Die baramundi Software AG ergänzte ihre Management Suite in der Version 2014 R2 um eine automatisierte Schwachstellen-Prüfung für Windows-Systeme. Angesichts von zirka 5000 neuen Sicherheitslücken jährlich erscheint dies durchaus sinnvoll. Mit der Erweiterung des Compliance-Moduls will der Augsburger Softwarehersteller zudem IT-Administratoren helfen, schnell und gezielt Sicherheitslücken zu erkennen und zu beheben: Detaillierte Auswertungen geben Auskunft über aktuelle Sicherheitslücken, Abweichungen von Konfigurationsvorgaben, die am meisten gefährdeten Systeme und problematischsten Anwendungen.
Aufdecken von Sicherheitslücken und Konfigurationsproblemen
Die Compliance-Sicht liefert damit eine wichtige Ergänzung des in der Management Software enthaltenen Patch- und Update Managements: Während Letzteres die Aktualisierung der Clients automatisiert, bleiben oftmals Schwachstellen und Konfigurationsfehler in den verwalteten Systemen bestehen und von Administratoren unerkannt. Hier springt das Compliance-Modul ein, indem es auf Basis einer eigenen Wissensbasis tiefergehende Prüfungen vornimmt und dabei zusätzlich die Konfigurationsebene ins Visier nimmt.
Scan sucht nach allen bekannten Schwachstellen
Während das Patch-Management sein Wissen und seine Updates ausschließlich von den Herstellern bezieht, konsultiert der Schwachstellen-Scanner mehrere öffentliche Vulnerability-Datenbanken wie die CVE Dictionary (Common Vulnerabilities and Exposures). Derzeit etwa 7000 Einträge werden vom baramundi Management Server (bMS) täglich automatisch heruntergeladen und für die Client-Scans verwendet. Die Datenbasis umfasst dabei sowohl Schwachstellen von Betriebssystemen als auch allen gängigen Softwareapplikationen, vom Internet-Browser bis zum PDF-Reader.
Compliance bei Sicherheit und Konfiguration
Mit dem Compliance-Modul kann der Administrator zudem nach Abweichungen von Konfigurationsvorgaben suchen. Zwar definieren und verteilen IT-Administratoren typischerweise alle wichtigen Client-Konfigurationen zentral über Gruppenrichtlinien. Ein hohes Sicherheitsniveau kann jedoch nur durch eine Prüfung garantiert werden, ob die Richtlinien auf allen Clients angekommen sind und nicht durch Supportmaßnahmen oder unbefugte Anwendereingriffe abgeändert oder gar durch Patches ausgehebelt wurden.
Administrator steuert Prüfungen über Jobs
Baramundi-typisch steuert der Administrator die Compliance-Scans über sogenannte Jobs. Das Modul enthält dafür bereits vorgefertigte Jobs für Vulnerability und einen Configuration Scan. Letzterer ist nach Client-Gruppen (Workstations, Member Server, Domain Controller) unterteilt.
Der Administrator kann damit sofort loslegen, indem er in der Job-Übersicht die entsprechenden Jobs startet und anschließend die Auswertung durchgeht. Zusätzlich kann er selbst Scanprofile zusammenstellen, in welchen er die durchzuführenden Prüfungen definiert, bei Bedarf mit Bedingungen (beispielsweise welche Bandbreite beim Client zur Verfügung steht oder welche OS-Version installiert ist) sowie mit Zeitsteuerung versieht und Gruppen von Geräten zuordnet, auf welche die Jobs angewendet werden sollen.
Compliance-Scan und Updates im regelmäßigen Wechsel
Sinnvollerweise werden Prüf- und Update- bzw. Patch-Jobs miteinander kombiniert. So wird der Job "Update System and Check Security" mitgeliefert, welcher die Schritte 1) Software aktualisieren, 2) Microsoft Patches verteilen, 3) Vulnerability Scan direkt hintereinander ausführt.
Im Sinne der Best Practice werden dabei Compliance-Scan und Patch-/Update Läufe alternierend durchgeführt: bewährt hat sich ein wöchentlicher Rhythmus, in dem zunächst der Updatelauf erfolgt und einige Tage später wieder ein vollständiger Schwachstellen-Check, der durch das Update zurückgelassene Lücken oder in der Zwischenzeit entstandene Probleme aufdeckt.
Compliance für Mobilgeräte und Mac OS Systeme
Da die baramundi Management Suite neben Windows-Systemen auch Apples Mac OS X Computer und mittels integriertem MDM auch iOS-, Android- und Windows-Mobilgeräte managen kann, umfasst das Compliance-Management auch diese Geräteklassen. Allerdings sind hier keine Konfigurations-Prüfregeln und Schwachstellen-Datenbanken vorhanden, vielmehr definiert der Administrator alle Regeln und deren Bedingungen selbst. Er kann dabei Einschränkungen für Apps sowie Regeln im Umgang mit Jailbreaks definieren, Betriebssystemversionen prüfen sowie regelbasiert regelmäßige Inventarisierungen durchführen.
Als Reaktion auf einen festgestellten Verstoß kann er Aktionen veranlassen: eine Hardware- und/oder eine Software-Inventarisierung durchführen, Geräte sperren oder Entsperren, Scripte ausführen, Apps und Profile installieren oder deinstallieren.
Dashboard für den Compliance-Überblick
Das baramundi Management Center (bMC) konsolidiert alle Scan-Ergebnisse übersichtlich im Compliance-Dashboard: In einer grafischen Übersicht erhält der Admin einen aktuellen Überblick über die Sicherheitslage, gestaffelt nach den Kriterien Verletzung von Konfigurationsregeln, verwundbarste Software, Geräte mit dem höchsten Gefährdungspotential sowie Geräte mit den meisten Schwachstellen. Letzteres ist meist ein Hinweis auf Probleme mit dem Update-Management der betreffenden Systeme.
Listendarstellungen erlauben einen Drill-down nach Rechner, Schwachstelle oder Gefa¨hrdungsgrad. Bei jedem Gerät befindet sich zudem eine detaillierte Compliance-Übersicht, welche nicht nur den Gefährdungsgrad und die wichtigsten Schwachstellen, sondern auch eine Liste der verwundbaren Softwareapplikationen und fehlerhaften Konfigurationen mitbringt.
Keine Brücke zwischen Compliance und Update
Während sich die Module Compliance und Patches ideal ergänzen, existiert kein Automatismus, der Updates automatisch auf Basis der Ergebnisse von Compliance-Scans durchführt. Eine solche Funktionalität ist erst für eine künftige Version geplant.
Allerdings ist für viele Schwachstellen und Konfigurationslücken prinzipiell keine automatische Remedy machbar, vielmehr verlangen sie nach manueller Analyse und Behebung. Das Compliance-Modul liefert Admins daher zu jeder gefundenen Schwachstelle Referenzen auf externe Informationsquellen sowie Lo¨sungsansa¨tze wie Patches oder neue Versionen.
Fazit
Mit dem Schwachstellen-Scanner stattet baramundi IT-Administratoren mit einem sehr nützlichen Tool aus, liefert es doch für das Client-Management entscheidende Hinweise über den Sicherheitsstatus über die Windows-Umgebung hinaus sowie etwaige Lücken, die die Herstellerupdates hinterlassen oder erzeugt haben.
Lizenzen und Preise
Das baramundi Compliance Management kann nur als Erweiterungsmodul der baramundi Management Suite erworben werden. Der Lizenzpreis für das Paket bemisst sich nach den gewählten Modulen sowie der Anzahl der verwalteten Clients. Den Preis nennt der Hersteller auf Anfrage. (wh)