Microsoft lässt Sicherheits-Tools kommunizieren

Werbung
ITMAGAZINE
Microsoft lässt Sicherheits-Tools kommunizieren
von Michel Vogel
3. Februar 2009 - Microsoft krempelt seine Security Suite Forefront komplett um. «Stirling» heisst die Zukunft
und wird die Produkte miteinander interagieren und zentral verwalten lassen. Seit ein paar Jahren versucht sich auch Microsoft im Markt für Sicherheitssoftware für Unternehmen. Aus
diversen Übernahmen von kleineren, spezialisierten Firmen entstand Stück um Stück eine ganze Palette an
Lösungen. Heute besteht Forefront, unter welchem Begriff das Sicherheitsportfolio zusammengefasst wird, total
aus drei primären Produktekategorien. Forefront Client Security ist, wie der Name schon sagt, das traditionelle Antiviren- und Antispam-Produkt und
für den Schutz auf den Endpoints zuständig. Es wurde selbst entwickelt. Auf den Servern schützen Forefront for
SharePoint und Forefront for Exchange die Massaging- und Collaboration-Tools und überwachen deren Inhalte
auf Malware. Diese Technologien hat sich Microsoft vor einigen Jahren durch die Übernahme der Firma Sybari
und ihre Antigen-Produkte angeeignet. Die dritte Stelle, an der Microsofts Sicherheits-Suite anpackt, ist der
Network Edge. Hier kommen die «Applikations-Firewall» Internet Security and Acceleration Server (ISA) und
der Intelligent Access Gateway (IAG) zum Einsatz.
Microsoft hat also eine ganze Menge an Sicherheitslösungen, die alle schön in einer Suite zusammengefasst sind.
Allerdings lässt die Zusammenarbeit zwischen den Produkten, wie sie beispielsweise in der Office-Suite
hervorragend funktioniert, zu wünschen übrig. So verfügen die einzelnen Produkte kaum über Schnittstellen
zueinander und haben beispielsweise alle eine eigene Management-Konsole, was einen hohen Aufwand für die
Administration ergibt. Ausserdem ergeben sich verpasste Chancen bei der Bekämpfung von
Sicherheitsproblemen. Nur die Benutzerverwaltung der Sicherheits-Softwares erfolgt derzeit übergreifend sowie
zentral und zwar durch das Active Directory (AD). Diese Umstände, die durch einen bisher fragmentierten
Sicherheitsansatz und die getrennte Entwicklung in verschiedenen Firmen/Abteilungen entstanden, geht
Microsoft nun an. Das Ziel: Ein integriertes Sicherheitssystem mit einer Management-Konsole. Der Codename für
dieses Projekt: «Stirling».
Zentrales Sicherheitsmanagement
Aktuell und noch bis Ende März kann man Microsofts komplett überarbeitete Security Suite Forefront «Stirling»
testen. Die Beta steht nun seit rund einem Jahr bereit; das fertige Produkt soll noch im ersten Halbjahr 2009
erscheinen. Seit längerem ist es jedoch still geworden um «Stirling». Im Hinblick aber auf den immer noch
demnächst geplanten Release, werfen wir einen genaueren Blick darauf.
«Stirling» ist natürlich dazu gebaut und entwickelt worden, um bestmöglich in der Microsoft-Infrastruktur zu
laufen und mit ihr zu interagieren. Das Sicherheits-Management-System ist aufgebaut auf dem System Center
Operations Manager 2007 und dem SQL Server. Das Verteilen der Signaturen und Agenten ist dafür optimiert,
mit den Windows Server Update Services und dem System Center Configuration Manager zusammenzuarbeiten.
Ausserdem kann «Stirling» auf existierende Gruppen aus der Active Dircetory (AD) zurückgreifen, um Policies
durchzusetzen. Weiter besteht eine enge Zusammenarbeit zur Network Access Protection (NAP). «Stirling»
greift für Signaturupdates und weitere sicherheitsrelevante Daten auf das Malware Protection Center von
Microsoft zurück.
Microsoft hat in der nächsten Generation von Forefront die einzelnen Produkte auf den neusten Stand gebracht.
Sie sollen nun schneller und ressourcenschonender arbeiten. Das bisher als ISA bekannte
Network-Edge-Sicherheitstool wird ausgebaut zum Forefront Threat Management Gateway (TMG). Dieser soll
jeglichen Datenverkehr überwachen. Andererseits hat man den Support für Windows Server 2008 und die
Unterstützung für 64-Bit-Betriebssysteme angekündigt. Das eigentliche Herzstück von «Stirling» sind aber ein
Stirling-Server und die dazugehörige, bereits erwähnte einheitliche Managementkonsole. Sie löst einerseits die
verschiedenen separat vorhandenen Lösungen ab und verbindet andererseits die einzelnen Produkte
untereinander.
In der neuen Konsole lassen sich alle administrativen Funktionen für die vorhandenen Endpoints, Messagingund Collaboration-Server und Netzwerk-Edges vornehmen. Das sind zum einen Konfigurations- oder
Signatur-updates. Zum anderen bietet die Konsole eine Reporting- und Alarm-Funktion. Administriert wird sie
rollenbasiert, das heisst verschiedene IT-Professionals können unterschiedliche Teile der
Sicherheitsinfrastruktur selber verwalten. Mit der Stirling-Konsole lassen sich auch Policies definieren und
managen.
Informationsaustausch ermöglicht automatische Problembehandlung
Das eigentlich Key-Feature von «Stirling» heisst- «Dynamic Response» und ist Teil der Konsole. Das gesamte
Sicherheitssystem, also alle Forefront-Produkte, können untereinander Sicherheitsinformationen austauschen
und dynamisch auf Bedrohungen reagieren. Ein Beispiel, wie so eine Zusammenarbeit aussehen könnte: Nehmen
wir einmal an, auf dem PC eines Angestellten nistet sich ein Trojaner ein. Dieser versucht nun sich weiter zu
verschicken und baut dazu mehrere, verdächtige Verbindungen ins Internet auf. Diese werden vom Forefront
Threat Management Gateway (TMG) erkannt. Dieser gibt die Info, dass da was nicht stimmt, an Forefront Client
Security weiter und löst damit auf dem Client, von wo aus die Internetverbindungen erfolgen, einen Scan nach
Malware aus. Ausserdem geht der Report des TMG an die Network Access Protection (NAP) und löst dort eine
Blockierung oder Einschränkung des Internetverkehrs aus.
Wie das Beispiel zeigt, soll mit «Stirling» alles automatisch ablaufen, es wird kein administrativer Aufwand
benötigt. Im aktuellen Forefront und anderen herkömmlichen, fragmentiert arbeitenden Lösungen, muss die
Arbeit für die Kommunikation zwischen den einzelnen Stellen ein Administrator übernehmen. Das verlängert die
Reaktionszeit bei einem Schadensfall und schlägt auch negativ auf die Kosten.
Ein weiteres Herzstück der neuen Managementkonsole ist das «Dashboard». Hier wird «Stirling» in Echtzeit
Daten und Informationen aus der gesamten IT-Umgebung zusammenfassen und anzeigen. Damit erhält man
einen schnellen Überblick über den Sicherheitszustand des gesamten Systems. Auch alte Daten und Prognosen
lassen sich damit anzeigen beziehungsweise generieren. Dazu greift «Stirling» auf die Reporting Services des
SQL-Server zurück. Das Dashboard soll aber noch mehr können: Es bietet laut Microsoft dank Hyperlinks die
Möglichkeit für Recherchen bis auf den betroffenen Rechner oder das Gerät, bei dem das Problem liegt. Dort
angelangt, lässt sich der Vorfall dann direkt beheben.
Fazit
Die Ansätze von Forefront «Stirling» sind nicht neu; andere Security-Hersteller arbeiten gegenwärtig an
ähnlichen Lösungen oder haben bereits solche im Angebot. Dieser Art von zusammenarbeitenden
Sicherheitslösungen gehört bestimmt die Zukunft. Wenn «Stirling» im ersten Halbjahr 2009 erscheint, wird es
insbesondere für Unternehmen mit grosser Microsoft-Umgebung interessant sein. Es ist allerdings der erste
Versuch, die Sicherheitsproblematik zentralisiert zu lösen. Man darf deshalb gespannt sein auf das fertige
Produkt und wie es sich im produktiven Einsatz bewährt.
Copyright by Swiss IT Media 2017 
Herunterladen