Im Test: BitLocker, Web-Browser, USB-Geräte, Schwachstellen und App-Whitelists mit ​Endpoint Central verwalten

    Desktop Central Security Add-onManageEngine hat ​Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicher­heits­kritischen Aufgaben ab. Dieses reicht von einer zent­ralen Browser- und BitLocker-Verwaltung über ein Device- und Schwach­stellen-Manage­ment bis zum App-Whitelisting.

    Neben den Standard­disziplinen für das Endpoint-Management wie Inven­tari­sierung, OS-Deployment, Software-Verteilung oder Patch-Management entsteht zunehmend ein Bedarf für Funktionen, mit denen sich Endgeräte gegen diverse Bedrohungen absichern lassen.

    Priorisierung wichtiger Updates

    Angesichts der immer kürzeren Zeiträume, die verbleiben, bis böswillige Akteure neu entdeckte Schwach­stellen ausnutzen, reicht ein einfaches Patch-Management oft nicht aus. Vielmehr sollten solche Tools die anstehenden Updates anhand der zugehörigen Sicherheits­lücken bewerten.

    Auf diese Weise können Admins erkennen, welche Patches besonders dringlich sind, um diesen eine höhere Priorität einzuräumen. Idealerweise lässt sich aus der Liste der gefundenen Schwach­stellen die Installation des betreffenden Updates direkt anstoßen.

    Endpoint Central zeigt in einer Übersicht an, welche Patches auf welchen Geräten fehlen.

    Offensichtlich ist es nicht genug, Schwachstellen nur im Betriebs­system oder in Microsoft Office zu beseitigen. Idealerweise unterstützt ein Patch-Management eine Vielzahl von Anwendungen und mehrere Plattformen, typischerweise neben Windows noch macOS oder Linux.

    Integrierte Bedrohungsanalyse

    Endpoint Central bietet ein derart umfassendes Patch-Management schon länger, das zudem mit einer Vulnerability-Datenbank integriert ist. Das neue Security Add-on ergänzt es um eine Bedrohungs­analyse, die eine Übersicht über gefundene CVEs sowie Zero Day Vulnerabilities bietet.

    Aus der Liste der Gefährdungen geht hervor, welche bereits ausgenutzt werden und ob sie sich per Patch beseitigen lassen.

    Das Zusatzmodul sichert Endgeräte zusätzlich durch die Analyse ihrer Konfiguration ab. Dazu vergleicht es die untersuchten Rechner mit Best Practices und moniert, wenn bestimmte Ein­stellungen davon abweichen. Eine eigene Übersicht ist möglichen Fehl­konfigurationen der IIS sowie den offenen Ports gewidmet.

    Management von Applikationen

    Zwei weitere Komponenten des Security-Moduls dienen dem Management von Anwendungen. Dies betrifft zum einen das Bannen unerwünschter Anwendungen durch Black- und Whitelisting, zum anderen der Verwaltung marktgängiger Web-Browser.

    Die Beschränkung einer Umgebung auf handverlesene Anwendungen ist eine der effizientesten Maßnahmen, um Malware fernzuhalten. Programme, die sich nicht auf der Whitelist befinden, werden einfach blockiert.

    In der Praxis lässt sich dieses Konzept aber meist nicht so leicht umsetzen. Zu den häufigsten Problemen zählt, dass bestimmte User, etwa Software-Entwickler, in der Lage sein müssen, eigene Anwendungen zu installieren. Außerdem werden Updates legitimer Programme blockiert, wenn die Whitelist Hashes nutzt, um ausführbare Dateien zu identifizieren, so dass man diese ständig neu in die Liste aufnehmen muss. Die Freigabe nur anhand von Zertifikaten erwünschter Hersteller scheitert daran, dass nicht alle Anwendungen signiert sind.

    Erfassen von Anwendungen über eine Greylist

    Aus diesen Gründen erfordert das App-Whitelisting in dynamischen Umgebungen einen erheblichen Aufwand. ManageEngine wählt hier einen pragmatischen Ansatz, indem es über den Audit-Modus nur erfasst, welche Programme auf den Systemen ausgeführt werden und diese dann in eine Greylist einsortiert. Von dort kann sie der Admin dann in eine White- oder Blacklist übernehmen.

    Im Audit-Modus blockiert App Control keine Anwendungen, sondern registriert nur, welche auf den PCs genutzt werden.

    Stellt sich schließlich heraus, dass man alle erforderlichen Anwendungen in der Whitelist erfasst hat, dann kann man sie in den strikten Modus schalten, um alle anderen Programme zu sperren. Von Vorteil erweist sich hier, dass sich Computer-Gruppen sehr flexibel zusammen­stellen lassen.

    Auf diese Weise kann man eine Whitelist genau auf jene Teile der Organisation abstimmen, für die sich dieses Konzept am besten eignet. In Frage kommen dafür besonders solche Abteilungen wie die Finanz­buch­haltung, die nur selten neue Programme benötigen und deren Daten besonders sensibel sind.

    Temporäre und erhöhte Berechtigungen

    Ausnahmen aus der White- oder Blacklist kann man bei Bedarf temporär genehmigen. Der Admin gibt zu diesem Zweck einen Zeitraum an, währenddessen bestimmte User alle oder ausgewählte Anwendungen verwenden dürfen.

    Die Komponente App Control bietet neben dem expliziten Sperren oder Zulassen von Anwendungen auch eine runas-Funktion, mit deren Hilfe Standard­benutzer eigens dafür konfigurierte Anwendungen mit erhöhten Rechten ausführen können.

    Browser-Management

    Die unter Sicherheits­aspekten wohl heikelste Anwendung auf jedem PC ist heutzutage neben dem Mail-Client der Web-Browser. Hier beschränkt sich das Security Add-on nicht auf das Black- oder Whitelisting, sondern erlaubt ein fein granulares Management praktisch aller Einstellungen.

    Praktisch alle Einstellungen lassen sich über Richtlinien anpassen, in diesem Fall für Edge Chromium.

    Die Browser-eigenen Optionen ergänzt Endpoint Central um weitere Restriktionen, beispielsweise um Download-Filter. Damit kann man festlegen, von welchen Websites Dateien welches Typs oder welcher maximalen Größe herunter­geladen werden dürfen.

    Interessant ist hier zudem das zentrale Management von Browser-Erweiterungen. Diese Add-on trägt man in das lokale Repository ein, indem man ihre ID im Chrome Webstore, mozilla.org oder Microsofts Add-on-Website ermittelt. Die Extensionen lassen sich dann auf ausgewählten Gruppen von PCs installieren oder entfernen.

    Dieses Modul erleichtert die Arbeit des Administrators vor allem dadurch, indem es wichtige Einstellungen für mehrere Browser in einem Durchgang konfigurieren kann. Neben jeder Option zeigen Icons an, welche Hersteller diese unterstützen. Zusätzlich lassen sich Richtlinien nur für bestimmte Browser definieren. Endpoint Central verwaltet derzeit Google Chrome, Microsoft Edge und Firefox.

    Bestimmte Einstellungen lassen sich auf allen unterstützten Browsern in einem Durchgang konfigurieren.

    Data Loss Prevention (DLP)

    Die zwei letzten Module des Security Add-on kann man in die Kategorie DLP einordnen. Sie betreffen das Management von Peripherie­geräten und von BitLocker.

    Die wesentliche Aufgabe von Device Control (Gerätesteuerung) besteht darin, den ungenehmigten Abfluss von Daten über externe Geräte zu verhindern. Dafür kommt all jene Hardware in Frage, die sich in irgendeiner Form als Speicher nutzen lässt, von USB-Sticks über digitale Kameras bis zu Handys. Drucker fallen letztlich auch in diese Kategorie, weil sie sensible Daten auf Papier ausgeben können.

    Vordefinierte Geräteklassen und Richtlinien

    Endpoint Central geht darüber hinaus und erlaubt das Management praktisch aller Gerätetypen, auch wenn sie keine Storage-Fähigkeiten besitzen. Dazu gehören etwa Tastaturen, Mäuse oder Scanner von biometrischen Daten.

    Admins können ohne großen Aufwand in das Device-Management einsteigen, weil Endpoint Central bereits eine ganze Reihe von Richtlinien mitbringt, die sie nur mehr auf bestimmte Computer anwenden müssen. Dazu zählt etwa das Blockieren aller Geräte außer Mäusen, von Druckern und Scannern oder von Speichergeräten. Eine weitere Policy schränkt alle USB-Geräte auf den Lesezugriff ein.

    Das Security Add-on enthält bereits eine Reihe von Richtlinien für das Geräte-Management.

    Möchte man eine eigene Richtlinie erstellen, dann zeigt sich, dass ManageEngine praktisch alle Geräteklassen schon vordefiniert hat. Man muss dort nur mehr auswählen, welche Maßnahmen für welche Device-Typen gelten sollen.

    Neue Richtlinien lassen sich anhand der vordefinierten Geräteklassen definieren.

    Wie bei derartigen Tools üblich, kann man auch hier spezifische Geräte als vertrauenswürdig markieren, so dass Benutzer auf sie Zugriff haben, auch wenn diese Geräteklasse sonst blockiert ist. Ausnahmen aus der Sperre lassen sich alternativ temporär definieren, so dass User während eines bestimmten Zeitraums verbotene Geräte verwenden dürfen.

    Zentrales BitLocker-Management

    Die Laufwerks­verschlüsselung soll bei Diebstahl oder Verlust eines Notebooks verhindern, dass Unbefugte Zugriff auf sensible Daten erhalten. Sie sichert aber auch Desktop-Rechner ab und gewährleistet, dass Angreifer das lokale Admin-Konto nicht hacken können, selbst wenn sie physischen Zugang zum PC haben.

    BitLocker erfüllt als Bordmittel von Windows diese Aufgabe, lässt sich aber über die Gruppen­richtlinien nur eingeschränkt zentral verwalten. So bietet es kein Reporting, aus dem man den BitLocker-Status aller Rechner ersehen kann. Zudem fehlt eine komfortable Verwaltung der Wieder­herstellungs­schlüssel.

    Endpoint Central erlaubt das Management von BitLocker über eine komfortable Web-Konsole.

    Das BitLocker-Modul von Endpoint Central ergänzt solche Funktionen und übernimmt zudem Aufgaben, für die sonst GPOs zuständig sind. Das betrifft etwa die Aktivierung der Verschlüsselung, die Konfiguration der Authenti­fizierung für Rechner mit und ohne TPM oder die Einstellung, ob nur der benutzte Speicherplatz oder das ganze Laufwerk verschlüsselt werden soll.

    Diese Richtlinien lassen sich anders als GPOs nicht nur OUs oder Domänen zuordnen, sondern praktisch beliebig zusammen­gestellten Gruppen von PCs.

    Fazit

    Mit dem Security Add-on folgt ManageEngine dem Trend, Lösungen für das Client-Management um Funktionen zur Absicherung der Endgeräte zu versehen.

    Die fünf Module ergänzen das Patch-Management um eine Bedrohungs­analyse, schränken die Nutzung unerwünschter Anwendungen ein, erlauben ein zentrales Management der Web-Browser, kontrollieren die Verwendung von Peripheriegeräten und versehen BitLocker mit einer zentralen Verwaltung.

    Die Systemverwalter profitieren nicht nur von den fein abgestuften Richtlinien, die eine zielgenaue Konfiguration der Browser oder der erlaubten Geräte möglich macht. Vielmehr erleichtert und beschleunigt Endpoint Central all diese Aufgaben durch eine übersichtliche und intuitive Web-Konsole.

    Auch wenn die einzelnen Bestandteile des Add-ons nicht bei allen Aspekten mit spezialisierten Tools für DLP oder das Device-Management mithalten können, so erreichen Unternehmen damit aber schnell und preiswert einen deutlich verbesserten Schutz ihrer Endgeräte.

    Verfügbarkeit

    In Deutschland vertreibt der Distributor MicroNova die Tools von ManageEngine, von dessen Website man auch Endpoint Central herunterladen kann.

    Die Trial-Version umfasst alle Funktionen des Vollprodukts, und sie konvertiert nach Ablauf der Testphase automatisch zur Free Edition. Diese kann bis zu 25 PCs plus 25 mobile Geräte verwalten.

    Das Security Add-on gehört seit dem Build 100621 zum Lieferumfang aller Editionen von Endpoint Central, muss jedoch explizit aktiviert werden. Eine gute Einführung in die Materie bietet dieses Video. Einen kompletten Überblick über das Produkt erhalten Interessierte in den regelmäßig stattfindenden Live-Demos.

    *Dies ist ein bezahlter Beitrag der MicroNova AG

    Bild von MicroNova AG

    MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobil­funk­netzen sowie IT-Management. 300 Experten und Exper­tinnen arbeiten am Haupt­sitz in Vier­kirchen bei München sowie an neun weiteren Stand­orten in Deutsch­land und Tschechien

    // Kontakt: Web, Twitter //

    Weitere Beiträge von diesem Anbieter