Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.06.2005

Wanzenfrei mit Counterspy

Erik Török
Das Anti-Spyware-Werkzeug von Sunbelt Software ist auch für Firmen geeignet. Dennoch weist die Systemverwaltung kleine Macken auf, die den Betrieb in großen Netzen erschweren.

Seit 1999, als die ersten Spyware-Programme aufkamen, gibt es Tools, die auf dem PC des Anwenders nach den Spuren der Schädlinge suchen und diese entfernen. Zwei der bekanntesten Werkzeuge, "Ad-Aware" und "Spybot", sind für den Privatanwender sogar kostenlos. Mittlerweile hat sich Microsoft selbst in den Kampf gegen Spyware eingeschaltet und eine eigene, bislang ebenfalls kostenlose Lösung herausgebracht. Darüber hinaus existiert eine breite Palette von Anti-Spyware-Programmen, die alle mehr oder weniger erfolgreich versuchen, dem Anwender die Kontrolle über seinen PC zurückzugeben.

Schutz für Windows-Netze

Die meisten Lösungen taugen jedoch nicht für Unternehmen. Wo mehr als vier oder fünf PCs zu säubern und zu überwachen sind, müssen zentrale Kontrolle und ein ausführliches Reporting her - Funktionen, die "Counterspy Enterprise" von Sunbelt Software mitbringt.

Der zentrale Teil der Software läuft auf Windows-Servern ab Version 2000 SP3 und Windows-Workstations ab 2000 Professional SP2. Dort startet der Anwender eine Konsole, konfiguriert Agents, ordnet Richtlinien (Policies) zu und verteilt sie an die Arbeitsplätze. Counterspy unterstützt die Desktop-Betriebssysteme Windows 98SE, ME, NT4 SP6a, 2000 SP2 und XP Home oder Pro. Linux und Mac-Clients bleiben außen vor.

Anders als bei den angesprochenen Einzelplatzlösungen bleibt dem Administrator die Lauferei zu jedem einzelnen Arbeitsplatz erspart. Counterspy kann die gewünschten Maschinen aus dem Active Directory übernehmen, und zwar nicht nur einzeln, sondern die Einträge kompletter Organization Units (OUs). Danach startet automatisch ein Deployment-Wizard, der dem Administrator vier Wahlmöglichkeiten lässt. Der bequemste Weg führt über die Push/Pull-Installation. Dazu "schiebt" Counterspy einen Mini-Agent auf die gewünschten PCs und startet ihn dort. Der Agent holt den Rest seiner Programmteile vom Counterspy-Server und ist betriebsbereit. Voraussetzung: Es ist keine Firewall auf den PCs installiert, und die Ports 18082, 18083, 18085 und 18086 sind freigegeben. Die Ports lassen sich bei der Installation von Counterspy und danach über die Policies frei vergeben.

Neben der Push/Pull-Variante kann Counterspy drei verschiedene Installationspakete zusammenstellen und auf einem Netzlaufwerk ablegen. Das ist erstens eine standardmäßige .MSI-Datei sowie zweitens eine modernere Variante davon. Zudem gibt es drittens eine Transformationsdatei (.MST) kombiniert mit einer .EXE Datei, die am Windows-PC ausführbar ist. Damit kommen auch Rechner in den Genuss der Entwanzungskur, die nicht im Active Directory aufgenommen sind und lediglich Zugriff auf ein Netzlaufwerk haben.

Policy-Parameter fein justieren

Wer sein Netzwerk über Gruppenrichtlinien und Login-Scripte verwaltet, hat durch die Installationspakete volle Kontrolle darüber, wer wann welchen Agent ausführt. Gut gelöst hat Sunbelt die detaillierte Einstellung der Policy-Parameter. Neben regelmäßigen und getrennt einstellbaren Zeitpunkten für einen schnellen und einen gründlichen Scan kann der Verwalter bestimmte Ad- und Spyware-Programme ausnehmen. Ferner lassen sich Benachrichtigungen per E-Mail individuell einstellen. Besonders wichtig: Je nach Bedrohungsart sind abgestufte Reaktionen möglich. Die Bandbreite der unerwünschten Software reicht von Adware über Dialer, Browser-Hijacker, Active X Exploits bis hin zu Würmern. Die Bedrohung kann ignoriert, nur dokumentiert, betroffene Dateien können in Quarantäne geschoben oder gelöscht werden. Denkbar wäre, in der Policy für Server rigoros zu löschen, was gefunden wird.

So praktisch dies auch ist, beim Handling hat Sunbelt nicht an Administratoren gedacht, die einige Dutzend Policies konfigurieren wollen. Das Programm erlaubt keine Mehrfachauswahl, so dass jede der knapp 40 Bedrohungskategorien einzeln ausgewählt und einer Aktion zugeordnet werden muss. Das Kopieren einer Policy wurde nicht vorgesehen.

Die Management-Konsole ist simpel aufgebaut und selbsterklärend. Im linken Fensterbereich wählt man aus den Kategorien "System", "Policies", "Management" und "Reports" eine Aktion. Das rechte, zweigeteilte Fenster listet PCs und deren Details auf.

Dreh- und Angelpunkt der Konsole sind die Policies. Der Administrator trägt PCs ein und bestimmt, wie die Scanvorgänge ablaufen. Weil Counterspy keine Gruppen innerhalb der Policies kennt, wird es in großen Netzwerken schnell unübersichtlich. Nur 15 Einträge passen in das Fenster, wenn der Anwender sich die Details anzeigen lässt. Eine Suchfunktion könnte hier helfen, herauszufinden, ob für einen PC die Policy bereits gilt.

Dauer des Scans variiert

Den Scan kann der Benutzer für einen PC oder für eine komplette Richtlinie anstoßen. Statusmeldungen zeigen an, was gerade auf den Maschinen passiert. Allerdings erfolgt kein automatisches Update des Status, hierzu muss man "Refresh" klicken.

Die Dauer eines Scans hängt von der CPU-Leistung und der Auslastung der Arbeitsplätze ab: Eine schnelle Untersuchung endet nach zehn Sekunden, eine gründliche Begutachtung beansprucht zwischen zwei und zehn Minuten. Die Prozessorbelastung bleibt bei Computern mit "Pentium 4" (2,8 Gigahertz) mit durchschnittlich acht Prozent im Rahmen. Geräte, die mit "AMD Duron 700", wurden mit knapp 50 Prozent belastet.

Ergebnisse der Scans tauchen im Bereich "Management" auf, sind nach Agents geordnet oder werden in einer Quarantäneliste aufgeführt. Counterspy protokolliert jeden Scan-Vorgang. Der Anwender kann die Infektionshistorie eines PC gut verfolgen. Jedes gefundene Programm wird kategorisiert und detailliert beschrieben. Auf Wunsch bekommt der Nutzer weitere Informationen zum Schädling, die Sunbelt in einer zentralen Datenbank im Internet bereitstellt.

"Gute" Schädlinge erkennen

Die Erkennungsleistung im Test war beeindruckend: Auf PCs, die vorher mit Ad-Aware und Spybot geprüft und für gut befunden worden waren, fand Counterspy fast in jedem Fall noch weitere Schädlinge. Besonders interessant war, dass beim Aufspüren der Fernsteuersoftware "VNC" in allen Varianten Alarm geschlagen wurde. Zwar ist Gefahr nicht im Verzug, da Administratoren diese Tools bewusst installieren. Doch manchmal verbergen sich dahinter inoffizielle Zugänge.

Es ist kaum möglich, die Erkennungsrate eines Anti-Spyware-Programms zu belegen. Die Autoren von Ad- und Spyware verfeinern ihre Programme, und Anti-Spyware-Hersteller müs- sen ihre Produkte mit Updates rasch anpassen. Während des Tests aktualisierte Sunbelt die "Threat Database" mindestens alle fünf Tage.

Grokster installiert Müll

Für die Überprüfung der Erkennungsfunktionen wurde die beliebte Peer-to-Peer-Anwendung "Grokster" herangezogen. Grokster ist schon länger als Verbreiter von Adware bekannt. Seine Registry-Einträge lassen sich leicht dokumentieren, zum Beispiel mit dem Tool "Hijack This", das Änderungen in der Registry und dem Dateisystem vor und nach einer Programminstallation vergleicht. Trotz der vollmundigen Behauptung von Grokster, dass die Software nun drei Tage lang "Adware-free" nutzbar wäre, enthüllte und entfernte Counterspy 93 Einträge, darunter ein Browser-Plug-in des Online-Mediendistributors Altnet (http://www.altnet.com/). Hijack This fand heraus, dass das System danach fast genauso aussah wie vor der Installation von Grokster. Nach der Säuberung verblieben nur noch Grokster-Einträge in der Registry, die keine Auswirkungen hatten.

Bei kleinen Netzwerken ist es noch möglich, jeden einzelnen PC und seine Ergebnisse zu betrachten, sobald die Zahl der Rechner steigt, muss eine Reporting-Funktion diese Aufgabe übernehmen. Sunbelt integrierte "Crystal Reports" in Counterspy. Sieben Berichte sind vordefiniert, sie enthalten unter anderem ein "Executive Summary", infizierte Maschinen und mögliche Bedrohungen. Lobenswert: Die Berichte können am Bildschirm betrachtet und in den Formaten PDF, XLS und XLS nur mit Daten, Word und RTF gespeichert werden.

Der Counterspy Agent trägt sich wie jede andere Applikation auch in das "Software"-Applet von Windows ein. Dies gestattet es dem Nutzer, das Werkzeug problemlos zu entfernen - zu problemlos, möchte man sagen, denn ein Anwender, der trotz Verbots Ad- und Spyware-infizierte Programme nutzen will, kann, entsprechende Windows-Rechte vorausgesetzt, den Agent deinstallieren. Sollen mehrere PCs aus der Counterspy-Datenbank ausgetragen werden, stößt der Administrator diesen Vorgang am besten über die Konsole am Server an. (fn)