Der Augsburger Softwarehersteller baramundi konzentriert sich mit der baramundi Management Suite (bMS) auf ein Produkt zur umfassenden Verwaltung und Absicherung von Endgeräten der Plattformen Windows, macOS, Android sowie iOS. Hinzu kommen SNMP- sowie industrielle Steuergeräte. Hier sei auch gleich erwähnt, dass es neben der regulären bMS eine OT-Edition gibt, speziell zugeschnitten auf den Einsatz im Produktionsumfeld. Linux-Endpunkte finden allerdings nach wie vor keine Unterstützung durch die Suite.

Die bMS ist modular aufgebaut und besteht im Moment aus 27 Modulen. Bei unserem letzten Test im Jahr 2014 waren es noch 18 Module, es ist also zwischenzeitlich einiges hinzugekommen. Ziel der starken Modularisierung ist zum einen, dass jede Installation nur das enthalten soll, was aus Sicht des Administrators auch benötigt wird, und zum anderen, dass auf diesem Wege eine individuelle Preisgestaltung anhand des Modulumfangs möglich ist. Jedes Unternehmen muss bei baramundi damit nur die Komponenten bezahlen, die es auch nutzt. Laut Hersteller setzen im Moment rund 4000 Kunden auf die Suite, wobei baramundi weltweit tätig ist, die meisten Nutzer aber im deutschsprachigen Raum zu finden sind.

Um angesichts der vielen Module und des enormen Leistungsumfangs den Schwerpunkt dieses Tests zu fokussieren, haben wir uns auf die letzten Neuerungen konzentriert. In der Regel veröffentlicht der Hersteller pro Jahr zwei Versionen, zum Testbeginn im Mai 2021 war noch die Version 2020 R2 U1 aktuell, im Juni wurde das Release 2021 R1 veröffentlicht, sodass wir auch ein Update unserer Testumgebung durchführen konnten.

Seit der Version 2020 R2 unterstützt die bMS das neue iOS-User-Enrollment. Weiterhin hat der Hersteller begonnen, die Inventarisierung von Microsoft-Updates komplett zu überarbeiten, ein weiterer Punkt ist die automatische BitLocker-Entsperrung in bekannten Netzwerken und schließlich die Weiterentwicklung des Argus Cockpits neben einigen kleineren verbesserten Punkten. Diese Features wurden mit dem Release 2021 R1 weiterentwickelt und um die Verwaltung von Microsoft Defender ergänzt. Neu ist eine bCenter-App für iOS und Android für den schnellen Blick ins Management Center (bMC) via Smartphone oder Tablet. Neben diesen Neuerungen haben wir uns noch das Modul "Managed Software" angesehen, das die Administratoren bei der Installation und Aktualisierung von über 80 Nicht-MS-Produkten entlastet. Nicht genauer betrachtet haben wir hingegen das neue Ticketing-System, das auf der Software von Omninet basiert.

Die Einrichtung der bMS gestaltet sich vergleichsweise einfach, erfordert allerdings im Nachgang diverse Schritte zur Konfiguration. Die Installationsquelle kommt als ISO-Datei ins Haus. Bezüglich der Vorbereitung prüft das bMS-Setup die Voraussetzungen, wie etwa das Vorhandensein der benötigten .NET-Version. Bei Bedarf übernimmt das Setup dessen Einrichtung. Ebenfalls notwendig ist ein Datenbankserver, wobei laut Hersteller für bis zu 250 Geräte ein kostenloser MS-SQL-Server in der Express-Variante ausreicht, den baramundi mit in das ISO-Image gepackt hat. Diesen nutzten wir auch im Test. Neben MS SQL, für das baramundi eine Einrichtung mit gemischter Authentifizierung empfiehlt, wird auch Oracle unterstützt.

In einer kleinen Umgebung lässt sich alles auf einem Server, auch virtuell, installieren. Für größere Umgebungen empfiehlt der Hersteller die Verteilung auf mehrere Systeme. Weiterhin sind für den Betrieb mehrere Benutzerkonten wie ein Administrations-, Installations- und Netzwerkaccount notwendig. Einen lokalen Installationsbenutzer erzeugt das System automatisch bei der Agenteninstallation auf den Endpunkten. Die Anforderungen an die einzelnen Benutzer sind im Handbuch genau beschrieben. Nach der bMS-Installation ist über einen Assistenten eine Datenbank zu erstellen, wobei die Pfade für die Datenbankdatei sowie die Logdateien anzugeben sind. Das gilt auch für die Startzeitpunkte von wiederkehrenden Operationen. Eingerichtet werden schließlich die beiden Freigaben "bMS$" sowie "DIP$". bMS$ ist das Installationsverzeichnis des Servers mit den Clients und Skripten. DIP$ dient für die Ablage der Installationsquellen der Softwareprodukte, die der Admin später über die bMS verteilen möchte.

Die zentrale GUI nennt sich baramundi Management Center und lässt sich je nach Administrationsbedarf mehrfach installieren, sie ist nicht Browser-basiert. Die Benutzeranmeldung kann mit dem MS Active Directory gekoppelt werden.

Beim ersten Start des bMC ist die Übersichtsseite bis auf ein Suchfenster weitgehend leer, auf der linken Seite sind nur die verschiedenen Themenpunkte als Menü aufgelistet. Für jeden Aufruf eines solchen Punkts öffnet sich ein neues Fenster als Registerblatt mit einem Reiter am oberen Rand. Klickt der Administrator in der GUI auf das bMC-Symbol links oben, kommt er wieder zur Übersicht und kann so sukzessive mehrere Fenster mit Reiter öffnen. Die Reiter erleichtern das Springen zwischen verschiedenen parallelen Tätigkeiten enorm. Sehr komfortabel ist auch, dass die GUI stets mit der letzten Ansicht startet, mit der sie geschlossen wurde, also inklusive aller beim Schließen noch offenen Fenster. Das erleichtert einen Wiedereinstieg, wenn eine Arbeit zuvor nicht abgeschlossen wurde. So muss sich der Administrator nicht alle Ansichten stets wieder neu zusammenstellen.

Das Update auf die Version 2021 R1 im Laufe des Tests klappte problemlos. Ebenso wie bei der Erstinstallation ist das Setup vom ISO-Image zu starten, dann läuft die Aktualisierung automatisch durch, wobei zum Schluss noch die Datenbank aktualisiert wird. Alle vorher erfassten Informationen zu den Endgeräten blieben erhalten. Durch die Arbeit mit beiden Releases konnten wir gut erkennen, dass es viele kleine Änderungen gibt wie beispielsweise bei den Jobaktionen sowie einige Ansichten modifiziert wurden.

Die Erfassung der zu verwaltenden Endgeräte kann auf verschiedene Arten erfolgen. Für einzelne Geräte ist es am einfachsten, den Namen anzugeben, sofern sich dieser über DNS auflösen lässt. Ist eine Neuinstallation eines Systems über die bMS erfolgt, findet sich dieses natürlich auch anschließend in der Verwaltung. Weiterhin gibt es für das Active Directory neben einer Benutzer- auch eine Gerätesynchronisation, um die dort erfassten Systeme zu übernehmen.

Nicht zuletzt besitzt die Suite ein eigenes Modul namens "baramundi Virtual", um eine VMware-vSphere-Umgebung zu inventarisieren. Allerdings ist es hierzu erforderlich, auf dem bMS-Server die PowerCLI-Version 6.5 R1 oder höher zu installieren, außerdem ist die PowerShell 4.0 erforderlich. Danach ist das vCenter mit seinen Anmeldedaten einzutragen und es lässt sich festlegen, wie häufig die Inventarisierung laufen soll – die Regel lautet einmal täglich. Optional prüft bMS, ob sich die inventarisierten VMs mit bereits existierenden Geräten verknüpfen lassen, um Duplikate zu vermeiden.

In einer vCenter-Umgebung werden zusätzlich zu den Hosts, Datenspeichern und Ressourcenpools die verfügbaren Datencenter, Cluster und Datenspeicher-Cluster aufgeführt, weiterhin angelegte VM-Vorlagen und OS-Anpassungsspezifikationen. Beim Anlegen virtueller Maschinen über die bMS kommen diese Informationen zum Einsatz. In unserer Testumgebung erfassten wir einige Geräte manuell, synchronisierten mit dem AD und stellten die Verbindung zum vCenter her, wobei keine Probleme auftraten.

Um mit der bMS neue Systeme zu installieren, sind noch einige weitere Konfigurationsschritte erforderlich, wie die Erzeugung eines AIK/WinPE-Bootimages, Aktivierung der PXE-Unterstützung und die Bereitstellung der Quellen des zu installierenden Betriebssystems.

Eine wesentliche Rolle innerhalb der bMS spielen Jobs für die verschiedensten Aufgaben. Ein Job besteht aus einem oder auch mehreren Schritten. Die Jobschritte selbst sind in der Suite bereits angelegt und lassen sich über einen Assistenten zur Joberstellung einfach auswählen. Ein optionaler Express-Modus ermöglicht es, nur mit den minimal notwendigen Angaben zu arbeiten. Im Test haben wir einige Jobs wie eine Inventarisierung angelegt, bestehend aus WMI-, Hardware- und Softwareinventarisierung, eine Patchverteilung für Microsoft Updates und das Ausrollen des Adobe Reader als Nicht-MS-Produkt. Tatsächlich waren stets nur sehr wenige Klicks erforderlich. Angelegte Jobs müssen im nächsten Schritt den gewünschten Zielen zugewiesen und das Ausführungsintervall angegeben werden.

Während die bMS für die Microsoft-Updates bisher immer auf ein eigenes Patchmanagement setzte – wobei baramundi die Patches nach der Veröffentlichung durch Microsoft erst noch in das bMS-Patchmanagement übernehmen musste, was in der Regel einen Tag Verzögerung bedeutete –, kann der Patchstatus jetzt direkt über den WSUS-Service oder den Online-Update-Service von Microsoft ermittelt und das Endgerät anschließend auf den aktuellen Stand gebracht werden. Gerade bei veröffentlichten Zero-Day-Sicherheitslücken ist es sehr wichtig, möglichst schnell zu patchen, was jetzt besser gelingt.

Sehr hilfreich ist die Ansicht "Microsoft Updates" mit einer detaillierten Auflistung der fehlenden, aber auch der installierten Patches inklusive aller wichtigen Informationen. Die Liste ist übersichtlich sortiert, erst einmal nach noch fehlenden Updates und darunter die installierten. Die nächsten Sortierkriterien sind die Kritikalität und zuletzt das Veröffentlichungsdatum. Damit ist sichergestellt, dass die neuesten kritischen Patches in der Auflistung ganz oben stehen.

Optional kann der Administrator die Einträge filtern, um so möglichst schnell zu erkennen, auf welche Patches er sich vornehmlich konzentrieren muss. Beim Anklicken eines Updates findet der Administrator rechts in der zweigeteilten Ansicht weitere Informationen und vor allem eine Beschreibung des Patches sowie des Problems oder der Sicherheitslücke. Hier sind auch die KB-Artikelnummer zu sehen sowie der Referenzlink zur Microsoft Knowledge Base.

Bei Bedarf lässt sich die Übersicht der fehlenden Patches in Kombination mit den Universellen Dynamischen Gruppen (UDG) der bMS verwenden, um so beispielsweise genauer zu analysieren, bei welchen Systemen welche oder wie viele Updates fehlen. Bei diesen UDG kann der Administrator erfreulich einfach auch komplexe Filter mit mehreren Bedingungen anlegen, um so gezielt betroffene Endgeräte herauszusuchen. Bis zu zehn Gruppen lassen sich in Verbindung mit dem Argus Cockpit, das wir nachfolgend noch beschreiben, synchronisieren, um die dortige Anzeige über die Filtermöglichkeit der Gruppen zu steuern.

Ende 2019 hat Apple mit der Verwaltungsmethode "User Enrollment", nutzbar ab iOS 13, den Schutz von geschäftlichen Daten um den Schutz von privaten Daten erweitert. So muss ein Benutzer nicht mehr befürchten, dass er Letztere womöglich verliert, wenn er sein privates iOS-Gerät im Sinne von BYOD auch geschäftlich nutzt.

Vorher war der Verwaltungsmechanismus sehr administratorfreundlich und sobald das Gerät im Firmenmanagement integriert war, bekam der Administrator weitreichende Möglichkeiten zum Systemeingriff. So konnte er die Kamera systemweit deaktivieren, gezielt einzelne Apps deaktivieren oder gar den App Store sperren und das Gerät auch rückverfolgen. Mit dem User Enrollment kann der Administrator nun lediglich einen definierten Bereich verwalten und der Anwender muss keine Einschränkungen im privaten Bereich hinnehmen. Dessen Daten bleiben dem Administrator ebenso verborgen wie die eigenen Apps.

Auch ist es nicht mehr möglich, das Gerät aus der Ferne komplett zu löschen, sondern nur noch das Firmenprofil und den dafür angelegten verschlüsselten Speicherbereich mit den dort gespeicherten Firmendaten. Weiterhin hat der Administrator keinen Zugriff mehr auf die eindeutigen Geräte-Informationen wie Seriennummer, UDID, IMEI und MAC-Adresse, mit denen er das Gerät identifizieren und eventuell sogar den Aufenthaltsort verfolgen könnte. Stattdessen kommt eine spezielle ID zum Einsatz, wenn der Benutzer ein Enrollment durchführt und sein Gerät für die geschäftliche Nutzung registriert. Entfernt der Benutzer sein mobiles Gerät wieder aus dem Management, wird das Firmenprofil gelöscht inklusive der Firmendaten in dem bereits erwähnten verschlüsselten Speicherbereich. Bei einem neuen Enrollment erhält das Gerät eine andere ID.

Auch bei der Apple-ID findet eine Trennung zwischen Privatem und Geschäftlichem statt, denn für die geschäftliche Nutzung gibt es eine eigene "Managed Apple ID", die der Administrator im Apple Business Manager anlegen und dann in der bMS dem mobilen Gerät zuordnen kann. Damit erfolgt die Lizenzierung geschäftlich installierter Apps getrennt von den privaten. Mit der Unterstützung des User Enrollment werden letztlich sowohl die privaten als auch die geschäftlichen Daten besser geschützt, gleichzeitig beiden Interessen Rechnung getragen und ein Konflikt vermieden.

Die bMS kümmert sich auch um die automatische Aktualisierung von Apps auf iOS, um sicherzustellen, dass immer die aktuellsten Apps installiert sind. Dazu findet zuerst mit einem Job eine App-Inventur statt und dann die Suche nach neueren Versionen. Gibt es solche, wird der Job so ergänzt, dass genau diese Apps aktualisiert werden. Bei Android-Geräten ist eine derartige automatische Aktualisierung übrigens nicht möglich, der Administrator kann aber zumindest die Update-Policy beeinflussen, um darüber das Updateverhalten zu konfigurieren.

Neben dem großen Bereich der Microsoft-Updates unterstützt die bMS auch die initiale Installation sowie die spätere Aktualisierung von rund 80 Produkten anderer Hersteller. Dabei handelt es sich um die hierzulande weit verbreiteten Standardapplikationen. Statt dass nun jeder Administrator für alle benötigten Programme die Automatisierungsskripte und Verteilungsprozesse erarbeitet und regelmäßig nach neuen Versionen sowie Updates sucht, übernimmt baramundi mit dem Modul "Managed Software" diese Arbeit. Allerdings darf das Unternehmen in manchen Fällen die Installationsquellen nicht mitliefern, den Download muss jeder Administrator dann selbst übernehmen.

Für die Einhaltung der korrekten Lizenzierung ist der Administrator verantwortlich, gegebenenfalls mithilfe des Moduls "License Management". Der Umgang mit den Applikationen erfolgt wiederum durch Jobs, wobei drei Optionen zur Verfügung stehen: "Nur inventarisieren", "Inventarisieren und aktualisieren" sowie "Aktualisieren ohne Inventarisierung". Diese drei Bezeichnungen sind an sich selbsterklärend und zeigen, dass es möglich ist, entweder nur den Status zu ermitteln oder alte Software gleich zu erneuern. Nach einer reinen Inventarisierung wird das Ergebnis in der GUI über farbige Balken sehr übersichtlich dargestellt.

Unabhängig von diesem Modul ist es möglich, für jede beliebige Software manuell entsprechende Installationsabläufe für die bMS zu erstellen, inklusive der Anweisungen für eine Deinstallation.

Mit der zunehmenden Endgerätemobilität und der Nutzung im Home Office hat die Gefahr eines unberechtigten Zugriffs auf Firmendaten deutlich zugenommen. Daher ist es empfehlenswert, die Festplatten beziehungsweise SSDs der Windows-Endgeräte mit BitLocker zu verschlüsseln und beim Start des Rechners eine PIN-Eingabe zu erzwingen, sodass ein Start nur durch berechtigte Personen erfolgen kann. Der Zwang zur PIN-Eingabe vor Ort kann allerdings eine Fernwartung unmöglich machen, da sich der Rechner dann nicht remote starten lässt. Aus diesem Grund gibt es neuerdings in der bMS eine Funktion zum automatischen Entsperren, wenn sich der Endpunkt in einem sicheren Netzwerk befindet.

Der erste Schritt, um die Netzwerkentsperrung zu nutzen, besteht darin, diese überhaupt im sogenannten "Defense Control"-Modul zu aktivieren. Daraufhin wird ein Zertifikat erstellt, um den Entsperrvorgang abzusichern. Die Clientkonfiguration erfolgt wie üblich über einen oder mehrere Jobs und innerhalb des Jobschritts "BitLocker verwalten" gibt es jetzt zwei zusätzliche Aktionen, um die Bit­Locker-Netzwerkentsperrung zu aktivieren oder auch zu deaktivieren. Durch die Zuweisung des Jobs lassen sich auch die Clients unterschiedlich konfigurieren, falls beispielsweise die Netzwerkentsperrung nicht überall aktiviert werden soll. Je nach Situation bietet sich wieder eine Kombination mit den UDG an, um die Konfiguration von individuell festlegbaren Kriterien abhängig zu machen.

Im Release 2021 R1 neu hinzugekommen ist die Verwaltung von Microsoft Defender, sodass die bMC jetzt eine zentrale Übersicht auf den Bedrohungsstand bietet. Bei Bedarf lässt sich ein Update der Virendefinitionen per Job starten, ebenso die Beseitigung eines Befalls. Ist dies bei laufendem Windows nicht möglich, kann die bMS auch eine Offline-Überprüfung mittels WindowsPE-Boot durchführen.

Für Administratoren, die rund um die Uhr die Gesundheit einer oder gleichzeitig mehrerer unterschiedlicher IT-Umgebungen im Blick behalten müssen, hat baramundi das Argus Cockpit (bAC) geschaffen. Dieses erlaubt es Administratoren, von jedem internetfähigen Gerät aus mit einer übersichtlichen Oberfläche den Zustand ihrer bMS-Umgebungen zu kontrollieren. Das Argus Cockpit ergänzt die bMS um ein auf Cloudtechnologie basierendes Dashboard. Eingeführt wurde es mit der Version 2020 und dann schrittweise erweitert. Die Infrastruktur für das Argus Cockpit steht in der Cloud bereit, die Weiterentwicklung erfolgt weitgehend unabhängig von den bMS-Release-Zyklen.

Voraussetzung für die Nutzung des Cockpits ist es logischerweise, dass die angezeigten Informationen das Unternehmensnetz verlassen und in der Cloud landen. baramundi hat besonderen Wert auf eine sichere Implementierung gelegt und verwendet beispielsweise mit Azure AD, Identity Server, baramundi Connect und HTTPS sichere Komponenten sowie Schnittstellen. Das Hosting erfolgt zudem in der EU. Im bMC kann der Administrator auswählen, inwiefern relevante Daten mit dem bAC synchronisiert werden. Das bAC ist mehrmandantenfähig und erlaubt das parallele Monitoring mehrerer mit der bMS verwalteten IT-Umgebungen. So ist es einfach möglich, Probleme und Warnungen sowie fehlgeschlagene Jobs in der bMS schnell zu erkennen.

Seit dem Release 2020 R2 sind bis zu zehn UDG mit dem Argus Cockpit synchronisierbar und seit 2021 R1 lassen sich zusätzlich individuelle Schwellwerte setzen. So kann jeder Administrator auswählen, welche spezifischen relevanten Daten er benötigt und mit dem bAC synchronisieren möchte. Welche UDG mit dem bAC synchronisiert werden, kann der Administrator leicht im Management Center an einem anderen Icon erkennen. Erweitert wurde auch die Rechtestruktur, um nur bestimmten Benutzern des Management Center zu erlauben, die Synchronisation zu aktivieren.

Zu beachten ist, dass das Argus Cockpit auf eine reine Anzeigefunktion beschränkt ist, also kein Management zulässt. Das ist insofern beruhigend, als dass auf diesem Weg keine Manipulation an den bMS-Instanzen möglich ist. Letztlich dient das bAC dem schnellen, unkomplizierten Blick auf die wichtigsten Statusinformationen, sobald aus Sicht des Administrators eine Interaktion erforderlich ist, muss er sich wie bisher auch an der bMS-Umgebung anmelden und das Problem bearbeiten. Ebenfalls für einen schnellen Blick gibt es zudem eine überarbeitete bCenter-App für Android und iOS, die im Gegensatz zum Argus Cockpit auch Aktionen wie das Starten von Jobs erlaubt.

Dass sich baramundi nach wie vor intensiv mit der Verbesserung seines zentralen Produkts, der baramundi Management Suite, beschäftigt, wird angesichts der sinnvollen Neuerungen der letzten Releases offensichtlich. Die Anzahl der verfügbaren Module ist im Laufe der Jahre auf 27 angewachsen. Der modulare Aufbau ist ein großer Vorteil für den Anwender, der zum

einen eine nutzungsorientierte Preisgestaltung erlaubt und zum anderen vermeidet, dass die Administratoren mit nicht benötigten oder nicht gewünschten Bausteinen konfrontiert werden. Von Nachteil ist jedoch noch immer, dass die Suite keine Linux-Endpunkte unterstützt.

Komplett überarbeitet hat der Hersteller das Patchmanagement, um nicht immer auf die Patchfreigabe von baramundi warten zu müssen, sondern optional in der bMS direkt einen WSUS-Server oder Online-Updates von Microsoft nutzen zu können. Gerade bei Zero-Day-Exploits ist es sehr wichtig, schnell zu reagieren, sobald Microsoft ein Update bereitgestellt hat, ohne dann noch länger mit der Aktualisierung warten zu müssen. Die ständige Erweiterung von Argus Cockpit erleichtert den Administratoren schließlich die Kontrolle der mit der bMS gemanagten Umgebungen enorm, da jetzt ein schneller Blick von überall möglich ist, ohne sich jedes Mal aufwändig am Management Center anmelden zu müssen.