Review: G DATA Endpoint Protection en Patch Management

Vorig jaar hebben we zo’n beetje alle beveiligingspakketten voor de consumentenmarkt aan een review onderworpen. De vernieuwing in die markt is beperkt, daarom hebben we besloten ons dit jaar te buigen over de zakelijke beveiligingssoftware. Dat heeft nogal wat voeten in aarde gehad, maar we hebben nu een effectieve testopstelling en de eerste test die we hebben gedaan is van G DATA Endpoint Protection en Patch Management.

De G DATA Endpoint Protection-software die we in dit artikel aan een review onderwerpen is nog gebaseerd op het traditionele model van beveiligen. Waarbij je zowel de cliënts als de server binnen je eigen domein hebt en het beheer loopt via de G DATA-software op een domeinserver.

Er is op dit moment een flinke verandering gaande in de zakelijke beveiligingsmarkt, waarbij het beheer verplaatst van de eigen on-premise server naar de cloud. We hebben contact met diverse beveiligingsbedrijven en de meeste zijn druk bezig met de cloud, ook G DATA. G Data geeft op dit moment echter nog de voorkeur aan de on-premise oplossing. Het beheer via de cloud heeft duidelijk de toekomst via een SaaS-oplossing, maar nog niet iedereen is zover. Aan de andere kant zijn er genoeg bedrijven die alles voorlopig on-premise willen houden en de cloudbeweging nog niet omarmd hebben. Wel biedt G DATA de mogelijkheid om de Management Server op een cloudserver te installeren en de cliënts over het internet te managen. Niet via een SaaS-oplossing, maar gewoon met een private server in de cloud.

Om G DATA Endpoint Protection aan een review te kunnen onderwerpen, hebben we een testdomein opgezet op een Windows Server 2016-installatie en hieraan gekoppeld een Windows 10 cliënt. Vervolgens hebben we de G DATA Management Server met de G DATA Administrator geïnstalleerd op de Windows Server en de G DATA Endpoint Protection-software uitgerold via de G DATA Administrator naar de cliënt toe. Dit werkt verrassend eenvoudig. De administrator toont alle cliënts die worden gedetecteerd in het domein en vervolgens selecteer je degene waarop de software moet worden geïnstalleerd. Vervolgens is het een kwestie van wachten, in ons geval zo’n 15 minuten, en G DATA Endpoint Security was uitgerold.

Wij gebruiken hiervoor twee virtuele machines die beide beschikken over een Xeon-core, 4GB aan werkgeheugen en een 100GB SSD hard disk. Het mag duidelijk zijn dat dit, zeker voor de server een vrij lichte configuratie is. Bij de meeste lezers zal de installatie dan ook sneller verlopen.

G DATA Endpoint Protection en Patch Management zijn verkrijgbaar via bij G DATA aangesloten resellers. Prijzen variëren afhankelijk van het aantal af te nemen licenties/seats.

Mogelijkheden

Het is goed om even stil te staan bij de mogelijkheden van G Data Endpoint Protection, het gaat namelijk wat verder dan alleen malware-bescherming. De G DATA Management Server biedt in combinatie met de G Data Administrator en G Data Endpoint Protection een compleet pakket aan. Een simpele opsomming:

Malware bescherming;
Firewall;
E-mail beveiliging (Anti-spam, malware, phishing);
Software patchmanagement (optionele uitbreiding);
Android en iOS Mobile Device Management;
Beleidsmanagement in gebruik applicaties (whitelist/blacklist);
Website filtering;
Gebruik externe media en webcam;
Metrics via Action Center (Cloud based)
Report Manager
Backup

Zoals aan de opsomming is te zien, biedt G DATA wat meer mogelijkheden dan alleen bescherming tegen malware. Zoals je mag verwachten verloopt de configuratie van alle Endpoint Protection-installaties via de Administrator-software en standaard kan een eindgebruiker niets wijzigen. De gebruiker kan standaard alleen zien dat G DATA Endpoint Protection is geïnstalleerd op de client, maar meer ook niet. Indien gewenst kan ook de zichtbaarheid van G Data Endpoint Protection worden afgeschermd.

G DATA Administrator

Als je de G DATA Administrator opstart, de software waarmee je G DATA Endpoint Protection kan beheren, zie je onderstaande schermen. In de eerste afbeelding zie je dat er wat punten van aandacht zijn, omdat de beveiliging op dit moment niet optimaal is, bijvoorbeeld omdat de anti-malware definities moeten worden bijgewerkt. In de tweede afbeelding is alles groen en is de beveiliging op dit moment optimaal.

We moeten wel eerlijk zijn, hoewel G DATA Endpoint Protection enorm veel features biedt, valt er nog genoeg te verbeteren aan de manier waarop de Administrator-software dit presenteert. We schrokken wel even toen we de software voor het eerst onder ogen kregen. Qua layout en design heeft de wereld van dit stukje software waarschijnlijk tien jaar stilgestaan. Het is duidelijk dat er bij G DATA veel software-ontwikkelaars werken, maar geen enkele interfacedesigner. Het is rommelig en je moet heel veel rondklikken om een duidelijk overzicht te krijgen van alle mogelijkheden en opties. G DATA heeft aan Techzine laten weten dat de interface voldoet aan de Windows 10-interface guidelines en dat het workshops aanbiedt aan klanten om alle opties van de software te leren kennen.

Een nieuw ontwerp, een betere indeling en heldere layout kan in onze ogen echt wonderen doen voor deze software. Het is onnodig complex in elkaar gestoken en dat vinden we toch jammer. Endpoint Protection is zo’n uitgebreid pakket en eenvoud wordt ook in IT-beheer steeds belangrijker.

Dat brengt ons bij het volgende punt, als je de Management Server hebt geïnstalleerd krijg je een standaard configuratie en daarin staat alles uitgeschakeld. Wat ons betreft had G DATA best een standaard configuratie mogen aanbieden waarin de voor de hand liggende opties zijn aangevinkt. Zoals bijvoorbeeld eenmaal, of tweemaal per dag automatisch updates downloaden en het verspreiden van malware-handtekeningen. Standaard is dit uitgeschakeld en moet de systeembeheerder dit zelf configureren.

We hebben dit bij G DATA voorgelegd en zij zeggen hierover: “De standaardopties die G DATA meegeeft zijn gebaseerd op userfeedback en niet op best practices voor security, dit zou in de praktijk voor de meeste klanten te veel false positives en netwerkverkeer veroorzaken.”

Wellicht dat het voor G DATA in de toekomst een idee is om naast een mooi redesign ook een wizard toe te voegen, waarin beheerders eenvoudig een standaardconfiguratie kunnen samenstellen. Bijvoorbeeld hoe vaak moeten de malware-handtekeningen worden gedownload en uitgerold naar de clients, moet de firewall worden ingeschakeld, mogen werknemers gebruik maken van social media, welke applicaties zijn toegestaan of welke juist niet, moet externe opslag worden geblokkeerd (USB-sticks), mag de webcam worden gebruikt, etcetera.

Malware bescherming

Endpoint Protection beveiligingsproducten zoals die van G DATA zijn ooit allemaal begonnen met een antivirus-oplossing, die is vandaag de dag dan ook nog steeds aanwezig. Hoewel de manier waarop deze werken in de loop der jaren flink is veranderd, zal het de komende jaren een basiselement blijven in alle beveiligingsproducten.

G DATA heeft ervoor gekozen om de handtekeningen (signatures) die nodig zijn om malware te detecteren, niet alleen zelf te ontwikkelen, maar deze ook extern in te kopen. Het bedrijf maakt gebruik van de malwaredefinities van Bitdefender en het zelf ontwikkelde CloseGap. Door twee bronnen te gebruiken is de kans dat malware vroegtijdig wordt gedetecteerd meteen een stuk groter. Via de G DATA Administrator zijn deze malware handtekeningen te beheren, zo kan worden ingesteld wanneer deze moeten worden bijgewerkt. Ook is het mogelijk om nieuwe handtekeningen terug te draaien naar een vorige versie, als deze bijvoorbeeld zorgen voor problemen. Bijvoorbeeld bij false positives, waarbij een legitieme applicatie wordt aangezien voor malware, kan dit wenselijk zijn. Daarnaast is het eventueel mogelijk om bestanden op een whitelist te zetten, in het geval van een false positive.

Firewall

Een ander onderdeel dat inmiddels standaard in alle beveiligingsproducten zit, dus ook in G DATA Endpoint Protection, is een firewall. Via de G DATA Administrator kan deze worden geconfigureerd voor alle cliënts, maar indien nodig, kan ook op één enkele client een bepaalde poort worden opengezet. Stel dat de HR- of marketingafdeling een applicatie gebruikt die een eigen poort nodig heeft om te communiceren, dan kan dat op de pc’s voor de betreffende afdelingen worden opengezet.

De firewall werkt op basis van een applicatie whitelist, waarbij kan worden bepaald welke applicatie toegang moet krijgen tot het netwerk en het internet en welke eventueel niet. Hierdoor houdt de systeembeheerder totale controle over het systeem en welke applicaties met de buitenwereld communiceren. Hierdoor kan een malafide applicatie minder snel meeliften op de poort die een andere applicatie gebruikt.

Indien nieuwe applicaties gebruik willen maken van het internet, krijgt de systeembeheerder hier een melding van.

E-mail beveiliging

Wat moet je als bedrijf tegenwoordig zonder e-mail, er vindt veel meer communicatie plaats via e-mail, dan bijvoorbeeld via de telefoon. E-mail is voor de meeste bedrijven dan ook de lifeline om zaken te doen, het is dan ook belangrijk om de binnenkomende e-mails goed te beschermen. Veel bedrijven kiezen er tegenwoordig voor om gebruik te maken van Office 365 of van Google Apps. Daarbij is spam en antivirus in principe al goed geregeld, voor bedrijven die de e-mail nog zelf hosten is het zaak een goede oplossing uit te rollen om spam en malware te voorkomen. Dat kan natuurlijk op serverniveau, maar eventueel ook op de client. G DATA biedt een antispam- en malware-oplossing in G DATA Endpoint Protection, waarmee er een extra beveiligingslaag wordt toegepast op binnenkomende e-mail. Erg handig natuurlijk, maar wij zijn over het algemeen voorstander van een oplossing op serverniveau. Iets dat G DATA overigens ook aanbiedt in de vorm van G DATA Mail Security. G DATA biedt dus beide smaken aan, het is dan afhankelijk van de voorkeur van het bedrijf of de systeembeheerder.

Software patchmanagement

Met de feature software patchmanagement, waarmee G DATA Endpoint Protection optioneel is uit te breiden, is het mogelijk om per pc te zien welke applicaties er zijn geïnstalleerd. Ook is te zien welke applicaties er dringend moeten worden voorzien van een lading patches. Bekende applicaties die vaak te kampen hebben met beveiligingslekken komen voor in deze lijsten en staan of onder het kopje, “Not yet installed” of onder “Installed”, aan de systeembeheerder de taak om ervoor te zorgen dat alle clients zo snel mogelijk worden voorzien van patches. Mocht dit te lang op zich laten wachten is dit eenvoudig te achterhalen en kan desnoods handmatig actie worden ondernomen. Met een rechterklik op de muis, kan de systeembeheerder ervoor kiezen om een bepaalde patch direct te installeren op een cliënt (of alle cliënts), zodat het beveiligingsrisico is verdwenen. Ook is het mogelijk om patches met hoge prioriteit automatisch te laten installeren, zodra deze beschikbaar zijn.

Daarnaast is het mogelijk om in te stellen dat op een vast tijdstip de patches worden verspreidt binnen het bedrijf en alle cliënts worden bijgewerkt. De patches die via G DATA software patchmanagement worden verspreidt zijn van te voren door G DATA getest om er zeker van te zijn dat ze niet zorgen voor meer problemen of schade aan de systemen van de bedrijven.

Met deze feature heeft de systeembeheerder net even wat meer mogelijkheden tot zijn beschikking, door op tijd patches door te voeren kan een beheerder ook wat beter garanderen aan de directie dat hij er alles aan doet om de pc’s zo veilig mogelijk te houden. De extra controles van G DATA zijn daarin ook een stukje extra zekerheid.

Android en iOS Mobile Device Management

Binnen G DATA Management Server is het ook mogelijk om mobiele toestellen toe te voegen. Je koopt een licentie met een aantal seats, deze seats kunnen Windows pc’s zijn, maar dus ook Android- of iOS-smartphones.

Uiteraard hebben we ook deze feature onder de loep genomen. We hebben een Android-toestel uit de kast gehaald en gekeken hoe eenvoudig we deze kunnen koppelen aan de G DATA Management Server.

Via de G DATA Management Server kan je automatisch een e-mail versturen naar alle gebruikers, in deze e-mail vinden zij dan een link naar het APK-installatiebestand, waarmee ze de G DATA-beveiligingssoftware kunnen installeren. Dit zal standaard niet werken want eerst moeten worden aangevinkt dat er ook APK’s uit onbekende bronnen mogen worden geïnstalleerd, iets wat we standaard altijd afraden. Vervolgens kan er eventueel onder instellingen de servernaam, toestel en wachtwoord worden ingevuld, waarna het toestel zal worden toegevoegd aan de G DATA Management Server en vervolgens zal worden vergrendeld. Het is ook mogelijk om in de installatiemail op een link te klikken met een configuratiebestand.

Het hele proces is nog best omslachtig en eigenlijk is het gewoon beter dat de systeembeheerder dit doet alvorens hij de toestellen uitdeelt onder het personeel. Als je bij een gemiddeld bedrijf deze e-mail uitstuurt met de uitleg wat men moet doen, kan je erop wachten dat er een hoop misgaat en het onduidelijk is welk toestel nu wel, en welke nu niet is beveiligd.

Verder valt ons op dat deze feature er later in is gehackt, ik noem het gehackt, omdat de tabbladen overeenkomen met een Windows-pc, alleen zijn een hoop features uitgeschakeld en uitgeschakeld. Patchmanagement en Firewall werken bijvoorbeeld niet op een mobiel toestel, die zijn echt voor Windows-ontwikkeld. Het was netter geweest als G DATA die tabbladen gewoon had verborgen.

Het is een echte MDM, waarbij je als bedrijf je personeel voorziet van een bedrijfssmartphone. Er is geen optie voor Mobile Application Management (MAM), waarbij er een beveiligde container met de e-mailapplicatie wordt uitgerold op een toestel van de werknemer zelf. G DATA Management Server is dus niet geschikt voor een bedrijf met een BYOD-policy.

Conclusie

G DATA heeft met zijn Management Server, Administrator en Endpoint Protection een stukje software in handen dat goed werkt. Het is ook lekker uitgebreid, want naast de anti-malware oplossing voorziet G DATA ook in bijvoorbeeld een antispam-oplossing, patchmanagement, Mobile Device Management en een Firewall. De systeembeheerder kan een compleet beleid maken voor alle apparaten binnen het bedrijf en met een applicatie (Administrator) overzicht houden wat er qua beveiliging gaande is in het bedrijfsnetwerk.

Wel moeten alle apparaten door het bedrijf zelf worden aangeschaft, er is geen ruimte voor een BYOD-beleid. De oplossingen van G DATA beperken de apparaten zover, dat je dit niet kan maken op een apparaat dat eigendom is van de werknemer.

Het grootste minpunt aan de software is heel duidelijk de interface. Wij vermoeden dat G DATA een tiental jaar geleden is begonnen met de ontwikkeling van deze applicatie, toen waren 1001 opties en tientallen tabladen de gewoonste zaak van de wereld. Tegenwoordig hebben bedrijven meer behoefte aan eenvoud. Een eenvoudige interface, waar je met maximaal drie klikken iets kan regelen. Als ze bij G DATA lering willen trekken uit onze review, dan nemen ze binnenkort een interfacedesigner in dienst, want af en toe is het zoeken naar een speld in een hooiberg.

De G DATA-beveiligingsoplossingen werken dus allemaal prima, alleen het is even zoeken naar de juiste instellingen. Gelukkig biedt G DATA wel workshops aan, om alle mogelijkheden te leren kennen.

.pro’s

Zeer uitgebreid;
Ook ondersteuning voor Mobile Device Management;
Patchmanagement zorgt voor nog meer veiligheid;

.contra’s

Interface is onoverzichtelijk;
Bij een mobiel toestel zie je ook desktop-opties;

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.