Virenscanner zentral verwalten (II)Der Software-Rollout

Datenbank nötig zur Security-Seuerung

Virenscanner zentral verwalten (II)

Wie das kostenlose Administrations-Tool des Antivirenpezialisten Kaspersky aufgebaut ist, haben wir bereits beschrieben. Nun geht es an die Arbeit mit dem Tool.

Für die Installation des kostenlosen Kaspersky Administration Kits ist ein Windows-Rechner nötig (etwa Windows Server 2003) und außerdem eine Datenbank, auf die der Administration-Server zugreifen kann. Das kann MySQL oder MSDE 2000 (Microsoft SQL Server 2000 Desktop Engine) sein oder auch ein kostenpflichtiger Datenbank-Server wie Microsoft SQL Server. Haben Sie bereits eine Datenbank im Netz, dann können Sie diese zusätzlich für das Admin Kit verwenden. Eine funktionsfähige Datenbank ist Grundvoraussetzung für die Installation des Admin Kit.

Jetzt können Sie das Installationsprogramm des Kaspersky Admin Kit starten. Nicken Sie die Lizenz-Bedingungen ab und geben Sie einen Benutzernamen ein. Wählen Sie außerdem einen lokalen Installationspfad und achten Sie darauf, dass neben dem Server auch die Konsole installiert wird. Achtung: Es ist auch möglich und in vielen Unternehmen wohl auch üblich, Konsole und Server getrennt zu installieren. Deaktivieren Sie dazu einfach die Checkboxen im Installer.

Dann müssen Sie die installierte Datenbank zuordnen. Neben dem Server-Namen ist hier auch der Datenbank-Nutzername sowie das Passwort nötig, damit der Administration Server Schreib- und Leserechte bekommt. Dann gilt es noch ein gemeinsames Verzeichnis anzulegen und die IP-Adresse des Servers einzutragen, der jetzt als Dienst gestartet wird.

Adminkit nutzt logische Netzstrukturen

Virenscanner zentral verwalten (II)

Wenn Sie das Admin Kit zum ersten Mal starten, öffnet sich die Microsoft Management Konsole. Die Oberfläche ist also nichts weiter als ein Snap-in, das Sie beliebig in bereits angelegte Konsolen einbauen können. Da das Kit unabhängig von der tatsächlichen Netzwerk-Struktur arbeitet, betrachtet es ein logisches Netzwerk.

Der Vorteil: Sie können PCs im Netzwerk nach Security-Gesichtspunkten gruppieren, unabhängig davon wo sie tatsächlich angeschlossen sind. Das ist vor allem für große Netzwerke mit lange gewachsenen Strukturen ein Vorteil. Außerdem gut: Passt die Struktur eines Tages nicht mehr an die tatsächlichen Anforderungen, dann können Sie diese mit dem Admin Kit einfach anpassen.

(Spart Arbeit: Das Anlegen eines logischen Netzwerks anhand der Struktur des Windows-Netzes spart Zeit, die manuelle Variante ist nur für kleine Netzwerke geeignet.)

Ein logisches Netzwerk will aber erstmal erstellt werden. Kein Problem, bis etwa 15 PCs kann man das noch manuell erledigen. Bei großen Installationen mit mehreren 100 Clients, wird das schon schwieriger. Gut, dass beim ersten Start ein Wizard anspringt, der eine logische Struktur vom bestehenden Netzwerk ableitet. Übrigens können Sie diesen Wizard immer über das Kontextmenü und Schnellstart-Assistent starten. Der Wizard zeigt Ihnen Ihr Netzwerk übersichtlich in einer Baumstruktur an, wahlweise nach Domänen oder Subnetzen untergliedert sowie anhand einer Active-Directory-Struktur.

(Der Schnellstart-Assistent (hier in englischer Version) hilft bei der Erstellung eines logischen Netzwerks.)

Sollte der Wizard nicht alle PCs gefunden haben, können Sie eine eigene Suche nach Rechnernamen oder IP-Adressen starten, neu angemeldete Rechner tauchen automatisch auf. Wichtig: Sie können PCs, für die gleiche Einstellungen gelten sollen, zu Gruppen zusammenfassen, etwa Server und Workstations. Der Vorteil dabei ist, dass Sie für diese Gruppen alle Einstellungen in einem Rutsch festlegen können (siehe dazu auch Teil 3 dieses Workshops).

Russische Agenten im PC

Virenscanner zentral verwalten (II)

Die wichtigste Komponente auf allen PCs ist der Agent. Er spricht mit dem Server und führt Updates sowie Installationen durch. Sie verteilen diese Software einfach per Kontextmenü und Anwendung installieren oder über Assistent für Remote-Installation. Wählen Sie Weiter und dann Kaspersky Network Agent. Die Voreinstellungen im nächsten Fenster sind sinnvoll und sollten beibehalten werden.

(Agents und Server laufen als Windows-Dienste; zum Server-Betrieb ist eine MySQL-Datenbank nötig)

Über das Admin Kit können Sie sämtliche Kaspersky-Programme verteilen, installieren, konfigurieren und auch wieder entfernen. Dabei kommunizieren Server und Agent (auf den jeweiligen PCs installiert) ständig miteinander. Der Vorteil dabei: Der Agent hat alle Rechte, um Software auf dem Remote-System zu installieren; Sie müssen sich um spezielle Zugriffsrechte keine Gedanken machen. Die Software-Verteilung funktioniert natürlich auch per Multicast auf mehrere Computer gleichzeitig. Der Agent selbst kann dazu auch zentral verteilt werden, dafür ist aber ein Administrator-Account auf dem Remote-PC nötig, sowie eine aktivierte Dateifreigabe. Für Rechner in einer Domäne erstellt das Admin Kit auch geeignete Logon-Scripts.

Um Updates zu konfigurieren, gibt es mehrere Strategien. In kleinen Netzen holt sich der Server die Updates und verteilt sie zentral. Wer größere Installationen am Start hat sollte über eine Hierarchie von Slave-Servern nachdenken, die dann ebenfalls die Updates an die angebundenen Rechner verteilen. So wird einerseits die Last auf mehrere Server verteilt, und auch bei einem Server-Ausfall fließen die Updates trotzdem. Erstellen Sie einen neuen globalen Task, wählen Sie als Anwendung Kaspersky Administration Kit und unter Name Task zum Update-Download.

In Folge 3 erfahren Sie kommende Woche, wie Sie eine ganze Reihe von Rechnern einrichten, administrieren und dabei Ihre Security-Richtlinien überwachen können.