle
Dateien auf den Festplatten des Systems scannt, schlägt sich ein kompletter Scan stark auf die Leistung nieder. In
den meisten Systemen werden ausgeführte Anwendungen ausgebremst und die Arbeit des Endbenutzers
beeinträchtigt. Aus Leistungsgründen ist ein täglicher kompletter Scan in den meisten Fällen keine Option. Clients
mit niedrigem oder mittlerem Risiko können einmal wöchentlich nach den Geschäftszeiten oder am Wochenende
gescannt werden. Clients mit hohem Risiko könnten öfter gescannt werden, aber idealerweise nur, wenn der
Computer nicht in Gebrauch ist. Für Server sollten ebenfalls komplette Scans geplant werden. Falls dabei die
Leistung ein Problem darstellt, kann der Scan während eines regelmäßigen Wartungsfensters des Servers geplant
werden.
79
Abbildung 41: G Data Administrator – Aufgabenmodul, neuer periodischer Scan-Auftrag (kompletter Scan)
Im Modul AUFTRÄGE von G Data Administrator kann ein kompletter Scan als periodischer Scan definiert werden.
Dabei muss sichergestellt werden, dass der entsprechende Client oder die entsprechende Gruppe für den Scan im
Client-Verwaltungsbereich ausgewählt wurde. Auf der Registerkarte JOBPLANUNG muss dazu das Fenster PERIODISCHER
SCAN-AUFTRAG geöffnet werden. Nun wird der Tag und die Uhrzeit ausgewählt, zu der der Scan für die ausgewählten
Clients ausgeführt werden soll. Da ein kompletter Scan viele Ressourcen benötigt und einige Zeit dauern kann,
muss sichergestellt werden, dass der Auftrag so geplant ist, dass er mit keinen anderen Aufgaben überlappt (also
periodische oder einzelne Scan-Aufträge, Backups oder PatchManager-Aufgaben). Auf der Registerkarte SCANNER
werden die Parameter definiert, mit denen der Scan-Auftrag ausgeführt werden soll. Da ein kompletter Scan
bereits eine große Menge der Client-Ressourcen erfordert und immer dann ausgeführt werden sollte, wenn der
Client nicht in Gebrauch ist, müssen die Scan-Einstellungen nicht aufgrund der Leistung optimiert werden. Die
Einstellungen sollten dennoch für die Clients optimiert werden, für die der Auftrag geplant ist. Die sicherste ScanEngine-Option ist die Verwendung beider Scan-Engines. Selbst wenn die Client-Leistung während eines
kompletten Scans beeinträchtigt wird, empfiehlt sich dennoch die Verwendung beider Engines. Dadurch wird eine
optimale Malware-Erkennung sichergestellt. Welche Aktion bei der Erkennung einer infizierten Datei durchgeführt
wird, hängt von den Wünschen des Administrators ab. Im Allgemeinen wird eine Desinfektion empfohlen, wobei
die Datei in die Quarantäne verschoben wird, falls keine Desinfektion möglich ist. Dadurch wird verhindert, dass
falsch-positive Erkennungen sofort gelöscht werden, und die Administratoren können die Dateien in der
Quarantäne weiter untersuchen. Infizierte (E-Mail-)Archive können ebenfalls in die Quarantäne verschoben
werden, erfordern jedoch mehr Aufmerksamkeit. Selbst wenn nur eine Datei oder E-Mail innerhalb eines Archivs
infiziert ist, wird das komplette Archiv verschoben. Dateien, die nicht infiziert wurden, aber zusammen mit einer
infizierten Datei archiviert sind, werden ebenfalls in die Quarantäne verschoben. Das Löschen eines vollständigen
Archivs kann eine noch drastischere Option sein und wird daher nicht empfohlen. Infizierte Archive können
protokolliert werden, wobei die Administratoren sicherstellen müssen, dass das Modul BERICHTE regelmäßig
überprüft wird. Alle Dateien sollten gescannt werden. Durch die Änderung der zu scannenden Dateitypen in NUR
PROGRAMMDATEIEN UND DOKUMENTE werden infizierte Dateien potentiell außer Acht gelassen. Die Scanner-Priorität kann
auf „Hoch“ eingestellt werden, falls der Client während des Scans nicht verwendet wird. Dadurch wird die ScanDauer erheblich reduziert. Anderenfalls sollte die niedrige oder mittlere Einstellung verwendet werden. Die
spezifischen Überprüfungen, wie HEURISTIK, E-MAIL-ARCHIVE, SYSTEMBEREICHE, Dialer und Rootkits, sollten aktiviert
werden, um einen maximalen Schutz zu bieten. In den Scan können Archive einbezogen werden, aber da sie
oftmals relativ unveränderbar sind, könnten sie durch einen selteneren periodischen Scan abgedeckt werden
80
9. On-Demand-Schutz
(siehe Abschnitt 9.2.1.3).
Der Analyseumfang für einen kompletten Scan sollte alle Festplatten beinhalten. Durch die Auswahl von FOLGENDE
VERZEICHNISSE PRÜFEN können Administratoren einen oder mehrere zu scannende Ordner auswählen, um so eine
differenziertere Kontrolle über die im kompletten Scan enthaltenen Ordner zu haben. Obwohl diese Option für
den Ausschluss von nicht zu scannenden Ordnern verwendet werden kann, wird empfohlen, die Option LOKALE
FESTPLATTENLAUFWERKE PRÜFEN aktiviert zu lassen und eventuelle Ausnahmen mithilfe des Moduls CLIENT-EINSTELLUNGEN zu
definieren (siehe Abschnitt 9.3). Zusätzlich zum kompletten Festplattenscan sollten ein Arbeitsspeicher- und
Autostart-Scan separat definiert werden (siehe Abschnitt 9.2.1.3).
9.2.1.2. Schneller Scan
Die zweite Art der wiederkehrenden Scan-Aufträge ist der schnelle Dateiscan. Dieser Scan-Auftrag sollte so
konfiguriert werden, dass er täglich für alle Netzwerk-Clients ausgeführt wird. Server können ebenfalls in den
Auftrag einbezogen werden, aber nur, wenn ausreichende Ressourcen für den Scan zur Verfügung stehen. Bei
einem schnellen Scan werden die Dateien mit dem höchsten Infektionsrisiko überprüft und die Dateien
übersprungen, die nicht ausgeführt werden können (und somit den Client nicht infizieren können). Die
Verringerung der zu scannenden Dateien reduziert die Dauer des Scans erheblich, wobei eine ordnungsgemäße
Sicherheitsstufe erhalten bleibt. Wie bei einem kompletten Scan kann ein schneller Scan durch die Auswahl von
PERIODISCHER SCAN-AUFTRAG konfiguriert werden. Ein schneller Scan sollte täglich ausgeführt werden (Wochenenden
können für Clients ausgelassen werden, die nur in der Woche eingeschaltet und genutzt werden). Der Zeitpunkt,
zu dem der Auftrag ausgeführt werden soll, kann frei definiert werden. Schnelle Scans sind ressourcenschonender
als komplette Scans, können jedoch zu Leistungseinbußen führen (je nach Einstellung auf der Registerkarte
SCANNER). Eine Möglichkeit ist die Planung eines Scans während der Mittagspause oder außerhalb der
Geschäftszeiten (falls die Clients nicht ausgeschaltet werden). Je nach Konfiguration der Client-Hardware und der
Einstellungen für schnelle Scans könnte ein typischer Endbenutzer die verringerte Leistung nicht bemerken,
wodurch die Planung des Scans zu jeder Tageszeit möglich ist.
Auf der Registerkarte SCANNER können die Arten der auszuführenden Malware-Scans konfiguriert werden. Bei
einem schnellen Scan hängen diese Einstellungen vor allem von der erforderlichen Geschwindigkeit ab. Ein
schneller Scan soll ein leichter täglicher Scan sein, der ausführbare Dateien auf Malware prüft und den Client nicht
zu sehr belastet. Für eine optimale Erkennung wird die Verwendung beider Scan-Engines empfohlen. Wenn die
Hardware- oder Software-Konfiguration eines Clients während des schnellen Scans zu Leistungsproblemen führt,
kann der Scan mit nur einer Engine ausgeführt werden. Dadurch verringert sich jedoch leicht die Erkennungsrate.
Wie bei einem kompletten Scan kann die durchzuführende Aktion bei der Erkennung einer infizierten Datei durch
den Administrator bestimmt werden: Es wird eine Desinfektion/Protokollierung empfohlen. Bei einem schnellen
Scan sollten die DATEITYPEN so gewählt werden, dass NUR PROGRAMMDATEIEN UND DOKUMENTE einbezogen werden.
Dadurch werden nur die Dateien gescannt, die durch Ausführen oder Öffnen tatsächlich das System infizieren
können. Andere Dateien werden ignoriert, was Zeit spart. Die Scanner-Priorität hängt von den Ressourcen ab, die
für den Scan-Vorgang verfügbar sind. Falls ein schneller Scan ausgeführt wird, während ein Endbenutzer
wahrscheinlich am Client arbeitet, sollte eine mittlere oder niedrigere Priorität eingestellt werden, um eine
normale Leistung zu gewährleisten. Mit dieser Einstellung könnte der Scan jedoch länger dauern. Um schnell ein
Ergebnis zu erhalten, kann die Priorität auf „Hoch“ gesetzt werden, dadurch wird jedoch die Leistung
beeinträchtigt. Auf gleiche Weise kann die Option ALLE PROZESSOREN BENUTZEN den Scan beschleunigen, was sich
jedoch sehr in der Leistung bemerkbar macht. Durch Aktivieren der Option HEURISTIK wird der Scan mithilfe der
Mustertechnologie ausgeführt, um Malware-Muster zu erkennen. Bei einem schnellen Scan können ARCHIVE durch
Deaktivierung des Kontrollkästchens ignoriert werden: Da sie nicht ausgeführt werden können, müssen sie nicht in
81
einem schnellen Scan überprüft werden. Das Gleiche gilt für E-MAIL-ARCHIVE. In beiden Fällen muss beachtet
werden, dass der Dateisystemwächter für die Clients aktiviert sein muss, um sicherzustellen, dass die in den
Archiven enthaltene Malware bei der Extrahierung blockiert wird. Während eines schnellen Scans sollten
SYSTEMBEREICHE geprüft werden, und AUF ROOTKITS PRÜFEN sollte ebenfalls aktiviert sein. Beide Optionen schlagen sich
nur geringfügig auf die Leistung oder Zeit nieder, dennoch sind sie ein wichtiger Teil des Client-Systems. Letztlich
kann der Scan auf Dailer/Spyware/Adware/Riskware aktiviert werden, wenn diese vom Administrator als Malware
angesehen werden. Durch eine Deaktivierung wird Zeit gespart.
Abbildung 42: G Data Administrator – Aufgabenmodul, neuer periodischer Scan-Auftrag (schneller Scan)
Bei einem schnellen Scan sollte der Analyseumfang alle Client-Dateien beinhalten. Durch Auswahl der Option
LOKALE FESTPLATTENLAUFWERKE PRÜFEN wird der Scan-Auftrag auf der gesamten Festplatte ausgeführt. Es ist möglich,
einen schnellen Scan auf vordefinierte Ordner, wie den Ordner „Programme“ oder den Windows-Systemordner zu
beschränken. Dadurch wird die Scan-Dauer reduziert, es entsteht jedoch ein Sicherheitsrisiko, da ausführbare
Malware-Dateien in jedem Ordner gespeichert sein können. Tatsächlich wird oft versucht, die Erkennung zu
vermeiden, indem unübliche Ordner genutzt werden.
9.2.1.3. Andere periodische Scans
Zusätzlich zu den typischen kompletten und schnellen Scans gibt es mehrere andere häufige Scan-Arten. Vor
allem sollten die Administratoren einen Arbeitsspeicher- und Autostart-Scan planen. Dadurch werden oft
attackierte Windows-Autostart-Bereiche und die aktuell im Arbeitsspeicher ausgeführten Programme überprüft.
Diese Maßnahme ist relativ ressourcensparend und kann für alle Netzwerk-Clients geplant werden, indem ein
neuer periodischer Scan-Auftrag mit der Einstellung des ANALYSEUMFANGS auf SPEICHER UND AUTOSTART PRÜFEN definiert
wird. In der Regel wird ein Arbeitsspeicher- und Autostart-Scan beim Systemstart ausgeführt. Er kann jedoch auch
als stündlicher oder täglicher Auftrag geplant werden. Der Systemstart ist ein guter Zeitpunkt für andere
ressourcensparende Scans. Große Scan-Aufträge sollten vermieden werden: Systeme werden in der Regel von
einem Endbenutzer eingeschaltet und sollten daher so schnell wie möglich einsatzbereit sein. Die Verzögerung
des Starts mit einem Malware-Scan ist oftmals nicht akzeptabel. Wenn ein Client jedoch risikobehaftete Dateien
oder Ordner enthält, die gescannt werden sollen, kann die Planung eines Auftrags für zusätzliche Sicherheit
sorgen, indem die Dateien nach dem Start und vor der Verwendung überprüft werden.
Periodische Scans können verwendet werden, um Dateitypen oder Ordner zu erfassen, die nicht von den
regulären schnellen oder kompletten Scans überprüft werden. Archivdateien sind in der Regel groß und werden
82
9. On-Demand-Schutz
selten geändert. Selbst wenn ein Archiv eine infizierte Datei enthält, ist der Client dennoch sicher: So lange der
Dateisystemwächter aktiviert ist, wird die Datei des Archivs blockiert, sobald sie extrahiert wird. Aufgrund der
verschiedenen Schutzebenen können Archivdateien für eine Zeitersparnis aus dem regulären kompletten Scan
ausgeschlossen werden. Für das Scannen von Archiven kann ein separater periodischer Scan geplant werden.
Während der komplette Scan in der Regel wöchentlich durchgeführt wird, könnte ein Archivscan so geplant
werden, dass er alle zwei Wochen oder einmal monatlich stattfindet. Alternativ können periodische Scans
zwischen kompletten oder schnellen Scans geplant werden, um einen bestimmten Ordner auf Malware zu prüfen.
Besonders risikobehaftete Clients können von einem zusätzlichen Scan profitieren (oder einer erhöhten ScanHäufigkeit des regulären kompletten Scans).
9.2.2. Einzelne Scan-Aufträge
Scans können so geplant werden, dass sie nur einmal erfolgen. Im Gegensatz zu periodischen Scans werden
einzelne Scan-Aufträge einmal ausgeführt. Anschließend wird ein Bericht gespeichert und der Auftrag wird nicht
wiederholt. Einzelne Scans können ein leistungsstarkes Hilfsmittel für Administratoren sein, die Malware suchen
und säubern. Bei der Arbeit mit einem Malware-Infektionsbericht (siehe Kapitel 10) kann ein einzelner ScanAuftrag für einen bestimmten Ordner schnell bei der Überprüfung helfen, ob eine Malware-Infektion vollständig
behoben wurde. Im Falle einer beseitigten Infektion hilft ein einzelner Scan-Auftrag für den Arbeitsspeicher oder
Autostart des Clients sicherzustellen, dass keine Spuren hinterlassen wurden.
Wie bei periodischen Scan-Aufträgen können einzelne Scan-Aufträge einfach im Modul AUFTRÄGE von G Data
Administrator verwaltet werden. Die Einstellungen unter JOBPLANUNG sind dabei etwas einfacher als die für
periodische Scans. Einzelne Scan-Aufträge können im Voraus mit und ohne Startzeit definiert werden. Sie können
bei Bedarf auch direkt ausgeführt werden. Wenn keine Uhrzeit angegeben ist, wird der Auftrag für keine
bestimmte Zeit geplant, wird jedoch in der Übersicht AUFTRÄGE angezeigt. Durch Auswahl des Auftrags und Klicken
auf die Symbolleistenschaltfläche SOFORT (ERNEUT) AUSFÜHREN kann er jederzeit ausgeführt werden. Unter EINSTELLUNGEN
kann der Administrator die verschiedenen Scan-Parameter definieren. Endbenutzer haben die Möglichkeit, den
Scan-Auftrag anzuhalten oder abzubrechen. Obwohl das bei längeren Aufträgen hilfreich ist, sollte der einzelne
Scan-Auftrag naturgemäß so schnell wie möglich fertig gestellt werden, ohne dass ihn der Benutzer unterbrechen
muss. Gleichermaßen ist es oftmals notwendig, den Endbenutzer zu benachrichtigen, wenn ein Virus gefunden
wurde: Wenn der Administrator den Auftrag überwacht, kann er schnell auf mögliche Malware-Infektionen
reagieren. Optional kann der Client abgeschaltet werden, sobald der Scan-Auftrag beendet wurde. Wenn nach
dem Scan weitere Aktionen notwendig sind, ist eine Abschaltung eher unpraktisch. Nur wenn der Scan als letzte
Aufgabe des Tages ausgeführt wird, kann ein Client automatisch ausgeschaltet werden. Letztlich sollte der Client
seinen Scan-Fortschritt regelmäßig dem ManagementServer melden, damit ihn der Administrator gut verfolgen
kann.
Die SCANNER-EINSTELLUNGEN eines einzelnen Scan-Auftrags sollte an die Umstände angepasst werden. Da die
Erkennung optimal sein sollte, müssen in den meisten Fällen beide Scan-Engines sowie die Heuristik und die
Rootkit-Überprüfungen verwendet werden. Die zu scannenden Dateitypen und Bereiche hängen vom Ort der
(möglichen) Infektion ab: Alle Dateien, Programmdateien und Dokumente, Archive, E-Mail-Archive und
Systembereiche umfassen alle möglichen infizierten Orte. In den meisten Fällen ist es praktisch, einen
vorhandenen kompletten Scan-Auftrag für die betroffenen Clients auszuwählen und auf SOFORT (ERNEUT) AUSFÜHREN zu
klicken, um den Scan außerhalb des Zeitplans auszuführen. Der ANALYSEUMFANG sollte wie die Einstellungen
geändert werden, um den Orten der Malware-Infektion zu entsprechen. Ein kompletter Festplattenscan ist
sicherer, könnte jedoch zu einer Überlappung mit dem periodischen vollständigen Scan führen. In jedem Fall
sollte ein Arbeitsspeicher- und Autostart-Scan durchgeführt werden, um zu erfahren, ob irgendwelche Malware-
83
Spuren im Arbeitsspeicher zurückgeblieben sind.
9.3.
Ausnahmen
Es gibt viele Gründe, um Dateien und Ordner aus On-Demand- oder Leerlauf-Scans auszuschließen11. Einige
Dateien könnte fälschlicherweise als Malware erkannt worden sind und müssen daher als Ausnahme konfiguriert
werden. Ein schneller Scan schließt standardmäßig viele Dateitypen und möglicherweise sogar Ordner mit
geringem Risiko aus. Ein kompletter Scan könnte Archive oder Datenbankdateien ausschließen, die in einem
separaten Scan-Auftrag überprüft werden. Leistung, Uhrzeit oder falsch-positive Ergebnisse können alle gute
Gründe sein, um eine Ausnahme zu definieren. Es muss jedoch mit Sorgfalt entschieden werden, welche
Festplatten, Ordner, Dateien oder Dateitypen vom Scan ausgeschlossen werden. Fast alle Datentypen können
potentiell Malware enthalten. Jede Datei auf jeder Festplatte sollte mindestens einmal in einem periodischen
Scan-Auftrag enthalten sein, egal ob dies ein schneller, kompletter oder benutzerdefinierter Scan ist. Dabei ist es
nicht immer hilfreich, eine Datei mehr als einmal durch verschiedene Aufträge scannen zu lassen. Durch die
Alternierung der periodischen Scan-Aufträge kann die gleiche Datei mehr als einmal aufgegriffen werden. Aber
das mehrmalige Scannen von großen Abschnitten der Client-Festplatten ist unnötig.
Abbildung 43: G Data Administrator – Modul „Client-Einstellungen“, Allgemein, Scan-Aufträge, Ausnahmen
Wie bei allen Einstellungen gelten Ausnahmen für den Client oder die Gruppe, der bzw. die im ClientVerwaltungsbereich ausgewählt wurde. Es muss mit Sorgfalt entschieden werden, für welche Clients und auf
welcher Registerkarte Ausnahmen definiert werden, denn dadurch wird der Ausnahmeumfang festgelegt.
Ausnahmen sollten für eine Gruppe definiert werden, die so klein wie möglich ist: Durch das Hinzufügen einer
Ausnahme auf einem Client, der sie nicht benötigt, wird ein Fenster für Malware-Infektionen geöffnet. Ordner und
Laufwerke können als Ausnahme definiert werden, die nur für einen bestimmten Auftrag gilt, indem ein ScanAuftrag erstellt wird, in dem sie nicht enthalten sind. Ordner, die nur nicht zu scannende Dateien enthalten,
können aus einem regulären schnellen oder kompletten Scan ausgeschlossen werden, sollten jedoch in einem
zweiwöchigen oder monatlichen Auftrag enthalten sein. Alternativ können Administratoren mithilfe der
Ausnahmeliste auf der Registerkarte ALLGEMEIN Dateitypen und Ordner als globale Ausnahmen definieren, die in
keinem Auftrag oder Leerlauf-Scan enthalten sein werden. Da die in dieser Liste definierten Ausnahmen
weitreichend sind, sollten sie nur bei einem ernsthaften Problem hinzugefügt werden, wenn z. B. eine wichtige
Datei fälschlicherweise als Malware erkennt wird.
9.4.
Lokale Scan-Aufträge
On-Demand-Schutz ist nicht nur als zentral verwaltete Maßnahme verfügbar. In vielen Fällen kann es hilfreich sein,
Endbenutzer lokale Scan-Aufträge ausführen zu lassen. Obwohl der zentral konfigurierte Wächter bereits Dateien
11
Weitere Informationen über den Ausschluss von Dateien aus Echtzeit-Scans können Abschnitt 8.2.1 entnommen werden.
84
9. On-Demand-Schutz
scannt und sich um mögliche Infektionen kümmert, können Benutzer, von denen erwartet wird, mit Dokumenten
von nicht verifizierten Quellen zu arbeiten (wie Downloads aus dem Internet oder Dateien von
Wechseldatenträgern), lokale Scans für eine zusätzliche Verifizierung der Dateisicherheit nutzen. Die Berechtigung
zum Starten von lokalen Scan-Aufträgen kann mithilfe der CLIENT-FUNKTIONEN gewährt werden (siehe Abschnitt 7.4).
Für Windows-Benutzer kann ein lokaler Scan-Auftrag gestartet werden, indem mit der rechten Maustaste auf das
Infobereichssymbol von G Data Security Client geklickt und das entsprechende Scan-Ziel aus dem Menü
VIRENPRÜFUNG ausgewählt wird. Bei der Verwendung von G Data Security Client für Linux wird die Schnittstelle durch
Klicken auf das G Data Symbol und Auswahl der Scan-Ziele unter VIRENPRÜFUNG geöffnet. Alternativ kann das
Eingabeaufforderungstool „gdavclientc“ zur Durchführung eines Scans verwendet werden.
85
10.
Umgang mit einer Malware-Infektion
Es ist unerheblich, wie gut Endbenutzer über die Risiken des Besuchs von zweifelhaften Websites oder das Öffnen
von E-Mail-Anhängen Bescheid wissen: Es wird einen Punkt geben, an dem Malware einen Client erreicht und
versucht, ihn zu infizieren. Die verschiedenen Ebenen der G Data Sicherheitslösung arbeiten zusammen, um die
Bedrohung zu blockieren, damit das System oder Netzwerk nicht beschädigt wird. Ein Bericht wird dem Modul
BERICHTE hinzugefügt und optional werden automatisch die Administratoren benachrichtigt12. Obwohl Malware
vollständig automatisch blockiert wird, heißt das nicht, dass eine Bedrohung ignoriert werden darf.
Administratoren müssen sich über die Bedrohung informieren: Wo kam sie her, was kann sie tun, und wie hoch ist
das Risiko, dass sie erneut auftritt?
Der Vorteil einer automatischen Blockierung von Malware ist, dass keine sofortige Aktion auf dem Client
ausgeführt werden muss. Eine einzelne Malware-Infektion kann jedoch die Spitze des Eisbergs sein: Besonders
Unternehmensnetzwerke werden oftmals von anspruchsvollen Bedrohungen attackiert, die aus mehreren
Angriffen mit unterschiedlichen Vektoren bestehen. G Data Administrator bietet exzellente
Protokollierungsfunktionen und Statistikmodule, um Infektionen zu bewerten und zu entscheiden, ob weitere
Maßnahmen notwendig sind. Der Anfangspunkt für jede weitere Analyse ist das Modul BERICHTE. Aber viele der
G Data Sicherheitsmodule können dabei helfen, eine Malware-Infektion zu untersuchen und weitere Probleme zu
vermeiden.
In Unternehmen, die Verfahren zum Risikomanagement oder ähnliche Maßnahmen verfolgen, kann eine MalwareInfektion mehrere Ereignisse auslösen. Die automatisierte Erkennung, die Behebung und die erweiterte Behebung
können zusammengefasst oder geändert werden, um sie an vorhandene Verfahren anzupassen, während die in
der Postinfektionsphase gesammelten Informationen dabei helfen können, den Missbrauch des Angriffsvektors zu
verhindern.
10.1.
Automatisierte Erkennung und Entschärfung
Die Erkennung von Malware ist ein vollständig automatisierter Vorgang. Wenn eine der Sicherheitsebenen von
G Data während eines geplanten Scans oder als Ergebnis eines Echtzeit-Sicherheitsmoduls eine Bedrohung
erkennt, führt sie die zuvor definierte Maßnahme automatisch durch und fügt dem Modul BERICHTE einen Bericht
hinzu. Aus diesem Grund ist es wichtig, die Aktion zuvor festzulegen. Zwei Behebungswege sollten verfolgt
werden: Die Entfernung der Infektion als solche und die Verhinderung einer weiteren Verbreitung im Netzwerk.
Ersteres kann direkt mithilfe des G Data Moduls CLIENT-EINSTELLUNGEN konfiguriert werden. Letzteres erfordert eine
umfassende Übersicht über die Netzwerk-Clients und ihre Sicherheitseinstellungen (siehe Abschnitt 10.2).
Der Umgang mit einer mit Malware infizierten Datei kann einzeln für jede Sicherheitsebene definiert werden. Für
den Echtzeit-Dateisystemschutz bietet die Registerkarte WÄCHTER die entsprechenden Optionen unter AKTION BEI
VIRENFUND. Auf der gleichen Registerkarte kann die Komponente VERHALTENSÜBERWACHUNG konfiguriert werden. Der EMail-Scan kann auf der Registerkarte E-MAIL konfiguriert werden, wobei geplante Scan-Aufträge im Modul AUFTRÄGE
auf der Registerkarte SCANNER Reaktionseinstellungen zur Verfügung stellen. Einige Maßnahmen, wie die
Desinfektion und das Verschieben einer Datei in die Quarantäne, können kombiniert werden. Dadurch können
Administratoren beispielsweise den Sicherheitsclient konfigurieren, damit dieser zuerst versucht, die Datei zu
desinfizieren. Sie wird nur in die Quarantäne verschoben, wenn die Desinfektion nicht erfolgreich war.
12
Es wird empfohlen, Alarmmeldungen zu konfigurieren, also E-Mail-Nachrichten, die im Falle einer Malware-Infektion oder eines anderen
auslösenden Ereignisses an den Administrator geschickt werden. Weitere Informationen über die (automatisierte) Überwachung können
Kapitel 6 entnommen werden.
86
10. Umgang mit einer Malware-Infektion
10.1.1. Blockieren des Zugriffs
Die erste Aktion, die bei einer Malware-Erkennung durchgeführt werden sollte, ist die Blockierung der betroffenen
Datei, um eine Ausführung und Infektion des Systems zu verhindern. Das ist das absolute Minimum. Falls eine
infizierte Datei nicht blockiert wird, infiziert sie das System. Je nach Art der Malware führt dies zu Instabilität,
Leistungsverlust, Datenverlust und Schlimmerem. Alle G Data Sicherheitsmodule bieten die Option, infizierte
Dateien zu blockieren (oder den Prozess anzuhalten, sobald sie verdächtiges Verhalten aufweist, wie im Falle der
Verhaltensüberwachung). Sobald eine Datei oder ein Prozess blockiert ist, schickt der Client einen Bericht an den
ManagementServer, wo er die optional konfigurierte Benachrichtigungsprozedur auslöst.
Die Blockierung von Malware verhindert erfolgreich eine Infektion, kümmert sich jedoch nicht um die Datei selbst.
Die problemverursachende Datei bzw. der Prozess verbleibt auf der Festplatte und kann dennoch eine spätere
Ausführung versuchen. Das stellt kein Problem für den Zugriff durch die Clients dar, die mithilfe der G Data
Sicherheitsmodule geschützt werden. Andere Clients, die Zugriff auf die Datei haben, ohne dabei geschützt zu
sein, können jedoch infiziert werden. Deshalb wird empfohlen, dass nach der Blockierung einer Datei immer eine
zusätzliche Aktion ausgeführt wird: entweder eine Desinfektion, ein Verschieben in die Quarantäne oder das
Löschen der Datei.
10.1.2. Desinfektion
Malware kann als isolierte Datei auftreten, die allein zur Infektion von Systemen erstellt wurde. In anderen Fällen
besteht sie aus einer oder mehreren Komponenten, die sich an legitime Dateien anhängen. Dies kann mehreren
Zwecken dienen. Ein Benutzer öffnet eine infizierte Datei eher, wenn sie nicht infiziert aussieht. Durch das
Verstecken eines Malware-Moduls in einem Word-Dokument oder einer ausführbaren Datei eines Drittanbieters ist
es wahrscheinlicher, dass sie ein Endbenutzer versehentlich ausführt. Des Weiteren ist die Erkennung von Malware
schwieriger, wenn sie in eine harmlose Datei eingebunden ist. Letztlich hat Malware, die Dokumente oder
Programme manipuliert, die sich bereits auf dem Client befinden, mehr Macht über den Endbenutzer, da sie mit
dem Löschen, Verstecken oder Verschlüsseln von Dateien drohen kann.
Bei der Desinfektion wird versucht, die Malware aus einer Datei zu entfernen, die sie infiziert hat. Nach einer
erfolgreichen Säuberung kann die Datei ohne weiteres Infektionsrisiko des Systems verwendet werden. Bei den
Sicherheitsmodulen, die diese Option bieten, ist die Desinfektion die empfohlene Einstellung. Wenn Malware
erkannt wird, bewertet das Sicherheitsmodul die Datei und überprüft, ob eine Desinfektion möglich ist. Nicht alle
Dateien können gesäubert werden: Manche Malware beschädigt Dateien auf irreparable Weise. Besonders schwer
ist die Säuberung von Dateien, die durch Malware manipuliert wurden, aber selbst keine Malware enthalten, wie
z. B. verschlüsselte Dokumente. Aus diesem Grund konzentrieren sich die Echtzeit-Schutzmodule auf die
Verhinderung einer Infektion. Die Desinfektion ist eine großartige Möglichkeit, dies zu versuchen, sollte jedoch mit
einer Fallback-Option kombiniert werden, falls die Desinfektion nicht funktioniert. Bei allen Modulen kann die
Desinfektion mit einer anderen Behebungseinstellung kombiniert werden: Blockieren des Dateizugriffs,
Verschieben der Datei in die Quarantäne und Entfernen der Datei.
10.1.3. Quarantäne
Die Verwendung der Funktion „Quarantäne“ wird besonders in Kombination mit einer Desinfektion empfohlen.
Der gesicherte Quarantäne-Ordner funktioniert als Tresor für infizierte Dateien. Jedes Sicherheitsmodul kann die
erkannte Malware in die Quarantäne verschieben, wo sie zur Verhinderung einer Ausführung umbenannt wird.
Der Zugriff auf die Quarantäne ist für Administratoren und Benutzer (falls aktiviert) möglich. Jede Datei in der
Quarantäne besitzt ihren eigenen Bericht im Modul BERICHTE. Die Liste der Berichte kann auf Quarantäneberichte
87
beschränkt werden, indem die entsprechende Symbolleistenschaltfläche verwendet wird. Die betroffenen Dateien
können gesäubert und aus der Quarantäne wiederhergestellt werden. Ein Löschen ist ebenfalls möglich, indem
auf die Symbolleistenschaltflächen geklickt oder mit der rechten Maustaste auf den Bericht geklickt und die
entsprechende Option ausgewählt wird. Bei der Arbeit mit Dateien in der Quarantäne muss sichergestellt werden,
dass sie nicht ausgeführt werden, bevor sie desinfiziert wurden. Falls eine Datei nicht desinfiziert werden kann,
sollte sie nicht ausgeführt werden. Stattdessen sollte sie in der Quarantäne belassen oder gelöscht werden. Die
einzige Ausnahme ist eine falsch-positive Erkennung: Falls eine Datei fälschlicherweise als Malware
gekennzeichnet wurde, sollte sie der Ausnahmeliste des jeweiligen Moduls hinzugefügt und (kann) aus der
Quarantäne wiederhergestellt werden. Es ist besondere Sorgfalt notwendig, wenn verdächtige Dateien auf die
Whitelist gesetzt werden: Das versehentliche Erlauben von Malware auf einem sauberen Client kann ernsthafte
Systemprobleme und Datenverluste verursachen. Dateien in der Quarantäne können zur weiteren Analyse an
G Data geschickt werden. Im Falle einer (vermuteten) Vireninfektion hilft dies, die zukünftige Erkennungsrate zu
verbessern. Aufgrund der großen Menge an Dateiübertragungen können jedoch keine individuellen Antworten
geschickt werden.
10.1.4. Entfernung einer Datei
Die Entfernung einer infizierten Datei ist die gründlichste Behebungsmethode. Bei der Erkennung von Malware
wird sie automatisch gelöscht und kann somit den Client nicht infizieren oder auf andere Computer verteilt
werden. Unternehmen, die auf eine maximale Sicherheit bestehen, können ungeachtet der praktischen Folgen die
Sicherheitsmodule so konfigurieren, dass alle infizierten Dateien sofort gelöscht werden. Das ist jedoch nicht die
empfohlene Einstellung. Je nach Modul und Scanner-Einstellungen könnten Dateien fälschlicherweise als Malware
erkannt werden. Das sofortige Löschen dieser Dateien könnte somit zu Datenverlust führen. In allen Fällen ist die
empfohlene Aktion das Verschieben der Datei in die Quarantäne optional kombiniert mit deren Desinfektion.
10.2.
Erweiterte Entschärfung
Neben den automatisierten Maßnahmen, die jedes Sicherheitsmodul ausführt, gibt es mehrere Aktionen, die ein
Administrator vornehmen kann. Zunächst kann auf der Client-Seite der Endbenutzer über die Infektion informiert
werden. Benutzer könnten versehentlich eine infizierte Website, Datei oder andere Ressource geöffnet haben. Die
Virenwarnung zeigt an, dass der Zugriff auf die Ressource untersagt ist und dass die Datei in die Quarantäne
verschoben oder entfernt wurde.
Abbildung 44: G Data Security Client – Malware gefunden
88
Das Warnfenster kann im Modul CLIENT-EINSTELLUNGEN aktiviert werden, indem die Option BENUTZER BEI VIRENFUND
BENACHRICHTIGEN auf der Registerkarte WÄCHTER aktiviert wird. Es kann hilfreich sein, Endbenutzer über die Blockierung
von Malware zu benachrichtigen. Dadurch erfahren sie, die betroffene Ressource zukünftig zu meiden, und
könnten dem Administrator weitere Details über den Infektionsversuch bereitstellen. Bei unerfahrenen
Endbenutzern könnte die Meldung jedoch Verwirrung oder Angst verursachen, was zu Support-Anrufen führt. Für
diese Benutzer kann die Virenbenachrichtigung deaktiviert werden. Eine Alternative ist das manuelle Senden einer
Nachricht an die betroffenen Clients mithilfe der Funktion NACHRICHTEN im Modul CLIENTS. Dies ermöglicht eine
genauere Anpassung und das Senden von angemessenen Informationen an den Endbenutzer. Dieser Vorgang
kann allerdings nicht automatisiert werden. Dadurch vergeht einige Zeit zwischen der Infektion und dem
Moment, in dem der Administrator manuell die Nachricht schickt.
Ähnliche Argumente für und gegen einen Eingriff durch den Benutzer gelten bei der Frage, ob Benutzer den
lokalen Quarantäneordner öffnen dürfen. Diese Option kann im Modul CLIENT-EINSTELLUNGEN aktiviert werden. Damit
können Benutzer eine vereinfachte Version der Quarantäneberichte anzeigen, die normalerweise nur im Modul
BERICHTE verfügbar sind. G Data Security Client bietet im Kontextmenü des Infobereichs das Fenster QUARANTINE. Die
Funktion „Quarantine“ zeigt das Datum und die Uhrzeit der Infektion, den Virusnamen, den Dateinamen und das
Verzeichnis, in dem es gefunden wurde. Benutzer können die betroffenen Dateien desinfizieren, zurück
verschieben oder löschen. Im Falle einer falsch-positiven Erkennung kann der Endbenutzer die Datei in
Quarantäne wiederherstellen, ohne dass der Administrator eingreift. Gleichzeitig zeigt dies die Gefahr dieser
Funktion: Dateien, die möglicherweise noch infiziert sind, könnten ohne weitere Säuberungsmaßnahmen zurück
ins System verschoben werden. Es wird empfohlen, diese Option für alle Clients deaktiviert zu lassen. Falls ein
Endbenutzer oder Administrator auf die Quarantäne in einem Client zugreifen muss, kann die Option allein für
diesen Client aktiviert werden. Dabei muss sichergestellt werden, dass ein Kennwort abgefragt wird (durch
Aktivierung der Option OPTIONEN MIT EINEM KENNWORT SCHÜTZEN im Modul CLIENT-EINSTELLUNGEN).
Auf Serverseite können Administratoren verschiedene Maßnahmen ausführen, sobald eine Vireninfektion
gemeldet wird. Die erste Maßnahme ist die Sicherstellung, dass sich eine mögliche Infektion nicht auf andere
Netzwerk-Clients verbreiten kann. Die Art und Weise, wie eine Verbreitung verhindert wird, hängt von der
Schwere der Infektion ab. Bei einfachen, überschaubaren Malware-Infektionen reicht es aus, die Datei in die
Quarantäne zu verschieben oder zu löschen. Wenn ein Ausbruch das Potential besitzt, weitere Netzwerk-Clients zu
infizieren, insbesondere solche, die nicht von einer Sicherheitslösung geschützt sind, sollte der infizierte Client so
bald wie möglich vom Netzwerk getrennt werden, indem man seinen Zugriff auf Netzwerkebene (vorübergehend)
aufhebt oder ihn physisch trennt. Hierbei muss der Administrator die Untersuchung und Entschärfung der
Infektion vor Ort fortsetzen, weshalb diese Maßnahme nur bei akuten Fällen empfohlen wird. In jedem Fall sollte
ein sofortiger kompletter Scan des betroffenen Clients geplant werden (siehe Abschnitt 9.2.2), in dem Festplatten,
Speicher und Autostart auf Spuren von Malware geprüft werden. Bei Verwendung des PatchManager-Moduls
(siehe Kapitel 15) sollte der Client auf veraltete Software geprüft werden. Fehlende Patches müssen so schnell wie
möglich bereitgestellt werden. Das PolicyManager-Modul hilft dabei, Anwendungen, Geräte oder Webinhalte zu
sperren, und lässt sich als Teil einer Unternehmensrichtlinie für Inhalte konfigurieren. Eine Malware-Infektion lässt
sich als Ausgangspunkt für eine neue Richtlinie nutzen: Wenn der Angriffsvektor bekannt ist (etwa eine bestimmte
Website, ein infiziertes USB-Laufwerk oder ein anderer Wechseldatenträger), kann PolicyManager diesen in
Zukunft blockieren (siehe Kapitel 14).
10.3.
Analyse
Nach der ersten Entschärfungsmaßnahme sollte die Malware-Infektion analysiert werden. Diese Vorgehensweise
beinhaltet kein striktes Protokoll oder vordefinierte Aktionen. Der Schwerpunkt liegt darauf, Informationen über
89
die Malware zu gewinnen, um künftige Infektionen zu verhindern. Aufgrund von zeitlichen Beschränkungen
haben manche Administratoren möglicherweise keine Zeit dafür, andere hingegen werden alle Aspekte der
Infektion untersuchen sowie Fakten und Hinweise sammeln. Dabei ist eine Sache wichtig: Die Malware wurde
bereits einmal blockiert und wird automatisch blockiert, wenn sie erneut versucht, das System zu infizieren. Die
Durchführung einer zusätzlichen Analyse und das Sammeln weiterer Informationen helfen dabei, den
Schutzvorgang zu optimieren, sind aber nicht erforderlich. Je mehr Informationen gefunden werden, desto
spezifischer sind die zusätzlichen Maßnahmen, die der Administrator ergreifen kann. So kann er beispielsweise
bestimmte Websites oder Programme auf die Blacklist setzen oder zusätzliche Scans konfigurieren.
Ausgangspunkt für die Untersuchung einer Infektion ist das Modul „Berichte“. Der Dateiname der infizierten Datei
wird zusammen mit dem Ordner, in dem sie gefunden wurde, und dem Namen des Virus aufgeführt. In der Spalte
MELDER wird angezeigt, welches Sicherheitsmodul das Virus erkannt hat. Das hilft bei der Feststellung, wie das Virus
versucht hat, den Client anzugreifen. Beispielsweise beziehen sich Berichte des Moduls „Wächter“ auf Dateien, die
in das Dateisystem geschrieben oder daraus gelesen wurden. Die meisten Wächter-Erfassungen werden durch
Dateien ausgelöst, die von einem externen Gerät (etwa einem USB-Stick) gelesen oder von einem Prozess
geschrieben werden (etwa beim Herunterladen einer Datei im Browser). Je nach dem Modul, das das Virus
gemeldet hat, können zusätzliche Maßnahmen geplant werden, etwa ein zusätzlicher geplanter Scan-Auftrag, das
Hinzufügen einer Website zur Blacklist von PolicyManager oder die Anpassung der WÄCHTER-Einstellungen.
Abbildung 45: G Data Administrator – Berichte
Der Virusname ist ein wichtiger Einstieg in die Informationsfindung. Sowohl der vollständige Virusname als auch
seine Familien- oder Kategorienkomponenten können dabei helfen, entscheidende Tipps zum Umgang mit einer
Infektion zu finden. Das Modul BERICHTE zeigt den Virusnamen so an, wie dieser von Sicherheitsmodul und ScanEngine gemeldet worden ist. Der erste Teil des Namens bezieht sich oft auf die Art der Malware: Trojaner, Adware,
Generic oder andere. Dies verdeutlicht die Hauptfunktion der Malware und kann möglicherweise klären, wie sie
das System infiziert hat. Bei manchen Viren folgt auf den Malwaretyp eine Plattformbezeichnung wie JS
(JavaScript) oder VBS (VBScript). Die Plattform definiert die Programmier- oder Skriptsprache, in der die Malware
90
geschrieben wurde oder die sie ausnutzt. Das ist zwar eine wertvolle Information, sie kann aber nicht direkt zum
Schließen von Angriffsvektoren genutzt werden. Eine komplette Plattform von der Ausführung auf einem ClientPC zu sperren, ist eine drastische Maßnahme, die üblicherweise eine große Anzahl legitimer Programme
beeinträchtigt. Es ist aber (sogar vor der Entdeckung einer Infektion) empfehlenswert, sich die konkreten
Sicherheitsoptionen einer Plattform anzusehen und ihre Sicherheitslücken im Auge zu behalten. Zusätzlich zur
Plattform enthalten manche Virusnamen einen ausdrücklichen Verweis auf den Bug, den sie ausnutzen.
Beispielsweise nutzt Exploit.CVE-2011-3402.Gen die Sicherheitslücke aus, die in der Datenbank „Common
Vulnerabilities and Exposures“ (CVE) unter dem Eintrag 2011-3402 beschrieben ist. Einträge in der CVE-Datenbank
können extrem hilfreich dabei sein, Informationen über bekannte Sicherheitslücken und die Methoden zu ihrer
Entschärfung herauszufinden. Das Ministerium für Innere Sicherheit der Vereinigten Staaten pflegt eine CVEDatenbank unter http://nvd.nist.gov, die kostenlosen Zugriff auf die aktuellsten CVE-Rundschreiben gibt. Der
restliche Virusname besteht üblicherweise aus einem Freiformnamen, der von einer der identifizierenden
Eigenschaften dieser konkreten Malware übernommen wurde. Der Name variiert oft von einem Antivirusanbieter
zum anderen, kann aber dabei helfen, eine Online-Suche nach zusätzlichen Informationen zu starten.
91
11.
MobileDeviceManagement
Unternehmensnetzwerke bestehen nicht nur aus PCs. Um die gestiegene Vernetzung zu unterstützen, haben viele
Unternehmen damit begonnen, ihren Mitarbeitern Mobilgeräte wie Tablets und Smartphones auszuhändigen.
Andere erlauben ihren Mitarbeitern, bei der Arbeit ihre eigenen Geräte zu nutzen. Ressourcen und Informationen
auf Mobilgeräten verfügbar zu machen, ermöglicht es den Mitarbeitern, auch außerhalb ihrer traditionellen
Arbeitsumgebung produktiv zu sein. Dies bringt aber auch Risiken mit sich. Mobile Angriffe können die
Gerätesicherheit gefährden und zu Datendiebstahl oder beschädigten Geräten führen. Diese Art von Bedrohung
gilt noch mehr für Netzwerke, mit denen sich auch nicht verwaltete Geräte verbinden dürfen. Privaten
Mitarbeitergeräten den Zugriff auf Unternehmensressourcen zu erlauben, könnte eine mögliche Option zur
Erhöhung der Produktivität bei gleichzeitiger Senkung der Gerätekosten sein. Dies erfordert jedoch eine strikte
Sicherheitsrichtlinie, um Malware-Infektionen im Unternehmensnetzwerk zu verhindern.
MobileDeviceManagement ist in jeder G Data Lösung enthalten. Mobilgeräte werden über die gleiche
Schnittstelle wie andere Clients verwaltet: G Data Administrator führt die Mobilgeräte in seinem ClientVerwaltungsbereich auf und die Konfiguration erfolgt mit demselben modularen System, mit dem auch die
Windows- und Linux-Clients verwaltet werden.
11.1.
Android
Ähnlich wie beim Schutz von PCs werden auch Android-Geräte mit einer agentenbasierten G Data Lösung
gesichert. Mit der App „Internet Security für Android“ lassen sich Malware-Schutz, Berechtigungen,
Diebstahlschutzoptionen und Kontakte zentral verwalten.
11.1.1. Verwalten von Android-Geräten
Android-Geräte werden mit der entsprechenden Funktion in der Symbolleiste des Client-Verwaltungsbereichs
bereitgestellt und erscheinen automatisch, sobald die Client-App installiert wurde und ihre erste Verbindung mit
dem ManagementServer hergestellt hat. Weitere Informationen zur Bereitstellung von Android-Geräten können
Abschnitt 4.8.4 entnommen werden. Der Gerätename kann auf der Registerkarte ANDROID-EINSTELLUNGEN geändert
werden. Eine zusätzliche Anmerkung hilft dabei, die verschiedenen Clients zu unterscheiden. Da Android-Geräte in
der Liste als Clients erscheinen, können sie in Gruppen verschoben werden. Idealerweise lassen sich alle Geräte in
derselben Gruppe mit derselben Richtlinie verwalten, und alle Geräte, die diese Richtlinie nutzen, werden
derselben Gruppe hinzugefügt. Wie bei normalen Clients können je nach Netzwerkzonen und Client-Rollen
mehrere Arten von Gruppen definiert werden (siehe Abschnitt 7.1). Eine logische Klassifizierung würde darin
bestehen, die Mobilgeräte basierend auf der Unternehmensabteilung zu einer Gruppe hinzuzufügen. Bei
Nutzungsszenarien, die Abteilungsgrenzen überschreiten, ist die Gruppierung der Geräte je nach ihrer Nutzung
eine Alternative.
Besonders in einer Umgebung, in der jeder sein eigenes Gerät mitbringt, ist es wichtig, eine
Verwaltungszuständigkeit festzulegen. Bei Geräten, die vom Unternehmen ausgegeben wurden, sollte die volle
Zuständigkeit für die Geräteverwaltung bei den Administratoren des Unternehmensnetzwerks liegen. Bei Geräten,
die von den Mitarbeitern erworben wurden, lässt sich die Grenze aber möglicherweise nicht so klar ziehen:
Können Mitarbeiter dazu gezwungen werden, Geräte zu sichern, die nicht dem Unternehmen gehören? Die G Data
Geräteverwaltung löst dieses Problem mit Konfigurationsprofilen. Für jedes Gerät bzw. jede Gruppe lässt sich
unter ANDROID-EINSTELLUNGEN > RICHTLINIEN ein TELEFON-TYP definieren. Je nach TELEFON-TYP wird ein spezifisches
Konfigurationsprofil auf das Gerät angewendet. Bei der Wahl von UNTERNEHMEN verwendet das Gerät Einstellungen
92
11. MobileDeviceManagement
aus dem Unternehmensprofil, das über G Data Administrator verwaltet wird. Endbenutzer haben keinen Zugriff
auf die Einstellungen. Dies ist die empfohlene Einstellung für Unternehmensgeräte. Wenn PRIVAT eingestellt ist,
nutzt das Gerät sein lokales Konfigurationsprofil und die Endbenutzer dürfen Einstellungen auf dem Gerät selbst
konfigurieren. Diese Einstellung sollte verwendet werden, wenn das Gerät nicht vom Unternehmen ausgegeben
wurde und kein Rechtsanspruch auf die Verwaltung des Geräts besteht. Die Einstellung GEMISCHT lässt die Benutzer
frei zwischen den Konfigurationsprofilen „Unternehmen“ und „Privat“ wechseln.
Besonders bei der Verwendung des Unternehmensprofils sollten die Endbenutzer darüber informiert werden, dass
ihr Gerät per Fernzugriff verwaltet wird und der Administrator sich für die Ergreifung weitreichender Maßnahmen
entscheiden kann, etwa die Blockierung des Zugangs zum Gerät oder sogar die Löschung der Daten auf dem Gerät
(im Zusammenhang mit Diebstahlschutzmaßnahmen, siehe Abschnitt 11.1.6). Zu diesem Zweck bietet das Modul
CLIENTS die Möglichkeit, dass Internet Security einen Endbenutzer-Lizenzvertrag (EULA) anzeigt, dem der
Endbenutzer zustimmen muss. Im Menü CLIENTS können Administratoren die EULAs unter EULAVERWALTUNG verfassen
und verwalten. Es können beliebig viele Verträge erstellt werden. Wenn ein Android-Client ausgewählt ist, kann
ein EULA zugewiesen oder entfernt werden, indem die Option ZUGEWIESENE EULA ÄNDERN oder ZUGEWIESENE EULA LÖSCHEN
aus dem Menü CLIENTS ausgewählt wird.
Vor der Konfiguration spezifischer Richtlinien zur Geräteverwaltung sollten der Update-Plan und die
Synchronisation definiert werden. Beide Einstellungen hängen vom Nutzungsmuster für das Gerät ab. Geräte, die
oft mit einem drahtlosen Netzwerk verbunden werden, können so konfiguriert werden, dass sie ihre
Virensignaturen automatisch aktualisieren und alle paar Stunden die Daten mit dem ManagementServer
synchronisieren. Geräte, die hauptsächlich außerhalb des Unternehmensnetzwerks genutzt werden oder sich über
einen Mobildatentarif mit dem Internet verbinden, können so konfiguriert werden, dass Updates weniger häufig,
manuell oder nur bei einer WLAN-Verbindung stattfinden. Das Gleiche gilt für die Synchronisation: Es lassen sich
verschiedene Einstellungen für WLAN- und Mobildatentarife konfigurieren.
11.1.2. Echtzeit- und On-Demand-Schutz
Ebenso wie Desktop- und Laptop-Clients sind auch Android-Clients anfällig für Malware-Infektionen. Insbesondere
gerootete Geräte haben keine ausreichenden Mechanismen zum Schutz vor schädlichen Apps aus unbekannten
Quellen. Vielmehr kann es schwerwiegende Folgen haben, wenn es bösartige Apps schaffen, sich in die offiziellen
App-Stores einzuschleichen. Außerdem können Websites versuchen, Malware bereitzustellen, Sicherheitslücken
im Betriebssystem auszunutzen oder den Endbenutzer auf andere Weise zu täuschen. Aus diesem Grund bietet
„Internet Security für Android“ einen Echtzeit- und On-Demand-Schutz. Die Registerkarte ALLGEMEIN des Moduls
ANDROID-EINSTELLUNGEN enthält Optionen für alle Sicherheitsmodule.
WEB-SCHUTZ bietet Echtzeit-Schutz bei der Nutzung des Android-Browsers. Diese Einstellung sollte aktiviert bleiben.
Da der Web-Schutz eine geringen Datenverkehr produziert, lässt er sich so konfigurieren, dass er nur bei einer
WLAN-Verbindung des Geräts arbeitet. Die zweite Komponente des Echtzeit-Schutzes ist die automatische
Virenprüfung, die durch die Auswahl von AUTOMATISCH unter VIRENPRÜFUNG aktiviert wird. Beim Herunterladen und
Starten einer App wird diese von der Virenprüfung transparent auf Malware geprüft und die Installation blockiert,
wenn sich die App als schädlich herausstellt.
Der On-Demand-Schutz ist in Form einer vollständigen Virenprüfung des gesamten Geräts verfügbar. Damit
Internet Security das Gerät regelmäßig scannt, muss unter VIRENPRÜFUNG die Option PERIODISCH aktiviert werden. Es
können zwei Arten von Scans konfiguriert werden: ALLE ANWENDUNGEN oder INSTALLIERTE ANWENDUNGEN. Solange das
Gerät vom Scan nicht zu sehr ausgebremst wird, ist eine regelmäßige Überprüfung aller Anwendungen
empfehlenswert, um sicherzugehen, dass sich keine Malware auf Speichermedien (etwa einer SD-Karte) befindet.
93
Je nachdem, wie oft das Gerät benutzt und wie oft neue Software darauf installiert oder gespeichert wird, kann
das Intervall auf 1 Tag, 3 Tage, 7 Tage, 14 Tage oder 30 Tage eingestellt werden. In den meisten Fällen ist eine
tägliche Überprüfung empfehlenswert: Der Scan verursacht keine spürbaren Verzögerungen und sorgt für
maximale Sicherheit. Um sicherzugehen, dass durch die Virenprüfung die Batterie nicht entladen wird, kann sie so
konfiguriert werden, dass sie nur während des Aufladens des Geräts stattfindet. Alternativ kann AKKUSPARMODUS
gewählt werden, damit der Scan verschoben wird, wenn sich das Gerät im Energiesparmodus befindet. Dies
schont die Batterie, öffnet aber ein Sicherheitslückenfenster, in dem vorhandene Malware unbemerkt bleiben
kann.
11.1.3. Geräterichtlinien
Bei Android-Geräten kommt die größte Bedrohung von gerooteten Geräten. Wenn der Endbenutzer einen RootZugriff auf das Gerät erhalten hat, kann jede Form von Sicherheit auf der Betriebssystem- oder App-Ebene
mühelos untergraben werden, und wenn es die Malware schafft, das Gerät zu infizieren, gewinnt sie einen
praktisch unbegrenzten Zugriff auf die Funktionen des Betriebssystems. Um die Kontrolle über verwaltete
Android-Geräte zu behalten, sollte daher gerooteten Geräten der Netzwerkzugriff verweigert werden. Dazu kann
der Administrator im Bereich RICHTLINIEN des Moduls ANDROID-EINSTELLUNGEN die SSID, das KENNWORT und die
VERSCHLÜSSELUNG des Unternehmens-WLAN definieren. Wenn GEROOTETE GERÄTE ERLAUBEN nicht aktiviert ist, werden
gerootete Geräte, auf denen Internet Security installiert ist, mit dem Fernwartungskennwort (siehe
Abschnitt 11.1.6) blockiert und der Zugang zum WLAN wird verweigert.
Abbildung 46: G Data Administrator – Android-Einstellungen, Richtlinien
Zusätzlich zum Blockieren gerooteter Geräte bietet die Registerkarte RICHTLINIEN noch weitere Einstellungen. Der
Administrator kann für jedes Gerät den Kamerazugriff aktivieren oder deaktivieren (für Geräte mit Android 4.0 und
höher). Zum Schutz der auf dem Telefon gespeicherten Daten kann eine Verschlüsselung verlangt werden. Wenn
VERSCHLÜSSELUNG ERFORDERLICH ausgewählt ist, öffnet das Gerät automatisch das Android-Fenster mit
Verschlüsselungseinstellungen, damit der Benutzer die Verschlüsselung aktivieren kann. Das Fenster lässt sich erst
94
schließen, wenn eine Verschlüsselung aktiviert worden ist.
11.1.4. Apps
Die Attraktivität von Mobilgeräten besteht zum Teil auch darin, dass sich ihre Standardfunktionen durch das
Installieren von Apps erweitern lassen. Auch in einem Unternehmensumfeld kann das extrem praktisch sein:
Produktivitätstools oder Konfigurationsapps können die Anzahl der Anwendungsfälle für Mobilgeräte deutlich
erhöhen. Gleichzeitig sollten Unternehmensgeräte eine kontrollierte Umgebung bieten und dafür sorgen, dass
Apps keine Kompatibilitätsprobleme verursachen, sensible Daten abrufen oder Malware verbreiten können. Die
App-Verwaltung ist eine leistungsstarke Möglichkeit, die Funktionalität eines Android-Geräts zu kontrollieren und
dabei Sicherheit mit Benutzerfreundlichkeit in Einklang zu bringen. Die Administratoren sollten jederzeit wissen,
welche Apps auf verwalteten Android-Geräten ausgeführt werden, und diese nach Bedarf blockieren oder
zulassen.
Das Modul ANDROID-EINSTELLUNGEN bietet auf der Registerkarte APPS durchdachte Möglichkeiten der App-Verwaltung.
Als erster Schritt kann sie für eine Inventur der Apps verwendet werden, die auf Android-Geräten im Netzwerk in
Gebrauch sind. Jede installierte App wird mit Name, Version und Größe aufgeführt. Für jede App sollten die
Administratoren Informationen über ihren Anbieter, ihre Funktionen und ihre Versionsgeschichte einholen,
insofern Informationsquellen verfügbar sind. Bei vielen Apps liefert der offizielle App-Store genügend
Einzelheiten, bei anderen kann es erforderlich sein, sich die Homepage des Anbieters anzusehen. Auf der
Grundlage dieser Informationen und der beabsichtigten Nutzung des Geräts (je nach Gerätegruppe, -typ und netzwerkzone) können Apps der Whitelist oder der Blacklist hinzugefügt werden. Dadurch werden die
aufgeführten Apps zugelassen bzw. blockiert. Bei Verwendung des definierten Kennworts wird die Ausführung der
Apps blockiert.
Die Nutzung der Black- oder Whitelist hängt davon ab, ob das Gerät komplett gesperrt werden soll. Wenn es das
Ziel ist, nur ein paar bekannte schlechte Apps zu blockieren, dem Benutzer aber eine relative Freiheit zu lassen,
reicht die Arbeit mit der Blacklist aus. Es sollten aber zumindest die App „Android-Einstellungen“ und Internet
Security selbst kennwortgeschützt sein. Dies wird den Endbenutzer daran hindern, unerlaubte Änderungen an
den Einstellungen vorzunehmen. Indem der offizielle App-Store auf die Blacklist gesetzt wird, ist gewährleistet,
dass keine weiteren Apps installiert werden können. Um die Apps eines Geräts vollständig zu kontrollieren, ist die
Arbeit mit der Whitelist die zuverlässigste Möglichkeit. Apps auf der Whitelist können ohne Einschränkungen
genutzt werden, aber alle anderen Apps sind gesperrt. Das ist besonders praktisch für Geräte, die für maximale
Sicherheit oder einen einzigen Workflow konfiguriert sind. Beispielsweise kann ein Gerät, das nur von
Vertriebsmitarbeitern genutzt werden soll, im Whitelist-Modus betrieben werden, sodass nur die
Telefonkomponente und die Vertriebsdatenbank-App genutzt werden können.
11.1.5. Kontaktverwaltung und -filterung
Bei Geräten, die in einer Unternehmensumgebung genutzt werden, kann es von entscheidender Bedeutung sein,
Kommunikationsströme zu kontrollieren. Das Blockieren von Apps kann helfen, wenn eine Kommunikation
vollständig verhindert werden soll, in manchen Szenarien sollte aber besser ein feinerer Filter eingesetzt werden.
Anstatt die Telefon-App komplett zu sperren, wenn ein Gerät nur für berufliche Kommunikation genutzt werden
soll, könnten aus- und eingehende Anrufe auch gefiltert werden, wenn sie die Unternehmenskriterien nicht
erfüllen. Beispielsweise könnte ein Unternehmen, das seine Mitarbeiter mit Telefonen ausstattet, damit diese von
unterwegs aus mit dem Hauptsitz kommunizieren können, alle Anrufe blockieren, die nicht an einen im Voraus
genehmigten Unternehmenskontakt gehen bzw. von diesem kommen. Für die Verwaltung der Kontakte auf dem
95
Telefon kann das Unternehmenstelefonbuch genutzt werden. Auch ohne die Nutzung von Filtermöglichkeiten
kann das Blockieren des eingebauten Gerätetelefonbuchs und das Befüllen des Unternehmenstelefonbuchs von
Internet Security ein effektiver Weg sein, um die Kontrolle über die Kontaktdaten zu gewährleisten.
Die Registerkarten TELEFONBUCH und ANRUF-FILTER des Moduls ANDROID-EINSTELLUNGEN bieten zusammen umfassende
Möglichkeiten für die Kontaktverwaltung und -filterung. Die Basis aller Funktionen ist die Kontaktdatenbank. Sie
fungiert als zentraler Knotenpunkt für alle Unternehmenskontakte, auf deren Grundlage sich Telefonbücher für
verschiedene Geräte ebenso wie gezielte Anruf- und SMS-Filter anlegen lassen. Die Datenbank kann im Modul
TELEFONBUCH oder ANRUF-FILTER mithilfe der Option KONTAKTDATENBANK ANZEIGEN geöffnet werden. Kontakte können durch
Klicken auf die entsprechende Schaltfläche in der Symbolleiste manuell hinzugefügt werden. Das Fenster KONTAKT
bietet Eingabefelder für Name, Adresse, E-Mail/Fax/Telefon und Unternehmen. Für Unternehmen mit einer
begrenzten Anzahl von Kontakten oder für kleine verwaltete Telefonbücher ist die manuelle Eingabe von
Kontakten eine praktische Möglichkeit, die Kontaktdatenbank schnell zu befüllen. Wenn das Netzwerk Active
Directory nutzt, können über die Schaltfläche KONTAKTE IMPORTIEREN die Kontaktdaten auch importiert werden. Für
einen Import aller Kontakte der Domäne muss die entsprechende Domäne ausgewählt und auf OK geklickt
werden. In der Übersichtsliste der KONTAKTDATENBANK können die importierten Kontakte bearbeitet oder entfernt
werden. Wenn die Datenbank mit allen notwendigen Kontaktdaten befüllt worden ist, wird der Vorgang mit
SCHLIEßEN beendet. Nachdem alle Kontakte in der KONTAKTDATENBANK definiert worden sind, können diese auf die
entsprechenden Geräte verteilt werden. Beispielsweise können alle Geräte mit einer vollständigen Liste der
Durchwahlnummern von Kollegen versorgt werden. Alternativ kann Gerätegruppen – kombiniert mit einer Sperre
der standardmäßigen Telefonbuch-App und der Nutzung des Moduls ANRUF-FILTER – der Zugriff nur auf bestimmte,
ausdrücklich bereitgestellte Telefonnummern im Telefonbuch gewährt werden.
Das Modul ANRUF-FILTER kann für die umfassende Filterung der einund ausgehenden Kommunikation genutzt
werden. Es funktioniert wie ein Filter des eingebauten Gerätetelefonbuchs. Anstatt die Android-Telefonbuch-App
komplett zu sperren, ermöglicht der Filter eine differenzierte Kontrolle der Kommunikationsströme. Durch die
Aktivierung des Whitelist-Modus werden beispielsweise nur solche ein- oder ausgehenden Anrufe zugelassen, bei
denen die entsprechenden Telefonnummern auf der Whitelist stehen. Im Blacklist-Modus ist die Kommunikation
generell zulässig, aber es können bestimmte Nummern blockiert werden. Ein zusätzlicher Filter ermöglicht die
Kommunikation mit den Telefonbuchkontakten von Android und Internet Security sowie die Sperrung aller
anderen (die Kontakte in der Whitelist bilden dabei die einzige Ausnahme).
11.1.6. Diebstahlschutz
Um zu gewährleisten, dass auf E-Mails oder Dokumente des Unternehmens und andere
Unternehmenskommunikation nicht zugegriffen werden kann, wenn ein Gerät verloren geht oder gestohlen wird,
können verschiedene Diebstahlschutzmaßnahmen definiert werden. Zunächst kann ein Versuch hilfreich sein, das
Gerät wiederzufinden. Dabei kann es helfen, das Gerät mit GPS-Technologie zu orten oder einen Alarmton
auszulösen. Wenn die Ortung des Geräts nicht möglich ist oder keine verwertbaren Ergebnisse liefert, kann das
Gerät gesperrt und so für einen Dieb wertlos gemacht werden. Als letzter Ausweg kann man Geräte auf die
Werkseinstellungen zurücksetzen, wodurch alle Daten auf dem Gerät gelöscht werden.
Das Modul ANDROID-EINSTELLUNGEN bietet Zugang zu DIEBSTAHLSCHUTZMAßNAHMEN. Sie können automatisch oder manuell
ausgelöst werden. Um alle Maßnahmen zu aktivieren, müssen verschiedene Einstellungen konfiguriert werden.
Ein FERNWARTUNGS-KENNWORT (ein numerischer PIN-Code) sollte eingegeben werden. Es wird als Kennwort beim
Senden von SMS-Befehlen und als Bildschirmsperrenkennwort genutzt, wenn kein Bildschirmsperrenkennwort
ausdrücklich definiert worden ist. Es sollte eine VERTRAUENSWÜRDIGE TELEFONNUMMER eingegeben werden, um zu
gewährleisten, dass nicht jeder einen Befehl zum Zurücksetzen des Kennworts senden kann. Ein solcher Befehl
96
wird nur ausgeführt, wenn er von der vertrauenswürdigen Telefonnummer gesendet wird. Schließlich wird die EMAIL-ADRESSE FÜR BENACHRICHTIGUNGEN eingegeben, um gegebenenfalls Rückmeldungen von den Aktionen zu erhalten.
Wenn ein Gerät verloren geht oder gestohlen wird, lässt sich eine Aktion darauf am einfachsten ausführen, indem
man dem Gerät eine SMS-Nachricht schickt. Unter ERLAUBTE AKTIONEN lassen sich die Befehle aktivieren oder
deaktivieren, die an das Gerät gesendet werden können. Zum Auslösen der entsprechenden Maßnahme wird eine
SMS-Nachricht mit folgendem Befehl an das Gerät geschickt:
Befehl
Kennwort locate
Maßnahme
Gerät orten. Das Gerät meldet seinen Standort per SMS. Wenn unter E-MAIL-ADRESSE FÜR
BENACHRICHTIGUNGEN eine E-Mail-Adresse eingegeben wurde, werden die Standortdaten auch an
diese gesendet.
Kennwort wipe
Gerät auf Werkseinstellungen zurücksetzen. Alle persönlichen Daten werden gelöscht.
Kennwort ring
Alarmton auslösen. Das Gerät gibt einen Klingelton wieder, bis Internet Security gestartet wird.
Kennwort mute
Gerät lautlos schalten. Es werden alle Klingeltöne mit Ausnahme desjenigen lautlos geschaltet,
der von der Alarmtonoption ausgelöst wird.
Kennwort lock
Bildschirmsperre mithilfe des Bildschirmsperrenkennworts aktivieren. Wenn kein
Bildschirmsperrenkennwort definiert wurde, wird das Fernwartungskennwort verwendet.
Kennwort set device
password: neuesKennwort
Bildschirmsperrenkennwort festlegen. Legt das Kennwort fest, das zum Sperren des Geräts
genutzt wird. Das Gerät wird dadurch nicht automatisch gesperrt: Anschließend muss noch der
Sperrbefehl gesendet werden.
Der erste Teil des Befehls (Kennwort) ist das FERNWARTUNGSKENNWORT. Bei Bedarf kann es per SMS zurückgesetzt
werden. Dazu wird über die VERTRAUENSWÜRDIGE TELEFONNUMMER folgender Befehl gesendet: remote password reset:
neuesKennwort.
Bei einem Gerätediebstahl wird häufig die SIM-Karte entfernt, damit der ursprüngliche Besitzer das Gerät nicht
über seine Telefonnummer kontaktieren kann. Als Gegenmaßnahme können Aktionen definiert werden, die bei
einem Wechsel der SIM-Karte automatisch stattfinden. Der Sperrbildschirm des Telefons kann aktiviert werden,
sodass ein Zugriff auf das Gerät nicht mehr möglich ist und das Gerät geortet werden kann. Dadurch wird eine EMail mit den GPS-Koordinaten an die Adresse geschickt, die unter E-MAIL-ADRESSE FÜR BENACHRICHTIGUNGEN definiert
wurde. Diese Maßnahmen müssen deaktiviert werden, wenn ein Wechsel der SIM-Karte erforderlich ist –
beispielsweise dann, wenn ein Gerät nicht mehr genutzt oder einem anderen Mitarbeiter zugewiesen wird.
Zusätzlich zu SIM- und SMS-basierten Maßnahmen lassen sich auch über G Data Administrator verschiedene
Aktionen einleiten. Wenn eine Maßnahme sofort ausgelöst werden muss, kann die NOTFALLFUNKTION verwendet
werden. Das Gerät muss dafür nicht mit dem ManagementServer-Netzwerk verbunden sein: Es stützt sich auf
Google Cloud Messaging, einen Online-Dienst von Google, mit dem man Befehle an Android-Geräte schicken
kann. Google Cloud Messaging erfordert eine gewisse Konfiguration. Man muss sich in der Google Developer
Console (https://code.google.com/apis/console/) anmelden, um einen API-Schlüssel und eine Sender-ID zu
erhalten. Dazu ist ein Google-Konto erforderlich. Wenn nach der Anmeldung auf PROJEKT ERSTELLEN geklickt wird,
kann ein neues API-Projekt angelegt werden. Anschließend muss im linken Menü auf APIS UND AUTHENTIFIZIERUNG >
APIS geklickt werden. Auf der rechten Bildschirmseite werden nun die Optionen MOBILE APIS > CLOUD MESSAGING FOR
ANDROID und API AKTIVIEREN ausgewählt. Nach der Aktivierung muss die Option APIS UND AUTHENTIFIZIERUNG >
ZUGANGSDATEN genutzt werden, um die Seite „Anmeldedaten“ zu öffnen. Um einen API-Schlüssel zur Verwendung
auf seinem Server zu erstellen, werden die Optionen NEUEN SCHLÜSSEL ERSTELLEN > SERVER-SCHLÜSSEL > ERSTELLEN
verwendet. In G Data Administrator muss dieser Schlüssel unter SERVER-EINSTELLUNGEN > MOBIL eingegeben werden.
Die SENDER-ID, die auf derselben Registerkarte eingegeben werden muss, ist in der Adressleiste des Browsers zu
finden. Beim Anmelden in der Google Developers Console erscheinen im Browser URLs mit einer Struktur wie
97
https://console.developers.google.com/project/1234567890123/apiui/apis/library. Die Zahl (in diesem Beispiel
1234567890123) ist die SENDER-ID.
Wenn SENDER-ID und API-SCHLÜSSEL konfiguriert sind, lässt sich über die Schnittstelle von G Data Administrator
mühelos eine Notfallaktion auslösen. Dazu müssen im Client-Verwaltungsbereich das Gerät, auf dem die
Maßnahme ausgelöst werden soll, und die entsprechende Aktion ausgewählt werden. Durch Klicken auf FUNKTION
AUSFÜHREN wird der Befehl an das Gerät geschickt und unverzüglich ausgeführt. Die Befehle funktionieren genauso
wie die, die per SMS ausgelöst werden können.
11.2.
iOS
Im Unterschied zu Android-Geräten benötigen iOS-Geräte keine App, um geschützt zu sein. Die Bereitstellung
eines iOS-MDM-Profils (für iOS 7.0 und höher verfügbar) ermöglicht es den Administratoren, Einschränkungen für
Apps, Funktionen und Inhalte sowie für Passcodes und drahtlose Netzwerke zu erzwingen.
11.2.1. Verwalten von iOS-Geräten
iOS-Geräte werden mit der entsprechenden Funktion in der Symbolleiste des Client-Verwaltungsbereichs
bereitgestellt und erscheinen automatisch, sobald der Endbenutzer die MDM-Anfrage über die Installations-E-Mail
geöffnet hat (weitere Informationen zur Bereitstellung von iOS-Geräten können Abschnitt 4.8.5 entnommen
werden). Wenn in G Data Administrator ein iOS-Gerät ausgewählt wird, stehen mehrere iOS-MDM-Module zur
Verfügung.
Abbildung 47: G Data Administrator – Clients (iOS)
Auf der Registerkarte CLIENTS (iOS) erscheint eine Übersicht aller verwalteten iOS-Geräte. Für jeden Client werden
mehrere gerätespezifische Merkmale angezeigt, etwa seine IMEI-Nummer, die iOS-Version und der Produktname.
In der Spalte SECURITY-STATUS erscheinen Warnungen für Geräte ohne Richtlinienprofil (siehe Abschnitt 11.2.2) sowie
98
Meldungen zum MDM-Installationsstatus, denn das MDM-Konzept von Apple ermöglicht es Endbenutzern, die
MDM-Lösung ohne die Genehmigung eines Administrators von einem Gerät zu entfernen. Für Geräte ohne aktive
MDM-Lösung (weil sie vom Administrator oder Endbenutzer entfernt wurde oder weil die Installation nicht
genehmigt wurde), kann der Installationslink über das Kontextmenü erneut verschickt werden.
Beim Entfernen von Geräten aus der iOS-Geräteverwaltung muss unbedingt zuerst die MDM-Lösung deaktiviert
werden. Das Gerät sollte nur entfernt werden, wenn die Spalte SECURITY-STATUS bestätigt, dass die MDM-Lösung
deaktiviert worden ist. So wird verhindert, dass sich Geräte nicht mehr verwalten lassen – beispielsweise dann,
wenn sie von der Liste entfernt werden, bevor das Gerät den Befehl zur Deaktivierung der MDM-Lösung erhalten
hat. Die Kommunikation zwischen G Data ActionCenter und den iOS-Geräten erfolgt über Push-Nachrichten. iOSGeräte müssen einen WLAN-Zugang oder eine SIM-Karte mit Datentarif haben, um Push-Nachrichten empfangen
zu können. Ohne Datentarif oder WLAN-Zugang kann das Gerät nicht vollständig aktiviert oder verwaltet werden.
Einige iOS-Gerätezustände können den Empfang von Push-Nachrichten stören, wodurch sich die Ausführung von
MDM-Befehlen verzögert. Um eine korrekte Kommunikation zu gewährleisten, sollte das Gerät aufgeladen sein
und sich nicht im Ruhemodus, Nicht-stören-Modus oder Flugmodus befinden. Der Status der verschiedenen PushNachrichten lässt sich mit dem Modul BERICHTE (iOS) nachverfolgen. Die Berichte enthalten Bestätigungen des
Profilbereitstellungsstatus und der Diebstahlschutzfunktion. Die Anzahl der Berichte ist auf 1.000 begrenzt. Wenn
diese Grenze erreicht ist, werden zuerst die ältesten Berichte entfernt.
11.2.2. Geräterichtlinien
Bei der Nutzung von iOS-Geräten in einer Unternehmensumgebung müssen bestimmte Funktionen gesperrt
werden, um zu gewährleisten, dass sensible Daten geschützt sind und die Geräte nur für produktive Zwecke
genutzt werden. Geräte- und App-Einstellungen, Inhalte und WLAN-Zugang lassen sich mithilfe von
Richtlinienprofilen steuern.
Abbildung 48: G Data Administrator – iOS-Einstellungen, Profile
99
Wie bei Android-Geräten hängt die empfohlene Richtliniennutzung vom Zugriff auf sensible Daten und dem Grad
der Freiheit ab, die der einzelne Endnutzer haben soll. Wenn Geräte beispielsweise auf das
Unternehmensnetzwerk und/oder auf Unternehmensdaten zugreifen dürfen, sollte sichergestellt sein, dass sich
auf dem Gerät keine Apps befinden, die sensible Daten gefährden könnten. Die Anzahl der Einschränkungen
hängt auch davon ab, ob das Gerät vom Unternehmen ausgegeben wurde oder einem Mitarbeiter gehört. Die
Endbenutzer werden wahrscheinlich keine strenge Verwaltung ihrer privaten Geräte zulassen, bei
Unternehmensgeräten kann jedoch eine Reihe strikter Richtlinien eingesetzt werden.
G Data Administrator ermöglicht die Verwaltung der Richtlinienprofile über die Registerkarte PROFILE. Ein Profil
besteht aus bis zu fünf Richtlinien, die thematisch gruppierte Einstellungen enthalten. Mit der Richtlinie APPEINSCHRÄNKUNGEN können Administratoren zum Beispiel den iTunes Store deaktivieren und die Richtlinie CODE
EINSTELLUNGEN schreibt Mindeststandards für den Passcode des Geräts vor. Nach dem Hinzufügen von Richtlinien
kann ein Profil mithilfe des Moduls CLIENTS (iOS) oder der Registerkarte ALLGEMEIN des Moduls IOS-EINSTELLUNGEN einem
oder mehreren iOS-Geräten zugewiesen werden. Dies ermöglicht einheitliche Einstellungen auf allen Geräten.
Die Wahl der Geräterichtlinien liegt beim Administrator und hängt von den Sicherheitsanforderungen des
Unternehmens ab. Dennoch können einige Empfehlungen ausgesprochen werden. Wenn das Gerät keinen
Passcode besitzt, ist die Sperrbildschirmfunktion unzureichend, die sich durch das Modul DIEBSTAHLSCHUTZ auslösen
lässt. Um zu gewährleisten, dass das Gerät im Falle eines Diebstahls gesperrt werden kann, sollte die Richtlinie
CODE EINSTELLUNGEN angewendet werden, welche die Nutzung des Passcodes erzwingt. Da die MDMImplementierung von Apple den Endbenutzern erlaubt, die MDM-Lösung lokal auf iOS-Geräten zu deaktivieren,
empfiehlt sich die Nutzung von einer oder mehreren WLAN-Richtlinien, um zu verhindern, dass die Benutzer die
Richtlinien beliebig umgehen. Durch die Kombination einer WLAN-Richtlinie mit anderen Richtlinien sind die
Endbenutzer gezwungen, die anderen Richtlinien zu akzeptieren, wenn sie weiterhin auf das drahtlose Netzwerk
zugreifen möchten. Beispielsweise kann dem drahtlosen Unternehmensnetzwerk ein WPA/WPA2-Kennwortschutz
hinzugefügt werden, damit Geräte nicht darauf zugreifen können. Anschließend kann dem MDM-Profil eine WLANRichtlinie hinzugefügt werden, die den Netzwerknamen und die Anmeldedaten enthält. Dadurch ist
gewährleistet, dass nur iOS-Geräte mit diesem Profil auf das Netzwerk zugreifen können. Wenn ein Endbenutzer
versucht, eine Inhaltsrichtlinie durch Deaktivierung der MDM-Lösung zu umgehen, werden nicht nur die
Einschränkungen entfernt, sondern auch der Zugang auf das Unternehmens-WLAN, wodurch die weitere Nutzung
des Geräts sehr unpraktisch wird.
11.2.3. Diebstahlschutz
Wenn ein Gerät verloren geht oder gestohlen wird, muss als erstes dafür gesorgt werden, dass niemand auf die
Daten auf dem Gerät zugreifen kann. Danach kann es per GPS geortet werden (um das Gerät zu finden und
zurückzuholen) oder es kann die drastischere Maßnahme ergriffen werden, die Daten auf dem Gerät zu löschen
(falls es keine Möglichkeit gibt, das Gerät zu finden und zurückzuholen). Apple bietet registrierten iCloudBenutzern die Funktion „Mein iPhone suchen“. Damit können sich die Benutzer auf einer speziellen Website
anmelden und ein Gerät sperren, verfolgen oder entfernen.
Als Alternative zur Funktion „Mein iPhone suchen“ können die Administratoren mit dem Modul IOS-EINSTELLUNGEN
die Diebstahlschutzfunktionen auf der Registerkarte DIEBSTAHLSCHUTZ auslösen, ohne sich auf einer externen Website
anmelden zu müssen. Die Funktionen zum Sperren und Zurücksetzen des Geräts können ausgelöst werden, indem
die entsprechende Option ausgewählt und auf FUNKTION AUSFÜHREN geklickt wird. Dabei ist zu beachten, dass die
Gerätesperre nur den Sperrbildschirm aktiviert. Wenn kein Passcode festgelegt worden ist, lässt sich der
Sperrbildschirm mühelos deaktivieren (siehe Abschnitt 11.2.2). Für Geräte, die mit einem unbekannten Passcode
gesperrt worden sind, wird die Option KENNWORTSPERRE ENTFERNEN verwendet.
100
12. Backups
12.
Backups
„Backup“ ist als optionales Modul für Benutzer der Lösungen AntiVirus Business, Client Security Business, Endpoint
Protection Business und Managed Endpoint Security erhältlich.
In vielen Unternehmen hat die Digitalisierung von Arbeitsabläufen Computer zu unternehmensweiten
Informationsträgern ernannt. Der Zugriff auf digitalisierte Daten ist viel einfacher, als regelmäßig auf Papierarchive
zugreifen zu müssen, bringt aber auch seine eigenen Herausforderungen mit sich. Datensicherheit und
Datenintegrität müssen sorgfältig überwacht werden. Physische Probleme wie ein Stromausfall oder eine kaputte
Festplatte können für Workflows schwerwiegende Folgen haben, besonders dann, wenn sich die Dateien nicht
wiederherstellen lassen. Malware kann Dateien verschlüsseln, infizieren oder entfernen, und Dokumente können
durch menschliches Versagen entfernt werden. Es ist wichtig, Datei-Backups und die Wiederherstellung sorgfältig
zu planen, um die Wiederherstellungszeit nach einem Datenvorfall zu minimieren. Wenn regelmäßig Backups
erstellt werden, indem Dateien an einen sicheren Ort kopiert werden, ist gewährleistet, dass Dateien niemals
unwiderruflich verloren gehen. Genau wie bei der Entschärfung von Infektionen liegt der Schlüssel auch hier in der
Vorausplanung. Wenn Dateien aufgrund eines physischen Problems oder menschlichen Versagens verloren
gehen, sollten sie ohne Verzögerung wiederhergestellt werden. Die Erstellung eines Backup- und
Wiederherstellungsplans, der sicherstellt, dass die Dateien regelmäßig per Backup gesichert werden, ist
unerlässlich, um die Geschäftskontinuität zu gewährleisten.
Ein Backup- und Wiederherstellungsplan ist teils Vorsorge, teils Wiederherstellung. Als Ausgangspunkt kann es
hilfreich sein, alle Datenquellen im Netzwerk nach Eigenschaften wie Wert, Risiko oder Backup-Aufwand zu
klassifizieren. Wenn das Unternehmen Informationsarbeiter beschäftigt, die den Großteil ihrer Zeit mit der Arbeit
an digitalen Dokumenten verbringen, sollten diese Dokumente immer gesichert werden. Ebenso sollten Backups
von zentralen Datenspeichern wie Datenbanken, E-Mail-Servern oder Kooperationsumgebungen erstellt werden,
um sicherzustellen, dass im Notfall keine Daten verloren gehen. Im Gegensatz dazu sind manche Daten
austauschbar. Das Betriebssystem eines Clients benötigt normalerweise kein Backup, denn es kann bei einer
Datenbeschädigung neu installiert werden. Gleiches gilt für Software-Pakete, deren Installationsmedien noch
verfügbar sind. Die Konfiguration des Betriebssystems und Software-Einstellungen können hingegen zu den
Daten gehören, von denen ein Backup erstellt werden sollte, wenn nach der Bereitstellung eine umfangreiche
individuelle Anpassung erfolgt ist. Für jede Entscheidung über die Daten, die in Backups enthalten sein sollen,
muss Speicherplatz zur Verfügung stehen. Besonders dann, wenn Datensätze regelmäßig per Backup gesichert
werden oder große Dateien enthalten, kann der Speicherbedarf exponentiell ansteigen.
Wenn die Daten für das Backup ausgewählt worden sind, stellt sich die Frage, wie oft das Backup durchgeführt
werden soll. Backup-Aufträge lassen sich so planen, dass sie nur einmal oder gemäß einem Zeitplan ausgeführt
werden. Ein einmaliges Backup ist nur unter ganz bestimmten Umständen hilfreich, etwa dann, wenn ein
Datensatz unverzüglich und außerhalb des definierten Zeitplans gesichert werden muss. In den meisten Fällen
sollte ein Backup geplant werden. Es sollte jederzeit eine aktuelle Kopie der zu sichernden Daten verfügbar sein,
um im Notfall eine schnelle Wiederherstellung zu ermöglichen. Ein geplantes Backup kümmert sich darum. Wenn
es einmal konfiguriert ist, gibt es immer eine aktuelle Datenkopie. Man muss anschließend nur noch regelmäßig
die Protokolle überprüfen, ob das Backup erfolgreich ausgeführt wurde. Es gibt eine Abwägung von Sicherheit
und Leistung. Je öfter Backups erstellt werden, desto weniger Daten gehen verloren, wenn die Festplatte eines
Clients beschädigt ist oder Dateien durch Malware infiziert werden. Die Durchführung eines Backups erfordert
aber Zeit und Leistung (Festplattenaktivität) auf dem Client sowie Speicherplatz auf der Festplatte des BackupZiels (Server). Dieses Problem wird meistens dadurch behoben, dass man differenzielle Backups verwendet (siehe
Abschnitt 12.2). Es muss aber überprüft werden, ob das Backup-Ziel jederzeit über genügend Festplattenspeicher
verfügt.
101
Da Backups ein wesentlicher Teil einer Sicherheitsrichtlinie sind, sollte sichergestellt sein, dass sie erfolgreich
verlaufen. Wie bei den meisten IT-bezogenen Aufgaben empfiehlt es sich, eine Person oder ein Team mit der
Aufgabe der Planung, Verwaltung und Durchführung von Backups zu beauftragen. Mit einem verantwortlichen
Mitarbeiter bzw. Team lassen sich im Notfall schneller Entscheidungen treffen. Wenn ein Administrator oder
Endbenutzer einen Datenverlust meldet, sollte der Workflow für rasche Entscheidungen und effektive
Datenwiederherstellung optimiert werden.
12.1.
Verwalten von Backups
Die nahtlose Integration ermöglicht eine Administration über die Module AUFTRÄGE und BERICHTE von
G Data Administrator und sorgt dafür, dass sich Konfiguration und Verwaltung der Backups mühelos durchführen
lassen. Backup-Aufträge können auf der Registerkarte AUFTRÄGE geplant und verwaltet werden. Hier sind alle
geplanten Aufträge aufgeführt. Durch einen Klick auf die entsprechende Schaltfläche in der Symbolleiste wird die
Liste auf Backup-Aufträge beschränkt. Wie bei jedem Modul gelten alle Aufträge für den Client oder die Gruppe,
der bzw. die im Client-Verwaltungsbereich ausgewählt wurde. Die Spalten der Liste enthalten die wichtigsten
Merkmale der Aufträge und lassen sich nach Client, Gruppe, Status, letzte Ausführung, Intervall, Umfang oder
Name sortieren. Bei Client-Aufträgen wird der Client angezeigt, für den sie definiert worden sind (bei Gruppen der
Gruppenname). Die Spalte STATUS zeigt den aktuellen Status des Auftrags an. Bei Gruppenaufträgen kann der
Status je nach Client überprüft werden, indem links der entsprechende Client ausgewählt wird. In der Spalte
INTERVALL wird das definierte Backup-Intervall angezeigt, etwa EINMAL für einen einzigen Backup-Auftrag oder TÄGLICH
für einen regelmäßigen Backup-Auftrag, der jeden Tag ausgeführt wird. Unter UMFANG wird schließlich der BackupUmfang angezeigt, der für den Auftrag definiert wurde. Wenn ein Backup-Auftrag schon zuvor ausgeführt worden
ist, kann er erweitert werden, sodass für jede Ausführung eine Liste von Statusmeldungen angezeigt wird. Durch
einen Doppelklick auf den Status lässt sich ein detailliertes Protokoll öffnen.
Abbildung 49: G Data Administrator – Server-Einstellungen, Backup
Die Backup- und Wiederherstellungsaufträge haben individuelle Einstellungen, es gibt aber auch einige
allgemeine Optionen. Am wichtigsten ist die Festlegung des Speicherorts. Wenn eine große Anzahl von Backups
geplant wird oder, was noch wichtiger ist, wenn diese oft ausgeführt werden, wird viel Speicherplatz auf der
Festplatte benötigt. Die Festlegung eines Speicherorts erfordert daher sorgfältige Planung: Der Speicher sollte
102
12. Backups
umfangreich sein und muss sich leicht erweitern lassen. Es gibt noch weitere Anforderungen an den Speicherplatz.
Aus Gründen der Leistungsfähigkeit sollte das Ziel nicht komprimiert oder verschlüsselt sein. Die Backup-Software
verschlüsselt und komprimiert die Daten bereits automatisch. Wenn sie auf Betriebssystem- oder Hardware-Ebene
erneut komprimiert oder verschlüsselt werden, sorgt dies nicht für zusätzliche Sicherheit, sondern verringert die
Backup-Leistung erheblich. Das Backup-Ziel muss eine Festplatte sein, die für die Speicherung von Backups
vorgesehen ist und keine anderen Dateien enthält. Dadurch können Administratoren die Festplatten leicht
physisch archivieren, wenn die Richtlinie zum Datenerhalt des Unternehmens dies verlangt, und eine
Verwechslung von normalen Dateien und Backups wird vermieden. Das Backup-Standardziel ist der Server-Ordner
C:\ProgramData\G DATA\AntiVirus ManagementServer\Backup (ab Windows Vista/Windows Server 2008) oder
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\G DATA\AntiVirus
ManagementServer\Backup (Windows XP/Windows Server 2003). Da sich diese Ordner auf der Systemfestplatte
des Servers befinden, sollten sie nicht als Backup-Ziel verwendet werden. Es sollte mindestens ein Backup-Pfad
konfiguriert werden, beispielsweise eine andere Festplatte auf demselben Computer. Wenn mehrere Pfade
definiert werden, speichert G Data Administrator die Backup-Datei automatisch auf dem ersten Pfad, der
genügend freien Festplattenspeicher für die Backup-Datei bietet. Außerdem ist dann gewährleistet, dass sich das
Backup-Ziel durch Deaktivieren eines Pfads ganz leicht wechseln lässt (beispielsweise dann, wenn kein
Festplattenspeicher mehr übrig ist).
Zusätzlich zu den Backup-Zielen bietet das Fenster SERVER-EINSTELLUNGEN auch die Möglichkeit, das Backup-Kennwort
zu exportieren. Dies ist empfehlenswert, da Backup-Archive kennwortgeschützt sind. Beim Importieren von
Backup-Archiven muss das Kennwort eingegeben oder aus einer Datei importiert werden. Es sollte daher
sichergestellt werden, dass das Kennwort exportiert und an einem sicheren Ort gespeichert wird. Durch Klicken
auf BACKUP-ARCHIVE IMPORTIEREN wird ein vorhandenes Backup-Archiv importiert. Wenn ein Ordner mit Backups
ausgewählt wurde, importiert G Data Administrator seinen Inhalt und führt die Backup-Datei(en) in den Listen
AUFTRÄGE unter der Überschrift IMPORTIERTE ARCHIVE auf. Mit der Funktion WIEDERHERSTELLUNGS-AUFTRAG lassen sich Backups
wie alle anderen Elemente wiederherstellen (siehe Abschnitt 12.3).
Bei der Ausführung eines Backup-Auftrags speichert der Client das Backup in einem lokalen Zwischenspeicher,
während es an ManagementServer übertragen wird. Wenn die Option CLIENTABHÄNGIGEN STANDARDPFAD VERWENDEN
ausgewählt ist, wird das Backup in der Partition zwischengespeichert, die den meisten freien Festplattenspeicher
enthält. Wenn es sich dabei um die Systemfestplatte handelt, ist es der Ordner \ProgramData\G Data\Backup. Bei
einer anderen Festplatte ist es das Verzeichnis \G Data\Backup. Durch Deaktivierung dieser Option kann ein
anderes als das Standardverzeichnis konfiguriert werden. Das ist besonders hilfreich, um eine Speicherung des
Zwischenspeichers auf einer Nicht-Systemfestplatte zu erzwingen.
Für die Durchführung eines Backups müssen sowohl Client als auch Server genügend freien Festplattenspeicher
für den Backup-Cache bzw. die Backup-Speicherung haben. Im Fenster SERVER-EINSTELLUNGEN können Schwellenwerte
für den Festplattenspeicher konfiguriert werden. Wenn die Menge des freien Festplattenspeichers auf dem Client
oder Server unter den Warnungsschwellenwert fällt, wird dem Modul BERICHTE eine Warnung hinzugefügt und der
Client-Zwischenspeicher wird geleert, wobei außer des letzten Backups jedes zwischengespeicherte Backup
entfernt wird, das bereits an den Server übertragen wurde. Wenn die Menge des freien Festplattenspeichers auf
dem Client oder Server unter den Fehlerschwellenwert fällt, wird dem Modul BERICHTE eine Fehlermeldung
hinzugefügt. Der Backup-Speicher des Servers und der Zwischenspeicher des Clients werden automatisch geleert.
Wenn immer noch nicht genügend freier Festplattenspeicher auf dem Server zur Verfügung steht, werden keine
Backups durchgeführt. Der Fehlerschwellenwert für Client und Server sollte (mit einem gewissen Spielraum) die
Größe eines oder mehrerer der größten Backup-Aufträge abdecken, die ausgeführt werden. Der
Warnungsschwellenwert sollte höher angesetzt werden, damit der Administrator rechtzeitig über drohende
Speicherprobleme informiert wird.
103
12.2.
Erstellen eines Backups
Wie bei Scan-Aufträgen empfiehlt es sich auch hier, den Backup-Plan als Ganzes zu betrachten, anstatt
verschiedene zusammenhangslose Backups zu planen. Alle Backup-Aufträge zusammen sollten sicherstellen, dass
Dokumente, Einstellungen und andere wichtige Dateien regelmäßig an einen sicheren Ort kopiert werden. Aber
für einen effektiven Backup-Plan braucht es mehr als das. Die Verwaltbarkeit von Backup-Aufträgen wird durch
Datenkonsolidierung, Client-Einstellungen und Server-Leistung stark beeinflusst. Vor der Planung von Backups
sollten diese Fragen berücksichtigt und dann ein vereinheitlichter Backup-Plan erstellt werden.
Je nach Anzahl der Dateien, von denen ein Backup erstellt werden soll, können bis zum Abschluss eines BackupAuftrags mehrere Stunden vergehen. Bei der Planung eines vollständigen Backups sollte unbedingt ein Zeitpunkt
gewählt werden, zu dem der Client nicht in Gebrauch ist, um einen Leistungsverlust zu vermeiden. Bei den
nachfolgenden partiellen Backups werden nicht mehr so viele Daten pro Backup gesichert wie beim ersten Mal, da
diese Backups nur neue und aktualisierte Dateien umfassen. In diesem Fall ist die Planung eines Backups während
der üblichen Arbeitszeit nicht mehr problematisch. Besonders bei wiederkehrenden Aufträgen muss dafür gesorgt
werden, dass der Backup-Moment nichts Wichtiges beeinträchtigt. Andere Backup-Aufträge, PatchManagerAufträge oder Scan-Aufträge sollten nicht gleichzeitig mit einem geplanten Backup erfolgen, damit das System
nicht zum Stillstand kommt. Bei der Planung eines Backups für Laptop-Clients kann das Backup verschoben
werden, wenn der Laptop im Batteriemodus läuft, um die Festplatte nicht zu belasten und die Batterie nicht
aufzubrauchen. Es wird fortgesetzt, sobald der Laptop an eine Steckdose angeschlossen wird. Bei der Planung
eines Backups von einer kleineren Anzahl von Dateien, das relativ schnell durchgeführt werden kann, können
Benutzerfreundlichkeit und Laptop-Leistung von der Datensicherheit übertrumpft werden. In den meisten Fällen
lässt sich jedoch das Backup sicher bis zur nächsten Aufladung verschieben.
Die Auswahl der Dateien, die pro Backup gesichert werden sollen, ist der schwierigste Teil der Definition eines
Backup-Auftrags. Der Vorgang wird vereinfacht, wenn sichergestellt ist, dass Datenquellen sowohl auf ClientEbene als auch netzwerkweit konsolidiert sind. Anstatt jeden Client daraufhin überprüfen zu müssen, ob und wo
Dokumente und Einstellungen gespeichert sind, werden sie in einem standardisierten lokalen Ordner oder auf
einem Teil des Servers gespeichert. Das spart Zeit und sorgt dafür, dass beim Backup nichts versehentlich
ausgelassen wird. Windows nutzt automatisch die standardisierten lokalen Ordner für Dokumente und
Einstellungen. Das Modul BACKUP bietet die Möglichkeit, alle diese Benutzerordner automatisch in einen BackupAuftrag einzubeziehen. Dies ist zwar eine Form der Datenkonsolidierung, es empfiehlt sich aber nicht, nur ein
Backup der Benutzerordner zu erstellen: Es kann unnötige Dateien enthalten und Backup-Festplattenspeicher
verschwenden, oder es kann Dokumente auslassen, die manuell anderswo oder in einem unzugänglichen
Benutzerordner gespeichert wurden. Die Dateispeicherung des Endbenutzers lässt sich am einfachsten verwalten,
wenn sie sich auf einem zentralen (Datei-)Server befindet. Wenn ein benutzerbasierter Profilordner in einem Teil
des Netzwerks als standardmäßiges Speicherziel für Dokumente angeboten wird, können Administratoren für alle
Endbenutzer gleichzeitig Dateien sichern, wenn sie nur ein Backup des Netzwerkordners planen. Bei kleineren
Netzwerken, die möglicherweise keinen Dateiserver besitzen, kann die lokale Konsolidierung von Windows
hilfreich sein. Die Administratoren sollten sich aber ihrer Grenzen bewusst sein und dafür sorgen, dass alle
unverzichtbaren Dateien auch tatsächlich erfolgreich im Backup gesichert sind.
Neben der serverseitigen Möglichkeit, temporäre Dateien von Backups auszuschließen, können auch lokale
Maßnahmen ergriffen werden, um Unordnung zu minimieren und Festplattenspeicher zu sparen. Administratoren
sollten sich beim Hinzufügen eines Ordners zu einem Backup-Auftrag vergewissern, dass er nur die Art von
Dateien enthält, für die ein Backup erstellt werden soll. Temporäre Dateien, allgemeine Systemdateien und andere
Dateien von geringer Priorität sollten vom Backup ausgeschlossen, in einen anderen Ordner verschoben oder
entfernt werden.
104
12. Backups
Man sollte der Versuchung widerstehen, nur einen Backup-Auftrag zu planen, der alles enthält. Pauschale BackupAufträge verschwenden Festplattenspeicher, brauchen viel Zeit und erschweren eine schnelle, gezielte
Wiederherstellung. Backups lassen sich nach Dateityp, Risiko oder Bedeutung bzw. einer Kombination davon
organisieren. Von wichtigen Datenbankdateien sollte beispielsweise regelmäßig ein Backup erstellt werden,
während Protokolldateien auf demselben Computer in einem größeren Intervall gesichert werden können. Es
kann hilfreich sein, ein Inventar der Dateitypen anzulegen, die auf Netzwerk-Clients produziert und verwendet
werden, und dazu anzugeben, wie wichtig sie sind und wie hoch das Risiko eines Datenverlusts ist. Für jede
Dateigruppe sollte ein separates Backup geplant werden, dessen Ausführungsintervall sich bei wichtigen oder
Hochrisikodateien verkürzt. Vorschläge zu Backup-Kategorien sind in Abschnitt 12.2.1 und danach enthalten. Es
müssen jedoch alle Dateien aufgenommen werden, die für das Unternehmen wichtig sind und nicht verloren
gehen sollten.
Während des Backup-Vorgangs werden alle kopierten Dateien auf Malware überprüft. Beim Aufbau des Archivs
wird sichergestellt, dass kein Backup von infizierten Dateien erstellt wird. Dadurch entfällt die Notwendigkeit,
einen zusätzlichen Scan-Auftrag direkt vor der Durchführung des Backups zu planen. Um einen unbefugten Zugriff
auf die Dateien zu verhindern, werden alle Backup-Archive verschlüsselt, sodass sie nicht einfach von der
Festplatte aus geöffnet werden können. Dies verhindert auch, dass Malware die Backup-Archive infiziert. Wenn
der Backup-Vorgang alle Dateien archiviert hat, wird die Integrität des Archivs überprüft und somit gewährleistet,
dass während des Aufbaus keine Probleme aufgetreten sind. Die Datei wird dann vom lokalen Zwischenspeicher
zum Server verschoben, der sie in ihren endgültigen Backup-Zielordner verschiebt.
Abbildung 50: G Data Administrator – Aufträge, Backup-Protokoll
Nach Abschluss eines Backups ist das entsprechende Protokoll über den Auftragseintrag im Modul AUFTRÄGE
verfügbar. Für jede Iteration, ob volles oder partielles Backup, wird ein separates Protokoll angelegt. Dateien, die
während des Backups in Gebrauch sind, werden möglicherweise nicht korrekt kopiert, oder Lesefehler der
Festplatte können zu Komplikationen führen. Deshalb empfiehlt es sich, die Protokolle für jedes Backup
regelmäßig zu überprüfen, um zu sehen, ob es erfolgreich durchgeführt wurde und ob zusätzliche Backups oder
Maßnahmen geplant werden müssen.
Zusätzlich sollte eine regelmäßige Testwiederherstellung geplant werden. Eine Testwiederherstellung sollte
durchgeführt werden, um das Backup in einem beliebigen Client oder Ordner wiederherzustellen und so
sicherzustellen, dass es sich korrekt wiederherstellen lässt und die richtigen Dateien enthält. Das Vorhandensein
eines Backups ist unbedingt notwendig, wenn Probleme auf einem Client auftreten. Deshalb sind regelmäßige
Testläufe oder andere Maßnahmen sehr wichtig, mit denen die Integrität der Backup-Dateien bestätigt wird.
105
12.2.1. Dokumente
Dokumente sind wohl die Art von Dateien, bei denen ein Backup am wichtigsten ist. In den meisten Unternehmen
verbringen Informationsarbeiter sehr viel Zeit mit der Produktion von digitalen Dateien wie Dokumenten,
Programmen, Grafiken und anderen Assets. Diese Dateien bilden oft das Herzstück des Produktionsprozesses und
ein Datenverlust könnte die Produktion zurückwerfen oder sogar direkt einen Umsatzrückgang verursachen. Das
Hauptziel eines Backup-Plans sollte deshalb die Sicherung dieser Dateien sein.
Dokumente können sich auf Festplatten des Clients oder in anderen lokalen und externen Speichern befinden. Das
kann Backups deutlich erschweren: Wenn es keinen zentralisierten Dokumentenspeicher gibt, muss für jeden
Client ein separater Backup-Auftrag definiert werden, der ausdrücklich seine lokalen Dokumentenspeicherordner
abdeckt. Bei Clients, die Benutzerprofilordner wie etwa „Desktop“ oder „Eigene Dokumente“ verwenden, kann ein
Backup-Auftrag definiert werden, der alle lokalen Benutzerverzeichnisse abdeckt. Dadurch werden alle in diesen
Ordnern gespeicherten Dokumente sowie ausgewählte Einstellungen erfasst. Alternativ kann ein Backup-Auftrag
angelegt werden, der die gesamte Festplatte umfasst, aber die Dateitypen ausschließt, die keine Dokumente sind
(dies wird mithilfe der Endung definiert, etwa .exe, .dll oder .com). Die zuverlässigste Backup-Strategie ist aber die
Steuerung der Dateispeicherung in einer viel früheren Phase. Eine zentrale Dateispeicherung, beispielsweise auf
einem Netzwerkdateiserver, ermöglicht einen sehr einfachen Backup-Auftrag, der einfach nur diese
Ordnerstruktur abdeckt. Wenn eine Fragmentierung in dieser Phase verhindert wird, verringert das deutlich die
Wahrscheinlichkeit, dass in der Backup-Phase Dateien ausgelassen werden.
Die Auftragsplanung für Dokumenten-Backups hängt von der Häufigkeit ab, mit der die Clients verwendet
werden. In den meisten Fällen wird der Client täglich genutzt, weshalb auch ein tägliches Backup durchgeführt
werden sollte. Die Backup-Häufigkeit sollte nur sporadisch auf eine Häufigkeit von alle zwei oder drei Tage
verringert werden. Das erste Backup sollte ein vollständiges Backup sein, das zu einem Zeitpunkt durchgeführt
wird, an dem der Client nicht in Gebrauch ist. Das vollständige Backup umfasst alle Dateien und ist daher relativ
groß. Die nachfolgenden Backups können als partielle Backups konfiguriert werden. Diese Art von Backup (auch
als differenzielles Backup bekannt) speichert nur die Dateien, die seit dem letzten vollständigen Backup geändert
worden sind. Das führt zu einer erheblichen Zeiteinsparung beim Backup und nutzt weniger Festplattenspeicher
auf den Backup-Zielen. Die Wiederherstellung des Backups dauert etwas länger, weil es aus mehreren Dateien
wieder aufgebaut werden muss (aus dem ursprünglichen vollständigen Backup und dem letzten partiellen
Backup). Wenn das ein Problem ist, können auch die nachfolgenden täglichen Backups vollständig Backups sein.
Die Menge des erforderlichen Speicherplatzes wird dann aber sprunghaft ansteigen. In diesem Fall besteht die
empfohlene Lösung darin, ein wöchentliches vollständiges Backup und ein tägliches partielles Backup zu
konfigurieren.
12.2.2. Datenbanken
In vielen IT-gestützten Unternehmen werden bestimmte Arten von Informationen zentral gespeichert. Das kann
von einer zentral verwalteten Workflow-Umgebung bis hin zu Kontaktdatenbanken, Vertriebsinformationen und
anderen Assets reichen, die die Produktion des Unternehmens betreffen. Eine weitere wichtige Datenbank ist der
Nachrichtenspeicher des E-Mail-Servers. Bei einem Ausfall der Festplatte könnte die einzige Datenbank gelöscht
werden, die alle wichtigen E-Mails, Kontakte oder Produktinformationen des Unternehmens enthält. Zum Erhalt
der Datensicherheit sollten Backups konfiguriert werden, um sicherzustellen, dass regelmäßig an einem sicheren
Ort ein Backup der gesamten Datenbank erstellt wird.
Die Backup-Erstellung von Datenbanken kann kompliziert sein. Je nach Art der Datenbank sind ihre Dateien
möglicherweise dauerhaft in Gebrauch. Beispielsweise kann der Backup-Prozess so lange nicht auf eine E-Mail-
106
12. Backups
Datenbank zugreifen, wie der E-Mail-Server in Betrieb ist. Es muss gewährleistet sein, dass die Datenbankdateien
zum Zeitpunkt des Backups nicht in Gebrauch sind. Dazu müssen alle laufenden Prozesse, die die Datenbank
nutzen, und Hintergrunddienste beendet werden. Bei vielen Arten von Datenbanken kann dies zu einer
erheblichen Störung des Betriebs führen. In diesen Fällen sollte ein Backup während eines bestehenden
Wartungsfensters durchgeführt werden, beispielsweise am Wochenende oder nachts, wenn es nur wenige oder
gar keine Aktivität gibt.
Wie oft ein Datenbank-Backup durchgeführt werden sollte, hängt davon ab, wie die Datenbanken genutzt
werden. Für unverzichtbare Informationen, die regelmäßig oder ständig aktualisiert werden (etwa E-MailDatenbanken), empfiehlt sich ein tägliches Backup. Das erste Backup ist ein vollständiges Backup. Danach sollten
nur noch partielle Backups erfolgen, damit sich der Backup-Speicherplatz nicht zu schnell füllt. Bei Datenbanken,
die weniger regelmäßig genutzt werden, kann das Backup wöchentlich erfolgen. In diesem Fall lässt sich das
Backup leichter planen: Die Betriebsstörungen sind geringer, wenn ein wöchentliches Wartungsfenster genutzt
werden kann.
Bei manchen Datenbanken lässt sich ein Backup ganz einfach mit einer dateibasierten Backup-Lösung wie dem
Backup-Modul von G Data erstellen, andere verfügen über eingebaute Backup-Tools. Unabhängig davon, ob man
das Backup-Modul von G Data oder ein eingebautes Tool für Datenbank-Backups nutzt, müssen Backups
unbedingt regelmäßig durchgeführt und auf ihre Integrität überprüft werden, um sicherzugehen, dass sie sich bei
Bedarf erfolgreich wiederherstellen lassen.
12.2.3. Konfiguration
Im Laufe der Zeit kann die Konfiguration eines Clients erheblich von der abweichen, mit der dieser ursprünglich
bereitgestellt wurde. Endbenutzer ändern die Einstellungen im Betriebssystem und möglicher DrittanbieterSoftware oft nach ihrem Geschmack, und Administratoren stellen geänderte Konfigurationen bereit, um lokale
Probleme zu beheben. Der Verlust von Konfigurationseinstellungen kann ärgerlich sein, wenn nach dem Ausfall
einer Festplatte viel Zeit für die Neukonfiguration eines Systems aufgewendet werden muss. Die Erstellung von
Backups der Konfigurationsdateien hilft dabei, die zur Neukonfiguration eines Systems nach einer Neuinstallation
benötigte Zeit zu verkürzen.
Die Suche nach allen Konfigurationsdateien auf einem Client kann schwierig sein. Manche Einstellungen sind in
Dateien gespeichert (normalerweise mit der Endung .ini), andere sind in der Windows-Registry gespeichert, von
der sich nur schwer ein Backup erstellen lässt. Bei einer Software, die dies unterstützt, kann die zentrale
Speicherung der Einstellungen (in einer zentralen Konfigurationsdatei oder mithilfe einer Methode wie den
Microsoft-Gruppenrichtlinien) einen langwierigen Prozess zur Bestimmung der richtigen Dateien verhindern und
das Backup vereinfachen. Außerdem lassen sich anschließend Konfigurationsänderungen und
Standardeinstellungen leichter auf mehrere Clients gleichzeitig verteilen. Bei kleineren Netzwerken können die
Administratoren auch manuell bestimmen, welche Software derzeit auf den Clients installiert und wo ihre
Konfiguration gespeichert ist. Das Software-Inventar (CLIENTS-Modul) kann dabei helfen, Informationen über die
Software auf den Clients zu finden, benötigt jedoch relativ viel Zeit, um die Konfigurationsdateien zu lokalisieren.
Für diejenigen, die sich auffinden lassen, kann ein Backup geplant werden. In den meisten Situationen reicht es
aus, einmal im Monat ein Backup auszuführen. Bei Clients, die regelmäßiger neu konfiguriert werden, ist aber auch
ein wöchentliches oder tägliches Backup eine Möglichkeit.
12.2.4. Systemdateien
Backups müssen sich nicht nur auf Dateien konzentrieren, die von einem Endbenutzer generiert wurden. Auch von
107
ausführbaren Dateien und anderen Komponenten, die zu einem Betriebssystem oder externen Programm
gehören, lässt sich ein Backup erstellen. Wie bei Datenbank-Backups kann dieser Vorgang schwierig sein, da viele
Systemdateien dauerhaft in Gebrauch sind. Ein zusätzliches Problem besteht in der Tatsache, dass ein SoftwareBackup oft nicht für sich allein funktionieren kann. Wenn ein Backup des Ordners „Programme“ eines Clients
erstellt wird, werden die vielen Abhängigkeiten wie etwa andere Software, Frameworks oder bestimmte
Funktionen und Updates des Betriebssystems nicht berücksichtigt. Die Wiederherstellung eines solchen Backups
auf einem leeren System garantiert nicht, dass die Software funktionieren wird.
Eine bessere Lösung für die Erstellung von Software-Backups ist es, die ursprünglichen Installationsprogramme zu
sichern und auf einem Server zu speichern. Was das Betriebssystem selbst betrifft, lässt sich der
Wiederherstellungsvorgang vereinfachen, wenn gewährleistet ist, dass immer ein komplettes System-Image des
Betriebssystems mit seinen letzten Updates und der gesamten, typischerweise genutzten Drittanbieter-Software
zur Verfügung steht. Dieses Image ähnelt einem Backup, enthält aber keine Benutzerdokumente. Stattdessen wird
es ausgehend von einem „sauberen“ Betriebssystem mit den neuesten Updates und der gesamten erforderlichen
Software erstellt. Es erfordert einen gewissen Aufwand, dieses Image immer auf dem neuesten Stand zu halten,
verkürzt aber deutlich die Zeit, die zur Wiederherstellung eines vollständigen Systems benötigt wird. Dies
funktioniert am besten in einem Szenario, in dem die Clients persönliche Daten nicht lokal, sondern auf einem
Dateiserver speichern: Ein Ausfall der Client-Festplatte verursacht dann keinen Datenverlust und ein
Betriebssystem-Image lässt sich schnell wiederherstellen, sobald eine neue Festplatte bereitsteht.
12.2.5. On-Demand-Backup
Backup-Aufträge lassen sich auch manuell, anstatt gemäß einem Zeitplan durchführen. Dies kann in Szenarien
hilfreich sein, in denen wegen einer geringen Bedeutung oder aufgrund des geringen Datenverlustrisikos
typischerweise überhaupt kein Backup des Clients erstellt wird. Alternativ kann ein Backup auf Anfrage (also „on
demand“) schnell die Daten speichern, wenn ein offenbar bevorstehender Hardware-Ausfall die Stabilität des
Clients zu bedrohen scheint. Diese Art von Backup-Aufträgen lässt sich im Voraus planen, damit im Notfall eine
kurze Reaktionszeit möglich ist. Da ein Auftrag aber nur dem Client zugewiesen werden kann, für den er
ursprünglich geplant wurde, gibt es keine Möglichkeit, einen einzelnen Backup-Auftrag für den Notfall
vorzubereiten. Das Fenster BACKUP-AUFTRAG ist recht einfach und ermöglicht den Administratoren die schnelle
Definition der notwendigen Maßnahmen, wenn ein On-Demand-Backup geplant sein muss.
12.3.
Wiederherstellen eines Backups
Im Ernstfall ist es wichtig, dass ein aktuelles Backup zur Verfügung steht. Wenn die Backup-Aufträge richtig
geplant wurden, ist der Datenverlust minimal. Im Gegensatz zur Planung der Backups ist die Wiederherstellung
der Daten relativ einfach. Die Mindestanforderung ist eine funktionierende Installation des Betriebssystems und
G Data Security Client (bei einem kompletten Festplattenausfall müssen beide möglicherweise neu installiert
werden).
Um sich alle bestehenden Backup-Aufträge für den Client anzusehen, kann im Client-Verwaltungsbereich das
Modul AUFTRÄGE geöffnet werden. Nach einem Rechtsklick auf einen Auftrag wird durch Klicken auf BACKUP
WIEDERHERSTELLEN das Fenster WIEDERHERSTELLEN geöffnet. Alternativ kann der ManagementServer ausgewählt, das
Menü AUFTRÄGE geöffnet und die Optionen NEU > WIEDERHERSTELLUNGS-AUFTRAG gewählt werden, um einen Überblick
über die verfügbaren Backups auf allen Clients zu erhalten. Durch Auswahl eines Backups und Klicken auf OK wird
das Fenster WIEDERHERSTELLUNGSEINSTELLUNGEN geöffnet. Nach Bestätigung der Wiederherstellungseinstellungen wird
dem Modul AUFTRÄGE ein Wiederherstellungsauftrag hinzugefügt. Dieser wird sofort ausgeführt.
108
12. Backups
Abbildung 51: G Data Administrator – Aufträge, Backup wiederherstellen
Bei begrenztem Speicherplatz können die Administratoren die Backup-Archive manuell an andere Speicherorte
verschieben. Um sie wiederherstellen zu können, müssen sie jedoch erneut in G Data Administrator importiert
werden. Unter OPTIONEN > SERVER-EINSTELLUNGEN > BACKUP können Administratoren mithilfe der Schaltfläche BACKUPARCHIVE IMPORTIEREN die Backup-Archivdateien aus einem beliebigen Ordner importieren. Dazu muss das BackupKennwort eingegeben werden, das auf dem ManagementServer, der das Backup erstellt hat, über die Schaltfläche
BACKUP-KENNWORT EXPORTIEREN verfügbar ist. Die importierten Backups erscheinen in der Backup-Liste im Modul
AUFTRÄGE.
Wiederherstellungsaufträge können so geplant werden, dass sie ein System in dem Zustand wiederherstellen, in
dem es sich zum Zeitpunkt des Backups befand. Das gilt hauptsächlich für Backups von Konfigurations- oder
Systemdateien. In diesem Fall werden alle Dateien in ihren ursprünglichen Ordnern wiederhergestellt, wobei
vorhandene Dateien bei Bedarf überschrieben werden. Datenbanken und Dokumente hingegen können selektiv
wiederhergestellt werden, um den Client nur mit den notwendigen Dateien zu versorgen. Die Registerkarte
DATEIAUSWAHL kann dazu genutzt werden, das Backup-Archiv zu durchsuchen und Dateien oder Ordner ein- oder
auszuschließen. Falls eine Datei versehentlich gelöscht wurde, kann mithilfe eines Backup-Archivs das aktuellste
Backup nur dieser Datei gesucht und wiederhergestellt werden.
Ein Backup muss nicht unbedingt auf dem Client wiederhergestellt werden, von dem es erstellt wurde. Jedes
Backup kann auf jedem Client wiederhergestellt werden, vorausgesetzt, dieser besitzt genügend freien
Festplattenspeicher. Wenn das passende Backup ausgewählt ist, bietet das Fenster WIEDERHERSTELLEN das DropdownMenü WIEDERHERSTELLEN AUF CLIENT, mit dem ein beliebiger Client ausgewählt werden kann. Im folgenden Fenster
können die Dateien ausgewählt werden, die auf diesem konkreten Client wiederhergestellt werden sollen.
Dadurch können Administratoren ein Client-Backup mit einer Netzwerkrolle erstellen (einschließlich mehr Dateien
oder Datensätzen als andere Clients) und dieses Backup dennoch auf Clients mit anderen Rollen wiederherstellen.
Es empfiehlt sich, Backup-Archive nach dem ersten Backup-Durchlauf zu testen, um zu überprüfen, ob die BackupEinstellungen dazu geführt haben, dass alle Dateien korrekt enthalten sind, und ob das Backup-Archiv
funktioniert. Durch einen Rechtsklick auf den Backup-Auftrag und die Auswahl der Option BACKUP WIEDERHERSTELLEN
wird das Fenster WIEDERHERSTELLEN geöffnet. Nach einer Überprüfung, ob das Backup-Archiv aufgeführt ist, wird
durch Klicken auf OK das Fenster WIEDERHERSTELLUNGSEINSTELLUNGEN geöffnet. Um zu überprüfen, ob alle Dateien
vorhanden sind, kann die Datei- und Ordnerliste verwendet werden. Um zu kontrollieren, ob sich das Backup ohne
Probleme wiederherstellen lässt, wird es so konfiguriert, dass alle Dateien wiederhergestellt werden, und ein
neues Zielverzeichnis auf der Registerkarte OPTIONEN definiert.
109
13.
Firewall
Das Firewall-Modul ist Teil der Lösungen Client Security Business, Endpoint Protection Business und Managed
Endpoint Security.
Die Firewall ist ein wesentlicher Bestandteil der Netzwerksicherheit. Als erste Verteidigungslinie filtern Firewalls
den einund ausgehenden Datenverkehr. Dadurch ist gewährleistet, dass Angreifer keinen Fernzugriff auf
ausgeführte Dienste haben, und dass die Computer-Software keine externen Server kontaktieren kann. Mithilfe
einer Whitelist (Firewall-Regeln) kann bestimmten externen Besuchern ein Zugang gewährt werden und
bestimmte lokale Software darf mit externen Servern Kontakt aufnehmen. Je nach Netzwerk-Layout (siehe
Kapitel 1) kann eine Firewall ein Hardwaregerät oder eine Softwarelösung sein. Eine physische Firewall filtert den
gesamten einund ausgehenden Datenverkehr des Netzwerks. Viele Router mit Unternehmensqualität, aber auch
Modelle von geringerer Qualität, besitzen eine eingebaute Firewall. Auf der anderen Seite können
Softwarelösungen auf einem Server oder Client installiert werden, die Schutz auf Computerebene bieten. Jedes
Netzwerk sollte mindestens eine aktive Firewall beinhalten, die dafür sorgt, dass unerwünschter Datenverkehr
draußen bleibt. Für alle Unternehmensnetzwerke empfiehlt sich die Aktivierung einer Firewall als erste Ebene der
Netzwerksicherheit. Zusätzlich sollten Clients mit einer Software-Firewall ausgestattet sein. Dies ermöglicht eine
differenziertere Kontrolle über die Anwendungsberechtigungen. Anstatt bestimmten Datenverkehr für das
gesamte Netzwerk zu blockieren, kann der einund ausgehende Netzwerkverkehr durch die Definition von Regeln
für einzelne Clients oder Netzwerkzonen verwaltet werden.
Firewall-Regeln sollten zentral koordiniert und entsprechend den Sicherheitsrichtlinien des Unternehmens
konfiguriert werden. Die Regeln sollten über alle bereitgestellten Firewalls – auf Hardware- oder Software-Basis –
hinweg vereinheitlicht werden, um Konflikte zu verhindern. Die Firewall-Regeln haben zwei Ziele: die
Netzwerksicherheit verwalten und die Unternehmensrichtlinien einhalten (die nicht unbedingt etwas mit
Sicherheit zu tun haben). Für den eingehenden Datenverkehr lassen sich die Firewall-Regeln relativ einfach
definieren: Der gesamte Verkehr sollte verworfen werden, wenn er nicht von einem Endbenutzer oder Programm
angefordert wurde (beispielsweise beim Surfen im Internet oder beim Einleiten eines Peer-to-Peer-Downloads).
Das ist ein reines Sicherheitsthema, bei dem nicht angeforderter Datenverkehr als bösartiger Verbindungsversuch
angesehen wird. Für ausgehenden Datenverkehr sind die Regeln komplizierter. Bestimmte Software und Dienste
kann ausgehender Datenverkehr verweigert werden, weil sie ein Sicherheitsrisiko darstellen können. Andere sind
zwar nicht bösartig, erfüllen aber nicht die Unternehmensrichtlinie. Der ausgehende Datenverkehr für ein ChatProgramm ist zwar beispielsweise nicht bösartig, sollte aber trotzdem blockiert werden, wenn Chats laut der
Unternehmensrichtlinie nicht erlaubt sind.
Das Firewall-Modul von G Data Security Client erzwingt die zentral verwalteten Firewall-Regeln für Clients. Es
filtert den gesamten einund ausgehenden Netzwerkverkehr und sorgt dafür, dass nicht genehmigte
Kommunikation blockiert wird. G Data Firewall nutzt zum Filtern des Netzwerkverkehrs eine zustandsbehaftete
Untersuchung. Diese Methode vergleicht nicht nur einzelne Pakete mit einem vordefinierten Regelsatz, sondern
berücksichtigt auch die vorherigen Pakete, die mit demselben Server oder Computer ausgetauscht wurden. Auf
diese Weise müssen Pakete, die in einem bestehenden TCP-Stream oder einer bestehenden UDP-Verbindung
übertragen werden, nicht erneut vollständig untersucht werden, sondern können basierend auf dem Zustand der
Verbindung (etwa IP-Adressen oder Ports, die bereits verwendet wurden) gefiltert werden. Dadurch verringert sich
die Verarbeitungsleistung, die pro Paket benötigt wird, und es wird gewährleistet, dass Administratoren und
Endbenutzer schnell Regeln definieren können, um einen Verbindungstyp zuzulassen, ohne sich um die genaue
IP-Adresse, Portnummer oder Paketrichtung kümmern zu müssen.
Das in G Data Security Client enthaltene Firewall-Modul ist für den Einsatz auf Client-Computern vorgesehen. Der
110
13. Firewall
Client und all seine Schutzmodule (etwa Dateisystemwächter und Firewall) lassen sich zwar problemlos auf
Servern installieren, die vordefinierten Regelsätze zielen aber auf Client-Computer ab. Für den Einsatz auf einem
Server müssen Administratoren dafür sorgen, dass ein passender Regelsatz definiert ist.
13.1.
Verwalten von Firewall-Clients
G Data Firewall lässt sich über sein eigenes Modul in G Data Administrator verwalten. Auf der Registerkarte FIREWALL
sind alle relevanten Optionen aufgeführt, die auf die Clients anwendbar sind, die im Client-Verwaltungsbereich
ausgewählt wurden. Bei der ersten Bereitstellung der Firewall oder bei der Konfiguration von Client-Einstellungen
sollte man sich vergewissern, dass die Firewall auch wirklich auf den entsprechenden Clients installiert wurde
(zum Zeitpunkt der Bereitstellung oder danach). In der Spalte G DATA FIREWALL des Bereichs ÜBERSICHT wird der
Firewall-Status für alle ausgewählten Clients angezeigt. Für Clients, auf denen noch keine Firewall-Komponente
installiert wurde, wird in dieser Spalte NICHT INSTALLIERT angezeigt. Die Firewall lässt sich am einfachsten mit der
Remote-Installationsfunktion von G Data Administrator installieren. Dazu werden mit einem Rechtsklick die Clients
bestimmt, auf denen G Data Firewall installiert werden soll, und die Option G DATA FIREWALL INSTALLIEREN wird
ausgewählt. Dadurch wird eine Remote-Installation der Firewall-Komponente eingeleitet. Ebenso wie die RemoteInstallation von G Data Security Client setzt auch diese voraus, dass verschiedene Systemanforderungen erfüllt
sind (siehe Abschnitt 4.8.2.1). Wenn eine Remote-Installation nicht möglich ist, kann zur Installation der Firewall
auch ein Client-Installationspaket oder eine lokale Installation genutzt werden (siehe Abschnitte 4.8.2.2 und
4.8.2.3).
Abbildung 52: G Data Administrator – Firewall, Übersicht
Wie bei anderen Modulen können auch die Firewall-Einstellungen auf einen oder mehrere Clients gleichzeitig
angewendet werden. Dazu müssen die entsprechenden Clients im Client-Verwaltungsbereich ausgewählt werden,
damit sie im Bereich ÜBERSICHT des Moduls FIREWALL erscheinen. Die Firewall kann für jeden Client aktiviert oder
deaktiviert werden. Es wird allgemein empfohlen, G Data Firewall wenigstens auf allen Clients zu aktivieren, die
111
eine Verbindung mit dem Internet herstellen, und idealerweise auf allen Netzwerk-Clients. G Data Firewall sollte
nur dann nicht aktiviert werden, wenn eine alternative Client-Firewall verwendet wird, um Konflikte zu
verhindern. Zur Überwachung der Client-Aktivität sollte die Option GESPERRTE ANWENDUNGEN MELDEN aktiviert werden.
Dadurch wird sichergestellt, dass G Data Firewall bei jeder Sperrung einer Anwendung einen Bericht an den
ManagementServer sendet, der im Modul BERICHTE angezeigt wird. Wenn eine Client-Anwendung von einer der
Firewall-Regeln gesperrt wird, zeigt der Bericht die problematische Anwendung an und ermöglicht es den
Administratoren bei Bedarf, sie direkt einem der Regelsätze hinzuzufügen. Wie bei den Virusmeldungen können
auch wiederholte Firewall-Berichte darauf hinweisen, dass ein Endbenutzer einen Computer missbräuchlich
verwendet oder dass ein Teil seiner Arbeit aufgrund von Nutzungsbeschränkungen nicht ausgeführt werden kann.
Pro Client oder Gruppe kann ein Offsite-Regelsatz aktiviert werden. Die Aktivierung einer speziellen OffsiteKonfiguration ist besonders für solche Clients sinnvoll, die regelmäßig außerhalb des Unternehmensnetzwerks
benutzt werden. G Data Firewall verwendet die normale Konfiguration so lange, wie der Client mit dem
Unternehmensnetzwerk verbunden ist, schaltet aber in die Offsite-Konfiguration, sobald der Computer eine
Verbindung mit einem anderen Netzwerk herstellt. Dadurch wird die Sicherheitsrichtlinie für das
Unternehmensnetzwerk eingehalten und gleichzeitig dem Endbenutzer mehr Flexibilität ermöglicht, wenn der
Computer anderswo verwendet wird. Ein Offsite-Regelsatz kann nur aktiviert werden, wenn der Client einen
Regelsatz für das Unternehmensnetzwerk verwendet. Die Nutzung des Autopilot-Modus verbietet die
Verwendung der Offsite-Konfiguration.
13.2.
Autopilot
Autopilot ist die Standardeinstellung für alle Clients von G Data Firewall. Diese Option konfiguriert die Firewall so,
dass sie ihre Aufgaben komplett im Hintergrund ausführt. Die Endbenutzer werden mit keinerlei Aufforderungen
konfrontiert, und die Administratoren müssen nur eine minimale Anzahl von Verwaltungsaufgaben ausführen.
Autopilot belastet die Verwaltung nur sehr wenig und kann in Netzwerken eingesetzt werden, in denen nur eine
minimale Anzahl von Drittanbieteranwendungen genutzt wird oder in denen der Software-Bestand relativ stabil
ist. Ein- und ausgehende Verbindungen werden automatisch bewertet und zugelassen oder blockiert. Wenn die
Software versucht, eine ausgehende Verbindung herzustellen, erlaubt die Firewall die Verbindung dann, wenn der
Prozess nicht als Malware erkannt wird. Für die ersten beiden Versuche einer ausgehenden Verbindung wird eine
temporäre Regel festgelegt, die den Datenverkehr durch die Firewall erlaubt. Wenn derselbe Prozess zum dritten
Mal versucht, eine ausgehende Verbindung zu öffnen, wird dem Autopilot-Regelsatz eine Regel hinzugefügt, nach
der die Software dauerhaft zugelassen wird. Eingehende Verbindungen werden immer verworfen, wenn sie nicht
Teil einer Kommunikation sind, die von einem der Prozesse auf dem System eingeleitet wurde.
Wenn die Administratoren das Modul BERICHTE im Auge behalten, können sie überprüfen, wie oft die Firewall
Anwendungen blockiert. Wenn sich herausstellt, dass der Autopilot-Modus unverzichtbare aus- oder eingehende
Verbindungsversuche verbietet, empfiehlt es sich, die betroffenen Clients auf den manuellen Regelsatzmodus
umzuschalten. Das Gleiche gilt für Laptop-Clients: Computer, die oft außerhalb des Unternehmensnetzwerks
benutzt werden, sollten auf manuelle Regelsätze umgeschaltet werden, um Offsite-Konfigurationsfunktionen zu
ermöglichen.
13.3.
Regelsätze
Wenn nicht der Autopilot-Modus verwendet wird, haben die Administratoren eine Vielzahl von Möglichkeiten, die
Firewall zu konfigurieren. G Data Firewall nutzt Regelsätze: Sammlungen von anwendungs-, protokoll- und
portbasieren Regeln, die den Datenfluss des Netzwerks von und zu den Clients steuern. Regelsätze ermöglichen
112
13. Firewall
eine hochdifferenzierte Kontrolle über den Netzwerkverkehr, ihre Konfiguration dauert jedoch länger als die des
Autopilot-Modus. Die Administratoren sollten mit Layout, Protokollen und Anwendungen des Netzwerks vertraut
sein, bevor sie versuchen, die Firewall mit einem individuellen Regelsatz zu konfigurieren. Nachdem ein Regelsatz
angelegt wurde, lässt er sich einem oder mehreren Clients zuweisen. Dazu wird der Bereich ÜBERSICHT geöffnet und
der Regelsatz als normaler oder Offsite-Regelsatz konfiguriert.
Im Bereich REGELSÄTZE werden Regelsätze für das gesamte Netzwerk angelegt und bearbeitet. Im oberen Teil des
Bereichs zeigt die Dropdown-Liste REGELSATZ alle definierten Regelsätze an. Die Firewall arbeitet standardmäßig im
Autopilot-Modus ohne definierte Regelsätze. Durch Klicken auf NEU kann ein neuer Regelsatz hinzugefügt werden.
Das Anlegen eines neuen Regelsatzes erfordert die Eingabe eines Namens. Es kann optional eine Anmerkung
hinzugefügt werden, um den Satz näher zu beschreiben (zum Beispiel, für welchen Client er vorgesehen ist oder
ob bestimmte Anwendungen, Protokolle oder Teile enthalten sind). Durch die Aktivierung der Option STEALTHMODUS AKTIVIERT dürfen Clients nicht auf Porttests antworten, wodurch die Sicherheit weiter erhöht wird. Im
folgenden Popup-Fenster können Firewall-Regeln aus dem standardmäßigen Regelsatz ausgewählt werden.
Dieser Satz enthält Regeln für viele gebräuchliche Anwendungen, darunter Windows- und Microsoft-spezifische
Funktionen, aber auch Drittanbieter-Software wie Adobe Reader und Mozilla Firefox. Die Auswahl von Regeln für
Anwendungen, die im Netzwerk in Gebrauch sind, spart Zeit, es sollte aber sichergestellt werden, dass nur die
notwendigste Kommunikation erlaubt ist. Durch Klicken auf OK wird der neue Regelsatz angelegt, der die
ausgewählten Regeln enthält. Neben der Regelsatzliste befindet sich die Schaltfläche BEARBEITEN, mit der sich Name
und Anmerkung bearbeiten lassen. Die Schaltflächen IMPORTIEREN und EXPORTIEREN können genutzt werden, um
Regelsätze zu speichern und zu importieren. Sie sind praktisch für Regelsatz-Backups oder für das mühelose
Hinzufügen vordefinierter Regeln.
Regelsätze enthalten eine beliebige Anzahl von Regeln, die entweder vordefiniert, benutzerdefiniert oder als
Antwort auf einen Bericht erstellt wurden. Verbindungen werden anhand jeder Regel im Regelsatz bewertet. Die
Regeln werden in der Reihenfolge der Priorität (Rang) aufgeführt: Bei jedem Verbindungsversuch übertrumpft die
Regel auf Rang 1 die Regel auf Rang 2, diese übertrumpft die Regel auf Rang 3 usw. Dies ermöglicht die
differenzierte Kontrolle von Ports und Protokollen, um beispielsweise mit Regel 1 UDP-Datenverkehr an Port 2000
zuzulassen und mit Regel 2 den gesamten übrigen UDP-Datenverkehr zu verwerfen. Mithilfe des Steuerelements
RANG rechts neben der Liste können Regeln an andere Positionen der Liste verschoben werden. Zum Deaktivieren
einer Regel innerhalb eines Regelsatzes muss das Kontrollkästchen neben dem jeweiligen Namen deaktiviert oder
die Regel bearbeitet und die Option REGEL AKTIVIERT deaktiviert werden.
Abbildung 53: G Data Administrator – Firewall, Regelsätze, Neue Regel
113
Neue Regeln können manuell mit der Schaltfläche NEU oder durch Klicken auf die Schaltfläche ASSISTENT mit dem
Regelassistenten hinzugefügt werden. Mithilfe des Assistenten lässt sich eine Regel aus dem standardmäßigen
Regelsatz zum ausgewählten Regelsatz hinzufügen, eine bestehende Regel kopieren, der Zugriff für eine
bestimmte Anwendung gewähren oder verweigern oder ein bestimmter Port öffnen bzw. schließen. Das manuelle
Hinzufügen einer neuen Regel ist dann am hilfreichsten, wenn der Assistent nicht genügend Flexibilität bietet –
beispielsweise dann, wenn Regeln nur für einen bestimmten Zeitrahmen gelten sollen. Jede Regel besteht aus
mehreren Komponenten. Die erforderlichen Basisinformationen sind Verbindungsrichtung und Zugriffstyp.
Firewall-Regeln lassen sich für eingehende, ausgehende oder ein-/ausgehende Verbindungen festlegen. Manchen
Anwendungen könnte nur der Versand von Paketen erlaubt werden, während für andere der Netzwerkzugriff
vollständig gesperrt werden kann. Zusätzlich zu den Basisinformationen sollten eines oder mehrere der folgenden
Merkmale ausgewählt werden: PROTOKOLL, ZEITFENSTER oder IP-ADRESSRAUM. Das Dropdown-Menü „Protokoll“ enthält
verschiedene Protokolle, für die der Datenverkehr durch die Firewall gefiltert werden kann. Zusätzlich kann eine
spezifische Anwendung und/oder ein spezifischer Port definiert werden. Das Popup-Fenster ANWENDUNGEN
ermöglicht eine spezifische Kontrolle über die Anwendung, die blockiert oder zugelassen werden soll. Es kann
dazu genutzt werden, einfach nur den Datenverkehr von einer oder mehreren Anwendungen zu filtern oder den
Datenverkehr einer Anwendung nur dann zu blockieren bzw. zuzulassen, wenn dieser von einem bestimmten
übergeordneten Prozess gestartet wurde. Im Fenster PORTS können Administratoren der Regel einzelne Ports oder
Portbereiche hinzufügen. Mithilfe der Option ZEITFENSTER lässt sich die Regel auf eine bestimmte Tageszeit oder auf
bestimmte Wochentage beschränken. Das kann sowohl für Sicherheitszwecke als auch für
Unternehmensrichtlinien hilfreich sein. Schließlich kann mit der Option IP-ADRESSRAUM eine (externe) IP bzw. ein IPBereich hinzugefügt werden, auf die bzw. den der Datenverkehr beschränkt werden soll. Das kann eine IPv4- oder
IPv6-Adresse, ein DNS-Server, ein Standard-Gateway-Server oder ein WINS-Server sein.
Das Fenster NEUE REGEL ist täuschend einfach, es lassen sich damit aber anspruchsvolle Firewall-Regeln erstellen.
Welche Regeln genau erstellt werden sollen, hängt jeweils von Netzwerkkonfiguration, Software-Bestand,
Sicherheitsanforderungen und Unternehmensrichtlinien ab. Regeln aus dem standardmäßigen Regelsatz können
ein großartiger Ausgangspunkt sein, aber fast jeder Regelsatz erfordert noch eine gewisse Feinabstimmung, bevor
er im ganzen Netzwerk bereitgestellt werden kann. Eine versehentliche Blockierung von wichtigem Datenverkehr
kann für die Endbenutzer extrem unpraktisch sein. Bei der Entwicklung eines Regelsatzes empfiehlt es sich daher,
den Satz erst auf einem Client zu testen, bevor er in größerem Umfang bereitgestellt wird. Dabei muss
gewährleistet sein, dass die Kommunikation zwischen dem Client und seinem ManagementServer nicht
unterbrochen wird, denn dies würde die Problembehandlung deutlich erschweren.
Im Allgemeinen empfiehlt es sich, die Firewall für den Betrieb im Whitelist-Modus zu konfigurieren: Es werden nur
Regeln für bekannte Anwendungen definiert und der gesamte übrige Datenverkehr blockiert. Dies lässt sich durch
das Einfügen von Regeln am Ende des Regelsatzes erreichen, mit denen der gesamte Datenverkehr für alle
Protokolle und Ports blockiert wird. Jeder Verbindungsversuch, der nicht von einer der anderen Regeln abgedeckt
ist, wird blockiert. Dieser Regelsatzmodus ist sehr sicher, seine Konfiguration kann aber kompliziert sein, da sich
nur sehr schwer alle Arten von Datenverkehr vorhersagen lassen, die ein Client generieren wird. Es braucht eine
gewisse Zeit, das normale Nutzungsmuster eines Client-PC sowie die Regeln herauszufinden, die konfiguriert
werden müssen, um das beabsichtigte Verhalten abzudecken. Eine Methode besteht darin, einen Client als
Regelsatztestgebiet zu bestimmen. Auf diesem Client sollte der Großteil der (oder die gesamte) Software installiert
sein, die im Netzwerk in Gebrauch ist. Ausgehend von Regeln aus dem Standardregelsatz kann dieser Client dazu
verwendet werden, den Datenverkehrsbedarf des Netzwerks zu messen und die entsprechenden Berechtigungen
hinzuzufügen. Das Firewall-Protokoll kann sehr hilfreich sein, um sich ein detailliertes Bild von den
Verbindungsversuchen zu machen (siehe Abschnitt 13.5).
Vor der Einführung von Regelsätzen sollte sichergestellt werden, dass jede Netzwerkzone ihren eigenen Regelsatz
114
13. Firewall
mit den passenden Regeln besitzt. Regelsätze sollten nur Regeln für den Kommunikationsbedarf der jeweiligen
Netzwerkzone und ihrer Clients enthalten. Es kann ein Sicherheitsrisiko darstellen, zu vielen Anwendungen einen
Zugriff auf das Netzwerk zu gewähren. Gleichzeitig sollte sich die Anzahl der Regelsätze handhaben lasen: Je mehr
Regelsätze definiert sind, desto mehr Zeit erfordert die Behebung von Problemen mit
Datenverkehrsberechtigungen im Netzwerk. Aus dem gleichen Grund sollten nicht mehr genutzte Regeln aus den
Regelsätzen gelöscht werden. Wenn beispielsweise ein Software-Produkt zurückgezogen und im Netzwerk nicht
mehr genutzt wird, sollte(n) seine zugehörige(n) Regel(n) aus dem Firewall-Regelsatz entfernt werden. Ein
„sauber“ gehaltener Regelsatz ermöglicht eine bessere Übersicht über die bestehenden Regeln und erleichtert die
Problembehandlung.
13.4.
Berechtigungen für Endbenutzer
Eine Firewall ist eine unverzichtbare Ebene in der Netzwerksicherheit, kann aber gleichzeitig die Aktivität des
Endbenutzers auf einem Client-Computer behindern, wenn sie eine unbedingt erforderliche Anwendung
blockiert. Die Administratoren können einen Teil der Verantwortung für die Firewall-Verwaltung auf den
Endbenutzer übertragen, indem sie ihm erlauben, die Firewall zu aktivieren oder zu deaktivieren bzw. den
Regelsatz der Offsite-Konfiguration zu ändern. Das kann praktisch sein, weil der Endbenutzer Probleme mit
Berechtigungen dann unverzüglich beheben kann, aber auch gefährlich: Die Sicherheitsrichtlinien des
Unternehmens können umgangen werden, wenn der Endbenutzer Regelsätze ändern oder die Firewall komplett
deaktivieren darf. Es empfiehlt sich, hier vorsichtig vorzugehen und diese Optionen nur für problematische ClientBereitstellungen oder Endbenutzer festzulegen, die wissen, was sie tun.
Endbenutzer können über G Data Security Client auf die Firewall-Einstellungen zugreifen. Durch einen Rechtsklick
auf das Infobereichssymbol wird die Option FIREWALL angezeigt, die zur Benutzeroberfläche von G Data Firewall
führt. Dort können die Regelsätze bearbeitet werden (wenn die Option dazu aktiviert ist und der Client außerhalb
des Unternehmensnetzwerks verwendet wird). Die Firewall kann durch Klicken auf FIREWALL DEAKTIVIEREN deaktiviert
werden. Dadurch wird die Firewall ohne weitere Warnung deaktiviert. Sie wird nicht automatisch erneut aktiviert,
der Status „Deaktiviert“ bleibt also auch nach Neustarts bestehen. Diese Option sollte daher nur mit großer
Vorsicht genutzt werden: Es gibt praktisch keinen Anwendungsfall, in dem der Endbenutzer eine solche
Berechtigung erhalten sollte.
13.5.
Protokolle
Die Firewall-Komponente meldet blockierte Anwendungen an G Data Administrator. Es kann jedoch hilfreich sein,
einen erweiterten Einblick in die einund ausgehenden Verbindungen zu erhalten. Wenn eine Anwendung
unerklärlicherweise blockiert wird oder eine Statistik über verworfene eingehende Verbindungen erstellt werden
soll, kann das lokale Firewall-Protokoll helfen. Wenn Endbenutzer die Möglichkeit haben sollen, sich detaillierte
Protokolle anzusehen, kann der Administrator das Kontrollkästchen DER BENUTZER DARF DIE OFFSITE-KONFIGURATION ÄNDERN
aktivieren. Dadurch wird dem Kontextmenü des Infobereichsymbols von G Data Security Client die Option FIREWALL
hinzugefügt. Durch Klicken auf FIREWALL wird die Hauptbenutzeroberfläche der Firewall-Komponente geöffnet. Im
Bereich PROTOKOLL wird eine detaillierte Übersicht über alle einund ausgehenden Verbindungen angezeigt. Der
Endbenutzer kann das Verbindungsprotokoll, die initiierende Anwendung, die Richtung, den lokalen Port, den
Remote-Host, den Remote-Port und den Grund für die Entscheidung über Zulassung oder Blockierung der
Verbindung überprüfen.
115
Abbildung 54: G Data Security Client – Firewall, Protokoll
Wenn die Protokolle nicht von den Endbenutzern verwendet werden sollen, kann der Administrator die FirewallBenutzeroberfläche weiterhin blockieren und stattdessen selbst direkt auf die Protokolldateien zugreifen. Dies ist
allerdings eine erweiterte Ansicht, die recht überwältigend sein kann. Das Firewall-Protokoll wird als SQLiteDatenbankdatei gespeichert. Dieses Dateiformat kann von einer Reihe von Datenbank-Browsern wie etwa SQLite
Database Browser (www.sf.net/projects/sqlitebrowser/) gelesen werden. Das Verbindungsprotokoll wird in der
Datenbankdatei „LiveStrm.dat“ gespeichert, die sich normalerweise unter C:\Programme
(x86)\G DATA\AVKClient\Firewall befindet. Die Datenbank enthält mehrere Tabellen, und das
Verbindungsprotokoll befindet sich in der Tabelle „Verbindungen“. Jeder Eintrag steht für eine Verbindung und
ihre Eigenschaften sind in mehreren Spalten aufgeführt. Die nachfolgende Tabelle enthält die wichtigsten Spalten
und ihre Beschreibungen.
Spalte
AdapterID
Beschreibung
Kennung des Netzwerkadapters
AdapterName
Name des Netzwerkadapters
Allowed
Die Verbindung wurde erlaubt (-1) oder blockiert (0).
HasProcess
Die Prozesskennung, die die Verbindung initiiert hat. Kann mit einer Liste der laufenden Dienste
verglichen werden.
IPv6
Die Verbindung nutzt das IPv6- (-1) oder IPv4-Protokoll (0).
LocalPort
Der lokale Verbindungsport
Outgoing
Die Verbindung war eingehend (-1) oder ausgehend (0).
ProcName
Der Prozess, der die Verbindung initiiert hat. Kann mit einer Liste der laufenden Dienste verglichen
werden.
Protocol
Das Verbindungsprotokoll13
Reason
Ein numerischer Wert, der den Grund für die Entscheidung darstellt, warum die Verbindung
zugelassen oder blockiert wurde.
13
Die Protokollnummer kann in der IANA-Datenbank für Protokollnummern (www.iana.org/assignments/protocol-numbers) nachgeschlagen
werden.
116
13. Firewall
RemoteHost
Der Remote-Host
RemoteIP
Die Remote-IP-Adresse
RemotePort
Der Remote-Verbindungsport
RuleID
Die Kennung der Regel, welche die Entscheidung darüber gesteuert hat, ob die Verbindung
zugelassen oder blockiert wird. Entspricht der Kennung in einer der Regeltabellen der SQLiteDatenbank „GDFwSvc.dat“.
In der Spalte REASON wird für jede Verbindung ein numerischer Wert angezeigt. Dieser Wert liefert zusätzliche
Informationen darüber, warum die Verbindung zugelassen oder blockiert wurde. Der am häufigsten auftretende
Wert ist 7 (REASON_RULE_MATCH), was bedeutet, dass die Verbindung mit einer Regel in einem der definierten
Regelsätze übereinstimmte. Die vollständige Liste der Werte lautet wie folgt:
Wert
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
27
28
29
30
Grund
REASON_FILTER_OFF
REASON_FLUSHED
REASON_ASK_USER_CACHE
REASON_ASK_USER_WRONG_CHECKSUM
REASON_ASK_USER
REASON_ASK_USER_NO_FRONTEND
REASON_ASK_USER_NO_PROCESS
REASON_RULE_MATCH
REASON_RULE_MATCH_WRONG_CHECKSUM
REASON_SKIP_ID
REASON_SUBSEQUENTLY
REASON_BY_CONNECTION
REASON_ENDPOINT_DOES_NOT_EXIST
REASON_ADAPTIVE_MODE
REASON_ANSWER_FROM_OUTGOING
REASON_RULESET_DEFAULT
REASON_ANSWER_FROM_INCOMING
REASON_RULE_MATCH_WRONG_PARENT_CHECKSUM
REASON_RULE_MATCH_UNMATCHING_PARENT
REASON_ASK_USER_WRONG_PARENT_CHECKSUM
REASON_ASK_USER_UNMATCHING_PARENT
REASON_PROCESS_DIED
REASON_TCP_ENDPOINT_IS_NOT_LISTENING
REASON_RULE_MATCH_WRONG_MODULE_CHECKSUM
REASON_JUST_OUTGOING
REASON_DHCP_POLICY
REASON_FIREWALL_OFF
REASON_ICS
REASON_WRONG_CHECKSUM_COMMITTED_BY_AV
REASON_AUTOPILOT
117
14.
PolicyManager
PolicyManager ist Teil der Lösungen Endpoint Protection Business und Managed Endpoint Security.
Sicherheitsebenen wie Firewall, Dateisystemwächter oder On-Demand-Schutz blockieren Infizierungsversuche
und liefern Endbenutzern eine sichere Computerumgebung ohne Malware. Viele Unternehmensrichtlinien
definieren aber andere Inhaltsarten, die nicht zugänglich sein sollten. Unangemessener Inhalt wird oft blockiert,
Anwendungen werden auf die Blacklist gesetzt oder der Internetzugang wird eingeschränkt. Ebenso wird oft die
Verwendung externer Geräte mit Clients beschränkt, indem die Nutzung von USB-Sticks verboten wird. Alle diese
Maßnahmen haben gemeinsam, dass sie nicht nur für die Netzwerksicherheit konfiguriert werden, sondern auch
die Client-Nutzungsrichtlinien erzwingen. PolicyManager von G Data vereinheitlicht diese Ansätze in einem
benutzerfreundlichen Modul, mit dem sich Clients für genau die Art von Nutzung konfigurieren lassen, für die sie
gedacht sind.
Vor der Definition von Richtlinien sollten Administratoren eine vollständige Übersicht über die Client-Rollen im
Netzwerk und die gewünschte Anzahl an Rechten für Endbenutzer erarbeiten. Clients, die in der IT-Abteilung
genutzt werden, haben beispielsweise andere Berechtigungen als die im Vertrieb oder in der F&E. Gleichzeitig
kann es unternehmensweite Regeln geben, die auf alle Clients angewandt werden sollten: Wenn das
Unternehmen allgemeine Sicherheitsrichtlinien definiert hat, können diese dabei helfen, die entsprechenden
PolicyManager-Regeln aufzustellen. Ein unternehmensweites Verbot von USB-Sticks lässt sich beispielsweise mit
dem Bereich GERÄTEKONTROLLE von PolicyManager leicht umsetzen. Mit einer Kombination aus ANWENDUNGSKONTROLLE,
GERÄTEKONTROLLE und WEB-INHALTSKONTROLLE lassen sich Regeln erstellen, die gewährleisten, dass keinerlei sensible
Daten das Unternehmensnetzwerk verlassen können, weder über Filesharing-Anwendungen noch über USB-Sticks
oder eine Cloud-Speicherung.
Wie bei allen anderen Sicherheitsaspekten auch sollten die Richtlinien nicht sofort auf allen Clients bereitgestellt
werden. PolicyManager lässt sich dazu verwenden, bestimmte Aspekte der Client-Nutzung einzuschränken. Die
Fähigkeit der Endbenutzer zur effektiven Nutzung des PC sollte jedoch nicht beschränkt werden. Jede
Richtlinienänderung sollte auf einem oder mehreren Testclients getestet werden, um ihre Auswirkungen richtig
einschätzen zu können. Sie sollte nur zur Standardrichtlinie für alle Clients hinzugefügt werden, wenn sie wie
beabsichtigt funktioniert.
Das PolicyManager-Modul ist in vier Bereiche unterteilt: ANWENDUNGSKONTROLLE, GERÄTEKONTROLLE, WEB-INHALTSKONTROLLE
und INTERNETNUTZUNGSZEIT. Jeder der Bereiche kontrolliert einen bestimmten Aspekt der Client-Nutzung und kann für
sich aktiviert oder deaktiviert werden. Wie üblich gelten die Einstellungen für die Clients, die im ClientVerwaltungsbereich ausgewählt wurden. Die PolicyManager-Module können für normale Client-Endbenutzer oder
für normale Client-Endbenutzer und Administratoren aktiviert werden. Die letztere Einstellung empfiehlt sich für
eine optimale Sicherheit besonders dann, wenn lokale Administratoren nicht die Richtlinienregeln umgehen
dürfen.
14.1.
Anwendungen
Wenn man Endbenutzern erlaubt, Anwendungen auf einem Client auszuführen, kann das für die Sicherheit und
Richtlinie zur einer Problemquelle werden. Software aus unbekannter Quelle kann Malware enthalten. Außerdem
könnte eine große Gruppe von Anwendungen als unerwünschte Software ausgewiesen werden. In den meisten
Unternehmensszenarien brauchen Endbenutzer beispielsweise keine Peer-to-Peer-Downloadsoftware. InstantMessaging-Anwendungen sind eine weitere Art von Software, die oft blockiert wird. Mit der Anwendungskontrolle
können die Administratoren Anwendungsrollen mithilfe einer Black- oder Whitelist, die sich je nach Client
konfigurieren lässt, verwalten und erzwingen.
118
14. PolicyManager
Bevor entschieden werden kann, ob eine Anwendung auf die Whitelist oder die Blacklist gesetzt werden soll,
sollten sich die Administratoren bewusst sein, welche Software auf den Netzwerk-Clients läuft. Die Software-Liste
enthält nicht nur Pakete, die offiziell bereitgestellt wurden. Wenn es keine Einschränkungen hinsichtlich der
Installation von neuer Software gibt, könnten Endbenutzer weitere Anwendungen installiert haben. Eine
Übersicht über die Software, die auf einem Client in Gebrauch ist, kann mithilfe des Moduls CLIENTS gewonnen
werden. Der darin enthaltene Bereich SOFTWARE zeigt alle Programme an, die auf einem Client installiert wurden.
Mithilfe dieser Informationen kann entschieden werden, welche Anwendungen zulässig sind und welche nicht.
Die Software kann vorläufig mithilfe der Whitelist- und Blacklist-Funktionen des Software-Inventars sortiert
werden. Für jedes Programm muss entschieden werden, ob es auf Client-PCs zulässig sein soll oder nicht. Dazu
wird nach einem Rechtsklick die Option ZUR WHITELIST HINZUFÜGEN oder AUF DIE BLACKLIST SETZEN ausgewählt. Über die
Schaltflächen NETZWERKWEITE BLACKLIST und NETZWERKWEITE WHITELIST lassen sich die entsprechenden Listen anzeigen, die
dann als Grundlage für die Entscheidungsfindung im Modul ANWENDUNGSKONTROLLE genutzt werden können. Dabei
muss die Spalte HERSTELLER beachtet werden, da der Herstellername zum Anlegen einer Blacklist- oder WhitelistRegel in PolicyManager verwendet werden kann.
Damit die Anwendungskontrolle richtig funktioniert, muss die Komponente „Dateisystemwächter“ von G Data
Security Client aktiviert sein (siehe Abschnitt 8.2.1). Für jeden Client kann gewählt werden, ob die
Anwendungskontrolle im Blacklist- oder im Whitelist-Modus funktionieren soll. Im Blacklist-Modus werden alle in
der Anwendungsliste definierten Anwendungen blockiert, wenn ein Endbenutzer sie auszuführen versucht. Der
Whitelist-Modus erlaubt nur die Ausführung der Anwendungen in der Liste und blockiert alle anderen. Es ist zwar
möglich, für verschiedene Clients verschiedene Modi zu definieren, aber es empfiehlt sich, den gleichen Modus für
alle Clients zu verwenden, um die Verwaltung einfacher zu gestalten. Der Whitelist-Modus ist der sicherste Modus:
Es können nur Anwendungen ausgeführt werden, die als sicher gelten. Die Definition einer Whitelist verlangt aber,
dass die Administratoren vor der Bereitstellung der Richtlinie einige Tests durchführen. Denn sie sollten jedes
Programm kennen, das zulässig sein soll, damit Endbenutzer bei der Arbeit nicht auf Blockaden stoßen. Die
Alternative ist der Blacklist-Modus: Die Administratoren müssen nur die Programme definieren, die sie nicht
zulassen möchten. Die Schattenseite einer Blacklist ist aber, dass sie sich nicht automatisch um die Programme
kümmert, die dem Administrator bei der Definition der Blacklist nicht bekannt waren. Wenn ein Endbenutzer
selbst ein Programm installiert, wird dies beim Betrieb im Blacklist-Modus nicht automatisch blockiert.
Mithilfe der Option NEU kann der Liste eine neue bzw. benutzerdefinierte Regel hinzugefügt werden. Mithilfe der
Option STANDARDREGELN kann eine Regel aus einer Liste von Standards ausgewählt werden. Die Standardregeln
decken eine Fülle beliebter Drittanbieterprogramme ab. Das Hinzufügen einer benutzerdefinierten Rolle ist nicht
schwierig und sie kann nach Hersteller, Datei oder Verzeichnis definiert werden. Eine Herstellerregel blockiert oder
erlaubt ausführbare Dateien basierend auf ihrer Herstellerzeichenfolge. Besonders bei der Nutzung des WhitelistModus muss sichergestellt sein, dass wenigstens das Betriebssystem und die Sicherheitskomponenten von G Data
richtig geladen werden können. Dazu wird eine Herstellerregel mit der Zeichenfolge Microsoft* bzw. G Data*
hinzugefügt oder es werden die entsprechenden Standardregeln verwendet. Wenn ein Hersteller generell – mit
Ausnahme von einem oder mehreren Programmen – blockiert werden soll, können dessen ausführbare Dateien
oder Ordner als Ausnahme von dieser konkreten Regel definiert werden. Dateiregeln lassen sich hinzufügen,
indem Eigenschaften der zu blockierenden Datei eingegeben werden, wie z. B. Dateiname, MD5-Prüfsumme,
Produktname, Dateiversion oder Copyright. Diese Felder können manuell eingegeben oder automatisch mithilfe
der Option MERKMALE EINER DATEI ERMITTELN befüllt werden. Dadurch kann der Administrator die Datei auswählen, um
sich zu vergewissern, ob die Eigenschaften korrekt eingegeben wurden. Am Anfang oder Ende einer der
Eigenschaftszeichenfolgen kann ein Sternchen stehen. Dies ist besonders praktisch, wenn nur ein bestimmter
Versionsbereich blockiert werden soll. Mit einer Verzeichnisregel können Administratoren einen Ordner wählen,
aus dem ausführbare Dateien blockiert oder zugelassen werden sollen. Optional können dabei auch Unterordner
119
mit einbezogen werden.
Abbildung 55: G Data Security Client – Anwendungskontrolle
Wenn alle Regeln definiert wurden und die Anwendungskontrolle für die entsprechenden Clients aktiviert wurde,
muss die korrekte Funktion aller Regeln getestet werden. Wenn ein Endbenutzer versucht, eine blockierte
Anwendung zu starten, verhindert G Data Security Client automatisch den Zugriff. Wenn der Administrator die
Option DER BENUTZER DARF BLOCKIERTE ANWENDUNGEN MELDEN aktiviert hat, öffnet Security Client ein Popup-Fenster mit
Einzelheiten der Anwendung. Mit der Schaltfläche FREIGABE ANFORDERN kann man dem Modul BERICHTE von G Data
Administrator einen Bericht hinzufügen. Mithilfe dieses Berichts kann der Administrator direkt eine neue Regel zur
Anwendungskontrolle hinzufügen und die Anwendung auf die Whitelist setzen, wenn der Endbenutzer sie
verwenden darf. Für Clients, bei denen Anwendungen ohne Interaktion oder Rückmeldung des Benutzers
blockiert werden sollen, empfiehlt es sich, diese Option deaktiviert zu lassen.
Abbildung 56: G Data Administrator – Berichte, Anwendung blockiert
Der Bericht, den die Anwendungskontrolle im Modul BERICHTE hinzufügt, erlaubt eine gewisse Flexibilität bei der
Definition einer Regel. Die blockierte Anwendung erscheint in der unteren rechten Ecke. Links können der oder die
Clients ausgewählt werden, für die die neue Regel angelegt werden soll. Standardmäßig ist das der Client, von
dem der Bericht gesendet wurde. Die Anwendungen können aber für jeden der Netzwerk-Clients auf die Whitelist
oder Blacklist gesetzt werden. Die ART DER FREIGABE lässt sich für den Blacklist- und den Whitelist-Modus noch weiter
optimieren. Für Clients, die eine Blacklist verwenden, kann die Regel entfernt werden, die die betroffene
Anwendung blockiert. Wenn sie von einer Herstellerregel blockiert wird, kann die Datei als Ausnahme von dieser
Regel hinzugefügt oder die Regel als Ganze entfernt werden. Für Clients, die eine Whitelist verwenden, kann das
Programm als Dateiregel oder Herstellerregel hinzugefügt werden.
120
14. PolicyManager
14.2.
Geräte
Die meisten bösartigen Bedrohungen stammen aus dem Internet, aber auch Wechseldatenträger sind immer noch
ein sehr beliebter Angriffsvektor für Malware. Wechseldatenträger wie USB-Sticks und CD-ROMs können Viren
enthalten, aber Administratoren sollten sich nicht nur Sorgen über Angriffe machen: Sensible Dateien könnten das
Unternehmensnetzwerk über Wechseldatenträger verlassen, beispielsweise dann, wenn ein Mitarbeiter eine
wichtige Datenbank auf einen USB-Stick kopiert. Auch Webcams, die oft in Laptops eingebaut sind, aber aus
Gründen des Datenschutzes deaktiviert werden können, stellen eine heikle Gerätekategorie dar. Mit dem Bereich
GERÄTEKONTROLLE können Administratoren die Kontrolle über diese Gerätekategorien auf allen Netzwerk-Clients
übernehmen.
Der Administrator kann pro Gerätekategorie Zugriffsrechte definieren. Diese sind für Disketten, CDs/DVDs,
Wechseldatenträger und Webcams identisch: LESEN/SCHREIBEN, LESEN oder ZUGRIFF VERBIETEN. Wenn LESEN/SCHREIBEN
ausgewählt ist, haben die Benutzer vollen Zugriff auf das oder die ausgewählten Geräte. Der LESEZUGRIFF ist in den
Situationen eine nützliche Option, in denen die Endbenutzer Daten auf einen Client, aber nicht von einem Client
kopieren dürfen. ZUGRIFF VERBIETEN ist die beste Option, wenn ein Gerät komplett blockiert werden soll. Dies ist die
sicherste Funktion: Die Geräte können Clients nicht mit Malware infizieren und sie können nicht dazu verwendet
werden, um Daten aus dem Unternehmensnetzwerk nach außen zu tragen.
Die vollständige Blockierung von Gerätekategorien ist der einfachste Teil der Nutzung der GERÄTEKONTROLLE. Es kann
aber Situationen geben, in denen Endbenutzer oder Administratoren ein Gerät lokal nutzen möchten, trotz eines
netzwerkweiten Verbots. Anstatt einen LESE- oder LESE-/SCHREIBZUGRIFF für alle Geräte in einer Kategorie zu aktivieren,
können die Administratoren mit der Whitelist-Funktion spezifische Geräte definieren, die benutzt werden dürfen.
Wenn eine Gerätekategorie auf LESEN oder ZUGRIFF VERBIETEN eingestellt wurde, können mithilfe der Whitelist LESE-oder LESE-/SCHREIBBERECHTIGUNGEN zu einem bestimmten Gerät oder Medium hinzugefügt werden. Vor der Einführung
einer Geräterichtlinie sollten die wesentlichen Geräte- oder Medienberechtigungen auf die Whitelist gesetzt
werden, um Störungen der Workflows auszuschließen.
Abbildung 57: G Data Administrator – PolicyManager, Gerätekontrolle
121
Durch Klicken auf die Schaltfläche NEU wird das Popup-Fenster für einen Whitelist-Eintrag geöffnet. In dem Fenster
sind nur die Gerätekategorien aufgeführt, die in der Gerätekategorieliste eingeschränkt wurden. Gerätekategorien,
denen LESE-/SCHREIBBERECHTIGUNGEN zugewiesen wurden, werden nicht blockiert und benötigen daher auch keine
Whitelist-Einträge. Mit dem Feld HARDWARE-ID/MEDIUM-ID wird das Gerät bzw. Medium definiert, das der Whitelist
hinzugefügt werden soll. Mit der Schaltfläche … kann die korrekte ID bestimmt werden, die auf die Whitelist
gesetzt werden soll. Das Popup-Fenster ermöglicht eine Suche auf lokalen Geräten oder auf Geräten eines
beliebigen Netzwerk-Clients. Durch die Auswahl einer Hardware-ID kann ein ganzes Gerät auf die Whitelist gesetzt
werden. Beispielsweise kann bei einem System, bei dem alle DVD-Laufwerke blockiert sind, ein DVD-Laufwerk als
Ausnahme definiert sein. Eine Medium-ID hingegen hilft dabei, ein bestimmtes Medium auf die Whitelist zu
setzen. Bei einem System mit blockierten DVD-Laufwerken kann beispielsweise die Berechtigung zur Nutzung
einer bestimmten CD oder DVD hinzugefügt werden. Das ist auch für Clients praktisch, die keinerlei
Wechseldatenträger nutzen dürfen, aber den Zugriff auf einen bestimmten (unternehmensverwalteten) USB-Stick
benötigen.
Ähnlich wie die Anwendungskontrolle kann auch das Modul „Gerätekontrolle“ seine Arbeit mit oder ohne
Interaktion des Benutzers erledigen. Durch Auswahl der Option DER BENUTZER DARF BLOCKIERTE GERÄTE MELDEN hat der
Benutzer die Möglichkeit, den Zugriff auf ein blockiertes Gerät anzufordern. Das Popup-Fenster bietet eine
Möglichkeit, eine Berechtigung zur Nutzung des Geräts oder Mediums anzufordern. Dadurch wird im Modul
BERICHTE ein Bericht generiert. Auf der Grundlage des Berichts kann eine Whitelist-Ausnahme hinzugefügt werden.
Die Gerätekategorie selbst kann für ausgewählte Clients oder, basierend auf der Geräte- oder Medium-ID, nur für
ein bestimmtes Gerät oder Medium aktiviert werden. Die Möglichkeiten für die Whitelist-Funktion hängen von
den Daten ab, die im Bericht verfügbar sind. Beim Hinzufügen von Geräteausnahmen ist Vorsicht geboten. Die
Entscheidung sollte nicht nur auf den Anforderungen der Benutzer basieren. Nach Möglichkeit sollte man sich das
Medium verschaffen, für das die Berechtigung angefordert wurde, und überprüfen, ob diese tatsächlich
erforderlich ist. Beim Hinzufügen einer Ausnahme sollte nach Möglichkeit immer mit Medien- und nicht mit
Hardware-Ausnahmen gearbeitet werden. Dadurch wird die Gefahr einer unbefugten Gerätenutzung und
Malware-Infektion begrenzt.
14.3.
Web-Inhalt
Ein beliebter Teil von Unternehmensrichtlinien ist die Beschränkung des Zugriffs auf bestimmte Websites. Für das
Blockieren einer Website kann es viele Gründe geben. Einer ist die Produktivität: Endbenutzer können daran
gehindert werden, Websites zu besuchen, die mit ihren aktuellen Aufgaben nichts zu tun haben, etwa OnlineSpiele oder soziale Netzwerke. Des Weiteren kann der Inhalt von Websites ungesetzlich oder unangemessen sein.
Filesharing-Websites, nicht jugendfreie Inhalte oder Websites zur Verbreitung von Hacking sind in fast allen Fällen
für die Arbeit irrelevant und sollten blockiert werden. Diese Art von Websites findet sich oft in den dunkleren
Teilen des Internets, in denen bösartige Webhosts oder gehackte Werbenetzwerke versuchen könnten, Besucher
mit Malware zu infizieren.
Bevor eine der Kategorien in der WEB-INHALTSKONTROLLE von PolicyManager blockiert wird, sollte ein Inventar der
unverzichtbaren Websites angelegt werden. Damit gewährleistet ist, dass wichtige Websites nicht versehentlich
blockiert werden, sollten diese vor der Einführung einer Richtlinie der NETZWERKWEITEN WHITELIST hinzugefügt werden.
Wenn es spezielle Websites gibt, die blockiert werden müssen, können diese der NETZWERKWEITEN BLACKLIST
hinzugefügt werden.
Um Zeit und Mühen zu sparen, können Administratoren vordefinierte Website-Kategorien blockieren. Es sind
verschiedene Kategorien verfügbar, die nach Art des Inhalts gruppiert sind. Jede Kategorie besteht aus einer Liste
von URLs, die auf die Blacklist gesetzt wurden und blockiert werden können. Die Administratoren sollten für jede
122
14. PolicyManager
Netzwerkzone entscheiden, welche Website-Kategorien blockiert werden sollen. Es empfiehlt sich, zumindest
ungesetzliche Inhalte zu blockieren (je nach örtlicher Gesetzgebung umfasst dies Kategorien wie kriminelles
Fachwissen, Drogen, Filesharing, Glücksspiel und Hacking). Entsprechend den Netzwerkrichtlinien und Wünschen
des Administrators können weitere Kategorien aktiviert werden (zugunsten der Produktivität Kategorien wie
Blogs, Chats und soziale Netzwerke – unangemessene Inhalte lassen sich mit Kategorien wie „Nicht jugendfreier
Inhalt“, „Hass“ oder „Nacktheit“ blockieren).
Abbildung 58: G Data Administrator – PolicyManager, Webinhaltskontrolle
Wenn im Client-Verwaltungsbereich der richtige Client oder die richtige Gruppe ausgewählt wurde, können die zu
blockierenden Kategorien gewählt werden. Wenn das Kontrollkästchen vor dem Kategoriennamen aktiviert ist, ist
ein Zugriff auf Websites dieser Kategorie zulässig. Zur Blockierung des Zugriffs wird die Kategorie deaktiviert. Es ist
jede beliebige Kombination von Kategorien möglich. Da Kategorien für eine sehr weitreichende Serie von
Szenarien zur Verfügung gestellt werden, empfiehlt es sich nicht, den Zugriff auf alle gleichzeitig zu blockieren, da
dies den Website-Zugriff erheblich behindern würde. Die Administratoren sollten eine spezifische Auswahl auf der
Grundlage der Arten von Websites treffen, die die Mitarbeiter besuchen dürfen oder nicht.
Zusätzlich zur Kategorieliste können Websites mithilfe der NETZWERKWEITEN WHITELIST und der NETZWERKWEITEN BLACKLIST
blockiert oder zugelassen werden. Mit der netzwerkweiten Whitelist können Websites definiert werden, deren
Besuch unabhängig von der Kategorieauswahl erlaubt sein soll. Umgekehrt blockiert die netzwerkweite Blacklist
Websites auch dann, wenn diese basierend auf den geltenden Kategorien nicht blockiert worden wären. Die
netzwerkweite Whitelist und Blacklist gelten für das gesamte Netzwerk, damit Administratoren schnell
Ausnahmen für alle Clients definieren können. Beispielsweise können Websites, die für Workflow-Prozesse
unerlässlich sind, oder auch die eigene Website des Unternehmens auf die Whitelist gesetzt werden.
Die Web-Inhaltskontrolle ist von der Scan-Ebene des HTTP-Datenverkehrs abhängig (siehe Abschnitt 8.1). Das
bedeutet, dass die Option zur Verarbeitung von Internetinhalten für jeden Client aktiviert werden sollte, auf dem
die Web-Inhaltskontrolle eingesetzt werden soll. INTERNETINHALTE (HTTP) VERARBEITEN kann auf der Registerkarte WEB/IM
123
des Moduls CLIENT-EINSTELLUNGEN aktiviert werden. Wenn der Client einen Proxy-Server nutzt, kann dieser auf
derselben Registerkarte aktiviert werden. Wenn ein Endbenutzer im Browser eine URL anfordert, überprüft G Data
Security Client die URL anhand der zentralen URL-Liste von G Data, um ihre Kategorie anzufordern. Wenn die
Kategorie blockiert ist oder die Website auf der netzwerkweiten Blacklist steht, wird die Anforderung verweigert
und die Seite nicht geladen. Wenn es Latenzprobleme gibt und das Nachschlagen der Kategorie innerhalb von
1.000 Millisekunden kein Ergebnis liefert, wird die Website geladen. Wenn die Option DER BENUTZER DARF BLOCKIERTE
WEB-INHALTE MELDEN aktiviert ist, erscheint jedes Mal ein Popup-Fenster, wenn eine Website blockiert ist. Der
Benutzer kann den Zugriff auf die Website anfordern, wodurch im Modul BERICHTE ein Bericht generiert wird. Der
Administrator kann dann entweder den Zugriff auf die komplette Kategorie (für jeden Client und jede Gruppe)
erlauben oder die Website auf die netzwerkweite Whitelist setzen.
14.4.
Internetnutzungszeit
Das vierte und letzte PolicyManager-Modul legt den Schwerpunkt nicht auf das Filtern, sondern auf das komplette
Blockieren von Internetinhalten. Wie bei allen Richtlinien gibt es auch hier eine Richtlinien- und eine
Sicherheitskomponente. Was die Richtlinie angeht, können Administratoren den Internetzugang auf bestimmte
Tageszeiten beschränken, ihn auf eine maximale kumulative Zeitspanne beschränken oder ihn komplett
blockieren. Mitarbeiter, die keinen Internetzugriff benötigen, können so dazu gezwungen werden, sich auf ihre
Aufgaben zu konzentrieren, oder dürfen das Internet nur während der Mittagspause nutzen. Darüber hinaus sorgt
die Einschränkung des Internetzugriffs für Sicherheit, da sie die Zeitspanne verkürzt, in der der Angriffsvektor
verfügbar ist. Es muss aber genau überlegt werden, in welchen Szenarien er genutzt werden kann. Durch die
Blockierung des Internetzugriffs werden Workflows stark eingeschränkt, die davon abhängig sind, Informationen
online abzurufen oder zu veröffentlichen.
Der Bereich INTERNETNUTZUNGSZEIT von PolicyManager enthält zwei wichtige Komponenten. Links zeigt das Raster an,
zu welchen Zeiten an welchen Wochentagen der Internetzugriff gewährt oder eingeschränkt werden soll. Mit dem
Zeitraster lassen sich verschiedene Konfigurationen in Kraft setzen. Um mehrere Zeitfenster gleichzeitig
auszuwählen, kann darauf geklickt und es gezogen oder alternativ die Tastenkombination Strg + Klicken bzw.
Umschalt + Klicken genutzt werden. Mit einem Rechtsklick wird ausgewählt, ob die Internetnutzung für diese
Zeitfenster blockiert oder zugelassen werden soll. Um beispielsweise zu gewährleisten, dass der Internetzugriff
nur während der Mittagspause möglich ist, werden alle Zeitfenster (Strg + A) ausgewählt, mit der rechten
Maustaste darauf geklickt und die Option ZEIT SPERREN ausgewählt. Anschließend wird die Uhrzeit der Mittagspause
ausgewählt, mit der rechten Maustaste darauf geklickt und die Option ZEIT FREIGEBEN ausgewählt. Wenn ein
Endbenutzer versucht, auf eine Website zuzugreifen, während der Internetzugriff blockiert ist, erscheint im
Browser eine Warnseite. Es ist zu beachten, dass Einschränkungen des Internetzugriffs durch eine Veränderung der
Ortszeiteinstellung umgangen werden könnten. Falls die Einstellung noch nicht aktiviert wurde, empfiehlt es sich,
mithilfe eines Gruppenrichtlinienobjekts die Endbenutzer an einer Änderung der Ortszeiteinstellungen zu hindern.
Auf der rechten Seite können mit einer Reihe von Schiebereglern tägliche, wöchentliche oder monatliche
Nutzungsgrenzen definiert werden. Diese Grenzen werden getrennt vom und zusätzlich zum Zeitraster
erzwungen. Die Schieberegler lassen sich aktivieren, indem das Kontrollkästchen INTERNETNUTZUNGSZEITEN ÜBERWACHEN
aktiviert und anschließend die maximale Zeitspanne eingegeben wird, in der das Internet genutzt werden darf.
Standardmäßig ist der Internetzugriff immer verfügbar: 30 Tage im Monat, 7 Tage die Woche und 24 Stunden am
Tag. Mit den Schiebereglern kann diese Zeitspanne verkürzt werden. Alternativ kann die Zeit auch manuell
eingegeben werden. Wenn man beispielsweise im Wochenfeld 04 20:05 eingibt, bedeutet das, dass die
Internetnutzung 4 Tage, 20 Stunden und 5 Minuten erlaubt ist. Sobald die zulässige Internetnutzung für einen
bestimmten Zeitraum überschritten ist, sehen die Benutzer eine Warnseite, wenn sie eine Website öffnen. Bei
124
14. PolicyManager
einem Konflikt zwischen den Zeiteingaben wird die kürzeste Zeitspanne verwendet. Wenn beispielsweise eine
Zeitgrenze von vier Tagen im Monat definiert ist, aber eine wöchentliche Grenze von fünf Tagen eingestellt ist,
begrenzt die Software die Internetnutzung automatisch auf vier Tage.
Abbildung 59: G Data Administrator – PolicyManager, Internetnutzungszeit
Wie die WEBINHALTSKONTROLLE (siehe Abschnitt 14.3) ist auch die INTERNETNUTZUNGSZEIT von der Scan-Ebene des HTTPDatenverkehrs abhängig. Das bedeutet, dass die Option zur Verarbeitung von Internetinhalten für jeden Client
aktiviert werden sollte, auf dem die Internetnutzungszeit nachverfolgt werden soll. Der Datenverkehr an anderen
Ports als denen, die für die Scan-Ebene des HTTP-Datenverkehrs definiert wurden, wird nicht überwacht.
125
15.
PatchManager
PatchManager ist als optionales Modul für die Benutzer der Lösungen AntiVirus Business, Client Security Business,
Endpoint Protection Business und Managed Endpoint Security erhältlich.
Mit Patches werden oft Sicherheitslücken repariert, durch die Angreifer Zugriff auf Systeme erhalten könnten, auf
denen die betroffene Software ausgeführt wird. Bei der Reaktion auf Sicherheitsnotfälle kommt es auf die schnelle
Bereitstellung der Patches an. Als erschwerender Faktor kommt hinzu, dass die Veröffentlichung eines Patches
aufgrund der öffentlichen Bekanntgabe von Informationen über die Sicherheitslücke, die üblicherweise mit PatchFreigaben einhergeht, Hacker dazu anspornt, den Sicherheitsbug zu entwickeln und auszunutzen. Durch das
Rückentwickeln von Patch-Dateien können Angreifer die Informationen erhalten, die für einen wirksamen Angriff
notwendig sind. Dadurch wird zusätzlicher Druck auf die Administratoren ausgeübt, die ihre Systeme rechtzeitig
mit Patches versorgen müssen. Die Patch-Verwaltung hilft dabei, die Patch-Bereitstellung zu beschleunigen, und
verbessert die Effizienz des gesamten Prozesses, indem sie Vorgehensweisen zur Patch-Bereitstellung koordiniert
und standardisiert, wodurch eine erfolgreiche Ausnutzung von Softwarebugs durch Hacker verhindert wird.
Abbildung 60: Patch-Verwaltungszyklus
Der Patch-Verwaltungszyklus lässt sich in verschiedene Phasen aufteilen (siehe Abschnitte 15.1 bis 15.7) 14. Je nach
ihren Wünschen und Anforderungen können Unternehmen verschiedene Phasen zusammenführen, indem sie sie
bündeln und derselben Person zuweisen, oder auch nach Bedarf weitere konkrete Maßnahmen definieren.
Vorhandene Standards des Veränderungs- und Release-Managements können (teilweise) integriert werden.
Einige Schritte des Verfahrens, vor allem die Bereitstellung, lassen sich automatisieren, aber verschiedene
Schlüsselaktionen müssen für jeden Zyklus manuell ausgeführt werden. Daher ist die Planung zur Optimierung
dieses Prozesses entscheidend. Es kann sehr hilfreich sein, eine Patch-Verwaltungsrichtlinie zu definieren, die sich
mit häufigen Fragen befasst. Sollen alle verfügbaren Patches standardmäßig installiert werden oder gibt es eine
Klassifizierung, vielleicht basierend auf der Schwere der Sicherheitslücken, die sie beheben? Werden Patches
proaktiv installiert (um mögliche Sicherheitslöcher zu stopfen) oder reaktiv (nur beim Auftreten von Problemen)
oder in einer Kombination von beiden? Es empfiehlt sich, so viele verallgemeinerte Regeln wie möglich
aufzustellen, um unnötigen Zeitaufwand für Entscheidungen zu jedem einzelnen Patch zu vermeiden. Die Lösung
besteht aber auch nicht darin, einfach jedes verfügbare Patch zu installieren: Es muss ganz bewusst ausgewählt
14
Eine theoretischere Übersicht über die verschiedenen Schritte enthält das G Data TechPaper #0271 „Patch Management Best Practices“.
126
15. PatchManager
werden, um Überlastungs- und Kompatibilitätsprobleme in Netzwerk und System zu verhindern.
Da die Patch-Verwaltung eine zeitaufwendige Aufgabe ist, kann die vollständige Automatisierung eine
verlockende Möglichkeit sein. PatchManager kann nahezu eigenständig arbeiten: Mit dem Modul EINSTELLUNGEN von
PatchManager lassen sich automatisierte Einführungen kritischer Patches konfigurieren. Diese Methode
gewährleistet zwar, dass die Clients pünktlich mit den neuesten kritischen Patches versorgt werden, es ist aber
dennoch nicht ratsam, PatchManager auf diese Weise zu konfigurieren. Ein Patch mag für einen bestimmten Client
durchaus anwendbar sein, das bedeutet aber nicht, dass er sich ohne Probleme installieren lässt. Nach seiner
Installation könnten Kompatibilitätsprobleme auftreten und die Verfügbarkeit von System oder Software
behindern. Die Patch-Verwaltung sollte immer ein angemessenes Testverfahren beinhalten, und kein Teil des
Zyklus sollte nachlässig behandelt werden.
15.1.
Schritt 1: Aktualisierung des Inventars
Zunächst ist es wichtig, ein Inventar der Computer im Netzwerk sowie ihrer Soft- und Hardware zu erstellen und zu
pflegen. Mit dem Modul CLIENTS können Administratoren auf eine vollständige Liste der installierten Software für
jeden Netzwerk-Client zugreifen. Das Inventar lässt sich organisieren, um verschiedene Arten von Informationen
zu liefern. Die Standardansicht zeigt eine einfache Liste der gesamten Software, die auf den ausgewählten Clients
installiert ist. Die Liste enthält das Installationsdatum, den Software-Hersteller und die aktuell installierte Version.
Durch die Gruppierung der Elemente nach Hersteller und Name steht für jedes Produkt eine schnelle Übersicht zur
Verfügung, mit der überprüft werden kann, ob die aktuellste Version auf allen Computern installiert wurde.
Abbildung 61: G Data Administrator – Ansicht „Client-Software-Inventar“
An dieser Stelle sollte überprüft werden, ob auf den Netzwerk-Clients Software ausgeführt wird, die nicht zur
Standardbereitstellung gehört. Die Administratoren können nicht die potentiellen Sicherheitsrisiken der gesamten
Software kennen. Mit dem Software-Inventar lassen sich nicht sanktionierte Software-Installationen leichter
aufspüren. Die Administratoren können dann entscheiden, die Software zu ihrer offiziellen Bereitstellungsliste
127
(Whitelist) hinzuzufügen oder sie zu entfernen (Blacklist). Die Benutzer von G Data Endpoint Protection Business
können das PolicyManager-Modul (siehe Kapitel 14) nutzen, um netzwerkweite Richtlinien anzuwenden oder um
Software auf die Whitelist oder die Blacklist zu setzen und so die Bereitstellung zu kontrollieren.
Es ist nicht nur wichtig, die Software nachzuverfolgen; eine erfolgreiche Bereitstellung hängt auch von den
physischen Voraussetzungen wie etwa den Hardware-Spezifikationen ab. Mit der Funktion des HardwareInventars lässt sich eine Vielzahl von Spezifikationen nachverfolgen. Physische Angaben wie CPU-Geschwindigkeit
und der Umfang des internen Speichers helfen dabei, Geschwindigkeit und Leistung der Patch-Bereitstellung
vorherzusagen. Die Menge des freien Festplattenspeichers ist wichtig, um zu verhindern, dass die PatchBereitstellung Fehler verursacht. Zusätzlich können die Firmware-Versionen von BIOS und Motherboard
nachverfolgt werden, um sie mit neu veröffentlichter Firmware zu vergleichen.
15.2.
Schritt 2: Sammeln von Informationen
Sobald ein Inventar erstellt wurde, sollten die Administratoren mit den Informationen über die neuesten Patches
Schritt halten. Das PatchManager-Modul enthält auf der Registerkarte PATCH-KONFIGURATION eine Liste aller
verfügbaren Patches für eine Vielzahl von Produkten. Die Datenbank wird automatisch aktualisiert, sobald die
Hersteller einen neuen Patch veröffentlichen. Eine Übersicht über Hersteller, Produkte und Patches lässt sich einer
Reihe von Diagrammen oben auf der Registerkarte entnehmen.
Die Patch-Liste ist standardmäßig nach HERSTELLER, PRIORITÄT und PRODUKT gruppiert. Dadurch können die
Administratoren Patches für ein bestimmtes Produkt schnell nachschlagen. Die standardmäßigen
Anzeigefiltereinstellungen schließen vollständige Software-Installationsprogramme ebenso von der Liste aus wie
alle blockierten Einträge. Mithilfe der Option ALLE FILTER ZURÜCKSETZEN wird der Anzeigefilter zurückgesetzt. Wenn ein
Patch ein anderes Patch ersetzt hat, lässt sich sein Eintrag erweitern, um eine Liste aller Patches einzusehen, die es
ersetzt. Es lassen sich weitere Informationen zu einzelnen Patches (oft mit kompletten Versionshinweisen)
abrufen, indem mit der rechten Maustaste auf ein Patch geklickt und seine Eigenschaften überprüft werden.
128
15. PatchManager
Abbildung 62: G Data Administrator – PatchManager, Ansicht „Patch-Konfiguration“
15.3.
Schritt 3: Strategie und Planung
Bei jeder Veröffentlichung eines neuen Patches sollte es mit allen Client-Systemen verglichen werden, um
festzustellen, ob es sich auf ein Produkt bezieht, das im Netzwerk in Gebrauch ist. Für kritische Patches lässt sich
dieser Prozess auf der Registerkarte EINSTELLUNGEN automatisieren. Um ein oder mehrere Patches auf ihre
Anwendbarkeit zu überprüfen, kann auf der Registerkarte STATUS-ÜBERSICHT die Option PATCHES AUF ANWENDBARKEIT
PRÜFEN ausgewählt werden. Dadurch wird ein SOFTWAREERKENNUNGSAUFTRAG für den bzw. die angegebenen Clients
geplant. Alternativ kann ein automatischer Scan für jedes neue Patch ausgeführt werden, das der Datenbank
hinzugefügt wird. Dazu gehören kritische ebenso wie weniger kritische Patches. Mit dem Modul AUFTRÄGE kann ein
SOFTWAREERKENNUNGSAUFTRAG geplant werden, der sofort ausgeführt wird, wenn ein neues Patch zur Verfügung steht.
PatchManager überprüft dann die neuen Patches auf allen angegebenen Clients auf ihre Anwendbarkeit. Auch
wenn Softwareerkennungsaufträge anwendbare Patches automatisch installieren können, empfiehlt es sich doch,
Patch-Prüfungen im Voraus zu planen (siehe Abschnitt 15.4).
Nach der Prüfung auf Anwendbarkeit werden der bzw. die entsprechenden Server oder Clients im ClientVerwaltungsbereich ausgewählt und die Registerkarte STATUS-ÜBERSICHT von PatchManager geöffnet. Die Liste ist
standardmäßig nach STATUS, PRIORITÄT, HERSTELLER und PRODUKT gruppiert. Dadurch lassen sich schneller die Patches
finden, die anwendbar oder nicht anwendbar sind bzw. bereits installiert wurden. Patches, die für das bzw. die
Client-Systeme anwendbar sind, sind diejenigen, die überprüft, getestet und schließlich bereitgestellt werden
müssen.
PatchManager liefert für jedes Patch eine Reihe von Informationen, um die Entscheidung zu erleichtern, ob ein
bestimmtes Patch bereitgestellt werden muss oder nicht. In seiner Listenübersicht zeigt das PatchManager-Modul
die Produkte an, für die ein Patch gilt, ebenso sein Veröffentlichungsdatum, seinen offiziellen Titel und seine
Priorität. Für jedes Patch werden eine vollständige Beschreibung und normalerweise auch eine URL für die
offiziellen Versionshinweise angegeben. Diese Informationen helfen Administratoren bei der Entscheidung
darüber, wie schwerwiegend eine bestimmte Sicherheitslücke ist und wie schnell ihr Patch bereitgestellt werden
muss. Die bedeutendsten Patches sollten mit einer höheren Priorität als die nicht kritischen Patches installiert
werden. Dabei sollte nicht vergessen werden, dass nicht pauschal alle Patches installiert werden sollten. Die
Automatisierung der Patch-Verwaltung soll nicht die Entscheidungsfindung aus der Gleichung herausnehmen,
sondern genug Einzelheiten liefern, um fundierte Entscheidungen treffen und den Bereitstellungsvorgang
optimieren zu können. PatchManager liefert so viele Informationen wie möglich, aber die Entscheidung darüber,
ein Patch zu testen und schließlich bereitzustellen, liegt immer beim Administrator.
15.4.
Schritt 4: Testen
Wenn entschieden wurde, dass ein bestimmtes Patch bereitgestellt wird, kann das Testverfahren beginnen. Es
wird empfohlen, Patches auf einer Reihe von repräsentativen Computern zu testen. Diese Computer sollten den
Clients ähneln, die tatsächlich in Gebrauch sind, damit auf mögliche Probleme getestet werden kann, ohne die
tatsächlichen Clients zu stören. Nicht jeder Administrator hat aber Zugang zu genügend vielen Computern, um
eine kleine Nachbildung seines Netzwerks aufzubauen. Hier empfiehlt sich die Methode der Virtualisierung; wenn
es wirklich keine andere Lösung gibt, kann ein nicht unbedingt notwendiges Subnetz des Netzwerks genutzt
werden. In diesem Fall lässt sich mit G Data Administrator eine Testumgebung in einer oder mehreren Gruppen
organisieren. Patches können auf einem oder mehreren Clients in einer oder mehreren Gruppen bereitgestellt
werden, um die Installation und ihre Auswirkungen zu beobachten.
129
Um ein oder mehrere Patches für eine Testgruppe bereitzustellen, wird die Gruppe im Client-Verwaltungsbereich
ausgewählt. Dazu wird das Modul AUFTRÄGE geöffnet und ein neuer SOFTWAREVERTEILUNGSAUFTRAG angelegt.
Anschließend wird das zu verteilende Patch bzw. die Patches ausgewählt und festgelegt, zu welcher Zeit die
Verteilung stattfinden soll. Die Auswahl eines Patches lässt sich vereinfachen, wenn man die Patch-Liste nach
HERSTELLER oder PRODUKT gruppiert. Diesen Vorgang wird mit allen passenden Patches und für alle passenden
Testgruppen wiederholt. Es empfiehlt sich, immer nur einen Patch pro System zu testen, damit sich mögliche
Probleme einem konkreten Patch zuordnen lassen.
Abbildung 63: G Data Administrator – Aufträge, Softwareverteilungsauftrag
Während des Testzeitraums und in der Überprüfungsphase nach der Bereitstellung lässt sich mithilfe des Moduls
REPORTMANAGER herausfinden, welchen Status die bereitgestellten Patches haben und welche Computer potentiell
Fehler verursachen (siehe Abschnitt 6.3). Mit ReportManager kann der Administrator mehrere Module auswählen,
die in einem Bericht zusammengefasst werden. Seine PATCHMANAGER-Kategorie bietet mehrere nützliche Optionen,
zum Beispiel die am häufigsten nicht installierten Patches oder Computer mit nicht ausgeführten
Softwareverteilungsaufträgen (was auf Installationsprobleme hinweisen kann) oder die Computer mit den
häufigsten Patch-Anforderungen oder -Ablehnungen (für eine anschließende Analyse).
Zusätzlich zum ReportManager-Modul kann der Status der Patch-Prüfung auch im Modul AUFTRÄGE eingesehen
werden. Dazu werden der entsprechende Auftrag geöffnet und die Einzelheiten überprüft, um sich den Status für
jedes Patch anzusehen. Wenn ein Patch nicht erfolgreich bereitgestellt zu sein scheint, sollte das SoftwareInventar für diesen Client aktualisiert und erneut überprüft werden. Wenn das Patch nicht bereitgestellt werden
kann, wird das System lokal überprüft und eine manuelle Patch-Bereitstellung versucht. Wenn ein Patch während
der Testphase Probleme verursacht, sollte es nicht in großem Stil bereitgestellt werden, bis die Probleme behoben
worden sind.
Die Patch-Prüfung könnte theoretisch übersprungen werden: PatchManager kann kritische Patches automatisch
installieren, wenn die entsprechende Option auf der Registerkarte EINSTELLUNGEN aktiviert ist. Dies empfiehlt sich
nicht: Patches sollten immer auf ihre Kompatibilität getestet und nur dann eingeführt werden, wenn
gewährleistet ist, dass sie keine Probleme verursachen werden.
130
15. PatchManager
15.5.
Schritt 5: Planung und Zuweisung
Nach Abschluss der Testphase kann die tatsächliche Bereitstellung geplant werden. Wenn alle anwendbaren
Patches lokalisiert und getestet wurden, kann ein Plan aufgestellt werden. Mithilfe der Richtlinie zur PatchVerwaltung wird entschieden, in welcher Reihenfolge und auf welchen (Gruppen von) Computern zuerst die
Patches bereitgestellt werden sollen. Mithilfe der Funktion NACHRICHTEN des Moduls CLIENTS lassen sich die Clients
über den Patch-Plan informieren und vor eventuellen Neustarts warnen.
15.6.
Schritt 6: Patch-Bereitstellung
Für ordnungsgemäß getestete Patches kann ein SOFTWAREVERTEILUNGSAUFTRAG geplant werden. Dazu wird mithilfe des
Moduls AUFTRÄGE ein SOFTWAREVERTEILUNGSAUFTRAG mit den richtigen Patches für die richtigen Clients geplant. Um eine
Störung der Endbenutzer-Workflows zu verhindern, können Patches so geplant werden, dass sie zu einem
bestimmten Zeitpunkt oder direkt nach dem nächsten Start oder der nächsten Anmeldung bereitgestellt werden.
Eine optionale Verzögerung verhindert, dass Patches bereitgestellt werden, wenn gerade andere systemintensive
Prozesse laufen.
15.7.
Schritt 7: Überprüfen und Berichten
Bei der Überprüfung und Auswertung der Patch-Bereitstellung können die Inventurtools eine große Hilfe sein.
Außerdem bietet das PatchManager-Modul eine Möglichkeit für direkte Rückmeldungen der Benutzer. Patches,
die auf das System anwendbar sind, aber noch nicht bereitgestellt wurden oder gar nicht installiert werden sollen,
können von Endbenutzern angefordert werden, wenn ein dringender Bedarf für die Reparatur eines Produkts
besteht. Wenn der Administrator die entsprechende Option aktiviert, können Endbenutzer eine Zurücksetzung
der Patches anfordern, falls Probleme mit der Leistungsfähigkeit oder Kompatibilität auftreten. Die
Administratoren können jederzeit manuell eine Zurücksetzung einleiten und so eine schnelle Lösung bieten,
wenn ein bestimmtes Patch Probleme verursacht. Das Anforderungssystem für Verteilung und Zurücksetzung ist
direkt in das PatchManager-Modul integriert und ermöglicht es dem Administrator, direkt vom Modul BERICHTE aus
einen Verteilungs- oder Zurücksetzungsauftrag zu planen.
131
16.
E-Mail-Server-Sicherheit
MailSecurity ist als optionales Modul für die Benutzer der Lösungen AntiVirus Business, Client Security Business,
Endpoint Protection Business und Managed Endpoint Security erhältlich.
Um eine Infizierung von Endbenutzer-Hardware wie Desktop-Computern oder Smartphones mit Malware zu
verhindern, reicht es nicht aus, nur diese Endpunkte zu schützen. Auch weitere Netzwerkkomponenten sollten
geschützt werden, um Bedrohungen frühzeitig herauszufiltern. Ein wichtiger Baustein dieser mehrschichtigen
Sicherheit ist der Schutz des E-Mail-Servers. Durch einen Scan aller einund ausgehenden E-Mails kann verhindert
werden, dass Malware und Spam ihr Ziel erreichen.
Wie die E-Mail-Server-Sicherheit umgesetzt wird, hängt von der aktuellen Einrichtung des E-Mail-Servers ab. Auch
bei Unternehmen, die keinen lokalen E-Mail-Server hosten, empfiehlt sich das Scannen aller E-Mails. Dies lässt sich
erreichen, indem MailSecurity als Gateway einsetzt wird, der E-Mail-Nachrichten von einem externen POP3-Server
abruft und kontrolliert, bevor er sie an lokale Clients weiterleitet. Lokale E-Mail-Server lassen sich abdecken, indem
MailSecurity als Gateway auf dem E-Mail-Server selbst oder auf einem speziellen Gateway-Server für E-MailSicherheit installiert wird. Bei Verwendung von Microsoft Exchange Server 2007 SP1, 2010 oder 2013 wird das
MailSecurity Exchange-Plugin installiert. Abschnitt 4.2.4 enthält ausführliche Informationen über die
verschiedenen Bereitstellungsarten und den Installationsvorgang.
16.1.
Exchange-Plugin
Das Exchange-Plugin von MailSecurity ergänzt die vorhandenen Exchange-Workflows. Durch eine tief greifende
Integration in den Server liefert es einen transparenten Malware-Schutz: Ohne spürbare Verzögerungen oder eine
Interaktion des Benutzers werden alle einund ausgehenden Objekte gescannt und nur weitergegeben, wenn sie
frei von Malware sind. Die Plugin-Bereitstellung sieht aus wie eine normale Client-Server-Bereitstellung. Das
Exchange-Plugin wird auf dem Exchange-Server installiert und berichtet an einen ManagementServer. Das kann
ein vorhandener ManagementServer im Netzwerk oder ein ManagementServer sein, der zusammen mit dem
Exchange-Plugin installiert wird. Bei Verwendung eines vorhandenen ManagementServers erscheint das
Exchange-Plugin im Client-Verwaltungsbereich von G Data Administrator. Wenn ein Exchange-Client ausgewählt
ist, bieten die Registerkarten CLIENTS, AUFTRÄGE, BERICHTE und STATISTIK ähnliche Funktionen wie ihre Gegenstücke für
die normale Client-Verwaltung. Mit dem Modul EXCHANGE-EINSTELLUNGEN können Malware-Scan- und AntiSpamEinstellungen ebenso konfiguriert werden wie Virensignatur- und Programmdatei-Updates. Nach der Aktivierung
aktualisiert sich das Exchange-Plugin automatisch jedes Mal selbst, wenn es eine Verbindung mit dem
ManagementServer herstellt (in dem Intervall, das unter SERVER-EINSTELLUNGEN > SYNCHRONISATION definiert ist). Auf der
Registerkarte CLIENTS kann jederzeit ein manuelles Update initiiert werden.
16.1.1. AntiVirus
Von MailSecurity für Exchange können verschiedene Scan-Arten konfiguriert werden. Der Zugriffsscan garantiert
dauerhaften Schutz und der On-Demand-Scan kann so konfiguriert werden, dass er bestimmte Postfächer zu
bestimmten Zeiten scannt.
16.1.1.1. Zugriffs-Scan
Der Zugriffs-Scan ist mit dem Dateisystemwächter von G Data Security Client vergleichbar und überwacht alle einund ausgehenden E-Mails auf dem Exchange-Server. E-Mails werden automatisch gescannt und nur dann zur
Verfügung gestellt, wenn sie frei von Malware sind. Der Zugriffs-Scan kann auf der Registerkarte ALLGEMEIN aktiviert
132
16. E-Mail-Server-Sicherheit
und seine Scan-Parameter unter SCAN-EINSTELLUNGEN konfiguriert werden. Der Scan kann mit ein oder zwei ScanEngines durchgeführt werden. Die Verwendung von zwei Engines sorgt für optimale Sicherheit und ist die
empfohlene Option. Wenn die Scan-Leistung aber nicht so gut wie erwartet ist, kann eine der beiden Engines
deaktiviert werden. Auch dann ist die Erkennung noch sehr gut und die Leistung wird erhöht. Die Scan-Leistung
kann weiterhin durch die Wahl der Dateien beeinflusst werden, die gescannt werden sollen. Die sicherste Option
ist das Scannen aller Dateien, dies dauert aber länger als ein begrenzter Scan. Ein begrenzter Scan umfasst nur
Programmdateien und Dokumente, also die Dateitypen, die am wahrscheinlichsten infiziert sind. Mithilfe der
Heuristik können typische Merkmale von Malware analysiert und so die Erkennung weiter gesteigert werden. Die
Chance auf falsch-positive Ergebnisse steigt damit leicht, aber die Malware-Erkennung wird deutlich verbessert.
Wenn man das Scannen von Archivdateien aktiviert, ist gewährleistet, dass auch solche Malware gefunden wird,
die sich in Archiven versteckt. Dies verlängert allerdings die Scan-Dauer, und wenn im Archiv eine infizierte Datei
gefunden wird, wird das gesamte Archiv desinfiziert oder entfernt. Wenn Quarantänemaßnahmen konfiguriert
sind, wird die gesamte E-Mail-Nachricht (einschließlich Archiv) in die Quarantäne verschoben. Die Option ARCHIVE
PRÜFEN kann deaktiviert werden, wenn alle Clients den Dateisystemwächter nutzen, um zu gewährleisten, dass die
Malware sofort nach ihrer Extraktion aus dem Archiv bekämpft wird.
Abbildung 64: G Data Administrator – Exchange-Einstellungen, Allgemein
Bei der Erkennung von Malware können verschiedene Schritte unternommen werden. Die empfohlene Aktion ist
der Versuch, die Malware aus der Datei zu entfernen bzw. ihr Verschieben in die Quarantäne, wenn eine
Entfernung nicht funktioniert. Dadurch wird ein Datenverlust so weit wie möglich verhindert und gleichzeitig
sichergestellt, dass die Malware nicht ausgeführt werden kann. Im Modul BERICHTE erscheint ein Bericht, wenn
133
Malware blockiert wird, und die in die Quarantäne verschobenen Dateien können untersucht werden. Alternativ
kann MailSecurity infizierte Anhänge löschen, die gesamte Nachricht löschen oder die Bedrohung protokollieren,
ohne sie zu blockieren. Die sofortige Löschung eines infizierten Objekts ist die sicherste Option, kann aber bei
einer falsch-positiven Erkennung dafür sorgen, dass Daten entfernt werden. Eine reine Protokollierung der
Bedrohungen wird nicht empfohlen, denn dadurch wird jede erkannte Malware ignoriert und Exchange sowie
seine Clients können darauf zugreifen und sie möglicherweise ausführen. Auch wenn dem Modul BERICHTE ein
Bericht hinzugefügt wird, der den Administratoren dabei helfen kann, manuell Maßnahmen zu ergreifen,
ermöglicht das Zeitfenster zwischen Bericht und Maßnahme eine Infizierung und möglicherweise eine weitere
Verbreitung.
16.1.1.2. On-Demand-Scan
Im Modul AUFTRÄGE lassen sich einzelne und regelmäßige Scans planen, die so ähnlich wie die Client-Scan-Aufträge
funktionieren (siehe Abschnitt 9.2). Die Einstellungen sind identisch mit denen für die Client-Scan-Aufträge mit
Ausnahme von Optionen, die für Exchange-Objekte nicht relevant sind. Anstatt den Scan-Umfang mithilfe des
Dateisystems zu definieren, wird ein Exchange-Scan-Auftrag für die Funktion in bestimmten Postfächern definiert.
Wie bei den Dateisystemscans empfiehlt es sich, alle Objekte auf dem Server regelmäßig zu scannen. Dazu kann
ein wöchentlicher, zweiwöchentlicher oder monatlicher Scan-Auftrag geplant werden. Ein vollständiger ScanAuftrag kann sehr leistungsintensiv sein. Er sollte zu Nebenzeiten wie etwa am Wochenende oder nachts geplant
werden.
16.1.2. AntiSpam
Ein großer Prozentsatz des E-Mail-Verkehrs besteht aus Spam. Die E-Mails enthalten zwar keine Malware, aber
viele dieser Nachrichten sind unerwünscht, wie etwa Massen-E-Mails mit Medikamentenwerbung oder illegalem
Software-Verkauf. Spam-Filter werden schon lange auf einzelnen Clients installiert, um eingehende SpamNachrichten zu entfernen, bevor sie den Posteingang erreichen. Dies ist eine wirksame Möglichkeit, um dafür zu
sorgen, dass die einzelnen Benutzer keine Zeit mit dem Lesen und Entfernen dieser E-Mails verbringen müssen. Es
ist aber erforderlich, dass jeder Client über Möglichkeiten zum lokalen Spam-Filtern verfügt, etwa eine netzwerkoder clientspezifische Konfiguration, einen aktuellen Regelsatz von Spam-Definitionen und lokale Möglichkeiten
zum Selbstlernen. Das Exchange-Plugin liefert einen leistungsstarken Spam-Filter auf Server-Ebene und kümmert
sich um unerwünschte Nachrichten, bevor diese die Clients erreichen. AntiSpam für Exchange ist nur für
Exchange-Server verfügbar, auf denen Hub-Transportrollen ausgeführt werden.
Alle eingehenden E-Mails werden gescannt und als sicher, SPAMVERDACHT, HOHE SPAMWAHRSCHEINLICHKEIT oder SEHR HOHE
SPAMWAHRSCHEINLICHKEIT kategorisiert. Sichere Nachrichten werden sofort zugestellt, aber für jede der drei anderen
Kategorien können individuelle Aktionen konfiguriert werden. E-Mails können direkt zurückgewiesen werden; das
ist zwar eine Möglichkeit, umfassend mit Spam fertigzuwerden, es könnten aber versehentlich auch Nachrichten
blockiert werden, die kein Spam sind (false positive). Um sicherzugehen, dass zulässige E-Mails nicht aus Versehen
zurückgewiesen werden, kann stattdessen eingestellt werden, dass Spam in den Ordner „Spam“ oder
„Quarantäne“ verschoben wird. Dadurch können Nachrichten manuell untersucht und anschließend zurück in den
Posteingang verschoben oder dauerhaft entfernt werden. Alternativ kann dem Betreff auch ein Präfix
vorangestellt werden. Die Nachrichten werden dann immer noch zugestellt, aber die Benutzer haben eine
Möglichkeit, Spam zu erkennen. Außerdem ermöglichen es Präfixe (lokalen) Filterregeln, unerwünschte
Nachrichten auszusortieren. Beim Verschieben von Spam in den Ordner „Spam“ oder „Quarantäne“ wird dem
Modul BERICHTE automatisch ein Bericht hinzugefügt. Durch Verwendung der Option, um E-Mails zuzustellen oder
zurückzuweisen, können die Administratoren wählen, ob dem Modul BERICHTE ein Bericht hinzugefügt werden soll
134
oder nicht. Diese Option sollte sorgfältig erwogen werden, da sie eine große Anzahl von Berichten erzeugen kann.
Abbildung 63: G Data Administrator – Exchange-Einstellungen, AntiSpam
Wenn die Spam-Filtermaßnahme für eine oder mehrere Kategorien konfiguriert wurde, fügt MailSecurity für
Exchange jeder Spam-Nachricht in dieser Kategorie die Kopfzeile X-G-Data-MailSecurity-for-ExchangeMoveToJunkFolder: True hinzu. Dadurch werden die Nachrichten automatisch in den Spam-Ordner verschoben.
Dieser Vorgang lässt sich beschleunigen, wenn man eine serverseitige Posteingangsregel erstellt. Die Regel sorgt
dafür, dass Exchange Server Nachrichten sofort in den Spam-Ordner verschiebt. Mithilfe von Exchange
Management Shell muss folgendes PowerShell-Skript ausführt werden, um die Regel für alle Postfächer
aufzustellen. Im ersten Befehl muss <Konto> durch das Konto des Benutzers ersetzt werden, der das Skript
ausführt:
[PS] $mailboxes = get-mailbox -resultsize unlimited | add-mailboxpermission -user <Konto> -accessrights
fullaccess
[PS] $mailboxes | foreach { new-inboxrule -name "InSpamOrdnerVerschieben" -mailbox $($_.Alias) MoveToFolder "$($_.Alias):\Junk-E-Mail" -HeaderContainsWords "X-G-Data-MailSecurity-for-ExchangeMoveToJunkFolder: True" -StopProcessingRules $true -confirm:$false -force }
Zusätzlich zu den drei Kategorien wird Spam auch mit einem Blacklist/Whitelist-Ansatz gefiltert. E-Mail-Adressen
und Domänen können auf die Whitelist gesetzt werden, um den Spam-Filter zu umgehen. Alle eingehenden
Nachrichten von Domänen oder Adressen auf der Whitelist gelten als sicher und werden sofort zugestellt.
Nachrichten auf der Blacklist werden entsprechend der Konfiguration unter SEHR HOHE SPAMWAHRSCHEINLICHKEIT als
Spam behandelt.
135
16.2.
MailGateway
MailSecurity MailGateway liefert Malware-Schutz und Spam-Filtermaßnahmen und ist mit allen E-Mail-Servern
kompatibel15. Es kann in den E-Mail-Workflow integriert werden, indem es den Datenverkehr scannt, bevor dieser
den E-Mail-Server selbst erreicht. Es sind verschiedene Umsetzungen möglich, etwa die Installation auf dem
vorhandenen E-Mail-Server oder die Bereitstellung für einen speziellen E-Mail-Gateway-Server. In Abschnitt 4.2.4.2
werden die Möglichkeiten ausführlich erläutert. Es reicht aber nicht aus, nur den Gateway zu installieren. Der EMail-Verkehr muss über MailSecurity geroutet werden, damit er gescannt werden kann. Nach Abschluss dieser
Konfiguration können die einzelnen Komponenten für den Schutz des E-Mail-Verkehrs (Malware-Schutz und
Spam-Filter) eingerichtet werden.
16.2.1. Bereitstellung
Wenn der Installationsassistent von MailSecurity MailGateway ausgeführt wurde, wird der MailGateway-Server
automatisch gestartet. Wie ManagementServer führt er seine Aufgaben im Hintergrund aus, ohne eine Interaktion
des Benutzers zu verlangen. Er benötigt aber eine gewisse Erstkonfiguration, um mit dem Scannen des E-MailVerkehrs auf Malware und Spam zu beginnen. Alle Einstellungen für MailGateway lassen sich mit MailSecurity
Administrator bearbeiten. Der MailGateway-Einrichtungsassistent installiert MailSecurity Administrator
automatisch auf demselben Computer. Wie die Administrator-Anwendung für ManagementServer kann er aber
von jedem Computer aus genutzt werden, der eine Verbindung zu dem Server herstellt, auf dem MailGateway
läuft.
Abbildung 65: G Data MailSecurity Administrator – Status
Wenn MailSecurity Administrator zum ersten Mal gestartet wird, müssen Name und Kennwort des Servers
eingegeben werden. Das Feld „Servername“ wird automatisch mit dem Namen des Servers gefüllt, auf dem
MailGateway installiert wurde. Das Feld „Kennwort“ kann frei gelassen werden. Durch Klicken auf OK wird man zur
Eingabe eines neuen Kennworts aufgefordert. Das Kennwort kann später durch Klicken auf die Schaltfläche
KENNWORT ÄNDERN auf der Registerkarte ERWEITERT des Fensters OPTIONEN von MailSecurity Administrator geändert
werden. Wenn das Kennwort verloren gegangen und eine Anmeldung bei MailSecurity Administrator nicht mehr
möglich ist, kann das Kennwort zurückgesetzt werden, wenn der Schlüssel
15
Bei der Verwendung von Microsoft Exchange lassen sich Malware- und Spam-Schutz am einfachsten durch die Installation des ExchangePlugins von MailSecurity umsetzen.
136
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\G DATA\AVKSmtp\pw (Windows 64 Bit) oder
HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKSmtp\pw (32 Bit) aus der Registry auf dem MailGateway-Server
entfernt wird.
MailSecurity Administrator öffnet sich auf der Seite STATUS und zeigt Informationen über die wichtigsten
Funktionen des Gateway-Servers an. Man kann auf jede Statusmeldung doppelklicken, um den entsprechenden
Teil des Menüs OPTIONEN zu öffnen. Beim ersten Start des Programms sind manche Funktionen deaktiviert. Als Teil
der Aufgaben nach der Bereitstellung werden automatische Aktualisierungen der Virensignaturen und
Porteinstellungen des E-Mail-Servers konfiguriert. Anschließend können Malware-Schutz, Spam-Filter und
benutzerdefinierte Filter von MailGateway eingerichtet werden.
16.2.1.1. Virensignatur-Updates
Ein wichtiger erster Schritt ist die Konfiguration der automatischen Updates für die Virensignatur-Datenbank.
Indem dazu in der oberen Menüleiste auf die Option UPDATE geklickt wird, öffnet sich das Fenster INTERNET-UPDATE
und eine der beiden Aktualisierungsmethoden kann ausgewählt werden. Es wird empfohlen, erst G Data Security
Client und dann MailSecurity MailGateway zu bereitzustellen (siehe Abschnitt 4.2.4.2). Dadurch ist nicht nur
gewährleistet, dass Malware den Gateway-Server nicht infizieren kann, sondern es wird auch MailGateway
ermöglicht, einund ausgehende E-Mails mit den Virensignaturen von Security Client zu scannen, sodass keine
eigene Virensignatur-Datenbank gepflegt werden muss.
Wenn MailGateway nicht in einem ManagementServer-Netzwerk läuft, kann es alternativ so konfiguriert werden,
dass es sich seine eigenen Virensignaturen herunterlädt. Um Updates zu erhalten, meldet sich MailSecurity online
bei den G Data UpdateServers an und benötigt dafür Zugangsdaten. Durch Klicken auf EINSTELLUNGEN UND ZEITPLANUNG
öffnen sich die Update-Einstellungen, in denen die Registerkarte ZUGANGSDATEN ausgewählt werden kann. Wenn
Benutzername und Kennwort bereits vorliegen (weil beispielsweise die Software bereits aktiviert wurde), können
sie direkt eingegeben werden. Alternativ kann auf AM SERVER ANMELDEN geklickt werden, um seine
Registrierungsnummer einzugeben. Nach der Anmeldung bei G Data werden Benutzername und Kennwort
automatisch generiert. Diese sollten unbedingt notiert werden, damit sie bei einer Neuinstallation verwendet
werden können. Nach der Eingabe der Zugangsdaten muss auf der Registerkarte ZEITPLANUNG INTERNET-UPDATE ein
Update-Zeitplan definiert werden. Damit MailGateway die E-Mails auch mit den neuesten Virensignaturen
scannen kann, sollte ein stündliches Update definiert werden. Wenn der Computer, auf dem MailGateway
installiert wurde, für die Verbindung mit dem Internet einen Proxy-Server nutzt, muss dieser auf der Registerkarte
INTERNET-EINSTELLUNGEN definiert werden. Dies ist auch der Ort, an dem die Anmeldedaten eingegeben werden, falls
sie für die Einrichtung einer Internetverbindung erforderlich sind.
16.2.1.2. E-Mail-Streams
Es ist wichtig, zwischen drei möglichen E-Mail-Streams zu unterscheiden, die von MailGateway gescannt werden
können: eingehende SMTP-E-Mails (vom Internet ins Netzwerk), ausgehende SMTP-E-Mails (vom Netzwerk ins
Internet) und POP3 (nur für eingehende E-Mails). Nicht jedes Netzwerk verwendet jede Art der E-MailKommunikation. Für die Protokolle, die in Gebrauch sind, ist eine Portkonfiguration auf MailGateway und dem EMail-Server unbedingt erforderlich, um E-Mail-Streams durch MailGateway zu leiten, bevor sie dem E-Mail-Server
zugestellt werden. Welche Ports geändert werden müssen, hängt von der Art der Bereitstellung ab.
Je nach E-Mail-Server kann der Zugriff auf Protokoll und Porteinstellungen schwierig sein. G Data bietet in
verschiedenen TechPapers zusätzliche Unterstützung bei der Konfiguration für bestimmte Produkte. Folgende
TechPapers enthalten weitere Informationen: #0149 (Tobit David), #0150 (AVM Ken!), #0151 (Microsoft Exchange
137
Server 2010) und #0152 (Microsoft Exchange Server 2007).
Bereitstellung 1: Auf dem E-Mail-Server (mit Portänderungen des E-Mail-Servers)
Der Vorteil der Bereitstellung von MailGateway auf dem E-Mail-Server besteht darin, dass kein separater Server
konfiguriert werden muss. Der Nachteil ist, dass die Ports für SMTP und POP3 sorgfältig konfiguriert werden
müssen. Um Änderungen an lokalen Firewall- oder DNS-Einträgen zu vermeiden, sollten einige Ports des E-MailServers geändert werden. Dies ist eine Beispielkonfiguration: MailSecurity empfängt Abrufanforderungen für POP3
an Port 7110 (von Clients oder von einem POP3-Connector auf dem E-Mail-Server), stellt eine Verbindung mit dem
POP3-E-Mail-Server im Internet her, ruft die E-Mails ab, verarbeitet sie und stellt sie zu. Eingehende SMTP-E-Mails
(aus dem Internet) werden von MailSecurity an Port 25 empfangen, verarbeitet und an Port 7125 des internen EMail-Servers weitergeleitet. Ausgehende SMTP-Mails werden vom internen E-Mail-Server an Port 7125 empfangen
und an Port 7025 von MailSecurity weitergeleitet, verarbeitet und gesendet. Der interne E-Mail-Server arbeitet am
SMTP-Port 7125. Exchange-Clients müssen nicht neu konfiguriert zu werden, aber Clients, die E-Mails mit SMTPEinstellungen versenden, müssen so konfiguriert werden, dass sie eine Verbindung mit diesem Port herstellen. Die
Porteinstellungen für MailSecurity und den E-Mail-Server sehen wie folgt aus:
E-Mail-Verkehr
SMTP (eingehend)
MailGateway
25
E-Mail-Server
7125
SMTP (ausgehend)
7025
7125
POP3
7110
110
Abbildung 66: G Data MailSecurity Administrator – Optionen, Eingehend (SMTP)
Damit MailGateway die eingehenden SMTP-E-Mails scannen kann, muss im Dialog OPTIONEN die Registerkarte
EINGEHEND (SMTP) ausgewählt werden. Unter EMPFANGEN wird die Option EINGEHENDE E-MAILS VERARBEITEN aktiviert.
MailGateway arbeitet an Port 25 und der E-Mail-Server nutzt einen anderen Port (zum Beispiel 7125). Wenn die
138
eingehende SMTP-E-Mail gescannt wurde, wird sie entsprechend den Einstellungen unter „Weiterleitung“ an den
E-Mail-Server übermittelt. Standardmäßig ist DNS ZUM VERSENDEN DER MAILS VERWENDEN aktiviert. Diese Option nutzt den
lokalen MX-Eintrag, um zu entscheiden, wo die E-Mail zugestellt werden soll, was aber nur funktioniert, wenn der
E-Mail-Server im MX-Eintrag aufgeführt ist. Da in vielen Fällen MailGateway im MX-Eintrag aufgeführt ist, ist es
sicherer, DNS ZUM VERSENDEN DER MAILS VERWENDEN zu deaktivieren. IP und Port des E-Mail-Servers können dann
spezifisch definiert werden. Dazu gibt man 127.0.0.1 als IP-Adresse und den E-Mail-Server-Port im Feld „Port“ ein
(in diesem Beispiel 7125).
Um die ausgehenden E-Mails zu scannen, wird die Registerkarte AUSGEHEND (SMTP) geöffnet. Anschließend wird die
Option VERARBEITUNG AUSGEHENDER MAIL aktiviert und die Portnummer eingegeben. Die einfachste Konfiguration
besteht darin, einen anderen als den Port EINGEHEND (SMTP) zu definieren, in diesem Beispiel 7025. Wenn aber
derselbe Port für einund ausgehenden SMTP-Verkehr genutzt werden soll, muss MailGateway in der Lage sein,
den ein- vom ausgehenden SMTP-Verkehr zu unterscheiden. Dies erreicht man, indem 127.0.0.1 und die IPAdresse des Servers (zum Beispiel 192.168.1.2) zu IP-ADRESSEN/SUBNETZE DER RECHNER, DIE AUSGEHENDE MAILS SENDEN
hinzugefügt wird. Ausgehende E-Mails können auf zwei Arten zugestellt werden. MailGateway kann die E-Mails
direkt mithilfe des DNS-Eintrags des Ziels zustellen. Dies ist die empfohlene Konfiguration. Wenn die Option DNS
ZUM VERSENDEN DER MAILS VERWENDEN deaktiviert ist, kann ein SMTP-Server definiert werden, an den die ausgehenden EMails weitergeleitet werden sollen. Wenn eine Authentifizierung erforderlich ist, muss das entsprechende
Verfahren im Fenster AUTHENTIFIZIERUNG ausgewählt werden.
Abbildung 67: G Data MailSecurity Administrator – Optionen, Ausgehend (SMTP)
POP3-Scans können auf der Registerkarte EINGEHEND (POP3) konfiguriert werden. Dazu wird die Option POP3ANFRAGEN VERARBEITEN aktiviert und der Port eingegeben, an dem MailGateway die POP3-Anfragen empfangen wird
(7110). Damit der Empfänger keinen Zeitüberschreitungsfehler von seiner E-Mail-Software angezeigt bekommt,
wenn der POP3-Abruf zu lange dauert, muss das Kontrollkästchen ZEITÜBERSCHREITUNG BEIM MAIL-PROGRAMM VERMEIDEN
139
aktiviert werden. Unter ABHOLUNG wird der POP3-Server eingegeben, von dem die E-Mails abgeholt werden sollen.
Das ist normalerweise der POP3-Server des Internetanbieters. MailGateway nutzt die gleiche Anmeldung, die der
Client bei seiner POP3-Anfrage verwendet. Unter FILTER kann ein Ersatztext für E-Mail-Nachrichten definiert
werden, die vom Malware-Schutz oder Spam-Filter zurückgewiesen werden.
Nach der Einrichtung von MailGateway müssen die Einstellungen des E-Mail-Servers aktualisiert werden. Dazu
werden der Server für eingehende POP3-E-Mails in die IP-Adresse des Servers (192.168.1.2) geändert und der
MailGateway-Port (7110) hinzugefügt. Der Port für einund ausgehende SMTP-E-Mails muss auf 7125 geändert
werden. Damit ausgehende E-Mails richtig geroutet werden, müssen die Einstellung des E-Mail-Servers für
ausgehende SMTP-E-Mails in die IP-Adresse des Servers geändert und der MailGateway-Port (7025) hinzugefügt
werden. Anschließend wird die SMTP-Authentifizierung deaktiviert, da diese von MailGateway durchgeführt wird.
Abbildung 68: G Data MailSecurity Administrator – Optionen, Eingehend (POP3)
Da der SMTP-Port des E-Mail-Servers geändert wurde, sollten Clients, die E-Mails mithilfe der SMTP-Einstellungen
versenden, ausgehende E-Mails an den neuen Port senden. Die Einstellungen der lokalen E-Mail-Clients müssen
ebenfalls entsprechend geändert werden (SMTP-Port 7125). Bei Clients, die E-Mails mit Exchange senden, müssen
die Einstellungen nicht aktualisiert zu werden.
Bereitstellung 2: Auf dem E-Mail-Server (ohne Portänderungen des E-Mail-Servers)
Wenn Portänderungen des E-Mail-Servers nicht praktikabel sind, weil beispielsweise einfach zu viele Clients neu
konfiguriert werden müssten, kann der E-Mail-Server weiter an Port 25 arbeiten und MailGateway kann SMTP-EMails mithilfe der Ports 7025 und 7125 empfangen bzw. senden. Um aber zu gewährleisten, dass MailSecurity
auch weiterhin die erste Sicherheitsebene ist, muss die lokale Firewall so aktualisiert werden, dass sie
eingehenden SMTP-Verkehr an den Nicht-Standardport 7025 von MailGateway weiterleitet. Die Porteinstellungen
für dieses Szenario sehen wie folgt aus:
140
E-Mail-Verkehr
SMTP (eingehend)
MailGateway
7025
E-Mail-Server
25
SMTP (ausgehend)
7125
25
POP3
7110
110
Damit MailGateway die eingehenden SMTP-E-Mails scannen kann, muss im Dialog „Optionen“ die Registerkarte
„Eingehend (SMTP)“ ausgewählt werden. Unter „Empfangen“ wird die Option „Eingehende E-Mails verarbeiten“
aktiviert. MailGateway arbeitet am Nicht-Standardport 7025. Wenn die eingehende SMTP-E-Mail gescannt wurde,
wird sie entsprechend den Einstellungen unter „Weiterleitung“ an den E-Mail-Server übermittelt. Standardmäßig
ist „DNS zum Versenden der Mails verwenden“ aktiviert. Diese Option nutzt den lokalen MX-Eintrag, um zu
entscheiden, wo die E-Mail zugestellt werden soll, was aber nur funktioniert, wenn der E-Mail-Server im MXEintrag aufgeführt ist. Da in vielen Fällen MailGateway im MX-Eintrag aufgeführt ist, ist es sicherer, „DNS zum
Versenden der Mails verwenden“ zu deaktivieren. IP und Port des E-Mail-Servers können dann spezifisch definiert
werden. Dazu wird 127.0.0.1 als IP-Adresse und der E-Mail-Server-Port im Feld „Port“ eingegeben (in diesem
Beispiel 25).
besteht darin, einen anderen als den Port EINGEHEND (SMTP) zu definieren, in diesem Beispiel wird 7125 verwendet.
Wenn aber derselbe Port für einund ausgehenden SMTP-Verkehr genutzt werden soll, muss MailGateway in der
Lage sein, den ein- vom ausgehenden SMTP-Verkehr zu unterscheiden. Dies erreicht man, indem 127.0.0.1 und die
IP-Adresse des Servers (zum Beispiel 192.168.1.2) zu IP-ADRESSEN/SUBNETZE DER RECHNER, DIE AUSGEHENDE MAILS SENDEN
hinzugefügt wird. Ausgehende E-Mails können auf zwei Arten zugestellt werden. MailGateway kann die E-Mails
direkt mithilfe des DNS-Eintrags des Ziels zustellen. Dies ist die empfohlene Konfiguration. Wenn die Option DNS
141
ZUM VERSENDEN DER MAILS VERWENDEN deaktiviert ist, kann ein SMTP-Server definiert werden, an den die ausgehenden E-
Mails weitergeleitet werden sollen. Wenn eine Authentifizierung erforderlich ist, muss das entsprechende
Verfahren im Fenster AUTHENTIFIZIERUNG ausgewählt werden.
Die Einstellungen für den Abruf von POP3-E-Mails sind identisch mit denen in der Bereitstellung 1.
Die Porteinstellungen für den E-Mail-Server selbst müssen nicht geändert zu werden, aber er muss MailGateway
finden können. Dazu werden der Server für eingehende POP3-E-Mails in die IP-Adresse des Servers (192.168.1.2)
geändert und der MailGateway-Port (7110) hinzugefügt. Damit ausgehende E-Mails richtig geroutet werden,
müssen die Einstellung des E-Mail-Servers für ausgehende SMTP-E-Mails in die IP-Adresse des Servers geändert
und der MailGateway-Port (7125) hinzugefügt werden. Anschließend wird die SMTP-Authentifizierung deaktiviert,
da diese von MailGateway durchgeführt wird. Da der E-Mail-Server weiterhin Port 25 für einund ausgehende
SMTP-E-Mails nutzt, muss mit einer Änderung auf Netzwerkebene sichergestellt werden, dass MailSecurity die
eingehenden SMTP-E-Mails empfängt. Der Router oder die Firewall müssen den an Port 25 eingehenden SMTPVerkehr an MailGateway an Port 7025 weiterleiten.
Bereitstellung 3: Spezieller Gateway-Server
Die Alternative zu einer Installation auf dem E-Mail-Server ist die Bereitstellung von MailGateway auf seinem
eigenen Server. Die Ports des E-Mail-Servers müssen dazu nicht geändert werden, aber eingehende E-Mails
müssen zuerst MailGateway zugestellt werden, bevor sie am E-Mail-Server ankommen. Das lässt sich auf
verschiedene Weisen erreichen. Der MX-Eintrag im DNS-Eintrag für die Domäne des Netzwerks kann von der IPAdresse des E-Mail-Servers in die IP-Adresse von MailGateway geändert werden; die Umleitung kann in der
Firewall eingerichtet werden oder MailGateway kann die ursprüngliche IP-Adresse des E-Mail-Servers zugewiesen
werden. In diesem Beispiel werden die Ports wie folgt konfiguriert:
142
E-Mail-Verkehr
SMTP (eingehend)
MailGateway
25
E-Mail-Server
25
SMTP (ausgehend)
7025
25
POP3
110
110
Damit MailGateway die eingehenden SMTP-E-Mails scannen kann, muss im Dialog OPTIONEN die Registerkarte
EINGEHEND (SMTP) ausgewählt werden. Unter EMPFANGEN wird die Option EINGEHENDE E-MAILS VERARBEITEN aktiviert.
MailGateway arbeitet am Port 25. Wenn die eingehende SMTP-E-Mail gescannt wurde, wird sie entsprechend den
Einstellungen unter WEITERLEITUNG an den E-Mail-Server übertragen. Standardmäßig ist DNS ZUM VERSENDEN DER MAILS
VERWENDEN aktiviert. Diese Option nutzt den lokalen MX-Eintrag, um zu entscheiden, wo die E-Mail zugestellt
werden soll, was aber nur funktioniert, wenn der E-Mail-Server im MX-Eintrag aufgeführt ist. Da in vielen Fällen
MailGateway im MX-Eintrag aufgeführt ist, ist es sicherer, DNS ZUM VERSENDEN DER MAILS VERWENDEN zu deaktivieren. IP
und Port des E-Mail-Servers können dann spezifisch definiert werden. Dazu werden die IP-Adresse des E-MailServers (in diesem Beispiel 192.168.1.3) und der E-Mail-Server-Port im Feld PORT (in diesem Beispiel 25)
eingegeben.
besteht darin, einen anderen als den Port EINGEHEND (SMTP) zu definieren, in diesem Beispiel 7025. Wenn aber
derselbe Port für einund ausgehenden SMTP-Verkehr genutzt werden soll, muss MailGateway in der Lage sein,
den ein- vom ausgehenden SMTP-Verkehr zu unterscheiden. Dies erreicht man, indem die IP-Adresse des E-MailServers (zum Beispiel 192.168.1.3) zu IP-ADRESSEN/SUBNETZE DER RECHNER, DIE AUSGEHENDE MAILS SENDEN hinzufügt.
Ausgehende E-Mails können auf zwei Arten zugestellt werden. MailGateway kann die E-Mails direkt mithilfe des
DNS-Eintrags des Ziels zustellen. Dies ist die empfohlene Konfiguration. Wenn die Option DNS ZUM VERSENDEN DER
143
MAILS VERWENDEN deaktiviert ist, kann ein SMTP-Server definiert werden, an den die ausgehenden E-Mails
weitergeleitet werden sollen. Wenn eine Authentifizierung erforderlich ist, muss das entsprechende Verfahren im
Fenster AUTHENTIFIZIERUNG ausgewählt werden.
POP3-Scans können auf der Registerkarte EINGEHEND (POP3) konfiguriert werden. Dazu wird die Option POP3ANFRAGEN VERARBEITEN aktiviert und der Port eingegeben, an dem MailGateway die POP3-Anfragen empfangen wird
(110). Damit der Empfänger keinen Zeitüberschreitungsfehler von seiner E-Mail-Software angezeigt bekommt,
wenn der POP3-Abruf zu lange dauert, muss das Kontrollkästchen ZEITÜBERSCHREITUNG BEIM MAIL-PROGRAMM VERMEIDEN
aktiviert werden. Unter ABHOLUNG wird der POP3-Server eingegeben, von dem die E-Mails abgeholt werden sollen.
Das ist normalerweise der POP3-Server des Internetanbieters. MailGateway nutzt die gleiche Anmeldung, die der
Client bei seiner POP3-Anfrage verwendet. Unter FILTER kann ein Ersatztext für E-Mail-Nachrichten definiert
werden, die vom Malware-Schutz oder Spam-Filter zurückgewiesen werden.
Nach der Einrichtung von MailGateway müssen auch die Einstellungen des E-Mail-Servers aktualisiert werden.
Dazu werden der Server für eingehende POP3-E-Mails in die IP-Adresse des MailGateway (192.168.1.2) geändert
und der MailGateway-Port (110) hinzugefügt. Damit ausgehende E-Mails richtig geroutet werden, müssen die
Einstellung des E-Mail-Servers für ausgehende SMTP-E-Mails in die IP-Adresse des MailGateway geändert und der
MailGateway-Port (25) hinzugefügt werden. Anschließend wird die SMTP-Authentifizierung deaktiviert, da diese
von MailGateway durchgeführt wird.
144
Abbildung 73: G Data MailSecurity Administrator – Optionen, Eingehend (POP3)
Beim Empfang der eingehenden SMTP-E-Mails muss der MailGateway-Server den E-Mail-Server ersetzen. Dies lässt
sich erreichen, indem der Router oder die Firewall so konfiguriert wird, dass eingehender SMTP-Verkehr an den
MailGateway-Server (192.168.1.2) umgeleitet wird. Alternativ kann der DNS-MX-Eintrag in die (externe) IP-Adresse
von MailGateway geändert werden. Schließlich kann MailGateway die IP-Adresse des E-Mail-Servers und dem EMail-Server eine neue IP-Adresse zugewiesen werden.
16.2.1.3. Schutz des SMTP-Relays
Bei der Aktivierung der Verarbeitung von eingehenden SMTP-E-Mails sollte MailGateway vor einem RelayMissbrauch geschützt werden. Dazu werden auf der Registerkarte EINGEHEND (SMTP) unter SCHUTZ VOR RELAYING
Domänen definiert, für die MailGateway E-Mails akzeptiert. Wenn keine Domäne hinzugefügt wird, werden
keinerlei eingehende SMTP-E-Mails akzeptiert! Beim alleinigen Hinzufügen der Unternehmensdomänen werden EMails für andere Domänen automatisch verworfen und so wird sichergestellt, dass Spammer den MailGatewayServer nicht zum Verbreiten unerwünschter E-Mails nutzen können. Wenn eingehende E-Mails für alle Domänen
akzeptiert werden sollen, muss die Domäne *.* hinzugefügt werden. Als Alternative zur manuellen Eingabe von
Domänen kann mit Active Directory eine Adressliste importiert werden. E-Mails an Adressen, die nicht auf der Liste
stehen, werden automatisch verworfen. Zur Konfiguration der AD-Server-Einstellungen und des Update-Intervalls
dient die Option ACTIVE DIRECTORY.
16.2.1.4. Mehrere POP3-Server
Wenn E-Mails von mehr als einem POP3-Server abgerufen werden sollen, muss das standardmäßige
Bereitstellungsszenario leicht abgewandelt werden. Anstatt in den MailGateway-Einstellungen einen einzigen
145
POP3-Server zu definieren, kann der POP3-Server für jedes Konto auf dem E-Mail-Server (beispielsweise beim
Abholen von POP3-E-Mails mit Exchange) oder Client (beim Abholen von POP3-E-Mails auf Clients) definiert
werden. Dazu muss in MailSecurity Administrator die Registerkarte EINGEHEND (POP3) des Fensters OPTIONEN geöffnet
werden. Anschließend muss die Adresse des POP3-Servers entfernt werden, die unter ABHOLUNG eingegeben
wurde. Alle anderen Einstellungen bleiben unverändert. In den Einstellungen des E-Mail-Servers oder lokalen
Clients wird für jeden zu überprüfenden POP3-Server ein Konto definiert. Als POP3-Server wird die IP-Adresse und
der Port von MailGateway eingegeben. Anschließend muss das Feld „Benutzername“ für jedes Konto bearbeitet
werden, indem der Name des POP3-Servers vor den Benutzernamen gesetzt wird und beide Werte durch einen
Doppelpunkt voneinander getrennt werden. Um beispielsweise das Konto für den Benutzernamen company auf
dem Server pop3.isp.com zu überprüfen, muss pop3.isp.com:company eingegeben werden. Das Feld „Kennwort“
sollte das Kontokennwort enthalten.
16.2.1.5. Warteschlange
MailGateway verarbeitet E-Mail-Nachrichten sofort nach Erhalt. Malware-Scans und Spam-Filterungen werden
durchgeführt und die Nachricht wird entsprechend den Bereitstellungseinstellungen an den E-Mail-Server
weitergeleitet. Der empfangende E-Mail-Server ist aber möglicherweise nicht immer erreichbar. E-MailNachrichten, die nicht zugestellt werden können, landen in der Warteschlange. MailGateway wird über einen
gewissen Zeitraum wiederholt versuchen, die Nachrichten in der Warteschlange zuzustellen. Mithilfe des Moduls
WARTESCHLANGEN von MailSecurity Administrator können die Nachrichten angezeigt werden, die sich aktuell in der
Warteschlange befinden. Mithilfe der Schaltfläche EINGEHEND/AUSGEHEND kann zwischen der Anzeige von
eingehenden und ausgehenden Nachrichten der Warteschlange umgeschaltet werden. Für jede Nachricht werden
Ziel-Host, Sender, nächste Wiederholung und Status angezeigt. Die Nachrichten in der Warteschlange erfordern
keinerlei Maßnahmen, MailGateway kümmert sich automatisch um sie. Optional kann MailGateway sofort
versuchen, die Nachricht zuzustellen, indem auf JETZT WIEDERHOLEN geklickt wird. Mit der Schaltfläche LÖSCHEN können
Nachrichten dauerhaft aus der Warteschlange gelöscht werden, wodurch eine Zustellung verhindert wird.
Abbildung 74: G Data MailSecurity Administrator – Warteschlange
Der Umgang von MailGateway mit Nachrichten in der Warteschlange kann im Fenster OPTIONEN auf der
146
Registerkarte WARTESCHLANGE konfiguriert werden. Es wird regelmäßig versuchen, die Nachrichten in der
Warteschlange zuzustellen, bis eine maximale Zeitspanne verstrichen ist. Dieses Maximum kann unter
FEHLERWARTEZEIT (STUNDEN) definiert werden. Der Standardwert ist 24; das bedeutet, wenn die Nachricht nach
24 Stunden noch nicht zugestellt ist, wird sie verworfen. Unter WIEDERHOLUNGSINTERVALL (STUNDEN) können
Neuversuchsintervalle definiert werden. MailGateway wird versuchen, die Nachrichten in der Warteschlange in
diesen Intervallen zuzustellen, bis die maximale Zeitspanne verstrichen ist. Die Standardwerte sind 0,25, 0,5, 1, 4.
Das bedeutet, dass der erste Neuversuch von MailGateway nach 15 Minuten, der zweite nach einer halben Stunde
und der dritte nach einer Stunde stattfinden werden. Danach erfolgen weitere Neuversuche alle 4 Stunden, bis das
Maximum erreicht ist. Die Standardwerte lassen sich an individuelle Bedürfnisse anpassen. Beispielsweise können
kürzere Intervalle für die Neuversuche geplant werden (z. B. 0,25, um es alle 15 Minuten erneut zu versuchen, bis
das Maximum erreicht ist). Dies verhindert weitere Verzögerungen, wenn ein E-Mail-Server nur vorübergehend
offline war, kann aber die Menge des E-Mail-Verkehrs vergrößern. In jedem Fall sollten die Absender der E-Mails
informiert werden, wenn ihre Nachricht (noch) nicht zugestellt werden konnte. Sie können im Abstand von
wenigen Stunden (der Standardwert ist 4) benachrichtigt werden. Es sollte vermieden werden, den Absendern zu
viele Benachrichtigungen zu senden – nur bei einer Änderung der maximalen Wartezeit sollte das
Benachrichtigungsintervall proportional geändert werden. Schließlich lässt sich die Anzahl der Nachrichten in der
Warteschlange begrenzen. Diese Option ist standardmäßig deaktiviert, da eine Begrenzung der Warteschlange zu
einem Verlust von Nachrichten führt, wenn das Maximum erreicht ist: E-Mails, die nicht zugestellt werden können,
werden sofort gelöscht, wenn sich bereits zu viele Nachrichten in der Warteschlange befinden. Die
Größenbegrenzung sollte nur aktiviert werden, wenn die Anzahl der Nachrichten in der Warteschlange die
Leistung beeinträchtigt oder anderweitig Probleme verursacht.
16.2.2. Verwaltung und Migration
Wenn Malware-Schutz, Spam-Filter und benutzerdefinierte Filter bereitgestellt und konfiguriert wurden, führt
MailGateway seine Scans und Filterungen ohne Eingriff von außen durch. MailGateway benötigt keine
Bestätigung, um E-Mail-Nachrichten zurückzuweisen oder zu entfernen. Es empfiehlt sich aber, Leistung und
Aktionen von MailGateway zu überwachen, damit keine unerwarteten Schritte ergriffen werden. Die direkteste
Methode, um den Umgang mit Spam durch MailGateway zu überwachen, ist die Konfiguration der Weiterleitung
von Spam-Nachrichten (siehe Abschnitt 16.2.4.10). Auf einer allgemeineren Ebene können die Administratoren
MailSecurity Administrator nutzen, um die Maßnahmen von MailGateway zu überwachen. Das Modul AKTIVITÄT
zeigt ein Protokoll der Schritte, die von MailGateway unternommen werden, etwa das Empfangen, Verarbeiten
oder Senden von E-Mails. Wenn die Datenbank für statistische Bewertung installiert wurde (siehe
Abschnitt 4.2.4.2), zeigt das Modul STATUS die Schaltfläche STATISTIK an. Das Fenster „Statistik“ enthält eine
allgemeine Statistik zu den verarbeiteten E-Mail-Nachrichten sowie die Top-10-Listen für Spam-Adressen, SpamIP-Adressen und erkannte Viren. Die Statistik lässt sich für jeden der Datenverkehrstreams anzeigen, die
MailGateway analysiert (SMTP eingehend, SMTP ausgehend und/oder POP3 eingehend). Die Statistik wird auf der
Registerkarte LOGGING des Fensters OPTIONEN konfiguriert. Dazu wird die Option IN DER DATENBANK ABSPEICHERN
ausgewählt, um eine Statistik über den E-Mail-Verkehr in der Datenbank zu speichern und eine Analyse zu
ermöglichen. Alternativ können einige Einzelheiten zum Datenverkehr in einer Protokolldatei gespeichert werden
(im Installationsordner von MailGateway, standardmäßig C:\Programme (x86)\G DATA\G DATA
MailSecurity\maillog.txt). Die Protokolldatei enthält Zeitstempel, Absender, Empfänger, E-Mail-Größe und SpamWert (siehe Abschnitt 16.2.4.10). Um die Dateigröße zu begrenzen, kann das Protokollieren nur auf Junk-E-Mails
oder auf eine maximale Anzahl von E-Mails beschränkt werden.
Falls MailGateway auf einen anderen Server migriert wird, lassen sich seine Einstellungen mühelos exportieren. Im
Menü OPTIONEN steht dazu auf der Registerkarte ERWEITERT die Schaltfläche EXPORTIEREN zur Verfügung. Sie ermöglicht
147
es den Administratoren, eine XML-Datei mit den Einstellungen von MailGateway zu speichern. Diese Datei kann
mithilfe der Schaltfläche IMPORTIEREN auf den neuen Server importiert werden. Ebenso sollten vorhandene
benutzerdefinierte Filter (siehe Abschnitt 16.2.4) exportiert werden. Mit den Schaltflächen IMPORTIEREN und
EXPORTIEREN im Modul FILTER können Filtereinstellungen wie XML-Dateien verwaltet werden. Wenn der Inhaltsfilter
aktiviert ist (siehe Abschnitt 16.2.4.2), muss seine Konfiguration separat importiert werden, um seinen Fortschritt
beizubehalten. Der MailGateway-Dienst muss im Windows-Bereich DIENSTE auf dem alten und neuen MailGatewayServer gestoppt werden. Die Konfigurationsdatei befindet sich im MailGateway-Ordner FILTER (standardmäßig:
C:\Programme (x86)\G DATA\G DATA MailSecurity\filter). Die Dateien „BayesSpam.txt“ und „BayesNotSpam.txt“
werden in den Ordner FILTER auf dem Zielserver kopiert, und der Dienst „MailGateway“ wird neu gestartet.
16.2.3. Malware-Schutz
E-Mails sind für Kriminelle nach wie vor ein sehr beliebter Angriffsvektor. Viele Formen von Malware werden per EMail verbreitet, in Form von allgemeinem Spam ebenso wie als gezielte Angriffe, um Zugang zu einem
Unternehmensnetzwerk zu erhalten. Damit Schadprogramme keine Netzwerk-Clients infizieren können, sollten
die eingehenden E-Mails von Malware befreit werden. Gleichzeitig müssen auch die von den Netzwerk-Clients
gesendeten E-Mails überprüft werden. Infizierte Clients könnten unbemerkt mit Malware infizierte E-Mails
versenden und damit externe E-Mail-Empfänger in Gefahr bringen. MailGateway scannt den einund
ausgehenden E-Mail-Verkehr mit der gleichen Scan-Technologie auf Malware, die in seinem Security Client
enthalten ist. Mithilfe von zwei Scan-Engines wird Malware erkannt, bevor sie den Empfänger erreicht.
Anschließend können verschiedene Maßnahmen ergriffen werden, nämlich das Desinfizieren, Umbenennen oder
Löschen des infizierten Objekts.
16.2.3.1. Ein- und ausgehende E-Mails
Die Malware-Erkennung kann im Fenster OPTIONEN von MailSecurity Administrator konfiguriert werden. Auf der
Registerkarte VIRENPRÜFUNG lassen sich Parameter für das Scannen von einund ausgehenden E-Mails definieren. Es
wird empfohlen, die einund ausgehenden E-Mail-Streams auf Malware zu prüfen. Bei eingehenden E-Mails ist die
wichtigste Entscheidung die, ob infizierte Nachrichten zugestellt werden sollen oder nicht. Es sollte versucht
werden, die infizierten Nachrichten oder Anhänge zu desinfizieren. Wenn keine Desinfizierung möglich ist, sollten
sie gelöscht werden. Dadurch wird ein unnötiger Datenverlust verhindert und gleichzeitig dafür gesorgt, dass
Endbenutzern niemals infizierte Inhalte zugestellt werden. Alternativ können infizierte Anhänge oder Nachrichten
direkt gelöscht werden. Das ist die sicherste Maßnahme, kann aber zu einem Datenverlust führen, wenn ein
Objekt fälschlicherweise als Malware erkannt wird. Die Umbenennung infizierter Anhänge ist die dritte Option,
wird aber nicht empfohlen. Sie verhindert zwar einen direkten Zugriff auf die Malware, Endbenutzer könnten aber
immer noch infiziert werden, wenn die Datei erneut umbenannt und geöffnet wird. Um den Empfänger der EMail-Nachricht darüber zu benachrichtigen, dass Malware gefunden wurde, kann eine Virenwarnung zum Betreff
und Text der infizierten Nachricht hinzugefügt werden. Dies ist empfehlenswert, um den Empfänger darauf
hinzuweisen, dass die Nachricht verändert wurde und nicht mehr die ursprünglich gesendete Nachricht ist. Dabei
wird die Tatsache betont, dass das Virus entfernt wurde und eine Infektion nicht mehr möglich ist. Wenn die EMail-Nachricht einen kennwortgeschützten Anhang enthält, kann der Anhang nicht gescannt werden. Dem
Nachrichtentext kann dann ein Hinweis hinzugefügt werden, der den Empfänger warnt und ihm erklärt, dass ein
oder mehrere Anhänge nicht gescannt wurden. Zusätzlich zum Hinweis für den Empfänger lassen sich eine oder
mehrere E-Mail-Adressen (mit Semikola getrennt) definieren, die bei der Erkennung von Malware eine Warnung
erhalten sollen. Bei eigenständigen MailGateway-Installationen ist dies eine einfach konfigurierbare Möglichkeit,
um sicherzustellen, dass der Administrator informiert wird. Wenn MailGateway im selben Netzwerk wie eine
148
bestehende ManagementServer-Installation bereitgestellt wurde, sollte stattdessen die Option VIRENFUNDE AN G DATA
MANAGEMENTSERVER MELDEN verwendet werden.
Bei ausgehenden E-Mails sind die Sicherheitsoptionen etwas anders. Ausgehende Nachrichten werden zwar von
denselben Scan-Engines wie die eingehenden Nachrichten gescannt, die Reaktion auf infizierte Nachrichten ist
aber eine andere: Sie werden nicht gesendet. Eine Desinfektion oder Umbenennung von Anhängen ist nicht
möglich, da eine Zustellung von Nachrichten mit möglicher Malware um jeden Preis verhindert werden muss. Bei
der Erkennung von Malware kann der Absender benachrichtigt werden. Es empfiehlt sich, eine Benachrichtigung
zu versenden und zu erklären, dass die Nachricht nicht zugestellt wird. Wenn keine Malware erkannt wird, kann
MailGateway ausgehenden Nachrichten einen Bericht mit den Versionsdaten hinzufügen. Damit wird der
Empfänger benachrichtigt, dass die Nachricht vor dem Versand auf Malware gescannt wurde. Wie bei
eingehenden Nachrichten können auch hier E-Mail-Adressen definiert werden, an die im Falle einer MalwareInfektion eine Warnung gesendet werden soll.
16.2.3.2. Scanparameter
Die Einstellungen für den Malware-Scan können auf der Registerkarte SCANPARAMETER individuell angepasst werden.
Die Standardkonfiguration bietet optimalen Schutz. Die Scanparameter sollten nur geändert werden, wenn
Probleme mit der Leistung oder mit einem der individuellen Schutzmodule auftreten. Wenn der Scan-Vorgang mit
zwei Engines zu anspruchsvoll ist, kann eine der Engines deaktiviert werden. Dadurch wird die Leistung
verbessert, aber auch der Grad der Sicherheit leicht verringert. Scans lassen sich auf bestimmte Dateitypen
beschränken, etwa Programmdateien oder Dokumente, oder anhand einer benutzerdefinierten Liste von
Dateierweiterungen durchführen. Die sicherste (und standardmäßig aktivierte) Option ist aber, alle Dateien zu
scannen. Auch die Heuristik ist standardmäßig aktiviert und bietet zusätzliche Sicherheit, indem sie unbekannte
Malware anhand typischer Merkmale erkennt. Durch Deaktivierung der Option ARCHIVE PRÜFEN können Archive aus
den Scans ausgeschlossen werden. Wenn eine Datei in einem Archiv infiziert ist, wird das ganze Archiv umbenannt
oder entfernt. Um einen versehentlichen Datenverlust zu verhindern, kann die Überprüfung von Archiven auf
Malware deaktiviert werden. Dies führt jedoch zu einer geringeren Sicherheit. OutbreakShield bietet Schutz vor
Massen-E-Mails mit Malware, noch bevor die Virensignaturen verfügbar sind, und sollte in den meisten Fällen
aktiviert werden. Es desinfiziert keine E-Mail-Nachrichten, die Malware enthalten. Unter EINSTELLUNGEN kann ein
Ersatztext für den E-Mail-Text eingegeben werden, damit die Empfänger wissen, dass eine E-Mail von
OutbreakShield blockiert wurde. Ein Phishing-Schutz blockiert schließlich E-Mails, die versuchen, Kennwörter,
Kreditkartennummern oder andere persönliche Daten zu erlangen, indem sie sich als E-Mails von seriösen
Institutionen ausgeben.
16.2.4. Filter
Malware stellt eine Bedrohung für E-Mail-Empfänger dar, aber sie ist nicht die einzige Inhaltsart, die eine Filterung
rechtfertigt. In vielen Unternehmensumgebungen sollen E-Mails nur für geschäftsbezogene Kommunikationen
genutzt werden. Unangemessene, ungesetzliche, ablenkende oder allgemein unerwünschte Inhalte wie Spam
müssen herausgefiltert werden. Zusätzlich zu seinem Schutz vor Malware bietet MailGateway mehrere Filter, die
zum Filtern von E-Mail-Nachrichten genutzt werden können, die Unternehmensrichtlinien nicht erfüllen oder
anderweitig überflüssig sind.
Die Filter werden im Modul FILTER von MailSecurity Administrator verwaltet. Es enthält eine Übersicht über alle
aktuellen Filter. Unter der Liste befindet sich eine Gruppe von Schaltflächen mit Funktionen für alle Filter. Die
Einstellungen können für alle Filter auf einmal im- und exportiert werden (siehe Abschnitt 16.2.2). Mithilfe der
149
Schaltfläche STATISTIK können für jeden Filter einige grundlegende Statistiken angezeigt werden: die Anzahl der EMail-Nachrichten, die verarbeitet worden sind, und die Anzahl derer, die zum konkreten Filter gepasst haben. Zum
Verwalten der Filter können die Schaltflächen NEU, BEARBEITEN und LÖSCHEN genutzt werden. Ein Filter wird mithilfe
seines Kontrollkästchens aktiviert oder deaktiviert.
Jeder Filter hat bestimmte Optionen, die sich beim Hinzufügen des Filters oder durch Klicken auf die Schaltfläche
BEARBEITEN ändern lassen. Alle Filter beinhalten die Felder NAME und BEMERKUNG. Der Filtername kann bearbeitet
werden, um die Filter in der Filterliste unterscheiden zu können. Das ist besonders hilfreich für Filter, die mehrere
Instanzen haben können, etwa der Filter ABSENDER und EMPFÄNGER. Die BEMERKUNG wird auch in der Liste angezeigt –
ein praktischer Ort für Anmerkungen zu den konkreten Filtereinstellungen.
Ähnlich wie bei den Maßnahmen, die sich für mit Malware infizierte Dateien konfigurieren lassen, kann
MailGateway auch verschiedene Schritte unternehmen, wenn eine E-Mail-Nachricht zu einem Filter passt. Die
meisten Filter lassen sich so konfigurieren, dass sie zum Filter passende Nachrichten zurückweisen. Zusätzlich kann
der Absender der Nachricht mit einem individuell anpassbaren Text darüber informiert werden, dass der
Empfänger die Nachricht nicht erhalten hat. Eine Warnung kann an eine oder mehrere Personen geschickt
werden. Das ist eine leistungsstarke Maßnahme für Administratoren, die den Status des E-Mail-Verkehrs im
Netzwerk nachverfolgen möchten. Die Warnungen können die E-Mail-Nachricht enthalten, die zum Filter passte.
Das kann für die Analyse zwar praktisch sein, die Nachrichten könnten aber mit Malware infizierten oder
anderweitig unangemessenen Inhalt enthalten. Deshalb sollten alle weitergeleiteten Nachrichten mit Vorsicht
behandelt werden.
Die meisten Filter lassen sich sowohl auf eingehende als auch auf ausgehende E-Mails anwenden (außer in Fällen,
in denen der Filter logischerweise nur auf eine Art von E-Mail-Verkehr anwendbar ist, etwa beim Greylist-Filter).
Für die Sicherheit der Endbenutzer im Unternehmen wird empfohlen, Filter für den eingehenden E-Mail-Verkehr
zu aktivieren. Die Aktivierung von einem oder mehreren Filtern für ausgehende E-Mails stellt sicher, dass
ausgehende Unternehmens-E-Mails die Sicherheitsanforderungen erfüllen.
16.2.4.1. Anhänge
Anhänge sind schon lange ein wichtiger Weg zur Verbreitung von Malware. Früher hat Malware sich selbst
verbreitet, indem sie eine E-Mail mit einer bösartigen ausführbaren Datei im Anhang an alle Kontakte im
Adressbuch des Opfers schickte. Heutige Malware-Autoren führen oft gezielte Angriffe aus, indem sie nur an eine
ausgewählte Gruppe von Empfängern E-Mails mit Malware senden, in der Hoffnung, so Zugang zu wertvollen
Dokumenten auf Computern zu erlangen. Malware wird normalerweise vom Dateisystemwächter des
Zielcomputers erfasst. Das Risiko kann aber noch weiter gesenkt werden, indem MailGateway risikoreiche
Anhänge filtert.
Der Anhangsfilter kann im Blacklist- oder Whitelist-Modus ausgeführt werden. Im Blacklist-Modus sind Anhänge
nicht zulässig, wenn sie auf der Liste stehen. Im Whitelist-Modus sind nur die aufgeführten Anhangsarten zulässig
und alle anderen werden entfernt. Wie bei den meisten Filtermodulen bietet die Nutzung eines Whitelist-Modus
auch hier die größte Sicherheit. Indem man alles außer zuvor genehmigten Dateierweiterungen untersagt,
werden auch unbekannte Angriffsvektoren blockiert. Es kann aber auch zulässiger Inhalt blockiert werden, wenn
sein Dateityp nicht ausdrücklich als sicher definiert wurde. Im Blacklist-Modus können alle bekannten gefährlichen
Dateitypen ausdrücklich verboten werden. Er schützt vor den am häufigsten verwendeten Arten von MalwareAnhängen, kann aber Malware passieren lassen, wenn diese einen Angriffsvektor nutzt, der nicht ausdrücklich als
unsicher definiert wurde.
Die zu filternden Anhangsarten können auf die Liste DATEIERWEITERUNGEN gesetzt werden. Mehrere Erweiterungen
150
werden durch Semikola voneinander getrennt. Bei der Verwendung des Filters im Blacklist-Modus gehören
üblicherweise ausführbare Dateien wie .exe, .scr und .com zu den Erweiterungen, die blockiert werden. Skripte
können Erweiterungen wie .bat, .vbs, .js und .cmd tragen und sollten ebenfalls blockiert werden. Auch RegistryEinstellungsdateien (.reg) lassen sich blockieren. Archivdateien wie .zip, .rar und .7z könnten Malware enthalten
und lassen sich filtern. Darüber hinaus kann jede andere Erweiterung blockiert werden, wenn sie beispielsweise
die Unternehmensrichtlinien nicht erfüllt. Wenn man Erweiterungen auf die Whitelist setzt, sollte diese Liste auf
den am häufigsten empfangenen Dateiformaten wie .txt, .doc oder .jpg basieren. Wenn Anhänge auf die Whitelist
gesetzt werden, bedeutet es nicht unbedingt, dass sie sicher sind. Auch Dokumente können Malware enthalten.
Der Malware-Schutz von MailGateway sollte die Anhänge scannen und die Clients müssen den E-Mail-Scan oder
den Dateisystemwächter aktivieren. Bei Aktivierung der Option AUCH ANHÄNGE IN EINGEBETTETEN MAILS FILTERN filtert
MailGateway sogar Anhänge, wenn diese in einer eingebetteten E-Mail-Datei verschachtelt sind. Diese Option
sollte aktiviert bleiben, um zu gewährleisten, dass auch als eingebettete E-Mail-Datei weitergeleitete Nachrichten
gesichert sind.
Wenn MailGateway einen oder mehrere problematische Anhänge in einer E-Mail-Nachricht entdeckt, kann es
mehrere Maßnahmen ergreifen. Durch die Aktivierung von ANHÄNGE NUR UMBENENNENwird der Wert aus dem Feld
SUFFIX hinzugefügt, um den Anhang umzubenennen. Das ist praktisch, um die Ausführung von ausführbaren
Dateien (auch Office-Dokumente) zu verhindern, da Benutzer die Datei speichern und umbenennen müssten, um
sie auszuführen. Für zusätzliche Sicherheit kann die Option ANHÄNGE NUR UMBENENNEN deaktiviert werden.
MailGateway löscht dann alle Anhänge, die mit der Erweiterungsliste übereinstimmen (Blacklist) bzw. die nicht mit
der Liste übereinstimmen (Whitelist). Das Entfernen des Anhangs ist empfehlenswert, kann aber zu einem
Datenverlust führen. Wenn alle Client-Computer durch einen Dateisystemwächter geschützt sind, können
Anhänge umbenannt werden, anstatt sie zu entfernen. Dies wird jedoch nicht empfohlen. Zusätzlich zum
Umbenennen oder Entfernen des Anhangs kann eine Nachricht in den E-Mail-Text eingefügt werden. Durch
Hinzufügen einer Nachricht können die Empfänger darüber informiert werden, dass ein Virus gefunden wurde.
Dadurch wird auch eine eventuelle Verwirrung behoben, die durch Verweise auf Anhänge im Nachrichtentext
entstehen kann.
16.2.4.2. Inhalt
Der Inhaltsfilter kann als Erweiterung des eingebauten Spam-Filters von MailGateway genutzt werden. Letzterer
ist für die Erkennung von Spam optimiert worden und verfügt beispielsweise über spezielle Wortlisten und spamzentrierte Module. Mithilfe des Inhaltsfilters lässt sich hingegen jede Art von Inhalt filtern. Beispielsweise kann
nicht zur Arbeit gehörender Inhalt herausgefiltert werden, indem Filter für beliebte, nicht themenbezogene
Ausdrücke hinzugefügt werden. Ein weiteres Beispiel ist das Filtern sensibler Inhalte, von denen Konkurrenten
profitieren könnten.
Die Inhaltsart, die gefiltert werden soll, kann in Form eines regulären Ausdrucks eingegeben werden. Reguläre
Ausdrücke sind sehr leistungsstarke Hilfsmittel für Übereinstimmungen mit komplexen Zeichensequenzen. Mit
der Schaltfläche NEU kann ein regulärer Ausdruck aufgebaut werden, indem mehrere Suchbegriffe eingegeben
und miteinander verglichen werden. Das hilft Administratoren, die mit regulären Ausdrücken nicht vertraut sind.
Alternativ dienen Online-Ressourcen über reguläre Ausdrücke als Orientierung16. Der SUCHBEREICH kann so definiert
werden, dass er KOPFZEILE, BETREFF, E-MAIL-TEXT, HTML-TEXT und/oder EINGEBETTETE E-MAIL der E-Mails enthält.
16 Ein Ausgangspunkt ist der Wikipedia-Artikel über „Reguläre Ausdrücke“, der eine Reihe von Beispielen enthält:
https://de.wikipedia.org/wiki/Regulärer_Ausdruck#Beispiele.
151
16.2.4.3. Externe Verweise
E-Mails enthalten oft HTML-Verweise auf externe Inhalte wie Bilder, Links oder Skripte. Externe Inhalte können
nützlich sein, beispielsweise für Vorlagen eines E-Mail-Layouts, werden aber oft von Spammern und MalwareVerbreitern genutzt. Mithilfe von externen Bildern können Spammer die Aktivität des E-Mail-Kontos messen:
Wenn der Spammer individualisierte Bildlinks in E-Mails einbettet, kann ein er beobachten, wie der E-Mail-Client
das Bild herunterlädt. Dadurch weiß er, dass die E-Mail gelesen wurde. Außerdem könnte die IP-Adresse des
Clients protokolliert werden. Um vollständig zu verhindern, dass externe Inhalte heruntergeladen werden, können
externe Verweise komplett aus den eingehenden E-Mails herausgefiltert werden. Der Filter hat keine weiteren
Optionen.
16.2.4.4. Greylist
Der Greylist-Filter macht sich die Tatsache zunutze, dass Spammer normalerweise kein E-MailWarteschlangensystem verwenden: Eine Spam-Nachricht wird normalerweise nur einmal versendet; der E-MailServer des Spammers versucht nicht, die Nachricht erneut zu versenden. Seriöse E-Mail-Server versuchen, E-MailNachrichten erneut zu senden, wenn sie beim ersten Versuch nicht zugestellt werden konnten. Wenn der GreylistFilter aktiviert ist, akzeptiert MailGateway eingehende E-Mails nicht sofort. Stattdessen zeigt es dem sendenden
Server eine Aufforderung an, die Nachricht erneut zu versenden. Seriöse E-Mail-Server werden dieser
Aufforderung nachkommen und die Nachricht erneut senden – Spam-Server nicht. Wenn die Nachricht erneut
gesendet wird, passiert sie den Greylist-Filter. Zusätzlich wird die Kombination aus Absenderadresse,
Empfängeradresse und Kennung des sendenden E-Mail-Servers auf die Greylist gesetzt, damit zukünftige E-MailNachrichten sofort zugestellt werden.
Für die Aktivierung des Greylist-Filters muss der Spam-Filter aktiv sein (siehe Abschnitt 16.2.4.10). Zusätzlich muss
während der Installation von MailGateway Microsoft SQL Server 2008 SP3 Express installiert worden sein (siehe
Abschnitt 4.2.4.2).
Nach der Aktivierung des Greylist-Filters können mehrere Optionen definiert werden. Unter WARTEZEIT kann die
Zeitspanne bearbeitet werden, in der eine E-Mail zurückgehalten wird. Der Standard liegt bei 0 Minuten für
normale E-Mails (die Greylist ist effektiv ausgeschaltet) und bei 30 Minuten für E-Mails, die als verdächtig
klassifiziert wurden. Eine Nachricht gilt als verdächtig, wenn die E-Mail-Kopfzeile eventuell manipuliert wurde,
beispielsweise dann, wenn eine Rückwärtssuche Abweichungen zwischen dem Namen und der IP-Adresse des EMail-Servers aufdeckt. Eine verdächtige Nachricht wird nur zugestellt, wenn der sendende Server die Nachricht
nach mindestens 30 Minuten erneut sendet. Wenn der sendende Server die Nachricht erneut sendet, bevor die
30 Minuten verstrichen sind, wird ihm mitgeteilt, dass er es später noch einmal versuchen soll.
Damit die Greylist auf dem neuesten Stand bleibt, steht die Kombination aus Absenderadresse, Empfängeradresse
und Kennung des sendenden E-Mail-Servers nur für eine bestimmte Zeit auf der Greylist. Es können zwei separate
LEBENSZEITEN für die Whitelist festgelegt werden: mit oder ohne E-Mail-Austausch. Der Wert OHNE MAILAUSTAUSCH gilt
für E-Mails auf der Greylist, die nicht erneut gesendet werden. Wenn der sendende E-Mail-Server die E-Mail
innerhalb dieser Zeitspanne (Standard: 2 Tage) nicht erneut sendet, wird sie von der Greylist entfernt. Diese
Maßnahme sorgt dafür, dass die Greylist nicht mit Einträgen von Spam-Servern gefüllt wird, die eine E-Mail nur
einmal ohne erneuten Versuch versenden. Der Wert MIT MAILAUSTAUSCH regelt Greylist-Einträge, für die der sendende
E-Mail-Server die E-Mail erneut gesendet hat. Jedes Mal, wenn eine empfangene E-Mail zum Greylist-Eintrag passt,
wird sie sofort zugestellt und der Greylist-Timer wird zurückgesetzt. Dies gewährleistet eine rasche Zustellung von
wiederholt eingehenden E-Mails wie etwa Newslettern.
152
16.2.4.5. HTML-Skripte
HTML kann in E-Mails zwar auf legitime Weise verwendet werden, beispielsweise zur Definition des Layouts, es
gibt aber auch ein Sicherheitsrisiko. Nach dem Öffnen einer E-Mail-Nachricht können bösartige Skripte ausgeführt
werden und einen Computer mit Malware infizieren oder anderes unerwünschtes Verhalten zeigen. Der HTMLSkript-Filter entfernt alle Skripte aus einund/oder ausgehenden E-Mails. Jedes Tag-Paar eines HTML-Skripts
(<script> und </script>) wird herausgefiltert, wodurch mögliche Bedrohungen beseitigt werden. Der Filter hat
keine weiteren Optionen.
16.2.4.6. IP-Adressen
Der IP-Filter kann dazu genutzt werden, E-Mail-Server auf die Blacklist oder Whitelist zu setzen. Wenn bestimmte
Server keine E-Mails an das Unternehmensnetzwerk senden sollen, kann ihre IP-Adresse zum IP-Filter hinzugefügt
und so auf die Blacklist gesetzt werden. Umgekehrt können die entsprechenden IP-Adressen auf die Whitelist
gesetzt werden, wenn nur wenige, bestimmte E-Mail-Server E-Mails senden dürfen. IP-Adressen können als
einzelne Adressen oder mit der CIDR-Notation eingegeben werden. Bei einer Migration oder einem Import des EMail-Servers von einem anderen System lässt sich die Liste der IP-Adressen als einfache Textliste ex- und
importieren.
16.2.4.7. Sprache
Wenn die Netzwerk-Clients im Allgemeinen nicht in einer bestimmten Sprache kommunizieren, kann
angenommen werden, dass eingehende Nachrichten in dieser Sprache unerwünscht sind. Mit dem Sprachfilter
können Nachrichten, die in einer bestimmten Sprache geschrieben sind, gefiltert werden. Beispielsweise könnte
ein englischsprachiges Unternehmen, das keine Geschäftspartner oder Kunden in Japan hat, E-Mails in japanischer
Sprache blockieren, um Spam einzuschränken.
Das Spracherkennungssystem von MailGateway weist jeder E-Mail eine Spracherkennungsrate zu. Unter
UNERWÜNSCHTE SPRACHEN können die Sprachen ausgewählt werden, für die E-Mails herausgefiltert werden sollen.
Zusätzlich zu den Standardmaßnahmen kann MailGateway dem Betreff und Text der E-Mail eine Spam-Warnung
hinzufügen. Das Standardpräfix für den Betreff ist [%L %P], wodurch dem Betreff Sprache und Prozentsatz der
Sprachübereinstimmung hinzugefügt werden. Dem Betreff oder Text kann jede beliebige Nachricht hinzugefügt
werden.
16.2.4.8. Lesebestätigungsanforderungen
Für viele E-Mail-Benutzer bietet die Praxis, Lesebestätigungen anzufordern, die Gewissheit, dass der Empfänger
eine bestimmte E-Mail-Nachricht auch wirklich gelesen hat. Für die Empfänger hingegen können
Lesebestätigungen ärgerlich sein, besonders dann, wenn die E-Mail ohnehin eine Antwort erfordert. Außerdem
könnten Spammer Lesebestätigungen anfordern, um die Aktivität eines E-Mail-Kontos zu messen und das SpamVolumen zu erhöhen, wenn das E-Mail-Konto aktiv genutzt wird. Der Filter hat keine weiteren Optionen.
16.2.4.9. Absender/Empfänger
E-Mail-Nachrichten können abhängig von Absender oder Empfänger gefiltert werden. Wenn bestimmte Domänen
unerwünschte E-Mails versenden, um die sich keiner der anderen Filter kümmert, kann die Domäne als
Absenderfilter hinzugefügt werden, damit sie herausgefiltert wird. Gleiches gilt für E-Mails, die an bestimmte
153
Empfängeradressen oder -domänen adressiert sind. Der Empfängerfilter wird im Kampf gegen unerwünschte EMails vielleicht nicht häufig verwendet, lässt sich aber so einrichten, dass er eine Warnung verschickt, wenn
diesem konkreten Empfänger E-Mails zugestellt werden.
Der Absenderfilter lässt sich passend für E-Mails konfigurieren, die keinen Absender haben. Das ist eine praktische
Maßnahme zur Abwehr von Spammern, die eine E-Mail-Kopfzeile manipulieren und die Absenderinformationen
weglassen. Der Empfängerfilter kann optional auch Nachrichten mit einem leeren Empfängerfeld erfassen
(Nachrichten, die nur CC- oder BCC-Empfänger enthalten).
16.2.4.10. Spam
Wie der Spam-Filter des Exchange-Plugins bietet auch MailGateway zentralisierte Spam-Filter-Möglichkeiten, die
Spam aus dem E-Mail-Verkehr entfernen, bevor er den Clients überhaupt zugestellt wird. Auf der Registerkarte
FILTER kann der vollautomatische Spam-Filter von MailGateway als Ganzer aktiviert oder deaktiviert werden.
Standardmäßig ist er aktiviert. Damit der Filter in der Listenansicht des Moduls FILTER erkannt werden kann, wird
ein Name und ein Hinweis hinzugefügt (siehe Abschnitt 16.2.4). Der Spam-Filter scannt alle E-Mail-Nachrichten
und weist sie einer von vier Kategorien zu: Kein Spam, Spamverdacht, Hohe Spamwahrscheinlichkeit und Sehr
hohe Spamwahrscheinlichkeit. E-Mails, die als „Kein Spam“ klassifiziert wurden, werden sofort zugestellt. Für die
anderen drei Kategorien können individuelle Reaktionen definiert werden. Die Reaktionseinstellungen für jede
Kategorie können auf der Registerkarte FILTER mithilfe der Option ÄNDERN konfiguriert werden. E-Mail-Nachrichten
können zurückgewiesen oder mit einer Spam-Warnung im Betreff oder Text versehen werden bzw. kann der
Absender der Nachricht informiert und die E-Mail an jemanden weitergeleitet werden. Es ist sicher, MailGateway
so zu konfigurieren, dass E-Mails mit einer hohen oder sehr hohen Spam-Wahrscheinlichkeit zurückgewiesen
werden. Optional können die Nachrichten an einen Administrator weitergeleitet werden, der Feineinstellungen
des Filters vornehmen kann, wenn die Nachrichten nicht korrekt kategorisiert werden. Vermuteter Spam sollte
nicht sofort zurückgewiesen werden – wie auch bei den Malware-Scans besteht das Risiko falsch-positiver
Ergebnisse. Da nur eine geringe Anzahl von Nachrichten in diese Kategorie fällt, können sie dem Empfänger
zugestellt werden. Als Warnung sollte der Nachricht ein Betreffpräfix oder ein Text hinzugefügt werden.
Wertbasierte Einstufung
Wenn die Maßnahmen konfiguriert wurden, die MailGateway beim Erkennen von Spam ergreifen soll, können die
Parameter, die diese Erkennung regeln, optimiert werden. Kern des automatischen Spam-Filters ist ein
wertbasiertes Einstufungssystem, das eine Nachricht als Spam kategorisiert, sobald sie einen bestimmten Wert
erreicht. Durch individuelle Kriterien wie Betreff, Text oder (das Fehlen einer) Nachrichtenkennung werden Punkte
zum Spam-Indexwert einer Nachricht hinzugefügt. Durch Kriterien wie E-Mail-Größe oder Inhaltsfilterbewertung
werden Punkte abgezogen. Nach der Addition der verschiedenen Werte bestimmt das Endergebnis darüber, ob
die Nachricht als Spam gilt oder nicht. Auf der Registerkarte ERWEITERTE EINSTELLUNGEN können die einzelnen
Bewertungskomponenten angepasst werden. Das sollte aber fast nie notwendig sein – nur dann, wenn Spam
fälschlicherweise als sicher markiert wird oder wenn Nachrichten versehentlich als Spam behandelt werden.
Zusätzlich zum Einstufungssystem können Nachrichten von einem der verschiedenen anderen Parameter des
Spam-Filters als Spam markiert werden.
Blacklist/Whitelist
Mit der Registerkarte BLACKLIST können E-Mail-Adressen oder -Domänen als Spam definiert werden. Jede von einer
der aufgeführten Adressen oder Domänen eingehende E-Mail-Nachricht wird sofort als Spam markiert. Die
154
Registerkarte WHITELIST tut das Gegenteil: E-Mail-Adressen und -Domänen, die auf der Whitelist stehen, können
immer E-Mail-Nachrichten senden und diese werden nie als Spam markiert. Mit einer Kombination aus Black- und
Whitelist können Administratoren den Spam-Filter optimieren. Wenn eine bestimmte Art von Nachricht, etwa ein
wiederkehrender Newsletter, beständig als Spam markiert wird, kann er auf die Whitelist gesetzt werden.
Umgekehrt kann eine wiederkehrende E-Mail-Nachricht, die unerwünscht ist, ausdrücklich auf die Blacklist gesetzt
werden.
Schlüsselwörter
Anstatt eine E-Mail anhand ihrer Absenderadresse oder -domäne zu kategorisieren, kann MailGateway sie auch auf
bestimmte Schlüsselwörter hin scannen. Wenn eines davon in einer Nachricht erscheint, wird diese direkt als
Spam markiert. Für Betreff und Text der Nachricht können separate Schlüsselwörterlisten definiert werden. Beide
Listen sind standardmäßig aktiviert und bereits mit Begriffen gefüllt, die von Spammern häufig verwendet
werden. Wenn ein bestimmter Inhalt immer als Spam gefiltert werden soll, können einer oder beiden Listen
Schlüsselwörter hinzugefügt werden. Standardmäßig ist die Option NUR VOLLSTÄNDIGE WÖRTER SUCHEN aktiviert.
Dadurch ist gewährleistet, dass eine Nachricht nicht als Spam kategorisiert wird, wenn sie ein Wort enthält, das
teilweise mit einem Schlüsselwort übereinstimmt. Zum Beispiel: Um Nachrichten herauszufiltern, bei denen es um
Bargeld geht, kann den Schlüsselwortlisten für Betreff und Text das Schlüsselwort „cash“ (Bargeld) hinzugefügt
werden. Wenn die Option NUR VOLLSTÄNDIGE WÖRTER SUCHEN deaktiviert wäre, würde MailGateway alle Vorkommen von
„cash“ erkennen, also auch in Wörtern wie „cashew“ (Cashewnuss) oder „cashier“ (Kassierer). Um diese Art von
unbeabsichtigtem Filtern zu vermeiden, sollte die Option aktiviert bleiben.
Realtime-Blacklists
Realtime-Blacklists (RBLs) können auf einer speziellen Registerkarte konfiguriert werden. Sie werden
typischerweise von Anti-Spam-Online-Organisationen verwaltet und enthalten Listen von E-Mail-Servern, die
bekanntermaßen von Spammern genutzt werden. Wenn MailGateway so konfiguriert ist, dass es RealtimeBlacklists nutzt, konsultiert es eine Reihe von Online-Listen, um zu sehen, ob die Domäne des Absenders auf eine
Blacklist gesetzt wurde. Wenn dies der Fall ist, werden dem Spam-Indexwert der Nachricht Punkte hinzugefügt.
MailGateway kann die RBLs nutzen, die standardmäßig definiert wurden. Diese können aber bei Bedarf auch durch
andere URLs ersetzt werden. Wenn eine Domäne unabhängig davon, ob sie auf einer RBL steht oder nicht, immer
erlaubt werden soll, kann sie auf die Whitelist gesetzt werden.
Bayesscher Inhaltsfilter
Wenn alle Anti-Spam-Parameter definiert worden sind, kann der INHALTSFILTER aktiviert werden, um eine zusätzliche
Schutzschicht hinzuzufügen. Es ist ein selbstlernender Filter, der auf dem Prinzip des Bayesschen Spam-Filters
beruht. Wenn er aktiviert ist, werden die Merkmale jeder E-Mail, die als Spam gekennzeichnet wird, in einer
Datenbank gespeichert. Zukünftige E-Mails werden auf der Grundlage dieser Merkmale gescannt. Das hilft dabei,
Spam-Nachrichten auch dann zu erkennen, wenn sie sich leicht von dem unterscheiden, was mit Parametern wie
Whitelist, Blacklist und Schlüsselwörter definiert worden ist. Auf der Registerkarte INHALTSFILTER wird eine Statistik
über die Menge der E-Mails angezeigt, die der Filterdatenbank hinzugefügt wurden – je mehr E-Mails gescannt
werden, desto besser funktioniert der Bayessche Filter.
155
17.
Erweiterte Konfiguration
Die Geschäftslösungen von G Data sind so konzipiert, dass sie direkt bereitgestellt werden können. Es ist keine
erweiterte Konfiguration erforderlich, um Server- und Client-Komponenten in Gang zu bringen. Alle üblichen
Einstellungen sind über die Benutzeroberflächen von G Data Administrator und G Data MailSecurity Administrator
verfügbar. Es stehen verschiedene erweiterte Konfigurationsmöglichkeiten zur Verfügung, damit die Lösungen
von G Data optimal in einem Unternehmensnetzwerk laufen. Diese Einstellungen müssen normalerweise nicht
geändert werden und sie sollten nur bearbeiten werden, wenn der G Data Support dazu auffordert.
17.1.
Bearbeiten der erweiterten Einstellungen
Die erweiterten Einstellungen lassen sich auf zahlreiche Arten bearbeiten. Manche Einstellungen können mit
speziellen Tools konfiguriert werden, andere sind in Konfigurationsdateien oder der Windows-Registry
gespeichert. Um unerwünschtes Verhalten zu vermeiden, sollten die Hintergrunddienste der jeweiligen Software
von G Data, wie G Data ManagementServer oder G Data MailSecurity MailGateway, während der Bearbeitung der
Konfigurationsdateien geschlossen sein und nach deren Speicherung neu gestartet werden (mithilfe des Fensters
„Dienste“: Start, Ausführen, services.msc).
17.1.1. Konfigurationsdateien
Viele erweiterte Einstellungen für G Data ManagementServer können in XML-basierten Konfigurationsdateien
bearbeitet werden. Die beiden zentralen Dateien sind Gdmms.exe.config und IUpdateCfg.xml, die sich beide im
Installationsordner von G Data ManagementServer befinden (typischerweise C:\Programme (x86)\G DATA\G DATA
AntiVirus ManagementServer). Die Dateien können mit Notepad oder einem anderen textbasierten Editor
bearbeitet werden. Beim Bearbeiten der Konfigurationsdateien muss darauf geachtet werden, dass der Texteditor
die Dateien nicht mit der Erweiterung .txt speichert. Dazu muss als Dateityp ALLE DATEIEN (*.*) gewählt und
sichergestellt werden, dass der Dateiname unverändert bleibt.
Wie bei jeder erweiterten Konfiguration muss gewährleistet sein, dass ein Backup der Konfigurationsdateien
existiert, bevor eine Neukonfiguration vorgenommen wird. Wenn eine der Komponenten der G Data Lösung nach
der Konfigurationsänderung ein unerwünschtes Verhalten zeigt, kann so auf das Backup zurückgegriffen werden.
Es dürfen nur die Optionen bearbeitet werden, die für das zu behebende Problem gelten.
17.1.1.1. Gdmms.exe.config
Die Struktur der Datei „Gdmms.exe.config“ wird Administratoren vertraut sein, die bereits Konfigurationsdateien
im XML-Stil bearbeitet haben. Die Datei definiert einen Abschnitt der Anwendungseinstellungen und führt
Einstellungen in diesem Abschnitt mit dem Tag-Paar <setting></setting> auf. Jede Einstellung hat einen Namen,
der als Attribut im Tag <setting> definiert ist, und einen Wert, der von einem Tag-Paar <value></value>
umschlossen ist. Wenn es keinen Wert gibt, wird das Tag-Paar auf <value /> verkürzt. Die Werte sind
typischerweise ganze Zahlen, boolesche Werte (true/false), Zeichenfolgen oder TimeSpan-Werte. In der Tabelle in
diesem Abschnitt sind der Name der Einstellung und die zugehörigen möglichen Werte aufgeführt. Der Name der
Einstellung sollte niemals bearbeitet werden. Es wird nur der Wert auf die gewünschte Einstellung geändert.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<configSections>
<sectionGroup name="applicationSettings" type="System.Configuration ...
<section name="Gdata.AntiVirus.Business.Server.Gdmms.Properties ...
156
17. Erweiterte Konfiguration
</sectionGroup>
</configSections>
<applicationSettings>
<Gdata.AntiVirus.Business.Server.Gdmms.Properties.Settings>
<setting name="UseIntegratedDatabase" serializeAs="String">
<value>False</value>
</setting>
<setting name="DbDatabase" serializeAs="String">
<value>GDATA_AntiVirus_ManagementServer</value>
</setting>
...
Abbildung 75: Gdmms.exe.config
17.1.1.2. IUpdateCfg.xml
Die Datei „IUpdateCfg.xml“ enthält Einstellungen, die sich auf die Client- und Server-Programmdatei sowie
Updates der Virensignaturdatenbank beziehen. Ihre Struktur ist etwas anders: Alle Einstellungen werden in ihren
eigenen Tag-Paaren gespeichert. Um die Einstellungen in IUpdateCfg.xml zu aktualisieren, muss der Wert
zwischen den beiden Tags bearbeitet werden.
<?xml version="1.0" encoding="UTF-16" ?>
<IUpdate>
<BasePath>C:\ProgramData\G DATA\AntiVirus ManagementServer\Updates</BasePath>
<LoadDiffFiles>1</LoadDiffFiles>
<Language>GER</Language>
<StandAlone>False</StandAlone>
</IUpdate>
Abbildung 76: IUpdateCfg.xml
17.1.2. Registry-Einstellungen
Einige der erweiterten Einstellungen für die Software von G Data können mit dem Registrierungs-Editor bearbeitet
werden. Dieses Windows-Tool erlaubt den Zugriff auf erweiterte Systemeinstellungen und sollte mit Vorsicht
genutzt werden. Die Bearbeitung der falschen Werte kann zu einer Instabilität des Systems oder anderen
unvorhersehbaren Verhaltensweisen führen. Um sicherzugehen, dass unbeabsichtigte Änderungen rückgängig
gemacht werden können, sollte mithilfe der Windows-Systemwiederherstellung einen Wiederherstellungspunkt
erstellt oder der bzw. die relevanten Registry-Schlüssel exportiert werden, bevor Änderungen erfolgen.
Abbildung 77: Registrierungs-Editor
157
Der Registrierungs-Editor wird durch Klicken auf „Start > Ausführen“ und Eingabe von regedit in das Textfeld
gestartet. Im linken Bereich wird durch Aufführen all ihrer Schlüssel die Struktur der Registry angezeigt. Im rechten
Bereich erscheint eine Liste der Werte für den aktuell gewählten Schlüssel und die darin enthaltenen Daten. Durch
Doppelklicken auf einen Wert können seine Daten bearbeitet werden. Mit einem Rechtsklick in den rechten
Bereich kann ein neuer Schlüssel oder Wert anlegt werden.
17.1.3. Konfigurationstools
Zusätzlich zu den XML-basierten Konfigurationsdateien und den Registry-Einstellungen stehen verschiedene Tools
zur Verfügung, mit denen sich die Software von G Data noch feiner abstimmen lässt. Einige Tools werden mit
G Data ManagementServer installiert, andere können bei Bedarf von der Website von G Data heruntergeladen
werden. Ebenso wie die erweiterten Konfigurationsdateien müssen auch die Software-Tools mit Vorsicht genutzt
werden. Vor einer Änderung der Konfiguration sollte ein Backup aller betroffenen Dateien und Ordner erstellt
werden. Außerdem wird davon abgeraten, auf einem aktiven Netzwerk oder Netzwerk-Client zu experimentieren.
Vor der Installation von Änderungen durch ein Konfigurationstool sollten seine Auswirkungen auf einem
(virtuellen) Testnetzwerk oder -Client getestet werden.
17.2.
G Data ManagementServer
17.2.1. Datenbank
Üblicherweise werden die Datenbankzugriffsdaten während der Installation von ManagementServer automatisch
konfiguriert. Für eine erweiterte Datenbankverwaltung ist jedoch GdmmsConfig.exe ein sehr wertvolles
Hilfsmittel. Es kann zur Durchführung von Backups (siehe Abschnitt 4.7) sowie zur Wartung und Konfiguration
verwendet werden. GdmmsConfig.exe befindet sich im Installationsordner von G Data ManagementServer
(standardmäßig: C:\Programme (x86)\G DATA\G DATA AntiVirus ManagementServer). Bei der Ausführung von
GdmmsConfig.exe zeigt es die aktuellen Daten an, mit denen ManagementServer eine Verbindung zu seiner
Datenbank herstellt.
Abbildung 78: GdmmsConfig.exe
158
Unter SQL SERVER zeigt GdmmsConfig.exe die aktuelle Instanz von SQL Server (Express) an. Sie kann manuell
eingegeben oder aus einer Liste übernommen werden. Durch Klicken auf den Pfeil wird eine Dropdown-Liste mit
allen erfassten Serverinstanzen im Netzwerk aufgedeckt. Der Standardwert bei der Verwendung einer Instanz von
SQL Server Express ist .\GDATASQLSRV2K8. Wenn der richtige Server ausgewählt ist, kann die
Authentifizierungsmethode unter ANMELDUNG definiert werden. Standardmäßig nutzt ManagementServer die
Methode WINDOWS-AUTHENTIFIZIERUNG und meldet sich mit einem lokalen Systemkonto an. Es kann jedes Windows(Domänen-)Konto mit den entsprechenden Berechtigungen auf dem Datenbankserver genutzt werden. Alternativ
können mithilfe der Listenoption SQL SERVER-AUTHENTIFIZIERUNG die Anmeldedaten eingegeben werden.
Wenn Datenbankserver und Authentifizierung konfiguriert worden sind, kann durch Klicken auf DATENBANKLISTE LESEN
eine Liste der verfügbaren Datenbanken vom Server angefordert werden. Bei Verwendung der
Standardkonfiguration von SQL Server Express speichert ManagementServer seine Daten in der Datenbank
GDATA_AntiVirus_ManagementServer. Wenn eine andere vorhandene ManagementServer-Datenbank verwendet
werden soll, muss diese aus der Liste ausgewählt werden. Eine leere ManagementServer-Datenbank wird mithilfe
der Option NEUE DATENBANK ANLEGEN erstellt, wobei der Namen der Datenbank eingegeben werden muss. In einem
Upgrade-Szenario muss das Datenbank-Layout möglicherweise aktualisiert werden, um mit der neuesten Version
von ManagementServer kompatibel zu sein. Ein Datenbank-Update kann manuell eingeleitet werden, indem die
Datenbank aus der Liste ausgewählt und auf die Option DATENBANK AKTUALISIEREN geklickt wird.
Um zu überprüfen, ob ManagementServer eine Verbindung mit seiner Datenbank herstellen kann, kann die
Option EINSTELLUNGEN TESTEN verwendet werden. Wenn ein Datenbank-Update erforderlich ist, wird eine
Aufforderung zur Durchführung angezeigt. Die Konfiguration der Einstellungen wird mithilfe der Option SCHLIEßEN
abgeschlossen. GdmmsConfig.exe fordert dazu auf, die Einstellungen zu testen, sie zu speichern und dann den
Hintergrunddienst von ManagementServer neu zu starten.
Bei der Installation von ManagementServer für eine vorhandene Datenbankinstanz (siehe Abschnitt 4.2.1) wird
GdmmsConfig.exe nach der Installation automatisch geöffnet. Mithilfe des Tools können die passende Instanz und
Datenbank von SQL Server (Express) ausgewählt werden. Wenn ManagementServer auf einem Computer neu
installiert wurde, auf dem eine Instanz von SQL Server Express mit einer ManagementServer-Datenbank
vorhanden ist, sollten die Standardeinstellungen korrekt sein. Wenn ManagementServer eine Instanz von SQL
Server auf einem anderen Server nutzen soll, werden die Server- und Anmeldedaten eingegeben und die Option
DATENBANKLISTE LESEN genutzt, um eine Liste der Datenbanken anzufordern und die Datenbank aus der Liste
auszuwählen.
GdmmsConfig.exe kann auch für eine Datenbankmigration verwendet werden. Für Installationen mit bis zu
eintausend Clients bringt eine lokale Installation von SQL Server Express eine gute Leistung (je nach HardwareKonfiguration). Wenn der ManagementServer eintausend Clients erreicht, kann es für eine anhaltende
Leistungsfähigkeit notwendig sein, die Datenbank auf einem eigenen Server zu migrieren. Mit GdmmsConfig.exe
ist dieser Prozess relativ einfach. Dazu müssen mithilfe der aktuellen Datenbankzugriffsdaten ein DatenbankBackup erstellt, die Daten des neuen Servers eingegeben und die Datenbank auf dem neuen Server
wiederhergestellt werden (siehe Abschnitt 4.7).
Schließlich ist mit GdmmsConfig.exe auch eine Datenbankversionierung möglich. Anstatt nur ein Backup der
Datenbank anzulegen und sie dann wiederherzustellen, kann auch eine neue Datenbank angelegt werden, in der
die alten Daten wiederhergestellt werden sollen. Dadurch ergibt sich die Möglichkeit, mit verschiedenen
Datenbanken auf demselben Server zu experimentieren.
Eine alternative Änderung der Datenbankeinstellungen besteht darin, sie direkt in Gdmms.exe.config zu
bearbeiten (siehe Abschnitt 17.1.1.1). Dies ist nur notwendig, wenn Einstellungen geändert werden müssen, die
159
über die Benutzeroberfläche von GdmmsConfig.exe nicht verfügbar sind.
Einstellung
DbServer
Standard
.\GDATASQLSRV2K8
Beschreibung
Name und Instanz des Datenbankservers formatiert als
Server\Instanz. Entspricht der Einstellung von SQL SERVER in
GdmmsConfig.exe.
DbDatabase
GDATA_AntiVirus_
ManagementServer
Der Name der Datenbank. Entspricht der Einstellung DATABASE in
GdmmsConfig.exe.
DbIntegratedSecurity
True
Zur Anmeldung an der Datenbank wird die WindowsAuthentifizierung (True) oder die SQL Server-Authentifizierung
(False) genutzt. Entspricht der Einstellung LOGON AUTHENTICATION in
GdmmsConfig.exe.
DbDatabaseUser
<leer>
Der Benutzername der SQL Server-Authentifizierung. Leer, wenn
die Windows-Authentifizierung verwendet wird. Entspricht der
Einstellung von „Anmeldebenutzername“ in GdmmsConfig.exe.
DbDatabasePassword
<leer>
Kennwort der SQL Server-Authentifizierung (mit Hash). Leer, wenn
die Windows-Authentifizierung verwendet wird. Entspricht der
Einstellung LOGON PASSWORD in GdmmsConfig.exe.
DbImpersonateUser
<leer>
Definiert das Windows-Benutzerkonto, das zum Anmelden an der
Datenbank verwendet wird. Standardmäßig leer, das Konto
„SYSTEM“ wird verwendet. Entspricht der Einstellung LOGON USER
NAME in GdmmsConfig.exe.
DbImpersonatePassword
<leer>
Definiert das Windows-Benutzerkennwort, das zum Anmelden an
der Datenbank verwendet wird. Standardmäßig leer. Entspricht
der Einstellung LOGON PASSWORD in GdmmsConfig.exe.
PerformStartupDbCheck
AndRepair
True
Entfernt beim Starten des Dienstes „ManagementServer“
überflüssige Datenbankeinträge.
QueryPageSize
10000
Leistung bei der Abfrage großer Datenbanken. Eine hohe Zahl
verlängert die anfängliche Wartezeit, verkürzt aber die
Gesamtwartezeit. Durch Verringerung der Zahl wird die
anfängliche Wartezeit verkürzt, aber die Gesamtwartezeit
verlängert.
17.2.2. Ports
Während der Installation von G Data ManagementServer setzt der Server die Standardwerte für die TCP-Ports
voraus, mit denen er eine Verbindung mit G Data Administrator und den Android-Clients herstellt (siehe
Abschnitt 2.2). Die Portnummern wurden so ausgewählt, dass die Auswirkungen auf vorhandene Software
minimal sind. Falls es aber dennoch zu einem Portkonflikt kommt, können die Portzuweisungen in
Gdmms.exe.config geändert werden (siehe Abschnitt 17.1.1.1).
160
Einstellung
AdminPort
Standard
0
Beschreibung
Port für TCP-Kommunikation mit G Data Administrator. Es kann eine beliebige Portnummer
eingegeben werden. Mit dem Wert 0 wird der Port auf die Standardnummer 7182 eingestellt.
ClientHttpsPort
0
Port für TCP-Kommunikation mit Android-Clients. YClientHttpsPort sollte nicht verändert
werden, da Android-Clients keinen alternativen Port akzeptieren. Es kann eine beliebige
Portnummer eingegeben werden. Mit dem Wert 0 wird der Port auf die
Standardnummer 7183 eingestellt.
ClientHttpPort
0
Port für TCP-Kommunikation mit Android-Clients (Verteilung von Installationsdateien). Es
kann eine beliebige Portnummer eingegeben werden. Mit dem Wert 0 wird der Port auf die
Standardnummer 7184 eingestellt.
Wenn der Wert für ClientHttpPort oder ClientHttpsPort geändert wird, muss die HTTPS-Sicherheitskonfiguration
für den Port erneut initialisiert werden, bevor der Dienst „ManagementServer“ neu gestartet wird. Dazu wird die
Eingabeaufforderung mit Administratorrechten geöffnet und C:\Programme\G DATA\G DATA AntiVirus
ManagementServer\gdmmsconfig.exe /installcert ausgeführt. Nach dem Ändern des Werts für AdminPort muss der
Serverport beim Anmelden an G Data Administrator ausdrücklich im Format Servername:Port definiert werden.
17.2.3. PatchManager
In Gdmms.exe.config lassen sich einige erweiterte Einstellungen für das PatchManager-Modul (siehe Kapitel 15)
optimieren (siehe Abschnitt 17.1.1.1).
Einstellung
Standard
Beschreibung
UpdateClientPatchState
BatchSize
UpdateClientPatchState
IntervalMinutes
100
Aktualisierungszyklus der internen Datenbank: Batch-Größe
1
Aktualisierungszyklus der internen Datenbank: Aktualisierungsintervall in
Minuten
AutoPatchJobsBatchSize
Daily
5000
Anzahl der automatischen Patch-Aufträge, die gleichzeitig an einem Tag
existieren können
AutoPatchJobsBatchSize
Nightly
10000
Anzahl der automatischen Patch-Aufträge, die gleichzeitig in der Nacht existieren
können
17.2.4. Subnet-Server
G Data ManagementServer kann von einem oder mehreren Subnet-Servern unterstützt werden, um Leistung und
Handhabung zu verbessern (siehe Abschnitt 4.10). Einige der erweiterten Einstellungen für Subnet-Server können
in Gdmms.exe.config optimiert werden (siehe Abschnitt 17.1.1.1).
Einstellung
Standard
Beschreibung
SyncReportDays
90
Maximales Alter (in Tagen) der Berichte, die zwischen ManagementServer und
Subnet-Server synchronisiert werden.
SyncNumberOfRowsPerBatch
200
Anzahl der Datenbankzeilen pro Batch, die zwischen ManagementServer und
Subnet-Server synchronisiert werden sollen (beeinflusst die Leistung und sollte
nicht unter 100 liegen).
MaxSubnetUpdateThreads
100
Die maximale Anzahl der Subnet-Server, die zwecks Update oder Synchronisation
gleichzeitig eine Verbindung mit dem ManagementServer herstellen können.
SoftwareInventoryEnabled
True
Synchronisation der Daten des Client-Softwareinventars vom Subnet-Server zum
Haupt-ManagementServer. Wenn eine sehr große Anzahl von Subnet-Servern
verwendet wird, könnte sich dies auf die Netzwerkleistung auswirken. Die
Funktion kann deaktiviert werden.
17.2.5. Ordner
Die Ordner, in denen ManagementServer seine Daten speichert, können in Gdmms.exe.config konfiguriert werden
(siehe Abschnitt 17.1.1.1), wobei die Standardwerte für die meisten Szenarien ausreichen sollten. Bei der
Neudefinition von Ordnern sollten die in diesen Ordnern vorhandenen Dateien in den neuen Ordner verschoben
werden, bevor der Dienst „ManagementServer“ neu gestartet wird.
161
Bei der Aktualisierung des Werts für UpdateDistributionFolder muss der Wert für BasePath in IUpdateCfg.xml auf
denselben Ordner eingestellt werden (siehe Abschnitt 17.2.8).
Einstellung
BackupFolders
Standard
<Ordner>
Beschreibung
Backups werden standardmäßig unter C:\ProgramData\G DATA\AntiVirus
ManagementServer\Backup gespeichert. Wird ignoriert, wenn in G Data
Administrator Pfade für Server-Backups definiert wurden (siehe Abschnitt 12.1).
DBBackupFolder
<leer>
Der zuletzt verwendete Datenbank-Backup-Ordner in GdmmsConfig.exe. Die
Ordnereinstellung sollte nur über die Benutzeroberfläche von GdmmsConfig.exe
geändert werden.
InternetUpdatePgmFolder
<Ordner>
Der Ordner, in dem die Internet-Update-Komponente (IUpdate.exe) gespeichert
wird, standardmäßig C:\Programme (x86)\G DATA\G DATA AntiVirus
ManagementServer. Dieser Wert sollte nicht geändert werden.
PatchFilesFolder
<Ordner>
PatchManager-Dateien werden standardmäßig unter
C:\ProgramData\G DATA\AntiVirus ManagementServer\Patches gespeichert.
QuarantineFolder
<Ordner>
In die Quarantäne verschobene Dateien werden standardmäßig unter
C:\ProgramData\G DATA\AntiVirus ManagementServer\Quarantine gespeichert.
UpdateDistributionFolder
<Ordner>
Virensignatur-Updates und Programmdatei-Updates werden standardmäßig unter
C:\ProgramData\G DATA\AntiVirus ManagementServer\Updates gespeichert.
17.2.6. Peer-to-Peer-Updateverteilung
Mit den Fenster INTERNET-UPDATE in G Data Administrator kann eine Peer-to-Peer-Updateverteilung aktiviert werden,
um die Serverauslastung zu verringern, die durch die Updateverteilung verursacht wird (siehe Abschnitt 7.3). Die
Peer-to-Peer-Updateverteilung kann ohne zusätzliche Konfiguration genutzt werden, ihre Einstellungen lassen
sich aber mit Gdmms.exe.config auch genau an die Netzwerkbedingungen anpassen (siehe Abschnitt 17.1.1.1).
Die Standard-Nachbarschaftseinstellungen wurden für die Verwendung in einem Netzwerk mit IPv4- sowie IPv6Clients optimiert. Deshalb wurden manche Parameter deaktiviert, um zu verhindern, dass Clients fälschlicherweise
als außerhalb der Nachbarschaft eines anderen Clients erkannt werden (DHCP-Server, Standard- und Subnet). Bei
der Verwendung eines Nur-IPv4- oder Nur-IPv6-Netzwerks können diese Parameter manuell aktiviert werden, um
die Auswahl der aktualisierten Clients zu verbessern, die Dateien verteilen können.
162
Einstellung
P2PClientAbandoned
ConnectionThresholdMin
Standard
1
Beschreibung
Maximale Zeitspanne der Inaktivität, bevor eine Verbindung als abgebrochen
gilt (auf der Client-Seite).
P2PClientMaxServedPeers
5
Maximale Anzahl der Clients, die gleichzeitig von einem Peer versorgt werden.
P2PConnectRetries
3
Maximale Anzahl der Verbindungsneuversuche, bevor ein Client eine
Verbindungsanforderung an einen anderen Peer weiterleitet.
P2PConsiderClientsDHCP
False
Clients befinden sich in der Nachbarschaft eines anderen, wenn beide ihre
dynamischen IP-Adressen vom selben DHCP-Server beziehen.
P2PConsiderClientsDomain
True
Clients befinden sich in der Nachbarschaft eines anderen, wenn beide dieselbe
Domäne besitzen.
P2PConsiderClientsGateway
False
Clients befinden sich in der Nachbarschaft eines anderen, wenn beide
denselben Standard-Gateway nutzen.
P2PConsiderClientsLastAccess
True
Während der Bestimmung eines Clients als Quelle für ein Update wird der
letzte Zugriff des Clients berücksichtigt.
P2PConsiderClientsOnBattery
False
Clients, die mit Batterieleistung laufen, werden als Quelle für Updates
ausgeschlossen.
P2PConsiderClientsSubnet
False
Clients befinden sich in der Nachbarschaft eines anderen, wenn beide aus
demselben Subnetz stammen.
P2PDisablePGMUpdate
Distribution
False
Aktiviert oder deaktiviert die Peer-to-Peer-Verteilung von ProgrammdateiUpdates. (Bei Deaktivierung werden nur Signatur-Updates per Peer-to-Peer
verteilt.)
P2PMaxNumberOfHops
1
Maximale Anzahl der Hops zwischen zwei Clients, damit gilt, dass sie sich in der
Nachbarschaft des jeweils anderen befinden.
P2PMmsAbandoned
ConnectionThresholdMin
1
Maximale Zeitspanne der Inaktivität, bevor eine Verbindung als abgebrochen
gilt (auf der ManagementServer-Seite).
P2PMmsMaxServedPeers
50
Maximale Anzahl der gleichzeitigen Client-Verbindungen, die vom
ManagementServer bedient werden (Verbindungen, über die ein Signatur/Programm-Update heruntergeladen wird).
Wenn eine der Einstellungen für die Peer-to-Peer-Verteilung aktualisiert wird, müssen die Änderungen durch
Bearbeitung eines Registry-Schlüssels bestätigt werden, bevor der Dienst „ManagementServer“ neu gestartet
wird. Dazu wird mithilfe des Registrierungs-Editors der Wert DoNotConsiderP2PConfigToDB aus dem Schlüssel
„HKEY_LOCAL_MACHINE\Software\G DATA\AVK ManagementServer“ entfernt (bei Verwendung eines 64-BitSystems befindet sich der Schlüssel unter Software\Wow6432Node\G DATA). Dies zwingt ManagementServer
dazu, die Konfigurationswerte für die Peer-to-Peer-Updateverteilung aus Gdmms.exe.config zu importieren.
17.2.7. Stufenweise Softwareverteilung
Die stufenweise Softwareverteilung ist ein sehr leistungsstarkes Hilfsmittel und wurde entwickelt, damit
Administratoren Programm-Updates im Netzwerk verteilen können, ohne sich um Fragen der Kompatibilität
sorgen zu müssen. Alle Netzwerk-Clients werden mit mathematischen Prinzipien in Gruppen aufgeteilt, die sich
jedes Mal vergrößern, wenn eine Stufe erfolgreich abgeschlossen wurde. Das System ist so aufgebaut, dass es
ohne jede Konfiguration funktioniert – die bloße Aktivierung reicht aus (siehe Abschnitt 7.3.2). Viele Teile der
Berechnung lassen sich aber perfekt an die jeweiligen Umstände in jedem Unternehmensnetzwerk anpassen.
Die stufenweise Softwareverteilung kann in Gdmms.exe.config konfiguriert werden (siehe Abschnitt 17.1.1.1). Für
verschiedene Einstellungen wurden Standardwerte für die ersten sechs Stufen definiert. Wenn mehr Stufen
verwendet werden, können der Konfigurationsdatei zusätzliche Werte hinzugefügt werden. Wenn es mehr Stufen
als Werte für eine bestimmte Einstellung gibt, werden die nächsten Werte aus dem Bereich extrapoliert.
Einstellung
SPUEnable
Standard
3
Beschreibung
Bitmaske für zwei Einstellungen im Fenster „Server-Einstellungen“ von G Data
Administrator: Automatische Programm-Updates stufenweise verteilen (1) und
Clients für die erste Stufe automatisch zuordnen (2).
SPUStopAbsolute
5,15,20,30,
40,50
Die Anzahl der fehlerhaften Clients pro Stufe, bei der die stufenweise
Softwareverteilung angehalten werden soll (absolute Zahl). Verwendet, wenn
kleiner als SPUStopPromille.
SPUStopPromille
25,75,100,150,
200,250
Die Anzahl der fehlerhaften Clients pro Stufe, bei der die stufenweise
Softwareverteilung angehalten werden soll (pro Tausend). Verwendet, wenn
kleiner als SPUStopAbsolute.
SPUStepsTimespan
3.00:00:00 (3 Tage)
dd.hh:mm:ss. Zeitspanne bis zur Freigabe der folgenden Stufe. Entspricht der
Einstellung „Nächste Gruppe freigeben nach“ in G Data Administrator.
163
SPUStepsZombie
Timespan
14.00:00:00 (14 Tage)
dd.hh:mm:ss. Clients, die in einer bestimmten Zeitspanne keine Verbindung
mit dem ManagementServer hergestellt haben, werden in der
mathematischen Berechnung, die die stufenweise Softwareverteilung regelt,
nicht mitgerechnet.
SPUFirstStepLimit
5,20
Minimale und maximale Anzahl der Clients, die in die erste Stufe
aufgenommen werden sollen.
SPUTotalSteps
3
Anzahl der Stufen. Entspricht der Einstellung ANZAHL DER GRUPPEN in G Data
Administrator.
SPUSyncTimespan
00:30:00
(30 Minuten)
dd.hh:mm:ss. Synchronisation des Status der stufenweisen Softwareverteilung
zwischen Clients, Subnet-Servern und ManagementServer.
SPUMinClients
10
Minimale Anzahl der Clients im Netzwerk, die erforderlich sind, damit die
stufenweise Softwareverteilung anläuft.
17.2.8. Server-Updates
Die Programmdateien von G Data ManagementServer können über das Tool „Internet-Update“ aktualisiert
werden (siehe Abschnitt 4.6). Außerdem kann es dazu verwendet werden, manuell Updates der ClientProgrammdateien und Virensignaturen auf den Server herunterzuladen. Einige Update-Parameter können in
IUpdateCfg.xml festgelegt werden (siehe Abschnitt 17.1.1.2).
Einstellung
BasePath
Standard
<Ordner>
Beschreibung
Virensignatur-Updates und Programmdatei-Updates werden standardmäßig unter
C:\ProgramData\G DATA\AntiVirus ManagementServer\Updates gespeichert.
Bei der Aktualisierung des Werts für BasePath muss der Wert für UpdateDistributionFolder in Gdmms.exe.config
auf denselben Ordner eingestellt werden (siehe Abschnitt 17.2.5).
17.2.9. Verschiedenes
Zusätzlich zu den Einstellungen von Datenbank, Port, Subnet-Server und Modul können noch weitere
ManagementServer-Funktionen mit Gdmms.exe.config optimiert werden (siehe Abschnitt 17.1.1.1). Bei der
Änderung von Einstellungen der Serverkonfiguration muss berücksichtigt werden, dass diese oft Änderungen in
anderen Kontexten (z. B. G Data Security Client, Registry) erfordern, um richtig zu funktionieren.
164
Einstellung
DisplayLicenseLimit
Standard
True
Beschreibung
Die Anzahl der zulässigen Lizenzen und das Lizenzablaufdatum werden in der
erweiterten Ansicht des Fensters LIZENZÜBERSICHT angezeigt.
IsSecondaryMMS
False
Legt fest, ob der Server ein primärer oder sekundärer ManagementServer ist.
MainMms
<Name>
Servername, wie er während der Installation von G Data ManagementServer
definiert wurde. Wird dazu verwendet, den Servernamen für Installationspakete
und Remote-Client-Installationen zu befüllen. Muss mit
HKEY_LOCAL_MACHINE\Software\G DATA\AVK
ManagementServer\ComputerName identisch sein.
MaxParallelClientInstallation
5
Die maximale Anzahl der Clients, die gleichzeitig per Fernzugriff installiert
werden können. Große Zahlen können zu einer Überlastung des Netzwerks
führen. Minimal 5, maximal 1000.
MaxUpdateThreads
300
Die maximale Anzahl der Clients, die zwecks Update oder Synchronisation
gleichzeitig eine Verbindung mit dem ManagementServer herstellen können.
Wird ignoriert, wenn die Auslastungsgrenze in G Data Administrator aktiviert und
ein Wert für GLEICHZEITIGES LADEN VON UPDATES festgelegt wurde.
DisableActiveDirectorySearch
False
Synchronisation von Active Directory deaktivieren
EmailCodePage
<leer>
Codeseite für ausgehende E-Mails. Wenn hier keine Codeseite definiert ist, wird
UTF-8 verwendet.
UseAsyncAwait
True
Asynchrone Verarbeitung für eingehende Verbindungen aktivieren. Stützt sich
auf Microsoft .NET Framework 4 mit Update KB2468871.
17.2.10.
Ersetzte Einstellungen
Einige der Einstellungen in Gdmms.exe.config sind in der aktuellen Version von G Data ManagementServer nicht
mehr verfügbar. Aufgrund der Kompatibilität mit Upgrade-Installationen werden sie nicht aus der Datei entfernt.
Damit die Maßnahmen jedoch gelten, ist eine alternative Konfiguration erforderlich.
17.3.
Einstellung
LogFileFolder
Alternative
Ab Version 9 veraltet, da die Protokolle der Scan-Aufträge in der ManagementServerDatenbank gespeichert werden (siehe Abschnitt 9.1).
LogLevel, DebugLogDestination,
DebugLogFilename
Ab Version 12 veraltet, da das Debuggen mit einer separaten Konfigurationsdatei
konfiguriert wird (siehe Kapitel 17.5.2).
UseIntegratedDatabase
Ab Version 12 veraltet, da die integrierte Datenbank durch eine SQL-Datenbank ersetzt
wurde (siehe Abschnitt 17.2.1).
G Data Security Client
17.3.1. Aktivität des Dateisystemwächters
Der Dateisystemwächter ist eine der umfassendsten Komponenten der Sicherheitslösung von G Data. Er erkennt
eine große Menge an Malware, braucht dazu jedoch beträchtliche Systemressourcen. Wenn die Client-Leistung
deutlich beeinträchtigt ist, kann das Tool „MonActivityCS“ (Wächteraktivität) herausfinden, ob der
Dateisystemwächter Probleme mit einer bestimmten Datei hat. Das Tool kann von https://secure.gd/ukdls und
ohne Extrahierung oder Ausführung eines Installationsassistenten direkt ausgeführt werden. Das Tool lässt sich in
zwei Modi ausführen: Echtzeit oder Hitliste. Im Echtzeitmodus werden die Dateien aufgeführt, sowie sie vom
Dateisystemwächter überprüft werden. Das ist praktisch, wenn sich das Problem mit dem Dateisystemwächter
leicht reproduzieren lässt. Die Trefferliste zeigt, wie oft bestimmte Dateien überprüft wurden, was dabei hilft,
problematische Dateien herauszustellen.
Abbildung 79: MonActivityCS (Wächteraktivität)
165
Wenn der Modus ausgewählt ist, erscheint das Hauptfenster von „MonActivityCS“ (Wächteraktivität). Zum Starten
der Überwachung auf dem lokalen Computer dient die Option „Verbinden“ (das Textfeld „Computer“ kann leer
bleiben). Zum Anhalten der Überwachung dient die Option „Stoppen“. Die Liste wird befüllt, wenn das Tool läuft.
Durch Klicken auf „Aktualisieren“ wird die Liste manuell aktualisiert (im Modus „Hitliste“). Mithilfe der Option „Liste
zurücksetzen“ wird die Liste zurückgesetzt (im Modus „Echtzeit“), und mithilfe von „Speichern“ wird die Dateiliste
als Textdatei gespeichert. Mithilfe der Option „Als Ausnahme definieren“ kann eine Datei sofort als Ausnahme für
die Dateisystemüberwachung definiert werden.
17.3.2. Quarantäne
Wenn eine der Sicherheitsebenen von G Data eine Bedrohung erkennt, werden automatisch die notwendigen
Schritte ergriffen. Wenn der Administrator definiert hat, dass die Dateien in die Quarantäne gebracht werden
sollen, werden sie umbenannt und in einen sicheren Ordner verschoben. Mit dem Modul BERICHTE von G Data
Administrator können die Dateien dann analysiert, gesäubert und wieder zurückverschoben werden. Für die
lokale Handhabung der Quarantäne eines Clients kann das Tool „Quarantine“ genutzt werden. Es kann unter
https://secure.gd/ukdls (Quarantine Generation 2011) heruntergeladen und sollte auf dem betroffenen Client
ausgeführt werden. Das Tool kann ebenfalls für die Überprüfung von Dateien genutzt werden, die sich im
Quarantäneordner des Servers befinden, falls eine Analyse durch G Data Administrator nicht möglich ist.
Abbildung 80: Quarantine
Nach seinem Start zeigt das Modul „Quarantine“ sofort die lokale Quarantäne an. Es nutzt den standardmäßigen
Quarantänepfad und führt alle Dateien zusammen mit einigen Metadaten auf. Wenn es nicht automatisch den
richtigen Ordner wählt, kann dieser manuell eingestellt werden. Standardmäßig werden die ClientQuarantänedateien unter C:\ProgramData\G Data\AntiVirusKit Client\Quarantine gespeichert. Bei der
Untersuchung der Server-Quarantäne lautet der Standardordner „C:\ProgramData\G Data\AntiVirus
ManagementServer\Quarantine“, falls nicht in Gdmms.exe.config ein anderer Pfad angegeben wurde (siehe
Abschnitt 17.2.5).
Bei der Auswahl einer Datei in der Quarantäne stehen mehrere Optionen zur Verfügung. Die empfohlene Option
ist SÄUBERN UND ZURÜCKBEWEGEN. Dadurch wird versucht, die Malware aus der Datei zu entfernen und diese an ihrem
ursprünglichen Speicherort wiederherzustellen. Andere Optionen sind die Wiederherstellung der Datei an ihrem
ursprünglichen Speicherort ohne Säuberung und die Wiederherstellung der Datei an einem neuen Speicherort
ohne Säuberung. Beide Optionen sind nicht empfehlenswert: Die Malware ist immer noch in der Datei vorhanden
und stellt ein Risiko dar. Wenn eine Datei nicht gesäubert werden kann, muss sie möglicherweise gelöscht werden.
Dazu muss der Quarantine-Ordner in Windows Explorer geöffnet und die zugehörige .q-Datei gelöscht werden.
166
17.4.
G Data MailSecurity für Exchange
Bei der Verwendung von Microsoft Exchange Server 2013 SP1 stellt MailSecurity für Exchange die Verbindung zu
Postfächern mithilfe des Push-Benachrichtigungssystems von Exchange her, um E-Mail-Schutz zu leisten. Zur
Optimierung der Leistung des Push-Benachrichtigungssystems und seiner Proxy-Einstellungen können mehrere
Parameter konfiguriert werden.
17.4.1. Leistung der Push-Benachrichtigungen
Bei jedem Start des Hintergrunddienstes von MailSecurity für Exchange abonniert dieser jedes einzelne ExchangePostfach. Je nach Anzahl der Postfächer auf dem Server kann die Dauer dieses Prozesses zwischen wenigen
Sekunden und bis zu einer Stunde liegen. Selbst wenn MailSecurity für Exchange ein Postfach noch nicht
abonniert hat, erkennt und entschärft es die Bedrohungen darin, kann diese aber nicht an G Data
ManagementServer melden. Vollständige Berichte für alle Postfächer sind daher erst verfügbar, wenn MailSecurity
für Exchange den Abonnementprozess abgeschlossen hat.
Die Leistung des Abonnementprozesses kann optimiert und dadurch die Geschwindigkeit und Zuverlässigkeit der
Berichte erhöht werden. Diese Einstellungen lassen sich mithilfe des Registrierungs-Editors bearbeiten (siehe
Abschnitt 17.1.2). Folgende Werte befinden sich im Schlüssel
„HKEY_LOCAL_MACHINE\Software\G DATA\Exchange“ und können erstellt werden, wenn sie noch nicht
existieren:
Wert
Typ
Wertdaten
Beschreibung
DefaultConnectionLimit
DWORD
(32 Bit)
15 (dezimal)
Die Anzahl der gleichzeitigen Anforderungen eine Abonnements
von Push-Benachrichtigungen, die MailSecurity für Exchange
einleiten kann. Bei Erhöhung dieser Zahl wird der
Abonnementprozess beschleunigt. Es kann jedoch zu Problemen
mit der Stabilität und Zuverlässigkeit von Exchange kommen.
DefaultSubscribeDelay
DWORD
(32 Bit)
65 (dezimal)
Die Anzahl der Millisekunden zwischen Anforderungen eines
Abonnements von Push-Benachrichtigungen. Bei Verringerung
dieser Zahl wird der Abonnementprozess beschleunigt. Es kann
jedoch zu Problemen mit der Stabilität und Zuverlässigkeit von
Exchange kommen.
17.4.2. Proxy-Bypass für Push-Benachrichtigungen
In Netzwerken, die einen Proxy-Server nutzen, werden die Push-Benachrichtigungen von Microsoft Exchange
Server an den Proxy-Server und nicht direkt an MailSecurity für Exchange geschickt. Exchange kann so konfiguriert
werden, dass es den Proxy-Server umgeht und Push-Benachrichtigungen direkt an MailSecurity schickt. Diese
Einstellung lässt sich in der entsprechenden Konfigurationsdatei für Microsoft .NET Framework (web.config) auf
dem betroffenen Server aktivieren.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
...
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
<bypasslist>
<add address="exchangeserver.domain.com" />
</bypasslist>
</defaultProxy>
167
</system.net>
...
Abbildung 81: web.config
„web.config“ ist eine XML-Datei mit einer kaskadierten Struktur ähnlich wie Gdmms.exe.config (siehe
Abschnitt 17.1.1.1). Alle Einstellungen sind vom Tag-Paar <configuration> </configuration> umschlossen.
Standardmäßig existiert der Knoten <system.net> bereits. Um die Einstellungen in der obigen Abbildung
wiederzugeben, müssen die Werte <defaultProxy> geändert und die Adresse exchangeserver.domain.com durch
die Adresse des Exchange-Servers ersetzt werden. Anforderungen an diesen Server werden den Proxy-Server nun
umgehen.
17.5.
Debuggen
Für eine erweiterte Konfiguration und Problembehandlung kann es hilfreich sein, die Debug-Protokolle zu
untersuchen. Viele der client-seitigen Sicherheitsmodule erstellen ihre eigenen Protokolle, die in G Data
Administrator gelesen werden können: z. B. Virenscans, Backup-Aufträge oder Wiederherstellungsaufträge.
Mithilfe von mehreren konfigurierbaren Protokollen ist ein zusätzliches Debuggen möglich. Die inneren
Mechanismen der meisten Sicherheitsmodule können mit diesen Dateien analysiert werden. Wenn sich ein Teil
der Software unerwartet verhält, liefert das Debug-Protokoll wertvolle Einblicke. Auch wenn eine direkte Analyse
nicht möglich ist, können die Protokolldateien unserer Supportabteilung bei der Untersuchung des Problems
helfen. Auch die Generierung von Debug-Protokollen für ManagementServer selbst kann in unterschiedlichen
Fällen nützlich sein. Wenn ein Client seine aktualisierten Einstellungen nicht erhält, ein Subnet-Server Probleme
verursacht oder der ManagementServer außergewöhnlich große Anteile der RAM- oder CPU-Zyklen beansprucht,
kann die Debug-Ausgabe einen Hinweis darauf geben, welche Art von Problemen aufgetreten ist.
17.5.1. Installation
Der Installationsprozess der meisten Komponenten von G Data lässt sich protokollieren und debuggen, falls
Probleme auftreten.
17.5.1.1. ManagementServer
Der Installationsassistent von G Data ManagementServer hilft den Administratoren mit entsprechenden
Hinweisen auf dem Bildschirm, die Software ohne Probleme zu installieren. Falls nach Abschluss des
Installationsassistenten einzelne Komponenten von ManagementServer Probleme verursachen oder gar nicht
ausgeführt werden, kann es nützlich sein, zu überprüfen, ob der Assistent alle Komponenten richtig installiert hat
oder ob Ausnahmen auftreten. Der Installationsassistent kann so konfiguriert werden, dass er ein Debug-Protokoll
erstellt, in dem alle seine Maßnahmen sowie eventuelle Fehler aufgeführt sind. Dazu wird im Registrierungs-Editor
der Schlüssel „HKEY_LOCAL_MACHINE\Software\G DATA\“ (bei 64-Bit-Systemen:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\G DATA\) aufgerufen und der Schlüssel GDSetup hinzugefügt,
falls dieser noch nicht existiert. Innerhalb des neuen Schlüssels wird dem DWORD-Wert DebugLevel der Wert 5
hinzugefügt. Anschließend wird mithilfe der Eingabeaufforderung der Ordner geöffnet, der die
ManagementServer-Einrichtungsdatei enthält (bei Installation vom Installationsmedium, typischerweise
\Setup\ManagementServer). Anschließend wird der folgende Befehl eingegeben, um den Installationsassistenten
mit der Option der Generierung eines umfassenden Debug-Protokolls auszuführen: setup.exe /params=[/v”/l*v
c:\debug.log”]. Dadurch werden alle Einrichtungsschritte ausführlich in C:\debug.log protokolliert und können
anschließend analysiert werden.
168
17.5.1.2. MailSecurity für Exchange
Zum Debuggen des Exchange-Plugins von G Data MailSecurity muss der Registry-Schlüssel
„HKEY_LOCAL_MACHINE\Software\G DATA\Exchange“ geöffnet und der DWORD-Wert DebugLevel mit dem
Wert 5 hinzugefügt werden. Mit dem Tool „DebugView“ lässt sich die Debug-Ausgabe der Installation erfassen
(siehe Abschnitt 17.5.3).
17.5.1.3. Security Client für Linux
Die Installation von G Data Security Client für Linux wird lokal unter /var/log/gdata_install.log protokolliert. Bei der
Durchführung einer Remote-Installation wird die Protokolldatei auch im Fenster INSTALLATIONSÜBERSICHT von G Data
Administrator angezeigt.
17.5.2. ManagementServer
Für die Konfiguration des Debuggens für die verschiedenen Komponenten von ManagementServer wird die
separate Konfigurationsdatei „Debug.config“ verwendet. Sie ist nicht in der Standardinstallation von
ManagementServer enthalten, lässt sich aber leicht in einem Texteditor wie beispielsweise Notepad erstellen. Die
Datei sollte im Installationsordner von G Data ManagementServer gespeichert werden, üblicherweise ist dies
C:\Programme (x86)\G DATA\G DATA AntiVirus ManagementServer. Damit ManagementServer die Änderungen in
Debug.config aufnimmt, muss der Hintergrunddienst von ManagementServer neu gestartet werden. Es muss
gewährleistet sein, dass dies jedes Mal geschieht, wenn Änderungen an Debug.config gespeichert werden.
<?xml version="1.0" encoding="utf-8" ?>
<debug>
<output file="true" fileName="c:\temp\debug.log" console="false" />
<categories>
<category name="Root" level="4" />
<category name="Database" level="4" />
<category name="PatchManagement" level="2" />
<category name="Sync" level="2" />
<category name="WCF" level="4" />
</categories>
</debug>
Abbildung 82: Debug.config
Debug.config folgt einer XML-Struktur und besitzt mehrere Parameter, die sich individuell anpassen lassen. Die
Debug-Ausgabe kann mit DebugView gelesen werden (siehe Abschnitt 17.5.3). Optional kann auch eine
Dateiausgabe aktiviert werden. Wenn die Debug-Ausgabe in eine Datei kanalisiert wird, sollte das Debuggen nur
während der Problembehandlung aktiviert sein. Sobald die entsprechenden Protokolle erfasst wurden, muss das
Debuggen deaktiviert werden, da ansonsten die Protokolldatei schnell die Festplatte füllen würde.
Ausgabe
file
Beschreibung
True oder False. Debug-Ausgabe in einer Datei speichern.
fileName
Ausgabedatei einschließlich Pfad, zum Beispiel C:\MMSDebug.log.
console
True oder False. Interne Debug-Funktion.
Im Abschnitt „Kategorien“ können verschiedene Arten von Aktionen protokolliert werden. Jede Kategorie besitzt
ein Namensattribut, das definiert, welche Art von Aktion protokolliert wird, und ein Ebenenattribut, das definiert,
wie detailliert die Protokolle sind. Als Ebene ist jede Zahl von 0 bis 6 möglich, wobei jede Ebene auch
Informationen aus allen vorherigen Ebenen enthält. Ebene 0 protokolliert gar nichts, Ebene 1 protokolliert nur
169
Fehler, Ebene 2 protokoliert Warnungen, Ebene 3 protokolliert Informationen, Ebene 4 ermöglicht ein
ausführliches Protokollieren von Informationen, Ebene 5 protokolliert alles im Debug-Modus und Ebene 6
protokolliert alles im Trace-Modus. Für die Problembehandlung empfiehlt sich Ebene 4.
Kategorie
Root
Beschreibung
Die Root-Kategorie legt die allgemeine Debug-Ebene fest. Keine andere Kategorie kann die Root-Kategorie
überschreiten. Wenn die Root-Kategorie auf 0 gesetzt ist, wird keine Debug-Ausgabe generiert.
Database
SQL-Transaktionen zwischen ManagementServer und seiner Datenbank
PatchManagement
PatchManager-Ereignisse
Sync
Datenbanksynchronisation
WCF
Kommunikation zwischen Administrator und ManagementServer
Informationen über die Aktivierung der Debuggen-Funktion für MailSecurity MailGateway können
Abschnitt 17.5.3 entnommen werden.
17.5.3. Security Client und MailSecurity MailGateway
Ein client-seitiges Debuggen kann mit dem von Sysinternals entwickelten Tool „DebugView“ durchgeführt
werden. Es fängt Debug-Aufrufe für jede Win32-Software ab, wodurch Administratoren Debug-Protokolle auch
ohne aktiven Debugger erfassen können. In Kombination mit der Festlegung eines Registry-Schlüssels für das
Modul, das man debuggen möchte, generiert DebugView umfangreiche Protokolle. Die gleiche Methode wird
zum Debuggen von MailSecurity MailGateway genutzt.
Dazu wird mithilfe des Registrierungs-Editors folgenden Schlüsseln der DWORD-Wert DebugLevel mit dem Wert 5
hinzugefügt, um das Debuggen für die entsprechenden Module zu ermöglichen:
Modul
MailSecurity MailGateway
Schlüssel17
HKEY_LOCAL_MACHINE\Software\G DATA\AVKSmtp
Security Client (allgemein)
HKEY_LOCAL_MACHINE\Software\G DATA\AVKClient
Datenverkehr-Scans
HKEY_LOCAL_MACHINE\Software\G DATA\AVKProxy
Updates
HKEY_LOCAL_MACHINE\Software\G DATA\INetUpdate
Virenscans
HKEY_LOCAL_MACHINE\Software\G DATA\AVKScanP
Nach der Registry-Änderung muss der Computer neu gestartet und DebugView unter
http://technet.microsoft.com/en-us/sysinternals/bb896647 heruntergeladen werden. Nach dem
Herunterladen der Datei wird sie extrahiert, und DebugView.exe wird mit Administratorberechtigungen
ausgeführt. Unter CAPTURE wird CAPTURE GLOBAL WIN32 aktiviert. Bei der Ausführung von DebugView erfasst es die
Debug-Ausgabe der Module, für die der Registry-Schlüssel „DebugLevel“ festgelegt wurde. Das Fenster
„DebugView“ zeigt die gesamte Ausgabe an, die sich in einer Textdatei speichern lässt. Bei der Verwendung von
DebugView zur Untersuchung eines Fehlers wird es ausgeführt, bis der Fehler reproduziert werden kann.
Anschließend wird das Protokoll gespeichert. Das Protokoll kann anschließend für weitere manuelle Analysen
verwendet oder an unsere Supportmitarbeiter geschickt werden.
17
Bei 64-Bit-Systemen befindet sich der Schlüssel von G DATA in HKEY_LOCAL_MACHINE\Software\Wow6432Node\G DATA.
170
Abbildung 83: DebugView
Eine Ausnahme der allgemeinen Debug-Anweisungen ist die Gerätekontrolle (eines der Module von
PolicyManager). Da die Gerätekontrolle einen in die Tiefe gehenden Zugriff auf die Geräteeinstellungen von
Windows erfordert, sind zusätzliche Registry-Einstellungen notwendig, um das Debuggen zu ermöglichen. Dazu
muss im Registrierungs-Editor zum Schlüssel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GDDevCtrl navigiert bzw. der Schlüssel angelegt, falls
er noch nicht existiert. Anschließend wird der DWORD-Wert DebugLevel mit dem Wert 5 hinzugefügt. Daraufhin
wird zum Schlüssel „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Debug Print
Filter“ navigiert bzw. wird dieser angelegt, falls er noch nicht existiert. Es werden zwei neue DWORD-Werte
hinzugefügt: Default mit den Daten ffffffff (hexadezimal) und IHVDRIVER mit den Daten ffffffff (hexadezimal). Nun
wird DebugView als Administrator gestartet und die Option FORCE CARRIAGE RETURNS unter OPTIONS und CAPTURE KERNEL
sowie ENABLE VERBOSE KERNEL OUTPUT unter CAPTURE aktiviert. Anschließend werden der Client und DebugView neu
gestartet. Dadurch wird das Debuggen für die Gerätekontrolle aktiviert und es werden relevante Protokolle
geliefert, wenn das Problem erneut auftritt.
17.5.4. Security Client für Linux
Während seiner Laufzeit protokolliert G Data Security Client für Linux Debug-Informationen in verschiedenen
Protokolldateien. Die Protokolldateien befinden sich im Ordner „/var/log/gdata“. Avclient.log enthält DebugInformationen vom Daemon „gdavclientd“ (wie etwa Signatur-Updates). Die Debug-Informationen von
gdavserver werden in „Gdavserver.log“ protokolliert. Systeminfo.txt enthält Hardware-Informationen, die dem
ManagementServer gemeldet werden.
17.6.
Deinstallation
G Data ManagementServer und G Data MailSecurity lassen sich mithilfe des Deinstallationsassistenten
(SYSTEMSTEUERUNG > PROGRAMME HINZUFÜGEN/ENTFERNEN) mühelos deinstallieren. Für andere Komponenten kann die
Deinstallation per Fernzugriff genutzt werden. G Data Security Client lässt sich beispielsweise mit dem Modul
CLIENTS von G Data Administrator deinstallieren. Die G Data Firewall kann mithilfe des Moduls FIREWALL von den
Clients entfernt werden. Bei der Verwendung von einem oder mehreren Subnet-Servern kann mit der Funktion
SERVERVERWALTUNG eine Remote-Deinstallation eingeleitet werden.
G Data ManagementServer kann mithilfe einer Eingabeaufforderung lokal deinstalliert werden. Das ist besonders
praktisch für Subnet-Server, auf die kein Fernzugriff mehr möglich ist. Auf dem betroffenen Server wir dazu die
171
Eingabeaufforderung mit Administratorberechtigungen geöffnet und zum Installationsordner von G Data
ManagementServer (typischerweise C:\Programme (x86)\G DATA\G DATA AntiVirus ManagementServer) navigiert.
Anschließend wird der Befehl cuninstmms /uninst ausgeführt. Dadurch wird der Hintergrunddienst von
ManagementServer geschlossen und der Deinstallationsassistent für G Data ManagementServer gestartet. Nach
der Bestätigung, ob Datenbankinhalte beibehalten oder entfernt werden sollen, deinstalliert der Assistent G Data
ManagementServer im Hintergrund.
G Data Security Client kann (unter Windows und Linux) per Fernzugriff deinstalliert werden, indem der
entsprechende Client in G Data Administrator ausgewählt und die Option G DATA SECURITY CLIENT DEINSTALLIEREN genutzt
wird. Ebenso wie ManagementServer kann auch G Data Security Client lokal deinstalliert werden. Dazu wird die
Eingabeaufforderung mit Administratorberechtigungen geöffnet und zu C:\Programme (x86)\G DATA\AVKClient
navigiert. Nun wird der Befehl unclient /AVKUninst eingegeben, um den Vorgang zu starten, der im Hintergrund
läuft und je nach Client-Leistung bis zu zehn Minuten dauern kann. Der Client muss anschließend neu gestartet
werden. G Data Security Client für Linux kann mit dem Skript „gdata_uninstall.sh“ (üblicherweise unter
/usr/sbin/gdata_uninstall.sh) lokal deinstalliert werden. Das Skript entfernt alle installierten Pakete,
Programmdateien, temporäre Dateien, Konfigurationsdateien und Protokolldateien (außer
/var/log/gdata_uninstall.log).
Bei der lokalen Deinstallation eines Subnet-Servers oder von Security Client werden zugehörige Daten in der
ManagementServer-Datenbank nicht automatisch entfernt. Inaktive Subnet-Server müssen unbedingt mit der
Funktion SERVERVERWALTUNG entfernt werden. Inaktive Clients können im Client-Verwaltungsbereich gelöscht
werden.
17.7.
Deinstallationsbereinigung
Alle Software-Komponenten von G Data lassen sich mit einfachen Tools deinstallieren (siehe Abschnitt 17.6).
Wenn der Deinstallationsvorgang aber nicht vollständig durchgeführt wird, können zukünftige Installationen
aufgrund von temporären Registry-Schlüsseln oder -Dateien fehlschlagen. Um sicherzugehen, dass keine Reste
zurückbleiben, kann das Tool „AV-Cleaner“ ausgeführt werden. AV-Cleaner steht auf der Website
https://secure.gd/ukdls zur Verfügung. Es sollte direkt auf dem betroffenen Client oder Server ausgeführt werden,
nachdem der reguläre Deinstallationsvorgang abgeschlossen ist.
Nach seiner Ausführung sammelt AV-Cleaner Informationen über Dateien, Dienste, Registry-Schlüssel und andere
Objekte mit einem Bezug zu G Data und zeigt sie in einer Liste an. Dateien und Schlüssel können einzeln gelöscht
oder alle auf einmal ausgewählt werden, um alles zu bereinigen. Nach der Entfernung muss der Computer neu
gestartet und AV-Cleaner erneut ausgeführt werden, um sicherzugehen, dass keine Spuren zurück geblieben sind.
Der Neustart und die Bereinigung mit AV-Cleaner werden wiederholt, bis keine Spuren mehr vorhanden sind.
Abbildung 84: AV-Cleaner
172
Es muss beachtet werden, dass AV-Cleaner die gesamte Software von G Data komplett entfernt. Das bedeutet,
dass bei der Entfernung der G Data Software von einem Computer, auf dem eine andere G Data Software installiert
wurde, besonders vorsichtig vorgegangen werden muss. Wenn beispielsweise G Data Security Client von einem
Computer entfernt wird, auf dem auch G Data ManagementServer installiert ist, muss unbedingt die reguläre
Deinstallationsmethode verwendet werden, um zu verhindern, dass AV-Cleaner Komponenten von
ManagementServer entfernt.
173
Akronyme
AD
API
APK
AV
BCC
BIOS
CC
CPU
CVE
DMZ
DNS
ERP
EULA
FTP
GPS
HIPS
HTTP
IIS
IM
IMAP
IT
JS
MD5
MMS
MX
OE
PC
POP3
F&E
RAM
RBL
SD
SIM
KMU
SMS
SMTP
SP
SQL
SSID
SSL
TCP/IP
UAC
UDP
UNC
URL
UTF-8
VBS
WAN
WCF
WLAN
XML
174
Active Directory
Programmierschnittstelle
Anwendungspaketdatei (Android)
AntiVirus
Blindkopie
Basic Input/Output System
Kopie
Prozessor
Common Vulnerabilities and Exposures
Entmilitarisierte Zone (Netzwerk)
Domain Name System
Enterprise-Resource-Planning
Endbenutzer-Lizenzvereinbarung
File Transfer Protocol
Global Positioning System
Host-based Intrusion Prevention System
Hypertext Transfer Protocol
Microsoft-Internetinformationsdienste
Instant Messaging
Internet Message Access Protocol
Informationstechnik
JavaScript
Message-Digest Algorithm 5
G Data ManagementServer
Mail Exchanger (Record)
Organisationseinheit
Personal Computer
Post Office Protocol Version 3
Forschung und Entwicklung
Random-Access Memory
Realtime-Blacklist
Secure Digital
Subscriber Identity Module
Kleine und mittlere Unternehmen
Short Message Service
Simple Mail Transfer Protocol
Service Pack
Structured Query Language
Service Set Identification
Secure Socket Layer
Transmission Control Protocol/Internet Protocol
User Account Control
User Datagram Protocol
Uniform Naming Convention
Uniform Resource Locator
Universal Character Set Transformation Format – 8 Bit
Visual Basic Script
Wide Area Network
Windows Communication Foundation
Wireless Local Area Network
Extensible Markup Language
Index
Index
Active Directory .......................................................................... 59
Aktivierung .................................................................................. 26
Alarmmeldungen....................................................................... 55
Anwendungsfilterung ........................................................... 120
Apps .............................................................................................. 96
Autostart ...................................................................................... 75
Backups ..................................................................................... 103
BankGuard ................................................................................... 73
Bereitstellung.............................................................................. 17
Berichte ........................................................................................ 53
Client-Rolle .................................................................................... 7
Clients ........................................................................................... 58
Bereitstellung ........................................................................ 35
Fehlerbehebung .............................................................. 39
Installationspaket............................................................ 38
Lokale Installation ........................................................... 37
Remote-Installation ........................................................ 36
Entfernen ................................................................................ 66
Fehlerbehebung ................................................................... 39
Linux-Clients .......................................................................... 40
Verwaltung ............................................................................ 58
Dashboard ................................................................................... 51
Entschärfung ............................................................................... 87
Firewall ...................................................................................... 112
Regelsätze ........................................................................... 114
Gerätekontrolle ....................................................................... 123
Gruppen ....................................................................................... 58
Internetnutzungszeit ............................................................. 126
Konfiguration .............................................................................. 26
Browser ................................................................................... 46
Desktop-Anwendung .......................................................... 45
Konfigurationsdateien ..................................................... 158
Konfigurationstools .......................................................... 160
MasterAdmin ......................................................................... 49
Mobile ..................................................................................... 48
Leerlauf-Scan .............................................................................. 77
Leistung........................................................................................ 65
Lizenzierung ................................................................................ 15
Mailgruppen ............................................................................... 31
MailSecurity ........................................................................ 27, 134
Gateway ............................................................................... 138
Microsoft Exchange .................................................... 27, 134
Malware-Analyse ....................................................................... 90
Malware-Infektion ..................................................................... 87
Managed Endpoint Security.................................................... 23
ManagementServer................................................................... 18
MasterAdmin .............................................................................. 49
MobileDeviceManagement .....................................................93
Apps .........................................................................................96
Bereitstellung ........................................................................41
Richtlinien ..............................................................................95
Schutz ......................................................................................94
Netzwerkdiagramm .................................................................... 6
Netzwerkzone ............................................................................... 6
Online-Registrierung.................................................................33
Patch-Verwaltung ................................................................... 128
PolicyManager ......................................................................... 120
Portnummern .............................................................................29
Protokolle
Client .................................................................................... 173
Firewall ................................................................................. 117
Installation .......................................................................... 171
Server.................................................................................... 172
Quarantine ...................................................................................88
Lokale Analyse.................................................................... 168
ReportManager ..........................................................................55
Scan des Datenverkehrs ...........................................................68
Scan-Aufträge .............................................................................78
sekundärer ManagementServer.............................................21
Serverdatenbank ........................................................................26
Server-Datenbank
Backup und Wiederherstellung ........................................33
Migration ............................................................................. 162
Server-Einrichtungsassistent...................................................30
Sicherheitskomponenten ........................................................12
Spam-Filter
Security Client .......................................................................69
Statistik .........................................................................................51
Subnet-Server .............................................................................43
Synchronisation .........................................................................31
Systemanforderungen ..............................................................14
Update-Pfad ................................................................................28
Updates ........................................................................................59
Clients ......................................................................................60
Peer-to-Peer .....................................................................62
Planen ................................................................................60
Stufenweise Verteilung .................................................62
Verteilung .........................................................................61
Offline-Update ......................................................................61
Rollbacks .................................................................................63
Server.......................................................................................32
Verwaltung ..................................................................................26
Web-Filter ................................................................................. 124
175

Reference Guide Business Software

Transcription

Documents pareils

Come utilizzare il biglietto 5 Terre in Treno ( 923 KB )

Regular Expressions II

«Nous n`avions jamais généré autant de nouveaux clients comme

Administrator Servermanagement (w/m)

iPhone/iPad – iOS Mail – Konfigurationsanleitung

HANDBUCH zu Personal FTP-Server und

Conditions générales de vente

Hotel Schlafgut *** Superior Komfort

gotomaxx PDFMAILER 5 Datenblatt - ISP*D International Software

Allgemeine Lieferungs- und Zahlungsbedingungen

dossier de presse_Partenariat POST-Raiffeisen.indd

Webkalender, Groupwarelösung basierend auf Open Source Software