De beveiliging van de allerkleinste computers – pda’s en smartphones – verlies je gemakkelijk uit het oog. Toch zijn daar ook allerlei beveiligingsrisico’s aan verbonden. Data TestLab onderzocht beveiligingssuites voor mobiele computers.
Computers en opslagapparaten worden almaar kleiner en mobieler. Draadloze en mobiele apparaten zijn handig om bedrijfsnetwerken aan te vallen of om er kritieke informatie van te stelen of mee te verliezen. Bovendien duikt er steeds meer gespecialiseerde malware op die het gemunt heeft op pda’s en smartphones, zeggen producenten van antimalwareoplossingen. Wij hebben evenwel geen weet van malware “in het wild” voor pda’s en smartphones. Bedrijven die hun medewerkers uitrusten met mobiele apparaten moeten niettemin oog hebben voor de beveiligingaspecten ervan, zoveel is zeker.
Mobiele beveiliging
Bij mobiele beveiliging denkt u waarschijnlijk spontaan aan draagbare computers zoals notebooks, pda’s en smartphones die moeten worden beveiligd. Maar mobiele apparatuur kan ook worden gebruikt om netwerken aan te vallen of om informatie uit uw bedrijfsnetwerk te stelen. Bij verlies van een mobiele geheugendrager of computer kan bovendien belangrijke bedrijfsinformatie te grabbel worden gegooid. Mobiele beveiliging kent dus heel wat verschillende aspecten, die we in drie hoofdgroepen kunnen indelen. Eerst en vooral is er de draadloze beveiliging van bedrijfsnetwerken. Wie mag wat in uw netwerk en meer specifiek via draadloze verbindingen? Deze aspecten horen thuis onder ‘Wireless Security’ (draadloze beveiliging) en zullen we een andere keer behandelen.
Op de tweede plaats dient het gebruik van mobiele toestellen aan regels te worden onderworpen. Er zijn een hele rits toestellen waarop bedrijfsinformatie opgeslagen of gekopieerd kan worden en die na toegang gehad te hebben tot uw netwerk, gewoon uw bedrijf uit gedragen kunnen worden. Dat wilt u natuurlijk controleren. Dat noemen we ‘mobiele vergrendeling’ en is ons inziens een belangrijk onderdeel van mobiele beveiliging. Daarbij mag u denken aan producten als Centennial DeviceWall, SmartLine DeviceLock, Mc-Afee/SafeBoot PortControl en dergelijke. Al deze producten hebben we al eens eerder in dit blad getest.
En ten slotte is er de beveiliging van mobiele computers in al hun vormen: net als gewone pc’s zijn deze apparaatjes kwetsbaar voor aanvallen door personen, ‘bots’ en malware. Van dat laatste hebben we nog geen bewijzen gezien, in tegenstelling tot bij Windows pc’s. Software die hackers evenwel probeert tegen te houden via een firewallfunctie en netwerkverbindingen controleert, is wel belangrijk voor een mobiele computer. Dit type software, aangevuld met antimalware, is wat meestal aangeboden wordt onder de hoofding mobiele beveiliging. Er bestaan overigens wel passieve malware-exemplaren voor pda’s en smartphones, maar die vereisen dat de gebruiker actief meewerkt om ze te installeren. Zolang u dat niet doet, geen probleem.
Antimalwaresuites
De bekende producenten van antimalwaresuites maken tegenwoordig ook dergelijke suites voor pda’s en smartphones. Bedrijven als Symantec, McAfee, Trend Micro, Kaspersky en vele anderen hebben allemaal een suite ‘Mobile Security’ in het gamma met antimalwarebescherming voor pda’s en smartphones. Het nadeel van deze suites is, dat ze behoorlijk wat systeembronnen (geheugenruimte, opslagplaats en processortijd) in beslag nemen terwijl ze eigenlijk niet nodig zijn. Er zijn wel conceptmalwares voor pda’s geproduceerd om te bewijzen dat het onder bepaalde omstandigheden mogelijk is zoiets te programmeren, maar tot dusver hebben we nog geen enkel stuk malware voor pda’s en smartphones in de praktijk gezien. Wij bevelen dus aan dergelijke antimalwaresuites niet aan te schaffen. Omdat we echter voor deze test een aantal van deze antimalwaresuites binnenkregen, zullen we beschrijven wat ze doen en wat voor soort impact ze op uw mobiele computer hebben. Dan weet u wat het u kost als u ze toch installeert.
Beveiligingsreglementen
Invoering en naleving van beveiligingsreglementen is een veel nuttiger tak van mobiele beveiliging. Zo mag een mobiele computer zich alleen maar aanmelden in uw netwerk als er een beveiligingsreglement actief is en toegepast wordt. Zonder dergelijk actief reglement zal geen netwerktoegang mogelijk zijn. Eventueel kunt u instellen dat mobiele computers nooit verbonden mogen worden met niet door het beveiligingsreglement gedekte pc’s (dus bijvoorbeeld ActiveSync voorkomen) en dat er niet zomaar informatie die in de pda of smartphone opgeslagen staat, ingelezen of overgedragen mag worden op of naar een andere computer. Dat kunt u bereiken via encryptie. Er bestaan bijvoorbeeld systemen die het decrypteren van versleutelde informatie alleen maar toestaan op de computer waar de encryptie tot stand kwam. Een voorbeeld zou zijn: een arts die in een ziekenhuis rondloopt met een pda of smartphone waarop patiëntendossiers opvraagbaar zijn via een bestand op een SD-kaartje. Zulke medische gegevens zijn dan uiteraard versleuteld en kunnen alleen op die pda teruggelezen worden. Haalt u het kaartje eruit en stopt u dat in een ander toestel, dan kan het niet gedecrypteerd worden. Dergelijke systemen die de gebruiker verplichten de reglementen na te leven, zijn uiteraard bedoeld voor grotere netwerken en bedrijven.
F-Secure Mobile Security for Business
F-Secure is een Finse antimalwaresoftwareproducent. Het is dan ook niet verbazend dat F-Secure van mening is dat mobiele beveiliging in hoofdzaak bestaat uit malwarebestrijding. Daar is het bedrijf immers goed in en hun antimalware-engines zijn wereldwijd zoniet de beste, dan toch een van de beste. In onze antimalwaretesten scoort F-Secure ook altijd heel hoog. Voor F-Secure Mobile Security werkt het Finse bedrijf met een speciale beheerwebsite die bij hen draait, niet bij u. Gehost dus. De beheerwebsite dient eigenlijk voornamelijk voor het licentiebeheer. Alle pda’s en smartphones moeten geregistreerd en geactiveerd worden en dat ziet u in deze beheerwebsite. U ziet ook of er systeempjes zijn die niet geactiveerd zijn, of die werken met verouderde patroondatabases. Een pda die enige tijd na registratie niet bijgewerkt raakte, stond na zijn bijwerking dubbel geteld: zowel bij de clients die up-to-date zijn als bij de clients die dat niet zijn. Dat hoort natuurlijk niet en lijkt ons een bug. We hebben geen methode gevonden om gecentraliseerd de software naar meerdere pda’s te sturen voor installatie. Op een pc installeren we de software op de gebruikelijke manier via ActiveSync probleemloos. Die biedt dan enkel antimalwarefunctionaliteit en neemt daarvoor ongeveer 12 MB werkgeheugen in beslag. We konden geen noemenswaardige vertraging ontdekken. F-Secure ondersteunt meerdere mobiele platformen, dus niet alleen Windows. Maar erg nuttig kunnen we niet zeggen dat we dit vinden.
G Data Mobile Security
We wensen hier het Duitse bedrijf G Data een pluim te geven omdat ze, ondanks het feite dat het bedrijf een antimalwaresoftwareproducent is, hun klanten geen nutteloze antimalware voor mobieltjes proberen aan te smeren. G Data liet ons bij navraag weten dat het bedrijf ook dit jaar niets gevaarlijks heeft kunnen ontdekken voor pda’s met of zonder geïntegreerde gsm. Bij de in totaal 41 nieuwe schadelijke programma’s voor smartphones, aldus G Data, ging het bijna uitsluitend om proof-of-concept onderzoeken, waarbij de technische mogelijkheden werden geëvalueerd, of om semi-legale bewakingssoftware voor bezorgde ouders of jaloerse partners. G Data zegt verder: “De al jarenlang aanhoudende stagnatie bij dit type malware is niet verwonderlijk: de verspreiding mislukt enerzijds door de geringe reikwijdte van Blue-tooth en anderzijds door het ontoereikend aantal bereikbare MMS-ondersteunende smartphones, en ook door het feit dat zowel de verbindingsopbouw als de installatie door de gebruiker bevestigd moet worden. De doorslaggevende en vaak buiten beschouwing gelaten reden is echter op economisch vlak te vinden: online-criminaliteit is big business en daardoor onderhevig aan de wetten van de marktwerking. Het belangrijkste doel is om zoveel mogelijk winst met zo min mogelijk inzet en middelen te maken. Voor de daders zijn aan de ontwikkeling van smartphone-malware hoge kosten (niet alleen financiële) verbonden. Een ‘return on investment’ zat er nog niet in voor de malware-industrie. Op andere gebieden valt voorlopig met minder inzet meer te bereiken. Enerzijds ontbreken er dus bedrijfsplannen en anderzijds kleeft aan het uiteindelijke geld verdienen, het gevaar om gepakt te worden. Het vaak gepubliceerde gevaar lijkt daardoor meer op marketing-politieke overwegingen gestoeld te zijn en ontbeert tot nu toe elke grondslag.”
Dit is de eerste keer dat we zo’n boude uitspraken tegenkwamen van een antimalwareproducent en we wilden ze u dan ook niet onthouden.
Kaspersky Anti-Virus Mobile
Het Russische Kaspersky heeft de laatste tien jaar een uitermate sterke reputatie verworven als virusbestrijder. Het bedrijf biedt antivirus- en ondanks de productnaam ook antiparasietbescherming voor zowat elk populair platform. Kaspersky probeert telkens een bepaalde bedrijfsruimte te beveiligen en de productsuites hebben een naam die dat weerspiegelt. Zo is er de ‘Open Space’ (open ruimte) die naast de vaste computersystemen ook de mobiele beveiligt; ‘Work Space’ (werkruimte) beveiligt de lokaal en op afstand aangesloten desktopsystemen; Business Space (zakenruimte) beveiligt alle werkstations en fileservers in een bedrijf; Enterprise Space (bedrijfsruimte) beveiligt alle werkstations en servers – ook mail en database – in een bedrijf; en tenslotte is er ook nog ‘Total Space’ (totale ruimte) die alles beveiligt wat er maar te beveiligen is en de functionaliteit van alle andere ruimtebeveiligingen omvat.
Alle producten voor alle platformen kunt u centraal beheren via de Kaspersky Administration Kit. Die voorziet een nette boomstructuur om andere van Kaspersky software voorziene systemen mee op afstand te beheren en daarin geïntegreerd zit de mogelijkheid om nieuwe software of updates in uw netwerk te verspreiden. Daarmee hebben we dus een gecentraliseerd beheer, centrale software- en updatesdistributie en ook centrale rapportering. De Administration Kit geeft u de mogelijkheid te werken met ofwel een Microsoft SQL Server ofwel een MySQL databa-seserver. Het dagelijkse beheer van de eigenlijke antimalwaresoftware gaat uiteraard via die Administration Kit. Dat is een MMC-applicatie die aan de linkerkant een boomstructuur laat zien van netwerkobjecten en taakobjecten. U kunt er alle update-, scan- en andere taken mee coördineren, zowel lokaal als vanop afstand. Viruswaarschuwingen kunnen via de gebruikelijke pop-ups, maar ook via e-mail (SMTP of MAPI) verstuurd worden. Andere waarschuwingsmethodes zijn niet voorzien.
Mobiel
Kaspersky ondersteunt mobiele computers met Windows Mobile vanaf 5.0 en met Symbian vanaf 9.1 (doch bij 9.2 Series 60 3rd alleen Nokia). Ze kunnen net als gewone pc’s op afstand en centraal beheerd worden met behulp van de Kaspersky Administration Kit. De mobieltjes (pda’s en smartphones) moeten dan een netwerkaansluiting hebben of verbonden zijn met een pc via hun wiegje. Naast de ons inziens voorlopig overbodige antimalwarefunctionaliteit biedt Kaspersky voor mobieltjes blokkering of wissen (volledig leegmaken) op afstand voor als ze verloren of gestolen worden. Dat werkt ook als de vinder of dief de sim-kaart vervangt en bovendien kan het systeem u dan melden waar uw smartphone zich bevindt. Dat gebeurt met een ‘SIM Watch’-functie. Die stuurt en ontvangt verborgen sms-berichtjes in de achtergrond. Zodra iemand de sim-kaart vervangt, gebruikt SMS Watch de nieuwe sim-kaart om u zo’n verborgen sms te sturen met het nieuwe telefoonnummer van het toestel. En het toestel kan uiteraard meteen geblokkeerd worden zodat de vinder/dief ook met een nieuwe sim-kaart niet aan de data kan.
Een sms-spamfilter behoort ook nog tot de mobiele functionalteit. De Kaspersky agent blijkt op Windows Mobile 6 zo’n 8,77 MiB werkgeheugen in te pikken.
De oplossing van Kaspersky heeft als positieve kenmerken onder meer het goed uitgewerkte centrale beheer, al heeft dat voornamelijk zin als u ook uw desktop-pc’s en servers met Kaspersky antimalware uitrust. We zijn ook zeer te spreken over de sms-spamfilter, de SIM Watch waakhond met SMS Block/Clean blokkerings- of wismogelijkheden. Dat alleen al maakt deze oplossing de moeite waard.
Sybase iAnywhere Afaria
Het Amerikaanse Sybase is natuurlijk het bekendst vanwege zijn databasetechnologie. Dezer dagen gaat de aandacht naar heel wat meer uit. De doelstelling van Sybase is namelijk het beheren en mobiliseren van data. De bedrijfsstrategie richt zich op de draadloze onderneming (‘the unwired enterprise’). Vandaar de combinatie met de merknaam iAnywhere: dat staat voor ‘information any-where’ (informatie eender waar). Dit gaat over de convergentie van vier sleutelelementen van de mobiele onderneming: mobiele e-mail en PIM, beheer, beveiliging, en zelfredzaamheid van bedrijfsapplicaties. Daarvoor ontwikkelde Sybase een ‘Information Anywhere Suite’ waarvan de componenten beheer en beveiliging ondergebracht zijn in een product genaamd Afaria. Voor mobiele e-mail en PIM biedt Sybase OneBridge Groupware Mobile Office (alhoewel ook samengewerkt kan worden met Exchange) en voor de applicatiezelfredzaamheid is er SQL Any-where, M-Business Anywhere en RFID Anywhere. Omdat wij ons in dit artikel specifiek richten op mobiele beveiliging, bekeken we in dit pakket Afaria van dichtbij.
Afaria bestaat uit toestelbeheer (automatische software-installatie, configuratie en update, uitschakelen van ongeautoriseerde applicaties), veiligheidsbeheer (wachtwoorden en toestelslot, toestelele- minatie op aanvraag en met reglementsafdwinging, back-up en archivering, encryptie), opsporen en volgen van mobiele toestellen (activabeheer, automatische activaontdekking en inventaris) en bestandensynchronisatie (distributie inhoud, automatische bestandensynchronisatie). Sybase meldt hierbij als sterke punten de bescherming van data in centrale systemen met geïntegreerde serverauthenticatie; versleuteling van data in de lucht (“over-the-air” of OTA encryptie); beveiliging op het toestel met wachtwoord bij aanzetten, encryptie en bruikbaarheid met push e-mail; bescherming tegen verloren en gestolen toestellen met datavervaging en vergrendeling, op afstand elimineren en datawis. Afaria kan verder ActiveSync blokkeren en er is een scan-en-blokkeerutility voor Exchange. Dat laatste blokkeert ‘rogue’ toestellen van te synchroniseren met een Exchange server en u kunt ook witte en zwarte lijsten van toestellen aanmaken en doen toepassen. Afaria ondersteunt zowat alle bekende mobiele toestelsoorten, maar de meest uitgebreide beveiligingen zijn voorzien voor toestellen op basis van Windows Mobile. Laten we wel duidelijk zijn: Afaria biedt ook een zeer uitgebreid beheer en beveiliging voor Symbian, BlackBerry, Palm en zelfs de Apple iPhone. Het beheersysteem van Afaria kan interopereren met Microsoft Systems Management Server, zodat u de mobiele apparaten kan beheren in uw centraal beheer alsof het desktopsystemen waren. Er is een rollengebaseerd meervoudig beheer voorzien en op de toestellen draait er een A-faria-client of -agent die al het werk aan de clientzijde voor zijn rekening neemt. Op aanvraag kan ook antimalware hierin geïntegreerd worden, zonder dat dat massaal veel systeembronnen in beslag neemt op de mobiele apparaten.
Mobiele reglement-afdwinging
Afaria dwingt de bedrijfsreglementen af via de geïnstalleerde client of agent. Het is mogelijk elk netwerkgebruik te verhinderen voor toestellen die de Afaria-client niet aan boord hebben. Als een toestel met zo’n agent aan boord gestart wordt, kan een wachtwoord gevraagd worden. Na inlog stuurt de Afaria-server een configuratiebestand door met alle door het bedrijf gewenste instellingen en een door het bedrijf gedefinieerde ‘look & feel’ voor de mobiele desktop. De agent heeft bij installatie dat configuratiebestand ook al aan boord, maar het wordt dus bijgewerkt bij iedere inlog op de Afaria server. U kunt instellen hoe frequent die bijwerking moet gebeuren tijdens het gebruik van het mobiele toestel. De softwaredistributie naar het mobiele toestel toe kan radiografisch (OTA), door het doorsturen van een URL via sms of mail, of door de software te voorzien op een SD- of flashkaartje. Naast de eerder genoemde mobiele platformen ondersteunt Afaria ook Win32, waardoor u eventueel deze beveiligingen en dit beheer kunt toepassen op netbooks en notebooks voorzien van Windows. Linux en derivaten worden momenteel niet ondersteund, maar Sybase laat ons weten dat dat zal gebeuren “zodra de markt daarom vraagt”. De hardwareonafhankelijkheid is in elk geval zeker een van de sterke punten van Afaria. In het mobiele reglement zijn heel wat instellingen voorzien, maar we willen zeker even het bandbreedtebeheer aanstippen waarmee u QoS-voorzieningen kunt bieden. Back-up en restore zijn ook voorzien, en u kunt back-upschema’s en -bestemmingen opleggen of gebruikers die laten kiezen. Dat geldt ook voor de restore.
Beheer
De Afaria-server draait op een Windows-server en u beheert hem via een webinterface. De thuispagina geeft u een dashboard met grafieken over het mobiele gebruik van uw netwerk. Het beheer is onderverdeeld in drie hoofdrubrieken: serverconfiguratie, administratie en raadpleging (data views). Serverconfiguratie gaat over taakschema’s, clientgroepen en -types, waarschuwingen, licentiebeheer en updates plus patches. Administratie omvat de reglementen en profielen (policy’s & profiles), kanaalbeheer, bewakingssystemen en replicatie. Het hoofdmenu ‘Data Views’ valt uiteen in cliënten, journaals, inventatis, pakketopvolging, back-up, licentienaleving, clientpatches en clientuitrol. Zoals de naam al aangeeft gaat dit over raadpleging van gebeurtenissen, niet over configuratie. Het dagelijkse beheer omvat het aanmaken, distribueren en opvolgen van reglementen. Reglementen worden aangemaakt per profiel. Voor ieder profiel kunt u aangeven voor welke clienttypes het geldt en dan reglementen toekennen: clientacties, toegestane kanalen en andere opties (zoals standaardkanalen). Kanalen zijn in feite scripts. Reglementen worden samengesteld op basis van kanaalsets (scriptverzamelingen) die uit individuele kanalen of scripts bestaan. Afaria kent kanaalsets per platform of om bepaalde taken of instellingen te definiëren. Hiermee kunt u bijvoorbeeld in een reglement aangeven dat Bluetooth, Wifi en usb uitgeschakeld blijven totdat de gebruiker ingelogd is. U kunt ook bepaalde applicaties verbieden en dan kan die applicatie een foutmelding geven als de gebruiker ze start, of u kunt de applicatie onzichtbaar maken in zijn gebruikersinterface. Afaria heeft ook het overnemen van de desktop van een pda of smartphone mogelijk gemaakt, via een speciaal aangepaste versie van het ‘remote acces’-pakket NetOp uit Denemarken. Op Windows Mobile 6 nam de Afaria-client bijna 11 MB werkgeheugen in beslag. Dat is wel meer dan wat de meeste antimalwareproducten voor mobiele computers voor zichzelf pakken.
Helaas kunnen we in de ons ter beschikking staande ruimte deze iAnywhere Afaria niet volledig bespreken. Dit is de meest volledige en allesomvattende beheer- en beveiligingssuite voor mobiele systemen die we ooit gezien hebben. Zeer warm aanbevolen!
Symantec Mobile Security
We hadden ook Symantec uitgenodigd om aan deze test deel te nemen, maar zoals ook al bij vorige testen gebeurde had het bedrijf meer dan een maand nodig om tot een beslissing te komen, nadat het herhaaldelijk bijkomende vragen gesteld had. Die beslissing viel uiteindelijk negatief uit, maar het product zou ons zelfs bij positief antwoord buiten onze deadline bereikt hebben. De oorzaak hiervan moeten we zoeken bij de meer gemondialiseerde aanpak van Symantec, waardoor er steeds ruggespraak met het hoofdkantoor in de VS nodig is en zij nemen ook de beslissing over testdeelname. En kennelijk wegen België en Nederland onvoldoende zwaar voor Symantec in Amerika, waardoor we steeds vaker uit de boot vallen als we hen uitnodigen om aan een test deel te nemen. Dat is natuurlijk voor u als geïnteresseerde lezer en potentiële klant van Symantec bijzonder betreurenswaardig.
Trend Micro Mobile Security
TrendMicro levert verschillende combinaties van zijn antimalware-oplossingen. Mobile Security werkt in de Enterprise Editie als een plugin van de OfficeScan server. Dat heeft natuurlijk alleen maar zin als u ook voor Trend Micro koos voor de beveiliging van uw pc’s en servers met Windows besturingssystemen. Bij Office-Scan kiest u een bepaalde licentiebundel en die bepaalt wat u krijgt en kunt doen met slechts één binair bronbestand. Zo’n bundel bestaat uit OfficeScan serveredities voor Windows, Linux en NetWare servers en uit OfficeScan desktopedities voor Windows desktops en notebooks. De licentie die u aankocht bepaalt voor welke omgevingen de software bedoeld is en of het om client- of serversoftware gaat. De OfficeScan server kan zo’n vijftigduizend clients bedienen volgens TrendMicro en de documentatie raadt dan ook aan een tweede OfficeScan server te installeren als u er meer dan dat aantal wil beveiligen. De OfficeScan server werkt samen met een webserver om clients (ook remote clients) toegang te geven tot het beveiligingsproduct. Die webserver kan zowel IIS als Apache zijn. Als u voor Apache kiest terwijl die niet aanwezig is, installeert de OfficeScan-installatieprocedure de Apache webserver voor u. OfficeScan ondersteunt meerdere methodes om clients aan hun beveiliging te helpen, maar de meest gebruikte zullen de webtoegang (waarbij een gebruiker de software dus zelf actief moet installeren) en het vanaf een server op afstand op de client installeren van software.
Centraal beheer
Het hele beheer werkt met een webinterface die omwille van de gebruikte ActiveX controles IE vereist. Dat zou Trend Micro dringend moeten veranderen, want hun beheer vereist immers het onveilig maken van een Windows pc (omdat ActiveX-ondersteuning aangezet moet worden) en steeds meer gebruikers en beheerders geven de voorkeur aan Firefox als browser. Wij ook. Op de clients draait overigens niet gewoon een agent, maar een volwaardige antivirusclient. Gebruikers kunnen dus zelf ook scans laten uitvoeren als ze dat willen. Het opruimen van parasieten vergt overigens een optionele licentie ‘Damage Cleanup Services’. OfficeScan 8 biedt standaard een webreputatiefilter, die u verhindert naar kwaadaardige sites te surfen en zo dus allerlei parasietbesmettingen kan voorkomen. OfficeScan beschermt ook draadloze toestellen en in het bijzonder pda’s en smartphones. Op servers biedt OfficeScan buiten de actieve malwarebestrijding nog een ‘enterprise firewall’-beveiliging.
OfficeScan biedt verder virusuitbraakpreventie (bedoeld om bij een uitgebroken virus in uw netwerk de machines die nog schoon zijn meteen af te schermen), een virusuitbraakmonitor (een bewakingssysteem dat elke overtreding van de firewallregels meldt), en ondersteuning voor Cisco NAC (Cisco Network Admissions Control, een systeem met strikte toegangsreglementen voor eindnodes in netwerken). Hoewel de webinterface u toelaat bijwerkingen voor server en clients uit te voeren, blijkt dat alleen om de malwaresignaturen te gaan en niet om de geïnstalleerde software zelf. Updates en patches daarvoor kunt u wel downloaden van de supportwebsite van Trend Micro, maar daar staan alle updates en patches van alle versies van de software door elkaar heen. Daardoor is het erg moeilijk uit te vissen wat u nu wel en niet nodig hebt. Trend Micro zou dat downloadoverzicht op hun website dringend moeten herindelen, zodat updates en patches per versie gebundeld zijn. Nog beter zou het natuurlijk zijn, als het webbeheer zelf zou kunnen laten zien welke updates en patches er beschikbaar zijn voor de geïnstalleerde producten en versies, en dat de beheerder dan maar moet aanklikken wat hij wil hebben.
Mobiele beveiliging
De beveiliging voor mobiele toestellen heet Mobile Security en wordt toegevoegd als een plug-in in OfficeScan. Met behulp van de Plugin Manager in het webbeheer kunt u Mobile Security toevoegen en dan net als bij gewone desktops uitrollen naar de mobiele apparaten toe. Dat laatste kan alleen maar min of meer geautomatiseerd bij smartphones, omdat dan een url ge-sms’t kan worden. Het toevoegen van mobiele toestellen gaat er dan ook vanuit, dat het om een smartphone gaat. U moet immers een telefoonnummer opgeven voor het toestel. Voor pda’s moet de software op een geheugenkaartje aangeleverd worden, of via de pc-aansluiting met ActiveSync of zo op het toestel gekopieerd worden. Van andere bedrijven en producten hebben we een veel grotere en gebruiksvriendelijkere mate van automatisatie gezien, en dat zou Trend Micro dus beter ook doen. Op ons maakt het hele beheer van de Mobile Security plugin niet bepaald een gebruiksvriendelijke indruk. Op een pda met Windows Mobile 6 Professional nam de Mobile Security client 7,49 MB werkgeheugen en 6,57 MB opslagruimte in beslag. Qua opslagruimte is dat het op één na meeste van alle producten in deze test, maar qua werkgeheugen het tweede minste. In beide gevallen staat het product van Utimaco op één. Net als de andere antimalwareproducenten legt Trend Micro de nadruk op malwarebestrijding, al zit er ook een firewall in.
Utimaco SafeGuard PDA Enterprise
Het Duitse Utimaco biedt met SafeGuard PDA Enterprise een oplossing om beveiligingsreglementen in Active Directory op te nemen en die dan te doen toepassen op pda’s via ActiveSync of andere manieren (zoals ge-sms’te url’s e.d.). Utimaco laat ons weten dat de huidige versie (4.25) nog geen smartphones ondersteunt, alleen pda’s met Windows Mobile Classic en Professional. De toekomstige versie 5.0 zal wel SmartPhones ondersteunen, onder meer via Windows Mobile 6.1. Centraal beheer via Microsoft System Center Mobile Device Manager 2008 behoort dan ook tot de mogelijkheden.
SafeGuard PDA beschermt informatie opgeslagen op pda’s. Daartoe worden authenticatiesystemen ingezet die even uitgebreid kunnen zijn als die voor een gewone pc: biometrische herkenningsauthenticatie, tokens en pincodes, of standaard wachwoordsystemen. Deze worden gebruikt om data te encrypteren als die opgeslagen wordt op een pda of over het internet wordt verstuurd. De centraal afdwingbare beveiligingsreglementen werken via Active Directory en zorgen via de pc’s waarop de pda’s via ActiveSync aangesloten worden dat deze reglementen consequent en consistent toegepast worden. Dit vertaalt Utimaco naar de pda’s toe als schermbeveiligers met authenticatie, toestellockdowns, encryptie van PIM-databases met kalender, contacten, taken en e-mail of sms, en bestanden in het werkgeheugen of op flashopslagmedia (alle huidige opslagkaartformaten worden hierbij ondersteund). De encryptie is AES en om wachtwoordradende aanvallen te ontmoedigen worden de encryptiesleutels afgeleid van PKCS#5-standaardwachtwoorden. Op de mobiele client kan een gebruiker SafeGuard PrivateDisk toepassen om een beveiligd opslagvolume aan te maken, te onderhouden en toe te passen; en SafeGuard Crypto om individuele bestanden of netwerkdatastromen (zoals e-mail) te versleutelen.
Centraal beheer
U stelt alle reglementsparameters in via de groeppolicy’s van Active Directory. Daarin voegt u met behulp van SafeGuard beheersjablonen extra boomstructuren toe voor SafeGuard PDA in het MMC-schema van de groeppolicy’s. Omdat die groeppolicy’s via Active Directory automatisch ingelezen en toegepast worden door elke pc die inlogt op het netwerk, gelden de beveiligingsinstellingen dan ook automatisch voor elke pda die zich met de pc verbindt. Het is op deze manier ook perfect mogelijk om de Safe-Guard-client volautomatisch te installeren in de pda zodra die zich met ActiveSync koppelt. In de beveiligingsreglementen kunt u instellen wat u aan configuratierechten wil overlaten aan eindgebruikers, en wat alleen door de beheerder ingesteld kan worden. Hoewel hier alleen sprake is van Windows Mobile, werkt de SafeGuard PDA Enterprise beveiliging ook met pda’s onder Symbian – al moet u dan de clientsoftware manueel installeren op de pda. De automatisering is echter veel beter met Windows Mobile platformen. In onze test bleek de SafeGuard client op onze test-pda het minste werkgeheugen van allemaal in beslag te nemen met slechts 4,75 MB. Op de opslagkaart nam SafeGuard met 17,74 MB het meest in beslag, maar daar zat wel een 7 MB grote PrivateDisk in die we ter test aangemaakt hadden. SafeGuard PDA Enterprise kan overigens samen werken met pda-beheerinstrumenten van derden zoals het hier ook besproken Sybase Afaria.
Johan Zwiekhorst
Fout opgemerkt of meer nieuws? Meld het hier