Für einen ganzheitlichen Schutz der IT-Umgebung müssen Administratoren vollumfänglich über alle Endpoints, der darauf installierten Software sowie der jeweiligen Konfiguration im Bilde sein. [...]
Fehlen diese Informationen, ist für Administratoren unklar, ob oder wo Handlungsbedarf besteht. Eine Unified-Endpoint-Management-Lösung verschafft IT-Verantwortlichen einen umfassenden Überblick über die komplexe IT-Infrastruktur und unterstützt Administratoren bei der ganzheitlichen, effizienten Verwaltung und Absicherung der IT.
Hard- und Software inventarisieren
Mithilfe einer UEM-Lösung sind IT-Administratoren in der Lage, alle Endpoints, Software, Prozesse und Dienste im Unternehmen automatisiert zu inventarisieren. Mit diesen Informationen können Administratoren feststellen, welche Assets welcher Abteilung oder welchem Client zugeordnet sind. Auch Netzwerkelemente wie z.B. Router, Switches und Drucker werden erfasst und inventarisiert. Für diese Netzwerkgeräte können spezifische Informationen wie beispielsweise die Firmware ausgelesen und angezeigt werden. Moderne UEM-Lösungen bieten eine grafische Visualisierung der Netzwerktopologie mittels IT-Landkarten, die der IT-Administration alle Zusammenhänge und Verbindungen der Endpoints innerhalb der IT-Umgebung aufzeigen.
Virtuelle Umgebungen
Physisch oder virtuell? Mit einer UEM-Lösung erkennen IT-Administratoren auf einen Blick, um welche Art von Endpoint es sich handelt. Das sorgt für einen noch besseren Überblick. Beispielsweise inventarisiert die IT-Administration bereits bestehende VMware-Umgebungen, erhält relevante Informationen zu den virtuellen Maschinen und Ressourcen des Hypervisors. Darüber hinaus sind in der Regel noch Informationen zu Hosts, Datenspeichern, Clustern und Ressourcenpools ersichtlich. Mit einer UEM-Software können dann neben der Inventarisierung auch Routineaufgaben wie Betriebssysteminstallation, Softwareverteilung, Einspielen von Patches automatisiert durchgeführt werden. Sinnvoll ist es auch, wenn neue VMs direkt aus der UEM-Lösung bereitgestellt werden können. Auf Basis von VM-Provisioning-Profilen stehen ergänzende Informationen wie OS-Anpassungsspezifikationen, Hypervisor, Datacenter, Datenspeicher, Ordner und Ressourcen zusätzlich zur Vorlage bereit. Das senkt die Fehlerquote bei der Konfiguration der Einstellungen und spart Zeit bei der Erstellung neuer VMs.
Physisch oder virtuell? Mit einer UEM-Lösung erkennen IT-Administratoren auf einen Blick, um welche Art von Endpoint es sich handelt. Das sorgt für einen noch besseren Überblick. Beispielsweise inventarisiert die IT-Administration bereits bestehende VMware-Umgebungen, erhält relevante Informationen zu den virtuellen Maschinen und Ressourcen des Hypervisors. Darüber hinaus sind in der Regel noch Informationen zu Hosts, Datenspeichern, Clustern und Ressourcenpools ersichtlich. Mit einer UEM-Software können dann neben der Inventarisierung auch Routineaufgaben wie Betriebssysteminstallation, Softwareverteilung, Einspielen von Patches automatisiert durchgeführt werden. Sinnvoll ist es auch, wenn neue VMs direkt aus der UEM-Lösung bereitgestellt werden können. Auf Basis von VM-Provisioning-Profilen stehen ergänzende Informationen wie OS-Anpassungsspezifikationen, Hypervisor, Datacenter, Datenspeicher, Ordner und Ressourcen zusätzlich zur Vorlage bereit. Das senkt die Fehlerquote bei der Konfiguration der Einstellungen und spart Zeit bei der Erstellung neuer VMs.
Endpoints außerhalb des Unternehmensnetzwerks verwalten
Befinden sich Endpoints permanent im LAN, dann können diese jederzeit zu Administrationszwecken erreicht werden.
Bei Mitarbeitern, die einen Großteil ihrer Arbeitszeit jedoch nicht im Unternehmen verbringen, ist die Erreichbarkeit nicht immer gegeben. Dann kann es problematisch werden, weil beispielsweise sicherheitsrelevante Updates nicht zeitnah eingespielt werden können. Für IT-Administratoren muss deshalb gewährleistet sein, dass der Endpoint jederzeit erreicht werden kann – unabhängig von der Mitwirkung der Nutzer. Eine Möglichkeit, diese Endpoints auch ohne die VPN-Verbindung zu erreichen und zu verwalten ist der Einsatz von Internet-Enabled Endpoint Management (IEM).
Bei Mitarbeitern, die einen Großteil ihrer Arbeitszeit jedoch nicht im Unternehmen verbringen, ist die Erreichbarkeit nicht immer gegeben. Dann kann es problematisch werden, weil beispielsweise sicherheitsrelevante Updates nicht zeitnah eingespielt werden können. Für IT-Administratoren muss deshalb gewährleistet sein, dass der Endpoint jederzeit erreicht werden kann – unabhängig von der Mitwirkung der Nutzer. Eine Möglichkeit, diese Endpoints auch ohne die VPN-Verbindung zu erreichen und zu verwalten ist der Einsatz von Internet-Enabled Endpoint Management (IEM).
Um die Endpoints mittels IEM sicher zu managen, werden Zertifikate auf Server und Endpoint-Seite, eine verschlüsselte Kommunikation (HTTPS) dazwischen und ein Gateway mit erweiterten Funktionen genutzt. IT-Administratoren sollten mit einer modernen UEM-Lösung in der Lage sein, sowohl mit Endpoints in vertrauenswürdigen (z.B. entfernte Unternehmensstandorte), aber auch in nicht vertrauenswürdigen Netzen (z.B. Hotel) eine Verbindung aufzubauen. Die Erreichbarkeit von Unternehmensressourcen wie dem File-Server ist in diesen Netzen unterschiedlich, wird aber mittels umfangreicher IEM-Funktionalität flexibel ermöglicht.
Der große Unterschied zu VPN-Verbindungen liegt darin, dass der IT-Administrator nicht mehr auf das Mitwirken des Endbenutzers zum Aufbau einer solchen Verbindung angewiesen ist und so stattdessen mithilfe der IEM-Funktionalität wichtige administrative Aufgaben, wie die Inventarisierung, die Installation neuer Software und die kontinuierliche Versorgung mit Updates und Sicherheits-Patches gewährleisten kann.
Nach dem Angriff ist vor dem Angriff
Gerade der Angriff WannaCry hat gezeigt wie verletzlich die IT-Infrastruktur ist, wenn Sicherheitslücken in Software nicht gepatcht werden. Außerdem verdeutlicht er die Notwendigkeit, heutzutage schnell Patche zu verteilen, um Software-Schwachstellen zu schließen. Ein Schwachstellenscanner als Teil einer UEM-Lösung, der alle Endpoints automatisiert auf Schwachstellen hin prüft, hat sich in vielen Fällen bereits bewährt. Auf Basis von anerkannten und kontinuierlich aktualisierten Datenbanken prüft der Scanner anhand von Regeln die Endpoints. Wichtig ist, dass der Katalog für Schwachstellen ausreichend groß ist – nur dann ist eine umfangreiche Prüfung möglich. Gute Schwachstellenscanner sollten mehrere Tausend CVE-Regeln enthalten, um Schwachstellen schnell zu identifizieren und beheben zu können.
Gelegentlich kommt es vor, dass Schwachstellen in wiederverwendbaren Bibliotheken wie beispielsweise OpenSSL von Programmen gefunden werden. Neben der Anzeige von möglichen Lösungsvorschlägen wie die Sicherheitslücke zu schließen ist, sollte auch die Definition von Ausnahmen in der UEM-Lösung möglich sein. So könnte zum Beispiel für Software A eine Ausnahme definiert werden und für Software B ein Programm-Update eingespielt werden.
Im Idealfall beinhaltet eine moderne UEM-Lösung sogleich ein automatisiertes Patchmanagement, dass neben Microsoft-Patches auch Programm-Updates für populäre Anwendungen wie beispielsweise Adobe Reader, Java oder Mozilla Firefox verteilen kann. Der IT-Administrator kann nach der Verteilung des benötigten Patches auf die Endpoints überprüfen, ob die relevanten Updates erfolgreich aufgespielt wurden.
Neben fehlenden Patches stellen falsche Konfigurationseinstellungen ein hohes Risiko für die Sicherheit dar. IT-Administratoren sollten unbedingt einheitliche Konfigurationen auf alle Endpoints ausrollen und auch regelmäßig prüfen, ob diese noch immer unverändert bestehen. Stellt der IT-Administrator Abweichungen fest, muss er in der Lage sein, direkt zu reagieren und die nötigen Maßnahmen zur Wiederherstellung der Regelkonformität mit der UEM-Lösung einzuleiten.
Fazit
Die Kenntnis aller Ressourcen und deren Abhängigkeiten ist maßgeblich für eine ganzheitliche und sichere Verwaltung der IT-Umgebung. Eine moderne UEM-Lösung unterstützt die IT-Administration dabei, ein Höchstmaß an IT-Sicherheit einzuführen und aufrechtzuerhalten. IT-Administratoren können schließlich immer nur das schützen, was sie auch sehen.
*Der Autor Robert Klinger ist Produktmanager bei baramundi software.
*Der Autor Robert Klinger ist Produktmanager bei baramundi software.
Be the first to comment