Automatisierung und Unified Endpoint Management
Zur IT-Automatisierung zählt neben Techniken für Skripting/Orchestrierung und Konfigurationsmanagement, CI/CD und der Nutzung von APIs und Tools zur automatisierten Ressourcenbereitstellung inzwischen auch die Art und Weise, wie sich Endgeräte im Netzwerk konfigurieren, administrieren und patchen lassen. Wie der Fachbeitrag veranschaulicht, ist auch hier keine Handarbeit mehr gefragt, sondern ebenfalls Automatisierung durch den Einsatz von Unified-Endpoint-Management-Systemen.
IT-Landschaften werden immer komplexer. Die Grenzen zwischen on-premises und in der Cloud betriebenen Anwendungen verschwimmen, und eine Vielzahl an Netzwerk-Devices – Notebooks, Smartphones, Peripherie – in Büro oder Homeoffice machen eine manuelle Verwaltung mühsam bis unpraktikabel. Dutzendfach am Tag melden sich User mit Problemen. Patches und neue Softwareversionen müssen verteilt werden, eine tägliche Kontrolle, was im Netzwerk geschieht, ist notwendig – angesichts dünner Personaldecke in den Administrationsabteilungen manuell kaum mehr zu bewältigen.
Unified-Endpoint-Management-(UEM)-Plattformen bieten deshalb heute eine ganze Reihe von Automatismen für effizienteres und sicheres Endgeräte-Management. UEM steht für das zentrale Steuern und Sichern beliebiger Devices im IT-Netzwerk von einer einheitlichen Konsole aus. Clients und Software lassen sich damit inventarisieren, managen, verteilen, installieren und migrieren. UEM-Werkzeuge sind zumeist modulhaft aufgebaut und bieten Funktionen für Softwareverteilung, Patch-, Asset- und Lizenzmanagement, Betriebssysteminstallation, Compliancemonitoring und Sicherheitsüberwachung. Angesichts der wachsenden Bedeutung von IT-Sicherheit binden UEM-Anbieter inzwischen Tools wie Microsoft Defender, BitLocker oder Intune in ihre Plattformen ein und lassen sie mit den klassischen Modulen interagieren.
Automatisierung von Installation und Verwaltung
Automatisierung durch UEM, das bedeutet grundsätzlich, Clients auf Basis bestimmter Eigenschaften Gruppen und Containern dynamisch zuzuweisen, auf die sich in der Folge Jobs und Skripte anwenden lassen. Software auf Hunderten oder Tausenden von Geräten manuell zu installieren und zu pflegen, gehört nämlich zu den zeitintensivsten Aufgaben für IT-Abteilungen. Anwendungen werden deshalb zentral im UEM-System hinterlegt, ihre Installation auf den Endgeräten folgt festgelegten Richtlinien.
Beispiel: In einem Unternehmen mit hoher Fluktuation zwischen Büro und Homeoffice sorgt das UEM-System dafür, dass bei einem Wechsel des User und somit Clients Netzwerklaufwerke und Drucker ohne manuellen Eingriff zugewiesen werden, jeweils abhängig von der IP-Adresse, die das Gerät im jeweiligen Netzwerk erhält. User verfügen damit stets über die benötigte Software und Hardware und müssen keinen Drucker per Hand auswählen beziehungsweise dafür ein Ticket erstellen.
Patchmanagement: Sicherheitslücken effizient schließen
Statt Windows-Updates und -Patches auf jedem Gerät einzeln einspielen zu müssen, überwacht die UEM-Plattform, welche Geräte nicht auf dem neuesten Stand sind, und spielt Updates nach einem festen Zeitplan ein. Angesichts der enger werdenden Taktung von Schwachstellen und Patches ist dies ohne Automatisierung heute kaum mehr denkbar. Nur so lässt sich direkt und zeitnah auf Sicherheitsvorfälle reagieren.
Der "Windows RE Bug" im Herbst 2022 liefert dafür ein gutes Beispiel. Über die Windows-Wiederherstellungsumgebung (Windows RE) konnte BitLocker hier umgangen werden und Kriminellen potenziell Zugriff auf verschlüsselte Daten gewähren. Am 19. September erschien die klassische CVE-ID, wurde registriert und als relativ kritisch eingestuft. Microsoft reagierte schnell und veröffentlichte am 8. November ein Bugfix. Soweit, so gut, nur stellte sich im Januar heraus, dass das Update gar nicht zur Anwendung kam. Grund: Das klassische Windows-Update wird nicht auf die Windows-RE-Umgebung angewendet. Alle dachten, die Lücke wäre geschlossen – ein Fehlschluss.
Wer dann seine Rechner manuell patchen wollte, musste erst einmal wissen, welche Windows RE vorliegt, ob sie anfällig ist und welches Patch benötigt würde. Zwar gab es ein allgemeines Patch, das aber in vielen Fällen zu groß war. Die Standard-Windows-RE, wie sie beim Rollout angelegt wird, ist im Default bei Microsoft 512 MByte groß. Das Patch umfasste aber 780 MByte und ließ sich hier gar nicht anwenden. Gefragt war also ein spezielles Patch für genau die eigene Version.
Microsoft erkannte den Ernst der Lage und veröffentlichte daraufhin ein Skript für die Inventarisierung, das Aufschluss über jeweilige Windows-RE-Version geben sollte. Dieses Skript ließ sich ein UEM-System integrieren, ebenso wie ein weiteres Skript für den eigentlichen Patch. Dieses hätten Admins nun an jedem Rechner einzeln ausführen müssen. Das UEM-System ermöglicht es hingegen, seinerseits ein Skript (der Aagon etwa nennt dies Client Command) zu erstellen, das eigenständig erkennt, welche Windows-RE-Version vorliegt, ob sie gepatcht werden kann und wenn ja, mit welchem Patch. Dieser wird dann automatisch ausgeführt. Funktioniert dies nicht, wird Windows RE automatisch deaktiviert.
User in die Administration einbeziehen
Ein hohes Automatisierungslevel gewährleistet, dass Systeme stets auf dem neuesten Stand sind, ohne dass es zu Unterbrechungen des normalen Geschäftsbetriebs kommt. Denn in der neuen Arbeitskultur entscheiden auch Festangestellte heute mehr und mehr individuell, wann und wo sie produktiv sein wollen. Das macht es zur Sisyphusarbeit, Sicherheit auf den Endgeräten herzustellen.
Häufig wissen Admins gar nicht, wann sie überhaupt neue Updates einspielen sollen. Nach Betriebsschluss um 17 Uhr ist nicht garantiert, dass der Rechner heruntergefahren und bereit für eine Neuinstallation ist. Deshalb gilt es, die User heute daher stärker als bisher in die Administrationsarbeit einzubeziehen. Updates werden verzögert, falls ein System kritische Aufgaben ausführt und ein Neustart störend wäre. Usern werden Self-Services-Möglichkeiten eingeräumt, damit diese selbst entscheiden können, wann ein bestimmtes Update durchlaufen soll. So ändert sich die Sichtweise: Früher waren Admin-Tätigkeiten eher auf das Gerät bezogen, heute auf den User. Dieser will mitreden und seine Freiheiten haben.
Dem muss die IT Rechnung tragen. Gleichzeitig braucht sie den Überblick, wann was geschehen ist, ob erforderliche Zeitgrenzen eingehalten werden oder manches Update nicht dann doch "hart" durchzuführen sind. Denn so viel der User auch entscheiden möchte: Nicht immer kann sich die IT danach richten – wenn er zum Beispiel zum geplanten Zeitpunkt gerade keine stabile Internetverbindung hat. 3-GByte-Patches über eine LTE-Verbindung herzustellen, das klappt in der Regel nicht. Solche Vorgänge müssen daher definiert und automatisiert werden.
Automatisierte Reaktionen auf Bedrohungen
Sicherheits-Incidents erfordern schnelles und präzises Handeln, manuelles Ansteuern von Gegenmaßnahmen dauern meist zu lange. UEM-Systeme lassen sich so konfigurieren, dass es bei einem Virenfund automatisch zu vordefinierten Maßnahmen kommt: Etwa eine Benachrichtigung an das IT-Team senden, den betroffenen Rechner aus dem Netzwerk isolieren und einen Scan auf allen verbundenen Endgeräten anstoßen. Weiteres Beispiel ist das Automatisieren von Sicherheitskonfigurationen abhängig vom jeweiligen Standort des Endgeräts. Befindet sich ein Notebook außerhalb der Netzwerkumgebung, schaltet das UEM-System auf strengere Sicherheitsrichtlinien um, in dem es etwa eine VPN-Verbindung aktiviert oder bestimmte Zugriffe einschränkt.
Sicherstellen von Richtlinienkonformität
Ob Gesetze wie die DSGVO oder branchenspezifische Vorgaben eingehalten werden, ist manuell kaum zu überwachen, insbesondere in großen IT-Umgebungen mit vielen verteilten Endgeräten. Im UEM-System lassen sich Compliance-Richtlinien zentral definieren und in der Folge automatisiert überwachen. Zum Beispiel die Überprüfung, ob auf allen Geräten eine aktuelle Antivirensoftware installiert ist, ob Sicherheitspatches eingespielt wurden oder bestimmte Konfigurationen eingehalten werden. Beispiel: Entspricht ein Gerät, das in einem bestimmten IP-Bereich arbeitet, nicht den Unternehmensrichtlinien, löst das UEM einen Alarm oder passt die Gerätekonfiguration direkt an.
Fazit
Durch IT-Automatisierung mit UEM können Admins ihre Operationen effizienter und kostengünstiger durchführen. Sie stellen sicher, dass IT-Systeme immer auf dem neuesten Stand sind und den geltenden Sicherheits- und Compliance-Anforderungen entsprechen – unverzichtbar in einer Zeit, in der Cyberbedrohungen und regulatorische Anforderungen stetig zunehmen. Nicht zuletzt das Windows-RE-Problem hat exemplarisch gezeigt: Patchen, Sicherheit und Automatisieren gehören heute eng zusammen.
ln/Sebastian Weber, Head of Product Management bei Aagon