tom's networking guide
 
Anzeige

Test Cynapspro Endpoint Data Protection 2011

Datensicherheit für's Unternehmensnetz

Installation

Alle Komponenten der Security-Suite von Cynapspro werden ? wie bereits angesprochen - über eine zentrale Konsole verwaltet und greifen auf eine gemeinsame Datenbank zu, die sämtliche Informationen vorhält. Der Hersteller empfiehlt als Datenbank den SQL Server Express von Microsoft. Wir hielten uns an diese Empfehlung und spielten die Version 2005 der genannten Datenbank auf einem Rechner ein, der unter Windows Server 2003 R2 mit Service Pack 2 in der 32-Bit-Version lief. Dieser Computer kam dann später ebenfalls zum Einsatz, um die Sicherheitstools und die zentrale Management-Konsole zum Laufen zu bringen.

An dieser Stelle ergibt es Sinn, kurz auf die Hard- und Software-Anforderungen der Sicherheitslösung einzugehen. Laut Hersteller läuft die Serverkomponente auf allen Windows-Betriebssystemen seit Windows 2000. Der dabei verwendete Rechner muss mindestens über 512 MByte RAM und 100 MByte Festplattenplatz verfügen. Was die Clientkomponente angeht, so arbeitet diese mit Windows 2000, Windows XP, Windows Vista und Windows 7 zusammen und benötigt 128 MByte RAM und fünf MByte Speicherplatz auf der HDD.

Beim Setup des SQL Servers Express sollten die Datendateien, die gemeinsamen Tools, die Konnektivitäts-Komponenten und das Management Studio Express eingespielt werden und bei der Authentifizierung empfiehlt es sich, den gemischten Modus zu wählen und ein Passwort für den sa-Benutzer zu vergeben. In diesem Zusammenhang ist positiv zu vermerken, dass neben der SQL-Datenbank keine weiteren Komponenten zum Betrieb der Endpoint Data Protection 2011 erforderlich sind. Folglich entstehen keine neuen Sicherheitslücken und keine versteckten Kosten.

Sobald die Datenbank läuft, kann es daran gehen, den Setup-Assistenten von DevicePro aufzurufen. Dieser möchte neben der Sprache und dem Installationspfad im Wesentlichen wissen, über welche Ports die Kommunikation mit den verwalteten Client-Systemen ablaufen soll. Standardmäßig handelt es sich dabei um die Ports 6005 und 6006, die folglich in der Firewall des Systems freigeschaltet sein müssen. Abgesehen davon unterstützt Cynapspro den Import von Benutzerdaten aus einem Active- oder einem E-Directory sowie aus einem Open-LDAP-Verzeichnis. Auf diese Weise müssen die IT-Verantwortlichen die User-Accounts nicht doppelt pflegen. Bei Bedarf ist es außerdem möglich, einen Verzeichnisdienst und die lokale Authentifizierungsfunktion der Sicherheitssuite zu mischen und so zusätzliche Konten für das Sicherheitswerkzeug zu erstellen, ohne dazu schreibend auf den Directory-Server zuzugreifen.

Während des Setups genügt es zum Vorbereiten der Verzeichnis-Synchronisation, der Software die Anmeldedaten eines Benutzerkontos mitzuteilen, dass das Recht hat, die relevanten Daten aus dem jeweiligen Verzeichnisdienst auszulesen. Die weitere Konfiguration der Verzeichnisdienst-Integration läuft dann im Betrieb über die Management-Konsole ab. Zum Schluss ist es noch erforderlich, im Setup-Wizard die Datenbankverbindung einzurichten (mit dem zuvor definierten sa-Passwort, das System richtet die Datenbank dann automatisch ein) und ein Supervisor-Passwort zu konfigurieren, mit dem Administratoren die Möglichkeit erhalten, auf alle Funktionen der Sicherheitssoftware zuzugreifen. Wurden alle Angaben gemacht, so läuft die Installation durch und auf dem Desktop des Rechners erscheint ein Icon zum Zugriff auf die Management-Konsole.

Erste Konfiguration

Nach dem Setup kann der Benutzer, der die Installation durchgeführt hat, das Verwaltungs-Werkzeug als Supervisor starten. Danach erscheint ein Willkommens-Bildschirm, der die vier Konfigurationsschritte verdeutlicht, die erforderlich sind, um die Software in Betrieb zu nehmen. Administratoren erhalten also ? ähnlich wie bei neueren Windows-Servern ? nach dem Setup eine To-Do-Liste, die sie lediglich abarbeiten müssen, um die Grund-Konfiguration durchzuführen. Wir halten diesen Ansatz für sehr gelungen, da dabei praktisch nichts schiefgehen kann.

Der erste Konfigurationsschritt dient dazu, die Standardbenutzer-Rechte festzulegen, die ein neues Benutzerkonto erhält, sobald es in der Cynapspro-Umgebung erscheint. In der Standard-Einstellung erhalten an dieser Stelle alle User alle Rechte, deswegen wird es in den meisten Umgebungen sinnvoll sein, die Standardrechte so einzuschränken, dass wirklich nur Zugriff auf die unbedingt benötigten Komponenten besteht.

Im nächsten Schritt führen die IT-Mitarbeiter eine Synchronisation mit dem im LAN vorhandenen Verzeichnisdienst durch (bei uns war das das Active Directory auf einem Server unter Windows Server 2008 R2). Auf diese Weise machen sie der Lösung von Cynapspro die vorhandenen Benutzerkonten bekannt und diese erhalten gleich die eben definierten Standardbenutzer-Rechte.

Nachdem die Benutzerkonten im System vorhanden sind, geht es daran, die Rechte einzelner User an die Sicherheits-Anforderungen im Unternehmen anzupassen. Beispielsweise ist es oft sinnvoll, bestimmten Anwendern Zugriff auf optische Speichermedien oder ähnliches zu geben.

Sobald alle Benutzerrechte den Vorstellungen der Administratoren entsprechen, generieren die zuständigen Mitarbeiter im letzten Schritt eine MSI-Datei, mit der sich der Agent der Sicherheitssuite auf den verwalteten Rechnern installieren lässt. Hierbei gibt es unter anderem die Option, das Tray-Icon des Agenten auf den Clients zu verstecken, so dass die User die Software überhaupt nicht zu Gesicht bekommen. Abgesehen davon sind die IT-Verantwortlichen dazu in der Lage, das Stoppen des Sicherheitsdienstes durch den lokalen Administrator auf den Clients zu unterbinden (was in den meisten Fällen sinnvoll sein dürfte) und ein Passwort zu definieren, das ein Administrator vor dem Entfernen des Agenten von einem verwalteten System eingeben muss. Last but not Least besteht noch die Option, Benutzerrechte und Freigaben mit in die Installationsdatei zu integrieren. Nach dem Abschluss der dazugehörigen Konfiguration erstellt die Verwaltungs-Konsole dann MSI-Files für 32- und 64-Bit-Windows-Systeme, die sich anschließend im Netzwerk verteilen lassen. Gleichzeitig erzeugt sie Skripts zum manuellen Installieren, Deinstallieren und Aktualisieren des Agenten.

Im Test spielten wir den Agenten zunächst auf einem 64-Bit-System unter Windows 7 und dann auf einem 32-Bit Windows-XP-Rechner mit Service Pack 3 ein. Dabei kam es zu keinen Überraschungen und wir verfügten anschließend über eine einsatzbereite Umgebung.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige