ManageEngine hat Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicherheitskritischen Aufgaben ab. Dieses reicht von einer zentralen Browser- und BitLocker-Verwaltung über ein Device- und Schwachstellen-Management bis zum App-Whitelisting.
Neben den Standarddisziplinen für das Endpoint-Management wie Inventarisierung, OS-Deployment, Software-Verteilung oder Patch-Management entsteht zunehmend ein Bedarf für Funktionen, mit denen sich Endgeräte gegen diverse Bedrohungen absichern lassen.
Priorisierung wichtiger Updates
Angesichts der immer kürzeren Zeiträume, die verbleiben, bis böswillige Akteure neu entdeckte Schwachstellen ausnutzen, reicht ein einfaches Patch-Management oft nicht aus. Vielmehr sollten solche Tools die anstehenden Updates anhand der zugehörigen Sicherheitslücken bewerten.
Auf diese Weise können Admins erkennen, welche Patches besonders dringlich sind, um diesen eine höhere Priorität einzuräumen. Idealerweise lässt sich aus der Liste der gefundenen Schwachstellen die Installation des betreffenden Updates direkt anstoßen.
Offensichtlich ist es nicht genug, Schwachstellen nur im Betriebssystem oder in Microsoft Office zu beseitigen. Idealerweise unterstützt ein Patch-Management eine Vielzahl von Anwendungen und mehrere Plattformen, typischerweise neben Windows noch macOS oder Linux.
Integrierte Bedrohungsanalyse
Endpoint Central bietet ein derart umfassendes Patch-Management schon länger, das zudem mit einer Vulnerability-Datenbank integriert ist. Das neue Security Add-on ergänzt es um eine Bedrohungsanalyse, die eine Übersicht über gefundene CVEs sowie Zero Day Vulnerabilities bietet.
Das Zusatzmodul sichert Endgeräte zusätzlich durch die Analyse ihrer Konfiguration ab. Dazu vergleicht es die untersuchten Rechner mit Best Practices und moniert, wenn bestimmte Einstellungen davon abweichen. Eine eigene Übersicht ist möglichen Fehlkonfigurationen der IIS sowie den offenen Ports gewidmet.
Management von Applikationen
Zwei weitere Komponenten des Security-Moduls dienen dem Management von Anwendungen. Dies betrifft zum einen das Bannen unerwünschter Anwendungen durch Black- und Whitelisting, zum anderen der Verwaltung marktgängiger Web-Browser.
Die Beschränkung einer Umgebung auf handverlesene Anwendungen ist eine der effizientesten Maßnahmen, um Malware fernzuhalten. Programme, die sich nicht auf der Whitelist befinden, werden einfach blockiert.
In der Praxis lässt sich dieses Konzept aber meist nicht so leicht umsetzen. Zu den häufigsten Problemen zählt, dass bestimmte User, etwa Software-Entwickler, in der Lage sein müssen, eigene Anwendungen zu installieren. Außerdem werden Updates legitimer Programme blockiert, wenn die Whitelist Hashes nutzt, um ausführbare Dateien zu identifizieren, so dass man diese ständig neu in die Liste aufnehmen muss. Die Freigabe nur anhand von Zertifikaten erwünschter Hersteller scheitert daran, dass nicht alle Anwendungen signiert sind.
Erfassen von Anwendungen über eine Greylist
Aus diesen Gründen erfordert das App-Whitelisting in dynamischen Umgebungen einen erheblichen Aufwand. ManageEngine wählt hier einen pragmatischen Ansatz, indem es über den Audit-Modus nur erfasst, welche Programme auf den Systemen ausgeführt werden und diese dann in eine Greylist einsortiert. Von dort kann sie der Admin dann in eine White- oder Blacklist übernehmen.
Stellt sich schließlich heraus, dass man alle erforderlichen Anwendungen in der Whitelist erfasst hat, dann kann man sie in den strikten Modus schalten, um alle anderen Programme zu sperren. Von Vorteil erweist sich hier, dass sich Computer-Gruppen sehr flexibel zusammenstellen lassen.
Auf diese Weise kann man eine Whitelist genau auf jene Teile der Organisation abstimmen, für die sich dieses Konzept am besten eignet. In Frage kommen dafür besonders solche Abteilungen wie die Finanzbuchhaltung, die nur selten neue Programme benötigen und deren Daten besonders sensibel sind.
Temporäre und erhöhte Berechtigungen
Ausnahmen aus der White- oder Blacklist kann man bei Bedarf temporär genehmigen. Der Admin gibt zu diesem Zweck einen Zeitraum an, währenddessen bestimmte User alle oder ausgewählte Anwendungen verwenden dürfen.
Die Komponente App Control bietet neben dem expliziten Sperren oder Zulassen von Anwendungen auch eine runas-Funktion, mit deren Hilfe Standardbenutzer eigens dafür konfigurierte Anwendungen mit erhöhten Rechten ausführen können.
Browser-Management
Die unter Sicherheitsaspekten wohl heikelste Anwendung auf jedem PC ist heutzutage neben dem Mail-Client der Web-Browser. Hier beschränkt sich das Security Add-on nicht auf das Black- oder Whitelisting, sondern erlaubt ein fein granulares Management praktisch aller Einstellungen.
Die Browser-eigenen Optionen ergänzt Endpoint Central um weitere Restriktionen, beispielsweise um Download-Filter. Damit kann man festlegen, von welchen Websites Dateien welches Typs oder welcher maximalen Größe heruntergeladen werden dürfen.
Interessant ist hier zudem das zentrale Management von Browser-Erweiterungen. Diese Add-on trägt man in das lokale Repository ein, indem man ihre ID im Chrome Webstore, mozilla.org oder Microsofts Add-on-Website ermittelt. Die Extensionen lassen sich dann auf ausgewählten Gruppen von PCs installieren oder entfernen.
Dieses Modul erleichtert die Arbeit des Administrators vor allem dadurch, indem es wichtige Einstellungen für mehrere Browser in einem Durchgang konfigurieren kann. Neben jeder Option zeigen Icons an, welche Hersteller diese unterstützen. Zusätzlich lassen sich Richtlinien nur für bestimmte Browser definieren. Endpoint Central verwaltet derzeit Google Chrome, Microsoft Edge und Firefox.
Data Loss Prevention (DLP)
Die zwei letzten Module des Security Add-on kann man in die Kategorie DLP einordnen. Sie betreffen das Management von Peripheriegeräten und von BitLocker.
Die wesentliche Aufgabe von Device Control (Gerätesteuerung) besteht darin, den ungenehmigten Abfluss von Daten über externe Geräte zu verhindern. Dafür kommt all jene Hardware in Frage, die sich in irgendeiner Form als Speicher nutzen lässt, von USB-Sticks über digitale Kameras bis zu Handys. Drucker fallen letztlich auch in diese Kategorie, weil sie sensible Daten auf Papier ausgeben können.
Vordefinierte Geräteklassen und Richtlinien
Endpoint Central geht darüber hinaus und erlaubt das Management praktisch aller Gerätetypen, auch wenn sie keine Storage-Fähigkeiten besitzen. Dazu gehören etwa Tastaturen, Mäuse oder Scanner von biometrischen Daten.
Admins können ohne großen Aufwand in das Device-Management einsteigen, weil Endpoint Central bereits eine ganze Reihe von Richtlinien mitbringt, die sie nur mehr auf bestimmte Computer anwenden müssen. Dazu zählt etwa das Blockieren aller Geräte außer Mäusen, von Druckern und Scannern oder von Speichergeräten. Eine weitere Policy schränkt alle USB-Geräte auf den Lesezugriff ein.
Möchte man eine eigene Richtlinie erstellen, dann zeigt sich, dass ManageEngine praktisch alle Geräteklassen schon vordefiniert hat. Man muss dort nur mehr auswählen, welche Maßnahmen für welche Device-Typen gelten sollen.
Wie bei derartigen Tools üblich, kann man auch hier spezifische Geräte als vertrauenswürdig markieren, so dass Benutzer auf sie Zugriff haben, auch wenn diese Geräteklasse sonst blockiert ist. Ausnahmen aus der Sperre lassen sich alternativ temporär definieren, so dass User während eines bestimmten Zeitraums verbotene Geräte verwenden dürfen.
Zentrales BitLocker-Management
Die Laufwerksverschlüsselung soll bei Diebstahl oder Verlust eines Notebooks verhindern, dass Unbefugte Zugriff auf sensible Daten erhalten. Sie sichert aber auch Desktop-Rechner ab und gewährleistet, dass Angreifer das lokale Admin-Konto nicht hacken können, selbst wenn sie physischen Zugang zum PC haben.
BitLocker erfüllt als Bordmittel von Windows diese Aufgabe, lässt sich aber über die Gruppenrichtlinien nur eingeschränkt zentral verwalten. So bietet es kein Reporting, aus dem man den BitLocker-Status aller Rechner ersehen kann. Zudem fehlt eine komfortable Verwaltung der Wiederherstellungsschlüssel.
Das BitLocker-Modul von Endpoint Central ergänzt solche Funktionen und übernimmt zudem Aufgaben, für die sonst GPOs zuständig sind. Das betrifft etwa die Aktivierung der Verschlüsselung, die Konfiguration der Authentifizierung für Rechner mit und ohne TPM oder die Einstellung, ob nur der benutzte Speicherplatz oder das ganze Laufwerk verschlüsselt werden soll.
Diese Richtlinien lassen sich anders als GPOs nicht nur OUs oder Domänen zuordnen, sondern praktisch beliebig zusammengestellten Gruppen von PCs.
Fazit
Mit dem Security Add-on folgt ManageEngine dem Trend, Lösungen für das Client-Management um Funktionen zur Absicherung der Endgeräte zu versehen.
Die fünf Module ergänzen das Patch-Management um eine Bedrohungsanalyse, schränken die Nutzung unerwünschter Anwendungen ein, erlauben ein zentrales Management der Web-Browser, kontrollieren die Verwendung von Peripheriegeräten und versehen BitLocker mit einer zentralen Verwaltung.
Die Systemverwalter profitieren nicht nur von den fein abgestuften Richtlinien, die eine zielgenaue Konfiguration der Browser oder der erlaubten Geräte möglich macht. Vielmehr erleichtert und beschleunigt Endpoint Central all diese Aufgaben durch eine übersichtliche und intuitive Web-Konsole.
Auch wenn die einzelnen Bestandteile des Add-ons nicht bei allen Aspekten mit spezialisierten Tools für DLP oder das Device-Management mithalten können, so erreichen Unternehmen damit aber schnell und preiswert einen deutlich verbesserten Schutz ihrer Endgeräte.
Verfügbarkeit
In Deutschland vertreibt der Distributor MicroNova die Tools von ManageEngine, von dessen Website man auch Endpoint Central herunterladen kann.
Die Trial-Version umfasst alle Funktionen des Vollprodukts, und sie konvertiert nach Ablauf der Testphase automatisch zur Free Edition. Diese kann bis zu 25 PCs plus 25 mobile Geräte verwalten.
Das Security Add-on gehört seit dem Build 100621 zum Lieferumfang aller Editionen von Endpoint Central, muss jedoch explizit aktiviert werden. Eine gute Einführung in die Materie bietet dieses Video. Einen kompletten Überblick über das Produkt erhalten Interessierte in den regelmäßig stattfindenden Live-Demos.
*Dies ist ein bezahlter Beitrag der MicroNova AG
MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobilfunknetzen sowie IT-Management. 300 Experten und Expertinnen arbeiten am Hauptsitz in Vierkirchen bei München sowie an neun weiteren Standorten in Deutschland und Tschechien
Weitere Beiträge von diesem Anbieter