Zentrale Virenschutzkontrolle im Zuge eines Security-Konzepts für die IBS AG, Standort Höhr-Grenzhausen / WW

Inhaltsverzeichnis

1 Problemstellung

2 Zieldefinition
2.1 Gesamtprojekt
2.2 Teilprojekt
2.3 Änderung zum Projektantrag

3 Projektplanung
3.1 Ist-Analyse
3.2 Soll-Konzept

4 Projektvorbereitung
4.1 Anforderungen an die Software / Definition der Testkriterien
4.2 Planung der Installation in Absprache mit dem EDV-Leiter

5 Installationsphase
5.1 Installation der Server-Komponenten
5.2 Installation der Konsole
5.3 Einbinden der Clients
5.4 Herstellen der Client-Server-Kommunikation
5.4.1 „Push-Installation“ des Agenten
5.4.2 Ausbringung der Virenschutz-Software auf die Clients

6 Testphase
6.1 Überwachung der Clients
6.2 Taskplanung zur Aktualisierung
6.3 Die Auswertung mit Hilfe von Reports
6.4 Datenbank-Auswertungen mit vordefinierten Abfragen

7 Projektablauf
7.1 Zeitvergleich Soll / Ist

8 Alternativen

9 Fazit

Anhang A (Screenshots)

Anhang B (Update-Protokoll)

1 Problemstellung

Die IT-Sicherheit bei der IBS AG im Bezug auf Zugriffs- und Zugangskontrolle sowie Virenschutz, aber auch Internet-Security in form von Patches und Updates (IE / IIS etc.) soll im Zuge eines neuen Konzepts verbessert und optimiert werden. Für Benutzer der Gruppen Entwicklung, Projektleitung aber auch Vertrieb ist es unerlässlich, als lokaler Administrator auf dem eigenen Firmenrechner zu fungieren. Damit besteht das Risiko der Manipulation der Virenschutzsoftware durch den Benutzer. Außerdem besteht für diese Mitarbeiter die Möglichkeit, Fremdsoftware und Messanger eigenständig zu installieren. Diesem Problem liegt von Seiten des Anwendersupports bisher noch kein Konzept vor. Daher muss ein einheitliches, zentral verwaltetes Konzept geschaffen werden, um einen unsachgemäßen Umgang mit Firmen-PCs und Firmendaten und damit das Risiko von Sicherheitslücken auszuschließen.

2 Zieldefinition

2.1 Gesamtprojekt

Das Ziel des Gesamtprojekts besteht darin, ein umfassendes Sicherheitskonzept für die IBS AG zu entwickeln und dessen Anforderungen nach und nach zu realisieren. Dies reicht von der Sicherstellung des Datenschutzes und der Datensicherheit über ein zentrales Netzwerkmanagement wie z.B. Softwareverteilung, Virenschutz und Internetsicherheit bis hin zur Kontrolle des Mitarbeiterverhaltens (z.B. Logging der Internet-Zugriffe etc.).

Teile dieses Projektes wie z.B. die Einwahl ins IBS-Netz mittels Global-DialIn der Telekom, bei der der Zugriff über eine Secure ID Card geregelt wird, befinden sich bereits in der Realisierung.

Dabei soll der Arbeitsaufwand für die EDV verringert und das Risiko von Manipulation durch Benutzer erheblich eingedämmt werden. Supportanfragen können dann schnell und unkompliziert aus der Abteilung bearbeitet werden und Sicherheitslücken schnell lokalisiert und behoben werden.

2.2 Teilprojekt

Mein Arbeitsauftrag besteht in der Implementierung der Software „e Policy Orchestrator“ der Firma Network Associates, mit deren Hilfe sich die Verwaltung des Virenschutzes in einem Unternehmensnetzwerk erheblich vereinfachen lässt.

Die Software unterstützt hierbei die Überwachung aller Clients im gesamten Netz, die zentrale Verteilung neuer Virenschutzsoftware, Scan-Module und Virendefinitionen und erlaubt die Erstellung von Reports und Warnmeldungen im Falle von entdeckten Viren. Dies gilt gleichermaßen für Microsoft- wie auch NetWare- und Linux-basierte Clients.

2.3 Änderung zum Projektantrag

Auf Grund des großen Umfangs der Software und des fehlenden „echten“ Lastenheftes wurde das geplante Pflichtenheft als Spezifikation im Punkt 4.1 dargestellt. Die Erstellung eines separaten Pflichtenheftes wäre auch auf Grund des engen Zeitrahmens bei der Projektvorgabe sowie des Ablaufs der Testversion der verwendeten Software kaum zu realisieren gewesen. Wir haben uns daher auf eine kurze Formulierung der Anforderungen gestützt, um mehr Zeit in den eigentlichen Test der Software investieren zu können.

3 Projektplanung

3.1 Ist-Analyse

Bei der Analyse der momentan installierten Virenschutzsoftware und den dabei verwendeten Scan-Modulen und Virendefinitionen wurde festgestellt, dass teilweise veraltete Versionen von Software installiert waren, größtenteils jedoch die Virendefinitionen auf keinem aktuellen Stand waren. Da die Rechner bei der Installation mit einem fertigen Image versehen werden, gibt es keine Voreinstellung zum automatischen Update bzw. Upgrade im Virenscanner.

Auffällig ist diese Fahrlässigkeit im Bereich der Verwaltung wie z.B. bei den Rechnern der Sekretariate oder der Buchhaltung. Server, welche ja von der EDV selbst verwaltet und gepflegt werden, werden durch ein eingestelltes autom. Update jede Nacht auf den neuesten Stand gebracht und weisen daher beste Aktualität auf.

Da jedoch auch alle Clients im Haus auf einem aktuellen Stand sein müssen, bevor ein Virus ins System eindringen kann, bedeutet das für die EDV einen unverhältnismäßig hohen Verwaltungsaufwand und eine hohe personelle Belastung.

3.2 Soll-Konzept

Es soll eine Software implementiert werden, welche die Überwachung der Aktualität der Virenschutzsoftware und ihrer Virendefinitionen im Netz der IBS gewährleistet. Dazu gehören sowohl betriebssystemübergreifende Funktionalität wie auch planbare Aktivitäten, um evtl. Aktionen nicht ausschließlich manuell durchführen zu müssen.

Außerdem sollte sich die Anwendung leicht bedienen lassen und nach Möglichkeit eine Administration von verschiedenen Arbeitsplätzen der EDV erlauben.

4 Projektvorbereitung

4.1 Anforderungen an die Software / Definition der Testkriterien

Die Anforderungen an die zu installierende Software gestalten sich wie folgt:

- Einfache Einbindung in das bestehende Netzwerk
- Installation und Betrieb der Client-Agents im Hintergrund
- Betriebssystemübergreifende Kompatibilität sowohl im Server-, als auch im Client-Bereich
- Update-Ausbringung und Installation „auf Knopfdruck“
- Bestätigung nach erfolgreicher Installation
- Leicht bedienbare Benutzeroberfläche
- Gutes Preis / Leistungsverhältnis

Getestet werden sollen dabei die folgenden Funktionen und Fähigkeiten des Programms:

- Verteilung bzw. Aktualisierung der Agents, der Virensoftware und der Virendefinitionen
- Planbare Upgrades und Updates der Virensoftware und der Scan-Module
- Übersicht über die eingebundenen Clients und deren aktuellem Status
- Auswertung der Probleme und entdeckten Viren in Form von Reports

4.2 Planung der Installation in Absprache mit dem EDV-Leiter

In Absprache mit dem EDV-Leiter wird ein Rechner mit dem Betriebssystem Windows 2000 Advanced Server installiert und in die bestehende Domäne eingebunden. Weiterhin wurde beschlossen, erste Installationen und Tests nur auf einigen wenigen Rechnern der EDV-Abteilung durchzuführen. Dies geschieht unter anderem in Absprache mit allen EDV-Mitarbeitern, um evtl. Probleme und Risiken sofort abwenden zu können.

Nach erfolgreicher Installation der Serversoftware und der Client-Agents sollen dann die verschiedenen Tests auf den Rechnern der EDV ausgeführt werden.

5 Installationsphase

5.1 Installation der Server-Komponenten

Als Basis dient ein HP-Vectra Rechner, ausgestattet mit einem PIII 733 MHz-Prozessor, 256 MB SDRAM und einer 10 GB-Festplatte. Auf diesem Gerät wird im ersten Schritt das Betriebssystem Windows 2000 Advanced Server mit Service Pack 2 installiert und dem Gerät eine feste IP-Adresse aus dem hauseigenen Pool zugewiesen.

Auf dem Server wird anschließend die Testversion der Software e Policy Orchestrator installiert. Dies geschieht in drei Schritten, da sich die aktuelle Version nicht direkt installieren lässt. Es muss also mit der Version 2.00 begonnen werden, welche dann über Updates auf 2.50 und anschließend 2.5.1 auf den aktuellen Stand gebracht wird. Außerdem gliedert sich ein und dieselbe Installationsweise in 2 Varianten auf: Die Serversoftware und die Konsole, mit der später von verschiedenen Clients auf den Server zugegriffen wird. Die Kommunikation mit der Konsole bzw. den Client-Agents wird über http realisiert. Dazu müssen bereits während der Installation des Servers die zur Kommunikation verwendeten Ports bestimmt werden. Wir entscheiden uns hier für den Port 8080 zur Agent-Kommunikation und den Port 8180 zur Konsolenkommunikation (Bild 5.1_a)

Abbildung in dieser Leseprobe nicht enthalten

Die Software liefert eine MSDE-Datenbank auf der Basis des SQL-Server dazu. Die Standard-Größe vom max. 2 GB genügt der 12-monatigen Speicherung der Daten aus ca. 10.000 Clients. In Anbetracht der Tatsache, dass bei der IBS AG ca. 100 Clients eingebunden werden sollen, also weit mehr als ausreichend (Bild 5.1_b).

Nach der Installation lässt sich die Software über die sogenannte e Policy Orchestrator Konsole aufrufen. Die Software bedient sich hier der MMC (Microsoft Management Console), welche mit Windows 2000 eingeführt wurde. Das bewahrt eine gute Übersichtlichkeit und komfortable Bedienbarkeit. Zudem erleichtert dies die Einbindung des e Policy Orchestrator als Snap-In in die Konsole der verwaltenden Clients. Dazu ist allerdings noch die Installation der Client-Konsole nötig (siehe Punkt 5.2)

Nach der Installation des ePO-Servers erscheint zunächst die Anmeldeoberfläche. Die ersten Benutzerdaten lauten „admin/admin“, müssen aber nach Anmeldung sofort geändert werden. Weiterhin können dann Benutzer mit verschiedenen Rechten angelegt werden, welche sich dann je nach Aufgabenbereich am ePO anmelden können (Bild 5.2_a). Nach der Anmeldung bezieht der Server die neuesten Updates bzw. Standortinformationen direkt und Online vom Network Associates Server.

[...]