Om je computers en bijbehorend netwerk veilig te houden, installeer je antimalware en kwetsbaarheidsonderzoekers en -verhelpers. Om het gebruik daarvan af te dwingen, bijgewerkt te houden en te reglementeren is er nog wat meer nodig: beveiligingsbeleidsoftware.
McAfee levert beleidssoftware voor security met de ePolicy Orchestrator. Die valt nog uit te breiden met de normeringsmodule Policy Auditor. De producten zijn volgens McAfee voorbeelden van de verbeterde integratie van security producten zoals die volgens onderzoeksbureau Gartner nog te vaak ontbreekt.
Samenwerken
Hoewel McAfee zelf antimalwaresoftware produceert, eist de ePolicy Orchestrator (ePO) niet dat je die gebruikt. ePO kan samenwerken met antimalwaresoftware van derden. McAfee ondersteunt verschillende versies van beveiligingssoftware door elkaar. Zo kun je regels opstellen voor verschillende versies van McAfee VirusScan Enterprise, Norton AntiVirus en GroupShield voor Lotus Domino. Dat geeft je de gelegenheid om verschillende regels op te stellen voor correcte productupdates. Dit geldt dus ook voor vorige versies van software. Programmatuur die om wat voor reden dan ook niet is bijgewerkt tot de meest recente versie.
Behalve het eigenlijke beveiligingsbeleid in de betekenis van reglementering vervult de ePolicy Orchestrator ook beheertaken zoals sofwaredistributie en uitrol van updates. Vandaar ook de naam van het product: zowel reglementering als beheer. Orkestreren dus.
Netwerkantimalwareproducten hebben doorgaans hun eigen voorzieningen voor centraal beheer. McAfee past ePO ook voor dat doel toe en levert het dus mee met zijn eigen beveiligingssoftware. Dat bepaalt dan ook mee de prijs. ePO wordt doorgaans samen met een beveiligingssuite verkocht. Het kan dan aan een aantrekkelijker prijs geleverd worden dan de in de productinformatie vermelde adviesprijzen.
Microsoft-centrisch
De ePO-software bedien je via een webinterface, die draait op Microsoft-software.ePO moet geïnstalleerd worden op een server die als beleidserver zal dienen. Er is een webinterface voor het beheer. Alle benodigde beheerinformatie wordt opgeslagen in een database. Daarbij is gekozen voor Microsoft-technologie. ePO vereist Internet Information Server (IIS) als webserver en MS SQL Server als databaseserver. Als je geen SQL Server hebt of die niet wil laten gebruiken door ePO, kan ook SQL Server Express worden gebruikt. Die ‘light’ database wordt dan standaard mee geïnstalleerd.
De installatieprocedure van ePO verloopt zoals gebruikelijk bij Windows met een wizard. Ze stelt weinig problemen. De optionele module Policy Auditor is nog makkelijker. Je moet alleen maar de setup starten op de ePO-server. Die zoekt dan verder zelf alles uit. Policy Auditor voegt zich dan op meerdere niveaus in de menustructuur van ePO. Het maakt er verder gewoon deel vanuit.
Rood en groen
Je bedient ePO en optionele onderdelen zoals Policy Auditor via een webinterface. McAfee geeft alleen Internet Explorer op als ondersteunde browser.
De startpagina van ePO is ook zijn hoofdpagina. Het dashboard toont met een oogopslag de status van het hele beleid. Groen betekent dat het goed is. Rood dat er iets fout zit. Door op rood te klikken, krijg je meteen meer informatie. Je kunt het probleem dan rechtzetten.
Deze dashboard-pagina heeft een tabbladindeling met twee tabs. De eerste tab is het standaarddashboard voor ePO als geheel. De tweede tab toont een overzicht met de vastgestelde naleving van het beveiligingsbeleid. Bovenaan treffen we zeven grote pictogrammen aan voor de hoofdrubrieken van de beheerinterface. Dit zijn achtereenvolgens Dashboards (start- en hoofdpagina), Reporting (rapportage), Software, Systems (systemen), Network (netwerk), Automation (automatisatie) en Configuration (configuratie). De Dashboards-pagina kun je overigens zelf naar wens herconfigureren.
Rapportage stelt je in staat rapporten te genereren vanuit database-ondervragingen. Die kun je zelf verzinnen. McAfee heeft er enkele voorgedefinieerd. Als je Policy Auditor toevoegt, komen er nog een aantal voorgedefinieerde bij die specifiek met beleidnormeringscontrole te maken hebben. Je kunt hier ook de logboeken raadplegen: servertaken, waarschuwingen, ‘issues’ (incidenten), audits, gebeurtenissen, MyAvert (bedreigingswaarschuwingen) en IPS (inbraakpreventie).
Versiecontrole
De hoofdrubriek Software biedt toegang tot de vergaarbakken met software. De belangrijkste is natuurlijk de meestervergaarbaak (‘master repository’). Daarin bevindt zich alle software die door het systeem gereglementeerd en gedistributeerd zal worden. ePO ondersteunt hierbij een zekere mate van versiecontrole.
Je kunt drie takken van software bijhouden: huidige, vorige en evaluatie. De extra tabbladen op deze pagina geven toegang tot gedistribueerde vergaarbakken (deze op andere servers) en ‘source sites’ (ftp- en http-sites waar updates en software vandaan gehaald kunnen worden).
De vierde hoofdrubriek heet Systemen. Deze toont een boomstructuur van alle beheerde computersystemen. Daarbij kunnen ‘rogue’ (niet specifiek toegelaten en dus vreemde) systemen geïdentificeerd worden. Voor elk systeem kun je individueel of voor hele groepen tegelijk reglementen (‘policies’) vastleggen. Ook is het mogelijk clienttaken op te geven voor uitvoering op een bepaald tijdstip of met een bepaalde frequentie. Uitrol van agenten kun je ook regelen via Systemen. De reglementen overlappen trouwens meerdere rubrieken. Ze kunnen immers slaan op systemen, netwerk- en directoryobjecten, waarschuwingssystemen, agenten voor niet-Windowsplatformen en software in de diverse vergaarbakken.
Actie!
Een reglement bestaat uiteraard uit voorwaarden die vervuld moeten zijn, acties die wel of niet ondernomen moeten worden en waarschuwingen die verstuurd moeten worden als voorwaarden niet vervuld zijn of als acties fouten vertonen. In ePO kun je naast het beleid en de etikettering van systemen ook audits definiëren, ontheffingen vragen en toewijzen, en normeringsbenchmarks (bijvoorbeeld ISO 27001) en -controles laten uitvoeren.
De rubriek Netwerk toont alle geregistreerde ePO-servers. Dat is wat ons betreft een misleidende naam. Automatisatie toont alle geschematiseerde servertaken, waarschuwingsregels, reacties (op incidenten), snmp-servers, externe commando’s en geregistreerde uitvoerbare bestanden. Deze laatste kunnen omwille van veiligheidsoverwegingen alleen toegevoegd of aangepast worden als je de beheerconsole van de server gebruikt.
Gewenning
De laatste rubriek, Configuratie, omvat persoonlijke instellingen (van de beheerders), serverinstellingen, contacten, gebruikers, permissieverzamelingen en extensies. Extensies slaan op beheerde of serverproducten.
McAfee gebruikt enkele definities die even gewenning vragen. Wat in de vergaarbakken zit is software. Dat moet je zien als softwareverzamelingen: meestal archieven met daarin een of meerdere stukken software. Een extensie is een stuk software en dat zult gaan uitrollen naar gebruikerspc’s of naar servers toe.
Conclusie
McAfee brengt met ePolicy Orchestrator een interessant instrument voor beleid en beheer van beveiligingssoftware in je netwerk. Dat kun je nog aanvullen met Policy Audit voor normeringsbenchmarks en -controles. Qua gebruiksvriendelijkheid kan dit nog wat beter. Zo zouden wij meer wizards willen zien. Ook de gebruikte terminologie kan duidelijker.
Productinfo
Product: ePolicy Orchestrator 4.0.0 en Policy Auditor 5.0
Producent: McAfee, USA, www.mcafee.com
Leverancier: alle McAfee dealers, zie www.mcafee.nl
Adviesprijs (excl. BTW): ePO vanaf 23,39 euro/node en PA vanaf 573,79 euro/server (beide degressieve prijsbepalingen, PA vereist ePO)
Systeemvereisten: Windows 2000 of 2003 of 2008 server, SQL Server 2005 of Express
De Kern
Beveiliging vereist software, reglementering, normering en controle.
McAfee levert dit alles met ePolicy Orchestrator en Policy Auditor.
Johan Ziekhorst, Data Testlab