Thought Leadership
Die Zeiten der Turnschuhadministration dürften endlich vorbei sein. Grund ist die Weiterentwicklung in der IT, wo Applikationen vermehrt aus der Cloud bezogen werden und Beschäftigte im Homeoffice sich nur schwer kontrollieren lassen. Hinzu kommen quasi täglich neue Schwachstellen und dazu passende Patches.
All dies doch manuell verwalten und im Griff behalten zu wollen, erscheint illusorisch. Deshalb muss automatisiert werden. Auch Systeme für Client (oder: Unified Endpoint) Management bieten inzwischen immer mehr Automatismen.
UEM-Lösungen wie die ACMP Suite von Aagon ermöglichen es, von einer zentralen Konsole aus beliebige Devices im Netzwerk zu kontrollieren und zu sichern. Inventarisierung, Patch Management, OS Deployment, Schwachstellenerkennung, Asset- und Lizenzmanagement sind die wichtigsten UEM-Funktionen, die sich in einem System wie der ACMP Suite als einzelne Module aktivieren lassen. Hinzu kommen in letzter Zeit Security-Funktionalitäten durch die Einbettung von Tools wie Microsoft Defender, BitLocker oder Intune. In der UEM-Plattform interagieren diese dann mit den klassischen Modulen.
Automatisierung bedeutet in diesem Fall: Das UEM-System weist Clients auf Basis bestimmter Eigenschaften bestimmten Gruppen und Containern dynamisch zu. Auf diese werden anschließend Jobs und Skripte angewandt. Angesichts der wachsenden und vielfältigeren Aufgaben der IT funktioniert es heute nicht mehr anders.
Administration orientiert sich heute am User
Feste Arbeitszeiten nine-to-five? Dieses klassische Modell tritt mehr und mehr in den Hintergrund. Auch Festangestellte sind in ihrer Einteilung von Arbeitszeit und -ort heute oftmals recht frei. Umso schwerer wird es angesichts dessen, Sicherheit auf den Endgeräten herzustellen. Der IT-Admin weiß gar nicht, wann er überhaupt neue Updates einspielen soll. Nach Betriebsschluss wie früher üblich? So mancher Rechner ist auch nach 17:00 Uhr noch nicht heruntergefahren.
Deshalb müssen Admins die User heute stärker als bisher in ihre Arbeit einbeziehen. Zum Beispiel durch Self-Services-Möglichkeiten, damit diese selbst entscheiden können, wann ein bestimmtes Update durchgeführt werden soll. Waren Admin-Tätigkeiten früher grundsätzlich auf das Gerät bezogen, orientieren Sie sich heute am User. Dieser will mitreden und seine Freiheiten haben – dem muss die IT Rechnung tragen.
Trotzdem braucht sie nach wie vor einen Überblick, wann was geschehen ist, ob erforderliche Zeitgrenzen eingehalten werden oder manches Update nicht dann doch „hart“ durchgeführt werden muss. Denn so viel der User auch entscheiden möchte: Nicht immer kann sich die IT danach richten – wenn er zum Beispiel zum geplanten Zeitpunkt gerade keine stabile Internetverbindung hat. 3GB-Patches über eine LTE-Verbindung herstellen: Das klappt in der Regel nicht. Solche Vorgänge müssen daher definiert und automatisiert werden.
Security-Funktionen verschmelzen mit klassischem UEM
Security ist heute immer stärker mit dem klassischen UEM verwoben. Wenn nicht an aktuellen Patches eingespielt sind, hilft auch das beste Antivirus-Programm nichts. Wichtigster erster Schritt ist dabei stets die Inventarisierung. Denn nur die Komponenten lassen sich schützen, von deren Existenz man überhaupt weiß. Über das Vulnerability-Modul des UEM-Systems werden anschließend Schwachstellen gesucht, gefolgt vom Einspielen der Patches. Wo damit angefangen werden soll und ob es zu jeder Zeit funktioniert, ist wiederum abhängig vom User. Angesichts der enger werdenden Taktung von Schwachstellen und Patches ist es essenziell, dass das UEM-System diese Tätigkeiten automatisch durchführt. Nur so lässt sich direkt und zeitnah auf Sicherheitsvorfälle reagieren.
Ein Bugfix, dass nicht angewendet wurde
Vor einiger Zeit machte der „Windows RE Bug“ von sich reden. Der BitLocker konnte hier umgangen werden über die Windows-Wiederherstellungsumgebung (Windows RE), so dass Kriminelle potenziell auf verschlüsselte Daten hätten zugreifen können. Am 19. September 2022 erschien die klassische CVE-ID, wurde registriert und als relativ kritisch eingestuft. Microsoft reagierte schnell und veröffentlichte am 8. November ein Bugfix. So weit so gut, nur stellte sich im Januar heraus, dass das Update gar nicht angewendet worden war. Grund: Das klassische Windows-Update wird nicht auf die Windows-RE-Umgebung angewendet. Man dachte also, die Lücke wäre geschlossen – ein Fehlschluss.
Wer dann seine Rechner manuell patchen wollte, musste erst einmal wissen, welche Windows RE vorliegt, ob sie anfällig ist und welches Patch benötigt würde. Zwar gab es ein allgemeines Patch, das aber in vielen Fällen zu groß war. Die Standard-Windows-RE, wie sie beim Rollout angelegt wird, ist im Default bei Microsoft 512 MB groß. Das Patch umfasste aber 780 MB und ließ sich hier gar nicht anwenden. Gefragt war also ein spezielles Patch für genau die eigene Version.
Microsoft erkannte den Ernst der Lage und veröffentlichte daraufhin ein Skript für die Inventarisierung, das Aufschluss über jeweilige Windows-RE-Version geben sollte. Aagon integrierte es in sein UEM-System, ebenso wie ein weiteres Skript für den eigentlichen Patch. Dieses hätte man nun an jedem Rechner einzeln ausführen können. Die ACMP Suite ermöglicht es hingegen, seinerseits ein Skript beziehungsweise Client Command zu erstellen, das eigenständig erkennt, welche Windows-RE-Version vorliegt, ob sie gepatcht werden kann und wenn ja, mit welchem Patch. Dieser wird dann automatisch ausgeführt. Funktioniert dies nicht, erfolgt eine automatische Deaktivierung von Windows RE.
Das Windows-RE-Problem ist als gutes Beispiel dafür, dass Patchen, Sicherheit und Automatisieren heute eng zusammengehören. IT-Administrationsabteilungen, die dies beherzigen und zudem die User in ihre Arbeit mit einbeziehen, haben die Grundlage dafür geschaffen, auch mit dünner Personaldecke noch ihren anspruchsvoller werdenden Aufgaben gerecht zu werden.
