Microsoft lässt Sicherheits-Tools kommunizieren

Seit ein paar Jahren versucht sich auch Microsoft im Markt für Sicherheitssoftware für Unternehmen. Aus diversen Übernahmen von kleineren, spezialisierten Firmen entstand Stück um Stück eine ganze Palette an Lösungen. Heute besteht Forefront, unter welchem Begriff das Sicherheitsportfolio zusammengefasst wird, total aus drei primären Produktekategorien.

Forefront Client Security ist, wie der Name schon sagt, das traditionelle Antiviren- und Antispam-Produkt und für den Schutz auf den Endpoints zuständig. Es wurde selbst entwickelt. Auf den Servern schützen Forefront for SharePoint und Forefront for Exchange die Massaging- und Collaboration-Tools und überwachen deren Inhalte auf Malware. Diese Technologien hat sich Microsoft vor einigen Jahren durch die Übernahme der Firma Sybari und ihre Antigen-Produkte angeeignet. Die dritte Stelle, an der Microsofts Sicherheits-Suite anpackt, ist der Network Edge. Hier kommen die «Applikations-Firewall» Internet Security and Acceleration Server (ISA) und der Intelligent Access Gateway (IAG) zum Einsatz.

Microsoft hat also eine ganze Menge an Sicherheitslösungen, die alle schön in einer Suite zusammengefasst sind. Allerdings lässt die Zusammenarbeit zwischen den Produkten, wie sie beispielsweise in der Office-Suite hervorragend funktioniert, zu wünschen übrig. So verfügen die einzelnen Produkte kaum über Schnittstellen zueinander und haben beispielsweise alle eine eigene Management-Konsole, was einen hohen Aufwand für die Administration ergibt. Ausserdem ergeben sich verpasste Chancen bei der Bekämpfung von Sicherheitsproblemen. Nur die Benutzerverwaltung der Sicherheits-Softwares erfolgt derzeit übergreifend sowie zentral und zwar durch das Active Directory (AD). Diese Umstände, die durch einen bisher fragmentierten Sicherheitsansatz und die getrennte Entwicklung in verschiedenen Firmen/Abteilungen entstanden, geht Microsoft nun an. Das Ziel: Ein integriertes Sicherheitssystem mit einer Management-Konsole. Der Codename für dieses Projekt: «Stirling».

Zentrales Sicherheitsmanagement
Aktuell und noch bis Ende März kann man Microsofts komplett überarbeitete Security Suite Forefront «Stirling» testen. Die Beta steht nun seit rund einem Jahr bereit; das fertige Produkt soll noch im ersten Halbjahr 2009 erscheinen. Seit längerem ist es jedoch still geworden um «Stirling». Im Hinblick aber auf den immer noch demnächst geplanten Release, werfen wir einen genaueren Blick darauf.

«Stirling» ist natürlich dazu gebaut und entwickelt worden, um bestmöglich in der Microsoft-Infrastruktur zu laufen und mit ihr zu interagieren. Das Sicherheits-Management-System ist aufgebaut auf dem System Center Operations Manager 2007 und dem SQL Server. Das Verteilen der Signaturen und Agenten ist dafür optimiert, mit den Windows Server Update Services und dem System Center Configuration Manager zusammenzuarbeiten. Ausserdem kann «Stirling» auf existierende Gruppen aus der Active Dircetory (AD) zurückgreifen, um Policies durchzusetzen. Weiter besteht eine enge Zusammenarbeit zur Network Access Protection (NAP). «Stirling» greift für Signaturupdates und weitere sicherheitsrelevante Daten auf das Malware Protection Center von Microsoft zurück.

Microsoft hat in der nächsten Generation von Forefront die einzelnen Produkte auf den neusten Stand gebracht. Sie sollen nun schneller und ressourcenschonender arbeiten. Das bisher als ISA bekannte Network-Edge-Sicherheitstool wird ausgebaut zum Forefront Threat Management Gateway (TMG). Dieser soll jeglichen Datenverkehr überwachen. Andererseits hat man den Support für Windows Server 2008 und die Unterstützung für 64-Bit-Betriebssysteme angekündigt. Das eigentliche Herzstück von «Stirling» sind aber ein Stirling-Server und die dazugehörige, bereits erwähnte einheitliche Managementkonsole. Sie löst einerseits die verschiedenen separat vorhandenen Lösungen ab und verbindet andererseits die einzelnen Produkte untereinander.

In der neuen Konsole lassen sich alle administrativen Funktionen für die vorhandenen Endpoints, Messaging- und Collaboration-Server und Netzwerk-Edges vornehmen. Das sind zum einen Konfigurations- oder Signatur-updates. Zum anderen bietet die Konsole eine Reporting- und Alarm-Funktion. Administriert wird sie rollenbasiert, das heisst verschiedene IT-Professionals können unterschiedliche Teile der Sicherheitsinfrastruktur selber verwalten. Mit der Stirling-Konsole lassen sich auch Policies definieren und managen.

Informationsaustausch ermöglicht automatische Problembehandlung
Das eigentlich Key-Feature von «Stirling» heisst- «Dynamic Response» und ist Teil der Konsole. Das gesamte Sicherheitssystem, also alle Forefront-Produkte, können untereinander Sicherheitsinformationen austauschen und dynamisch auf Bedrohungen reagieren. Ein Beispiel, wie so eine Zusammenarbeit aussehen könnte: Nehmen wir einmal an, auf dem PC eines Angestellten nistet sich ein Trojaner ein. Dieser versucht nun sich weiter zu verschicken und baut dazu mehrere, verdächtige Verbindungen ins Internet auf. Diese werden vom Forefront Threat Management Gateway (TMG) erkannt. Dieser gibt die Info, dass da was nicht stimmt, an Forefront Client Security weiter und löst damit auf dem Client, von wo aus die Internetverbindungen erfolgen, einen Scan nach Malware aus. Ausserdem geht der Report des TMG an die Network Access Protection (NAP) und löst dort eine Blockierung oder Einschränkung des Internetverkehrs aus.

Wie das Beispiel zeigt, soll mit «Stirling» alles automatisch ablaufen, es wird kein administrativer Aufwand benötigt. Im aktuellen Forefront und anderen herkömmlichen, fragmentiert arbeitenden Lösungen, muss die Arbeit für die Kommunikation zwischen den einzelnen Stellen ein Administrator übernehmen. Das verlängert die Reaktionszeit bei einem Schadensfall und schlägt auch negativ auf die Kosten.

Ein weiteres Herzstück der neuen Managementkonsole ist das «Dashboard». Hier wird «Stirling» in Echtzeit Daten und Informationen aus der gesamten IT-Umgebung zusammenfassen und anzeigen. Damit erhält man einen schnellen Überblick über den Sicherheitszustand des gesamten Systems. Auch alte Daten und Prognosen lassen sich damit anzeigen beziehungsweise generieren. Dazu greift «Stirling» auf die Reporting Services des SQL-Server zurück. Das Dashboard soll aber noch mehr können: Es bietet laut Microsoft dank Hyperlinks die Möglichkeit für Recherchen bis auf den betroffenen Rechner oder das Gerät, bei dem das Problem liegt. Dort angelangt, lässt sich der Vorfall dann direkt beheben.

Fazit
Die Ansätze von Forefront «Stirling» sind nicht neu; andere Security-Hersteller arbeiten gegenwärtig an ähnlichen Lösungen oder haben bereits solche im Angebot. Dieser Art von zusammenarbeitenden Sicherheitslösungen gehört bestimmt die Zukunft. Wenn «Stirling» im ersten Halbjahr 2009 erscheint, wird es insbesondere für Unternehmen mit grosser Microsoft-Umgebung interessant sein. Es ist allerdings der erste Versuch, die Sicherheitsproblematik zentralisiert zu lösen. Man darf deshalb gespannt sein auf das fertige Produkt und wie es sich im produktiven Einsatz bewährt.