Seit geraumer Zeit bietet Securepoint neben der etablierten UTM und der UMA einen eigenen Virenschutz an.
Dieser wird zentral verwaltet, wobei auch lokale Einstellungen möglich sind und setzt auf die T3 Scan-Engine des österreichischen Herstellers Ikarus (Wikipedia), die ihres Zeichens regelmässig bei Tests (sehr) gut abschneidet und zudem bei vielen anderen Produkten weiterer Anbieter zum Einsatz kommt.
Allein schon aus dieser Kombination, gemeint ist Securepoint und Ikarus, heraus ergibt sich ein DSGVO- bzw. datenschutzfreundliches Produkt, was man nicht (mehr) von allen Akteuren am Markt behaupten kann.
Der Vertrieb erfolgt ausschließlich über Securepoint-Partner und ist nicht an eine UTM oder weitere Produkte gebunden! Die Lizenzen können sowohl mit Laufzeiten von ein, drei und fünf Jahren erworben oder im Rahmen eines MSP auf monatlicher Basis bezogen werden. Bei letzterem ist eine Mindestabnahme von 100 Stück sowie ein MSP-Vertrag zu beachten.
Lizenziert wird pro Gerät, also Client sowie Server, dies gilt auch für Terminalservern (aka Remote Desktop Session Host) und stellt gerade bei letztem einen echten Vorteil gegenüber der benutzerbezogenen Lizenzierung anderer Hersteller dar.
Erst-Kontakt
Zunächst muss im Dashboard der Kunde und die Lizenz vorhanden sein. Ein Self-Service, d.h. Kunden anlegen, Lizenzen bestellen ist über das Reseller-Portal oder den Innendienst möglich.
Neben dem bei der ersten Anmeldung erstellbaren Standard-Profil können im Dashboard unter dem Punkt “Konfigurationsprofile” weitere Profile angelegt, kopiert und voreingestellt werden. Über den Punkt “Gruppen” können die Konfigurationsprofile zugewiesen werden.
Securepoint empfiehlt mindestens eine Gruppe für Clients und eine für Server anzulegen und die Benachrichtigungen für veraltete Systeme auf drei (Server) und 28 (Clients) Tage zu setzen. Im Wiki des Anbieters ist alles notwendige und vieles mehr beschrieben.
Installation
Um für die jeweilige Installation das passende vorkonfigurierte Setup zu erhalten im Bereich “Lizenzen” beim entsprechenden Kunden oder im Bereich “Gruppen” auf das Download-Symbol klicken und das Paket seiner Wahl herunterladen.
Im Gegensatz zu manch anderem Produkt am Markt erhält man wahlweise ein Archiv, das Setup und Konfigurationsdatei enthält, nur die Konfigurationsdatei, eine vorkonfigurierte oder eine unkonfigurierte MSI-Datei. Sowohl das Archiv als auch die MSI-Datei enthalten ein vollständiges Setup, es wird also nicht erst ein Agent installiert und dann der Rest nachgezogen wie bei anderen Anbietern. Allerdings ist dieses Setup nicht immer ganz aktuell, so das bei der ersten Aktualisierung nach der Installation beispielsweise nicht nur die Signatur sondern auch die Scan-Engine ein Update erfahren.
Ein Neustart nach der Installation ist übrigens nicht notwendig. Die Installation kann manuell (mit oder ohne der Konfigurationsdatei) oder automatisiert (silent) stattfinden. Das Setup fällt mit ca. 52 MB erfreulich kompakt aus, ferner ist die Installation sehr schnell durchlaufen.
Konfiguration
Die Konfiguration kann vice-versa stattfinden, d.h. in der Regel wird via Dashboard ein Konfigurationsprofil erstellt und auf eine Gruppe angewendet. Man kann allerdings auch lokal einen Client konfigurieren und diese Einstellungen in das Konfigurationsprofil übertragen.
Selbst wenn etwas am Client lokal verändert wurde, wird dies im Dashboard angezeigt (Spalte “Status” mit den Werten “Synchron/Asynchron”) und die Änderung kann wieder überschrieben werden.
Generell empfiehlt sich im Konfigurationsprofil unter “Clientkonfiguration” ein Passwort zu setzen, damit der Anwender die Einstellungen nicht einfach so verändern kann. Leider wird dieses Passwort oder ein Hash davon nicht gespeichert, so das man dieses jedes Mal neu eingeben muss.
Der erste Scan
Leider gibt es noch keine Möglichkeit, aus dem Dashboard heraus einen ad-hoc Scan starten zu können, dies geht nur lokal am Client. Auf dem Test-Gerät wurde der vollständige Scan mit einer Dauer von 45 Minuten veranschlagt und war letztlich nach gut 27 Minuten beendet. Grundsätzlich empfiehlt sich ein erster Scan, damit das Infobereichssymbol (aka Tray Icon) keine Warnung mehr anzeigt. Regelmässige Scans können im Konfigurationsprofil eingestellt werden. Ein Leerlauf-Scan ist Moment noch nicht möglich, Securepoint bittet allerdings in der Wunschbox im Feedback zu diesem angedachten Feature.
Malware-Fund und weiter
Wurde eine Malware oder eine PUA bzw. ein PUP gefunden, wird dies lokal angezeigt sowie im Dashboard und sofern im Konfigurationsprofil eingestellt via E-Mail mitgeteilt. Etwas ungünstig kann sein, das für jeden Fund eine eigene E-Mail versendet wird. Offenbar ist dies von einem gewissem zeitlichem Rahmen abhängig, da für den ersten Fund eine E-Mail ankam und für die beiden weiteren etwas später eine Mail die für beiden letzten Treffer galt verschickt wurde.
Die Funde werden immer in die Quarantäne verschoben und können von dort aus lokal sowie via Dashboard weiter behandelt werden. Leider, wie bei vielen anderen Anbietern auch, gab es drei false-positives hinsichtlich eigener AutoIt-Skripte (ein Treffer) sowie eines VST-Plugins (zwei Treffer).
Ein direktes dauerhaftes Exkludieren aus der Quarantäne heraus ist nicht möglich, dies geht lediglich temporär, wobei direkt angeboten wird die verdächtige Datei an das Labor zu senden und somit der falsche Treffer zukünftig vermieden werden kann. Beim Versand an das Labor kann angegeben werden ob dies anonym oder mit Rückmeldung an eine E-Mail-Adresse erfolgen soll.
Was noch?
Aktuell fehlt noch ein Tamper-Schutz, wobei im Regelfall der gemeine Anwender sowie der tagtägliche Nutzer des Computers keine Administrator-Rechte haben sollte. Der Passwort-Schutz von Antivirus Pro verhindert dabei direktes Eingreifen in das Sicherheits-Niveau. Spätestens über die automatische Benachrichtigung das ein Gerät nicht mehr aktuell oder geschützt ist sollte der Administrator bzw. Securepoint-Partner mitbekommen, das etwas nicht stimmt.
Der Client meldet sich alle 60 Sekunden beim Dashboard und erhält alle 20 Minuten eine neue Signatur. Somit ist man quasi immer up-to-date.
Kommentare die man bei einem Gerät hinterlegen kann sind leider nicht editier- oder löschbar. Um beispielsweise einzutragen, wer an dem Client sitzt oder welche Rolle der Server hat bietet sich das Feld “Eigene Bezeichnung” an.
Aus dem Dashboard heraus kann keine Neu- oder Deinstallation angestartet werden.
Securepoint’s Antivirus Pro bietet keinen Webfilter nach Kategorien oder gar einen Werbefilter an. Ersteres ist der UTM vorbehalten, letzteres kann durch entsprechende Browser-Erweiterungen umgesetzt werden.
Der Windows-Dienst heißt übrigens “XGuard”.
Im Windows-Ereignisprotokoll werden diverse Ereignisse erfasst, somit wäre es möglich Securepoint Antivirus Pro durch eigene bzw. externes Monitoring zusätzlich zu überwachen.
Fazit
Abgesehen von ein paar Kleinigkeiten ist Securepoint’s Antivirus Pro eine geeignete Lösung für den zentral verwalteten Unternehmensvirenschutz und MSP-Anbieter. Vor allem in Zeiten der Roadwarrior (Außendienst) und von Home Office macht die Unabhängigkeit von einem im Unternehmen-stehenden Management-Server Sinn. Die Handhabung ist einfach, die Installation sowie der Scan sind zügig durchgeführt und die Ressourcenbelastung ist gering. Der Service und Support sind Securepoint-typisch gut.
Update 23.10.2020
Anbei mal als Auszug eine Mail, wie man sie erhält, wenn man eine Datei ans Lab schickt und diese analysiert wurde:
Dear Ladies and Gentlemen, Sehr geehrte Damen und Herren, Many thanks for the delivered file. ***** false-positive ***** The false positive was removed and should not occur any more after our next database update. This is an automatic generated e-mail, please do not reply. Vielen Dank für die von Ihnen eingesandte Datei. ***** Fehlalarm ***** Bei dieser Datei handelt es sich um einen Fehlalarm. Dieser wurde ausgebaut und wird mit dem nächsten Update nicht mehr auftreten. Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht auf diese Nachricht. Kind Regards, Mit freundlichen Grüßen ---------------------------------- IKARUS Security Software GmbH Analyse Blechturmgasse 11, A-1050 Wien ----------------------------------
Die Mail ansich geht noch weiter und enthält die Infos die an das Lab gesendet wurden. Da steht neben Dateiname z.B. Prüfsummen, Pfad zur Datei, Computername, laufende Prozesse, AV-Produkt und Version, etc. Kurzum: Sehr transparent und nichts Datenschutz-bedenkliches.
Vorausgegangen war bei einem Scan die Meldung, das die Datei “bat2exe.exe” schädlich wäre. Das Thema hatten wir auch schonmal in den Kommentaren zum Beitrag
Windows: Mit Bat2Exe mal schnell Batch-Skripte in ausführbare Dateien umwandeln
Jedenfalls wurde die Datei aus der Quarantäne befreit und zur Analyse mit Rückmeldung per Mail eingesendet. Ein paar Minuten später kam dann die obige Nachricht. Die Datei wird seit dem Signatur-Update auch nicht mehr “angemeckert”.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Gute AV Lösungen (nicht nur die Scan Leistung auch da Management etc.) aus der EU etc. sind schon rar.Aber für eine AV Software die u.a für Firmen gedacht ist, hätte ich schon gerne eine Möglichkeit die Clients/Server vom Dashboard aus zu installieren…ich hätte keine große Lust unsere Windows Server im 3 stelligen Bereich alle einzeln durchzugehen…xD
Gruß
Daniel
Das Dashboard bzw. die gesamte Verwaltung liegt in der Cloud, ergo kann das Dashboard keine Verteilung in der (lokalen) Domäne vornehmen.
Eine Verteilung eines vorkonfigurierten Setups ist min. mittels GPO möglich.
Was verbirgt sich hinter dem Guard?
Was kostet der Spaß?
> Was verbirgt sich hinter dem Guard?
Falls damit “XGUard” gemeint ist, dann ist das schlicht der Name des Windows-Dienstes, hinter dem sich Securepoint Antivirus Pro verbirgt.
> Was kostet der Spaß?
Wenn man Securepoint Partner/Reseller ist einfach im Reseller-Portal in die Preisliste schauen oder beim Ansprechpartner nachfragen.
Ist man kein Partner/Reseller dann entweder zu einem werden oder sich einen suchen.
Gibt es weitere Erfahrungswerte?
Erkennung, Performance und Verwaltung?
Wie läuft der Alltag mit dem Securepoint AV?
VG Sebastian
Hallo Sebastian,
> Gibt es weitere Erfahrungswerte?
Ja.
> Erkennung, Performance und Verwaltung?
Erkennung: Meiner bisherigen Erfahrung nach sehr gut, bislang ist nicht durchgerutscht (zumindest nicht das wir wüssten).
Im Vergleich zu Panda und G Data wurden zudem ein paar Dinger gefunden, die die ganze Zeit übersehen wurden, sowas kann allerdings mit jedem Virenschutz passieren.
Die Performance ist (imho) sehr gut. Wir merkten bislang bei keinem System, ganz gleich wie neu oder alt es ist, das der Virenschutz da ist.
Einzige Ausnahme wenn ein Scan läuft, das ist allerdings normal und bei allen anderen auch so.
Die Verwaltung läuft schnell und stabil über das Portal des Anbieters.
Ich bin immer ganz begeistert davon, wie schnell Konfigurationsänderungen an die Clients übermittelt sind.
Panda hatte damit zwar auch immer geworben das es nahezu in Echtzeit geschehen würde, mittlerweile ist das allerdings leider nicht mehr der Fall.
> Wie läuft der Alltag mit dem Securepoint AV?
Sehr gut, bislang völlig stressfrei.
Das was wir bislang den Support gefragt haben war überwiegend fehlendes Wissen unsererseits.
Es gab bislang nur einen Fall wo bei der Installation etwas nicht geklappt hat, das war allerdings auch kein Problem, schlicht deinstalliert, Removal Tool vom Hersteller laufen lassen, Neustart und erneut installiert.
Wir sind noch dabei weitere Kunden umzustellen, es geht um einen dreistelligen Bereich an Systemen, dauert also ein wenig.
Die Verteilung des Setups via MSI läuft ebenfalls (leider keine Selbstverständlichkeit bei anderen Anbietern).
Von daher habe ich aktuell nichts zu meckern.
Gruß
Andy
Ich kann mich dem positiven Zwischenfazit anschließen. Der Scanner läuft sauber und unauffällig, stammt komplett aus der EU (incl. gut erreichbarem Support) und – das war uns besonders wichtig – es handelt sich um einen “simplen” Virenschutz, der nichts anderes machen will und sich auch nicht dauernd durch wichtigtuerische Meldungen oder eine aufgeblähte GUI bemerkbar macht. Einfach nur ein Oldschool-Virenscanner. Ergibt natürlich Sinn, da Securepoint Sachen wie Webfilter lieber über die Firewalls aus eigenem Hause realisiert.
Im Vergleich zu AVG/Avast gibt es eine signifikant niedrigere Fehlalarm-Quote. Die kommen zwar auch mal vor, aber wirklich selten. Echte Schädlinge hingegen werden, soweit wir das beurteilen können, korrekt erkannt.
Die Cloud-Verwaltung ist OK, es gibt allerdings Luft nach oben. Wobei man bedenken muss, dass das Produkt noch relativ jung ist. Kürzlich gab’s die Erweiterung, geplante Scans auch zentral gesteuert anlegen zu können – das System wird also aktiv weiter entwickelt. Passt schon.
Wir haben AVG/Avast nach dem Zusammenschluss mit NortonLifeLock aus dem Portfolio geworfen (war schon länger überfällig) und ersetzen nun sukzessive überall durch Securepoint AV.