Network Access Control (NAC)

Für die Netzzugangskontrolle ist ein softwarebasierender DHCP-Server erforderlich. Darauf ist ein Plug-in von Sophos einzurichten, das dann mit dem Sophos-Agenten auf dem Client kooperiert. Fordert dieser beim Start eine IP-Adresse an, kontrolliert Sophos Endpoint Security and Control die Einhaltung der NAC-Vorgaben. Dazu zählt etwa eine Überprüfung der aktuellen Virensignaturen, der Existenz der Firewall, der Betriebssystem-Version mit der Einstellung zum automatischen Update oder den Service-Packs. Anhand der Ergebnisse dieses Checks wird der Benutzer einer DHCP-Benutzerklasse zugeordnet. Je nach Benutzerklasse erhält der Anwender dann Zugriff auf die zentralen Netzdienste - oder dieser Zugang wird eingeschränkt. Sophos unterstützt mit NAC alle aktuellen Windows-Betriebssysteme von Version 2000 bis Vista.

+ Schlüssige Funktionsweise erlaubt flüssiges Arbeiten;

+ mehrere Sicherheitsfunktionen gebündelt;

+ Dashboard gewährt schnelle Übersicht.

- Sicherheitsmeldungen manchmal irreführend.

Der Bereich Applikationskontrolle ermöglicht die Definition erlaubter beziehungsweise unerlaubter Anwendungen. Sophos hat die wichtigsten Applikationsgruppen - darunter auch E-Mail-Clients, Instant Messaging oder Spiele - bereits definiert. Welche Applikationen zu sperren oder zu gestatten sind, bestimmt der Anwender durch eine einfache Auswahl. Im Test erprobten wir diese Funktion mit mehreren Anwendungen. Nach der Verteilung der Richtlinien auf die Zielsysteme wurden die jeweiligen Applikationen auf den verwalteten Systemen korrekt blockiert.

Etwas irritiert waren wir allerdings, als sich nach dem Aufruf der Windows-Systemdienste auf einem verwalteten XP-Client der Sophos-Virenscanner mit dem Hinweis auf einen Angreifer meldete. Die Meldung lautete: "Datei C:\WINDOWS\SYSTEM32\SPIDER.EXE von Controlled Application MS Windows Games (Typ Game) wurde erkannt". Im Test hatten wir zwar alle vordefinierten Spiele blockiert - die Anzeige der Windows-Dienste in der Systemsteuerung war jedoch sicher nicht darunter. Um die Situation zu klären, kontaktierten wir den Hersteller. Das Verhalten der Sophos-Sicherheitssoftware erwies sich als korrekt: Zur Anzeige der Windows-Dienste wird das Verzeichnis C:\WINDOWS\SYSTEM32 gelesen, in dem sich mit "SPIDER.EXE" auch ein Spiel befindet. Es wurde von Sophos erkannt, obgleich es in diesem Moment nicht gestartet wurde. Nachdem die Erlaubnis erteilt wurde, das Spiel auf dem Client auszuführen, ließen sich auch die Dienste wieder anzeigen.

Dennoch sollte die Meldung der Sicherheitssoftware an dieser Stelle etwas klarer sein - zumal sie dem Anwender präsentiert wird. Verwirrend ist auch, dass das Modul Anti-Virus und nicht etwa der Applikation-Blocker die Meldung präsentierte. Ein Hinweis, dass die Anwendung blockiert wurde, erfolgte nicht. Dieses Beispiel verdeutlicht aber auch die Problematik mit den Sicherheitseinstellungen im Allgemeinen: Für den Administrator (und erst recht für den Endnutzer) ist häufig nicht nachvollziehbar, was im System genau passiert. Dazu ist wohl eine Lernphase - bisweilen mit blindem Vertrauen - notwendig.

Sophos liefert mit der Sophos Endpoint Security and Control 8.0 eine Lösung zur Endgeräteüberwachung. Die integrierten Funktionen umfassen die wichtigsten Sicherheitsbausteine. Funktionsweise und Bedienung sind schlüssig - etwas mehr Klarheit hinsichtlich der Meldungen und Hinweise wäre allerdings wünschenswert. Wer selbst testen möchte, kann eine zeitlich begrenzte Version von der Website des Herstellers beziehen. (kf)

(COMPUTERWOCHE)