Tags: Sicherheit, Compliance, Patch-Management
Die baramundi Software AG ergänzte seine Management Suite in der Version 2014 R2 um eine Schwachstellen-Prüfung. Diese Funktion des Compliance-Moduls soll Admins dabei helfen, Lücken zu schnell zu erkennen und zu beheben: Detaillierte Auswertungen geben Auskunft über Schwachstellen und Abweichungen von Konfigurationsvorgaben.
Auch wenn das integrierte Patch- und Update-Management die Clients automatisch aktualisiert, so bleiben oftmals doch Schwachstellen und Konfigurationsfehler in den verwalteten Systemen bestehen und von Administratoren unerkannt. Hier springt das Compliance-Modul ein, indem es auf Grundlage einer eigenen Wissensbasis die Systeme tiefergehend prüft und dabei zusätzlich die Konfiguration ins Visier nimmt.
Bekannte Schwachstellen und abweichende Konfigurationen finden
Während das Patch-Management seine Updates ausschließlich von den Herstellern bezieht, konsultiert der Schwachstellen-Scanner mehrere öffentliche Vulnerability-Datenbanken wie die CVE Dictionary (Common Vulnerabilities and Exposures). Derzeit werden täglich etwa 7000 Einträge vom baramundi Management Server (bMS) automatisch heruntergeladen und für die Client-Scans verwendet.
Die Datenbasis umfasst dabei sowohl Schwachstellen von Betriebssystemen als auch von allen gängigen Applikationen, vom Web-Browser bis zum PDF-Reader.
Mit dem Compliance-Modul kann der Administrator zudem nach Abweichungen von Konfigurationsvorgaben suchen. Zwar konfigurieren Systemverwalter typischerweise alle wichtigen Client-Einstellungen zentral über Gruppenrichtlinien, aber ein hohes Sicherheitsniveau kann jedoch nur garantiert werden, wenn überprüft wird, ob die Richtlinien auf allen Clients angekommen sind.
Automatische Prüfungen über Jobs
baramundi-typisch steuert der Administrator die Compliance-Scans über Jobs. Das Modul enthält bereits solche für Vulnerability und Configuration Scan. Letzterer ist nach Client-Gruppen (Workstations, Member Server, Domain Controller) unterteilt.
Der Administrator kann also sofort loslegen, indem er in der Übersicht die entsprechenden Jobs startet und anschließend die Auswertung durchgeht. Zusätzlich kann er selbst Scan-Profile zusammenstellen, in welchen er die Prüfungen definiert und bei Bedarf Bedingungen hinzufügt (beispielsweise welche Bandbreite beim Client zur Verfügung steht oder welche OS-Version installiert ist). Schließlich legt er noch die Zeitsteuerung fest und ordnet den Job Gruppen von Geräten zu, auf die er angewandt werden soll.
Compliance-Scan und Updates im regelmäßigen Wechsel
Sinnvollerweise kombiniert baramundi Prüf- und Update- bzw. Patch-Vorgänge miteinander. So wird der Job Update System and Check Security mitgeliefert, welcher die Schritte
- Software aktualisieren
- Microsoft Patches verteilen
- Vulnerability Scan
direkt hintereinander ausführt.
Den Best Practices folgend, führt das Management-Tool den Compliance-Scan und die Patch-/Update-Läufe alternierend aus. Bewährt hat sich ein wöchentlicher Rhythmus, in dem zunächst das Update erfolgt und einige Tage später wieder ein vollständiger Schwachstellen-Check, der durch das Update eventuell zurückgelassene Lücken oder in der Zwischenzeit entstandene Probleme aufdeckt.
Compliance für Mobilgeräte und Mac OS Systeme
Da die baramundi Management Suite neben Windows auch Apple Mac OS X und mittels integriertem MDM auch iOS-, Android- und Windows-Mobilgeräte verwalten kann, umfasst das Compliance-Management auch diese Geräteklassen. Allerdings sind hier keine Konfigurations-Prüfregeln und Schwachstellen-Datenbanken vorhanden, vielmehr definiert der Administrator alle Regeln und deren Bedingungen selbst.
Er kann dabei Einschränkungen für Apps sowie den Umgang mit Jailbreaks definieren, Betriebssystemversionen prüfen sowie die Geräte regelbasiert und automatisch inventarisieren.
Als Reaktion auf einen festgestellten Verstoß kann man Aktionen veranlassen: eine Hardware- und/oder eine Software-Inventarisierung starten, Geräte sperren oder Entsperren, Scripte ausführen, Apps und Profile installieren oder deinstallieren.
Dashboard für den Compliance-Überblick
Das baramundi Management Center (bMC) konsolidiert alle Scan-Ergebnisse übersichtlich im Compliance-Dashboard. In einer grafischen Übersicht erhält man einen aktuellen Überblick über die Sicherheitslage, gestaffelt nach den Kriterien Verletzung von Konfigurationsregeln, verwundbarste Software, Geräte mit dem höchsten Gefährdungspotential sowie Geräte mit den meisten Schwachstellen. Letzteres ist meist ein Hinweis auf Probleme mit dem Update-Management der betreffenden Systeme.
Listendarstellungen erlauben einen Drill-down nach Rechner, Schwachstelle oder Gefährdungsgrad. Bei jedem Gerät befindet sich zudem eine detaillierte Compliance-Übersicht, welche nicht nur die Risiken und wichtigsten Schwachstellen, sondern auch eine Liste mit verwundbarer Software und fehlerhaften Konfigurationen anzeigt.
Keine Brücke zwischen Compliance und Update
Während sich die Module Compliance und Patches ideal ergänzen, existiert kein Automatismus, der Updates abhängig von entdeckten Schwachstellen priorisiert und einspielt. Eine solche Funktionalität ist erst für eine künftige Version geplant.
Allerdings lassen sich viele Sicherheitslücken und Fehlkonfigurationen prinzipiell nicht automatisch beseitigen, vielmehr verlangen sie nach manueller Analyse und Behebung. Das Compliance-Modul liefert den Sysadmins daher zu jeder gefundenen Schwachstelle Referenzen auf externe Informationsquellen sowie Lösungsansätze wie Patches oder neue Versionen.
Lizenzen und Preise
Das baramundi Compliance Management kann nur als Erweiterungsmodul der baramundi Management Suite erworben werden. Die Kosten für das Paket bemessen sich nach den gewählten Modulen sowie der Anzahl der verwalteten Clients. Den Preis nennt der Hersteller auf Anfrage.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andrej Radonic beschäftigt sich als IT-Journalist und als Vorstand der interSales AG seit über 20 Jahren mit IT-Lösungen für mittelständische Unternehmen. Spezialgebiete sind Virtualisierung, Open Source und E-Commerce.
// Kontakt: E-Mail, Xing, LinkedIn //
Verwandte Beiträge
- Microsoft ersetzt fehlerhafte Exchange Security Updates (SUs) für August
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Patch-Status von PCs überwachen mit Windows Update for Business Reports
- Update Compliance benötigt künftig Azure Active Directory
- Gruppenrichtlinien für Windows Update: Microsofts empfohlene Einstellungen
Weitere Links