Сake78 (3D & photo) - stock.ado
Wie UEM-Systeme die IT-Administration automatisieren
Veränderte Arbeitssituationen stellen IT-Teams vor neue Herausforderungen. Es gilt die Nutzer einzubeziehen, denn Patchen, Sicherheit und Automatisieren gehören zusammen.
Unter Unified Endpoint Management (UEM) versteht man das zentrale Steuern und Sichern beliebiger Devices im IT-Netzwerk von einer einheitlichen Konsole aus. Clients und Software lassen sich damit inventarisieren, managen, verteilen, installieren und migrieren. UEM-Lösungen sind zumeist modulhaft aufgebaut und bieten Funktionen für Patch-, Asset- und Lizenzmanagement, Softwareverteilung, Betriebssysteminstallation und vieles mehr. In der jüngeren Vergangenheit spielt hier zudem immer stärker die IT-Sicherheit mit hinein. UEM-Anbieter integrieren Tools wie Microsoft Defender, BitLocker oder Intune in ihre Plattformen und lassen sie mit den klassischen Modulen interagieren.
In die Routineaufgaben der IT-Administration bringen UEM-Lösungen Automatisierung, indem sie Clients auf Basis bestimmter Eigenschaften zu Gruppen und Containern dynamisch zuweisen, auf die in der Folge Jobs und Skripte angewandt werden können. Ohne dies geht es heute nicht mehr, denn die Aufgaben der IT werden immer vielfältiger. User melden sich im Minutentakt mit Problemen, Patches und neue Softwareversionen müssen verteilt werden, eine tägliche Kontrolle, was im Netzwerk geschieht, ist notwendig. Angesichts dünner Personaldecke in den Administrationsabteilungen ist dies manuell kaum mehr zu bewältigen.
User in die Administration einbeziehen
Die neue Arbeitskultur kommt erschwerend hinzu, Stichwort New Work. Was von Freiberuflern bekannt ist, gilt längst auch für Festangestellte: Mehr und mehr arbeiten sie heute, wann und wo sie wollen. Sicherheit auf den Endgeräten herzustellen, wird angesichts dessen zur Sisyphusarbeit. Nächste Herausforderung: Der IT-Admin weiß gar nicht, wann er überhaupt neue Updates einspielen soll. Dass der Rechner zum Betriebsschluss um 17 Uhr heruntergefahren wird, ist längst nicht mehr garantiert.
Admins müssen ihre User heute daher stärker als bisher in ihre Arbeit einbeziehen. Sie können ihnen Self-Services-Möglichkeiten einräumen, damit diese selbst entscheiden können, wann ein bestimmtes Update durchgeführt werden soll. So ändert sich die Sichtweise: Früher waren Admin-Tätigkeiten eher auf das Gerät bezogen, heute auf den User. Dieser will mitreden und seine Freiheiten haben – dem muss die IT Rechnung tragen.
Gleichzeitig braucht sie den Überblick, wann was geschehen ist, ob erforderliche Zeitgrenzen eingehalten werden oder manches Update nicht dann doch „hart“ durchgeführt werden muss. Denn so viel der User auch entscheiden möchte: Nicht immer kann sich die IT danach richten – wenn er zum Beispiel zum geplanten Zeitpunkt gerade keine stabile Internetverbindung hat. 3-GByte-Patches über eine LTE-Verbindung ausliefern: Das klappt in der Regel nicht. Solche Vorgänge müssen daher definiert und automatisiert werden.
Inventarisierung als erster Schritt
Immer weiter wächst das klassische UEM heute mit Security zusammen. Denn ohne Patches bringt das beste Antivirus-Programm gar nichts. Wichtigster erster Schritt ist dabei stets die Inventarisierung. Schützen lassen sich schließlich nur die Komponenten, von denen man weiß, dass sie existieren. Anschließend werden über das Vulnerability-Modul eines UEM-Systems Schwachstellen gesucht, gefolgt vom Einspielen der Patches. Wo aber damit anfangen? Und funktioniert dies zu jeder Zeit? Dies wiederum ist abhängig vom User. Angesichts der enger werdenden Taktung von Schwachstellen und Patches ist es essenziell, dass das UEM-System diese Tätigkeiten automatisch durchführt. Nur so lässt sich direkt und zeitnah auf Sicherheitsvorfälle reagieren.
„Immer weiter wächst das klassische UEM heute mit Security zusammen. Denn ohne Patches bringt das beste Antivirus-Programm gar nichts. Wichtigster erster Schritt ist dabei stets die Inventarisierung.“
Sebastian Weber, Aagon
Herausforderung Windows RE Bug
Das Fallbeispiel „Windows RE Bug“ von vor rund anderthalb Jahren demonstriert, wie das gelingen kann. Der BitLocker konnte hier umgangen werden über die Windows-Wiederherstellungsumgebung (Windows RE), so dass Kriminelle potenziell auf verschlüsselte Daten hätten zugreifen können. Am 19. September 2022 erschien die klassische CVE-ID, wurde registriert und als relativ kritisch eingestuft. Microsoft reagierte schnell und veröffentlichte am 8. November ein Bugfix. So weit so gut, nur stellte sich im Januar heraus, dass das Update gar nicht angewendet worden war. Grund: Das klassische Windows-Update wird nicht auf die Windows-RE-Umgebung angewendet. Man dachte also, die Lücke wäre geschlossen – ein Fehlschluss.
Wer dann seine Rechner manuell patchen wollte, musste erst einmal wissen, welche Windows RE vorliegt, ob sie anfällig ist und welches Patch benötigt würde. Zwar gab es ein allgemeines Patch, das aber in vielen Fällen zu groß war. Die Standard-Windows-RE, wie sie beim Rollout angelegt wird, ist im Default bei Microsoft 512 MByte groß. Das Patch umfasste aber 780 MByte und ließ sich hier gar nicht anwenden. Gefragt war also ein spezieller Patch für genau die eigene Version.
Microsoft erkannte den Ernst der Lage und veröffentlichte daraufhin ein Skript für die Inventarisierung, das Aufschluss über jeweilige Windows-RE-Version geben sollte. Dieses Skript ließ sich in ein UEM-System integrieren, ebenso wie ein weiteres Skript für den eigentlichen Patch. Dieses hätte man nun an jedem Rechner einzeln ausführen können. Ein UEM-System ermöglicht es hingegen, seinerseits ein Skript beziehungsweise Client Command zu erstellen, das eigenständig erkennt, welche Windows-RE-Version vorliegt, ob sie gepatcht werden kann und wenn, mit welchem Patch. Dieser wird dann automatisch ausgeführt. Funktioniert dies nicht, erfolgt eine automatische Deaktivierung von Windows RE.
Das Windows-RE-Problem zeigt exemplarisch: Patchen, Sicherheit und Automatisieren gehören heute eng zusammen. Wenn dann noch die User in die Administration einbezogen werden, schaffen es Administrationsabteilungen, auch mit dünner Personaldecke ihre immer anspruchsvoller werdenden Aufgaben zu erfüllen.
Über den Autor:
Sebastian Weber ist Head of Product Management bei Aagon. Das Unternehmen aus Soest bietet unter anderem Lösungen im Bereich Client Management an.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.