Client-Management für Windows
Baramundi Management Suite im Test
Die baramundi Software AG ergänzte ihre Management Suite in der Version 2014 R2 um eine automatisierte Schwachstellen-Prüfung für Windows-Systeme. Angesichts von zirka 5000 neuen Sicherheitslücken jährlich erscheint dies durchaus sinnvoll. Mit der Erweiterung des Compliance-Moduls will der Augsburger Softwarehersteller zudem IT-Administratoren helfen, schnell und gezielt Sicherheitslücken zu erkennen und zu beheben: Detaillierte Auswertungen geben Auskunft über aktuelle Sicherheitslücken, Abweichungen von Konfigurationsvorgaben, die am meisten gefährdeten Systeme und problematischsten Anwendungen.
Aufdecken von Sicherheitslücken und Konfigurationsproblemen
Die Compliance-Sicht liefert damit eine wichtige Ergänzung des in der Management Software enthaltenen Patch- und Update Managements: Während Letzteres die Aktualisierung der Clients automatisiert, bleiben oftmals Schwachstellen und Konfigurationsfehler in den verwalteten Systemen bestehen und von Administratoren unerkannt. Hier springt das Compliance-Modul ein, indem es auf Basis einer eigenen Wissensbasis tiefergehende Prüfungen vornimmt und dabei zusätzlich die Konfigurationsebene ins Visier nimmt.
- Compliance Dashboard
Das Compliance-Dashboard stellt alle Scan-Ergebnisse zusammenfassend dar und liefert einen Sofortüberblick über die Sicherheitslage der Umgebung. - Compliance Verstöße
baramundi Compliance prüft auch Apple Mac OS X Computer auf Verstöße. - Scans als Jobs definiert
Compliance-Scans werden als Jobs definiert und ausgeführt und lassen sich miteinander kombinieren sowie mit Bedingungen und Zeitsteuerung versehen. - Compliance Scan
Compliance-Scans prüfen automatisiert und zeitgesteuert die Clients auf Schwachstellen und Konfigurationsverstöße - Konfigurations-Check
Der Konfigurations-Check scannt Windows-Systeme tiefgehend auf Basis eines umfassenden Regelkataloges. - Sicherheitslücken entdecken
baramundi Compliance prüft Clients auf Sicherheitslücken auf Basis eines täglich aktualisierten Schwachstellenkataloges mit annähernd 7000 Einträgen.
Scan sucht nach allen bekannten Schwachstellen
Während das Patch-Management sein Wissen und seine Updates ausschließlich von den Herstellern bezieht, konsultiert der Schwachstellen-Scanner mehrere öffentliche Vulnerability-Datenbanken wie die CVE Dictionary (Common Vulnerabilities and Exposures). Derzeit etwa 7000 Einträge werden vom baramundi Management Server (bMS) täglich automatisch heruntergeladen und für die Client-Scans verwendet. Die Datenbasis umfasst dabei sowohl Schwachstellen von Betriebssystemen als auch allen gängigen Softwareapplikationen, vom Internet-Browser bis zum PDF-Reader.
Compliance bei Sicherheit und Konfiguration
Mit dem Compliance-Modul kann der Administrator zudem nach Abweichungen von Konfigurationsvorgaben suchen. Zwar definieren und verteilen IT-Administratoren typischerweise alle wichtigen Client-Konfigurationen zentral über Gruppenrichtlinien. Ein hohes Sicherheitsniveau kann jedoch nur durch eine Prüfung garantiert werden, ob die Richtlinien auf allen Clients angekommen sind und nicht durch Supportmaßnahmen oder unbefugte Anwendereingriffe abgeändert oder gar durch Patches ausgehebelt wurden.
Administrator steuert Prüfungen über Jobs
Baramundi-typisch steuert der Administrator die Compliance-Scans über sogenannte Jobs. Das Modul enthält dafür bereits vorgefertigte Jobs für Vulnerability und einen Configuration Scan. Letzterer ist nach Client-Gruppen (Workstations, Member Server, Domain Controller) unterteilt.
Der Administrator kann damit sofort loslegen, indem er in der Job-Übersicht die entsprechenden Jobs startet und anschließend die Auswertung durchgeht. Zusätzlich kann er selbst Scanprofile zusammenstellen, in welchen er die durchzuführenden Prüfungen definiert, bei Bedarf mit Bedingungen (beispielsweise welche Bandbreite beim Client zur Verfügung steht oder welche OS-Version installiert ist) sowie mit Zeitsteuerung versieht und Gruppen von Geräten zuordnet, auf welche die Jobs angewendet werden sollen.
Compliance-Scan und Updates im regelmäßigen Wechsel
Sinnvollerweise werden Prüf- und Update- bzw. Patch-Jobs miteinander kombiniert. So wird der Job "Update System and Check Security" mitgeliefert, welcher die Schritte 1) Software aktualisieren, 2) Microsoft Patches verteilen, 3) Vulnerability Scan direkt hintereinander ausführt.
Im Sinne der Best Practice werden dabei Compliance-Scan und Patch-/Update Läufe alternierend durchgeführt: bewährt hat sich ein wöchentlicher Rhythmus, in dem zunächst der Updatelauf erfolgt und einige Tage später wieder ein vollständiger Schwachstellen-Check, der durch das Update zurückgelassene Lücken oder in der Zwischenzeit entstandene Probleme aufdeckt.
Compliance für Mobilgeräte und Mac OS Systeme
Da die baramundi Management Suite neben Windows-Systemen auch Apples Mac OS X Computer und mittels integriertem MDM auch iOS-, Android- und Windows-Mobilgeräte managen kann, umfasst das Compliance-Management auch diese Geräteklassen. Allerdings sind hier keine Konfigurations-Prüfregeln und Schwachstellen-Datenbanken vorhanden, vielmehr definiert der Administrator alle Regeln und deren Bedingungen selbst. Er kann dabei Einschränkungen für Apps sowie Regeln im Umgang mit Jailbreaks definieren, Betriebssystemversionen prüfen sowie regelbasiert regelmäßige Inventarisierungen durchführen.
Als Reaktion auf einen festgestellten Verstoß kann er Aktionen veranlassen: eine Hardware- und/oder eine Software-Inventarisierung durchführen, Geräte sperren oder Entsperren, Scripte ausführen, Apps und Profile installieren oder deinstallieren.