ADMIN

2022

12

2022-11-29T12:00:00

Clientmanagement und Support

TESTS

030

Clientmanagement

Automatisierung

Aagon ACMP 6.3

Versorgt in allen Lebenslagen

von Thomas Bär

Veröffentlicht in Ausgabe 12/2022 - TESTS

Cloud hin und SaaS her – in den meisten Firmen arbeiten nach wie vor abertausende Fat Clients, die IT-Administratoren professionell und sicher betreiben und warten müssen. Mit ACMP steht hierzu ein ausgereiftes Programm zur Verfügung, das Clients mit Betriebssystem, Software und Updates versorgt und auch ein Auge auf ihre Security hat. Daneben überzeugt es durch umfangreiche Automatisierung im Client-Lebenszyklus.

 Aagon bietet seit rund drei Dekaden Client Lifecycle Management (CLM) an, das sich an den Anforderungen kleiner und mittelständischer Unternehmen orientiert. Aber auch größere Unternehmen mit verteilten IT-Umgebungen an verschiedenen Standorten, können Nutzen aus der Aagon Client Management Platform (ACMP) ziehen.
ACMP ist modular aufgebaut und für den IT-Verantwortlichen besteht somit grundsätzlich die Möglichkeit, den Leistungsumfang den eigenen Anforderungen anzupassen. Wer beispielsweise ein eigenes Help-Desk-System bereits etabliert hat und kein Problem darin sieht, dass die Ticketverarbeitung losgelöst vom CLM erfolgt, ist nicht gezwungen, die entsprechende Funktion in ACMP zu verwenden. Die gemeinsame Grundlage, quasi das Kernsystem von ACMP, nennt sich "Core" und umfasst alle Basisbereiche wie die Oberfläche, das Inventarsystem, die Berichterstellung, die gemeinsame Dateiablage oder die Benutzerverwaltung. Alle Erweiterung zum Core-Modul nennt Aagon "Solution". Diese reichen von der Betriebssystemverteilung über die Desktopautomatisierung mit Softwareverteilung bis hin zu erweiterten Inventarisierungs- und Sicherheitsfunktionen.
Einrichtung mit neuer Hilfefunktion
Die Installation und die Grundkonfiguration von ACMP ist glücklicherweise eine rechte einfache Sache, zumindest haben wir im Rahmen unserer Betrachtungen von CLM-Systemen schon aufwendigere Einrichtungen erlebt. Letztendlich ist ein SQL-Server entweder vor der Installation des ACMP-Servers selbst oder im Zuge der Installation einzuspielen. Der sogenannte "Native Client" war auf dem Server ebenfalls zu installieren, da er für die Kommunikation zwischen SQL und dem ACMP-Server erforderlich ist. Anschließend spielten wir den ACMP-Server, den Network Boot Service und die ACMP-Konsole ein. In der neuen XWiki-basierten Onlinehilfe fanden wir eine genaue Schritt-für Schritt-Anleitung.
 Aagon bietet seit rund drei Dekaden Client Lifecycle Management (CLM) an, das sich an den Anforderungen kleiner und mittelständischer Unternehmen orientiert. Aber auch größere Unternehmen mit verteilten IT-Umgebungen an verschiedenen Standorten, können Nutzen aus der Aagon Client Management Platform (ACMP) ziehen.
ACMP ist modular aufgebaut und für den IT-Verantwortlichen besteht somit grundsätzlich die Möglichkeit, den Leistungsumfang den eigenen Anforderungen anzupassen. Wer beispielsweise ein eigenes Help-Desk-System bereits etabliert hat und kein Problem darin sieht, dass die Ticketverarbeitung losgelöst vom CLM erfolgt, ist nicht gezwungen, die entsprechende Funktion in ACMP zu verwenden. Die gemeinsame Grundlage, quasi das Kernsystem von ACMP, nennt sich "Core" und umfasst alle Basisbereiche wie die Oberfläche, das Inventarsystem, die Berichterstellung, die gemeinsame Dateiablage oder die Benutzerverwaltung. Alle Erweiterung zum Core-Modul nennt Aagon "Solution". Diese reichen von der Betriebssystemverteilung über die Desktopautomatisierung mit Softwareverteilung bis hin zu erweiterten Inventarisierungs- und Sicherheitsfunktionen.
Einrichtung mit neuer Hilfefunktion
Die Installation und die Grundkonfiguration von ACMP ist glücklicherweise eine rechte einfache Sache, zumindest haben wir im Rahmen unserer Betrachtungen von CLM-Systemen schon aufwendigere Einrichtungen erlebt. Letztendlich ist ein SQL-Server entweder vor der Installation des ACMP-Servers selbst oder im Zuge der Installation einzuspielen. Der sogenannte "Native Client" war auf dem Server ebenfalls zu installieren, da er für die Kommunikation zwischen SQL und dem ACMP-Server erforderlich ist. Anschließend spielten wir den ACMP-Server, den Network Boot Service und die ACMP-Konsole ein. In der neuen XWiki-basierten Onlinehilfe fanden wir eine genaue Schritt-für Schritt-Anleitung.
ACMP kann, muss aber nicht notwendigerweise in einer Active-Directory-Umgebung zum Einsatz kommen. Im Zuge der Installation erwartete der ACMP-Assistent die Eingabe eines Benutzerkontos für die ACMP-Agenteninstallation auf den PCs und für das Netzwerkerkennungskonto, das auf allen aktuellen Windows-Versionen der Identifikation dient. Das bei der Installation vergebene Passwort für den ACMP-Administrator kommt bei der Anmeldung an die ACMP-Konsole zum Einsatz.
Softwarelager entsteht automatisch
In den meisten ACMP-Umgebungen dürfte die Betriebssystem-Ferninstallation, das so genannte "OS Deployment", ein fester Bestandteil sein. Hierzu wurde bereits mit der Installation ein "File Repository" eingerichtet. Hierbei handelt es sich um eine UNC-Freigabe, die die Startumgebung und die Betriebssystem-Installationsdateien durch ACMP bereitstellt. Neben diesem Repository arbeitet typischerweise auch der "Netzwerk Boot Service". Bestandteile davon sind ein DHCP-Proxy-Service, der auf DHCP-Anfragen von Boot-Clients reagiert und ein TFTP-Service, der für das Herunterladen von Dateien durch den TFTP-Client der Netzwerkkarten der Boot-Clients zuständig ist.
In größeren und verteilten Umgebungen kommen mehrere Repositories zum Einsatz, die automatisch die aktuellen Datenstände synchronisieren. Multiple Subnetze und VLANs erfordern eine IP-Helper-Konfiguration der Router und Switches, bei der möglicherweise die Unterstützung des Netzwerkteams erforderlich sein könnte. Ansonsten war das Programm recht einfach bereitzustellen. Alle erforderlichen Parameter wie beispielsweise Ausschlussverzeichnisse für Virenscanner, freizuschaltende URLs für externe Zugriffe oder die vier benannten Standardports 2106, 2108, 80 und 443 fanden sich in der "Checkliste zum Setup".
Aagon ACMP 6.3
Produkt
Software für das Client Lifecycle Management.
Hersteller
Aagon
Preis
Beispielhaft ergeben sich bei Abnahme von 500 Lizenzen folgende Preise (Anschaffung / jährliche Wartung): Core 24.000 Euro / 553 Euro, OS-Deployment 8710 Euro / 2003 Euro, Desktop-Automatisierung 14.244 Euro / 3061 Euro, CAWUM 3593 Euro / 825 Euro, SECdetective 2177 Euro / 500,87 Euro. ACMP Defender Management wird als Subskription für 500 Systeme für jährlich rund 3266 Euro angeboten..
Systemanforderungen
Der ACMP-Server benötigt Microsoft Windows 2016 oder höher, eine aktuelle CPU mit mindestens vier Kernen, 4 GByte Arbeitsspeicher und 200 GByte freien Festplattenspeicher. Mit einem kostenfreien MS SQL Express Server 2014 und höher sind rund 500 Clients verwaltbar. Kommen die Module DNA und Schwachstellenmanagement zum Einsatz, reduziert sich die Anzahl auf 100 Clientsysteme.
Clientseitig arbeitet ACMP mit Windows ab der Version XP, wobei sich die Unterstützung bei abgekündigten Windows-Versionen auf den Migrationszweck beschränkt. Der ACMP-Windows-Client benötigt handelsübliche x86/x64-Hardware und rund 200 MByte freien Speicherplatz. Der macOS-Agent arbeitet ab Version 10.13.6 (High Sierra) und benötigt 20 MByte Speicherplatz, einen nutzbaren SSH-Zugang und Python. Der Agent für Linux wurde auf Ubuntu 18 und 20 LTS, Debian 10.3, OpenSuse 15.1 und CentOS 8.1 getestet. Der Leistungsumfang für Linux-Clients ist geringer als für Windows-Computer.
Technische Daten
Benutzerverwaltung mit oder ohne AD
ACMP arbeitet mit einer eigenen Konsole. Dieses Programm ist eine klassische EXE-Datei, ein Zugriff über Webtechnik ist aktuell nicht vorgesehen. Praktischerweise sorgt die Software selbstständig für eine Aktualisierung auf dem Clientcomputer, sollte die Servervariante bereits einen jüngeren Softwarestand bieten.
Beim Erststart zeigt das Anmeldefenster unter "Domäne" den Eintrag "ACMP Login". Die Authentifikation mit den Benutzerdaten geschieht mithilfe der ACMP-Datenbank. In den meisten Umgebungen dürften die Administratoren in der Benutzerverwaltung die Synchronisation mit einem AD aktivieren, um eine Benutzersteuerung über die Domänen vornehmen zu können. Wie bereits erwähnt, könnte ACMP jedoch auch komplett ohne AD laufen, anstelle von Domänengruppenrichtlinien würde der Administrator über lokale Richtlinien, angestoßen über ACMP, die "Arbeitsgruppe" steuern. Aber auch ein Mischbetrieb ist denkbar – insbesondere praktisch, wenn aus Sicherheitsgründen einzelne Computersysteme bewusst nicht im AD organisiert sein sollen.
Bild 1: Die Übersicht von ACMP lässt sich nach den eigenen Vorstellungen anpassen.
Agenten flexibel ausrollen
Wie beinahe alle aktuellen CLM-Systeme wird auch bei ACMP der Erstanwender von einem Willkommens-Wizard begrüßt, der durch die ersten Schritte führt. Hierbei geht es in erster Linie um das Ausbringen der ACMP-Agenten. Hierzu stehen verschiedene Wege zur Verfügung: Push, Login-Skript oder manueller Aufruf. Der Agent ist jedoch für den Einsatz der Software selbst zwingend erforderlich. ACMP nutzt für die Verwaltung der Clientrechner eine asynchrone Architektur, dies bedeutet, dass Aufträge nicht sofort ausgeführt werden, sondern sich zunächst in deiner Queue sammeln und nacheinander zur Abarbeitung anstehen.
Im Lieferumfang von ACMP findet sich ein spezielles Programm, der sogenannte "OneScanClient" (OSC), den Administratoren manuell oder per Login-Skript zur Ausführung bringen. OSC analysiert die Software- und Hardwareausstattung des Zielsystems, ohne einen dauerhaft aktiven Agenten einzurichten. Über einen gesonderten Aufrufparameter kann OSC auch eine Schwachstellenanalyse durchführen und das Ergebnis an das Schwachstellenmanagement weiterleiten. ACMP baut im Grundsatz auf Standardprotokollen wie dem "Windows Management Instrumentation" (WMI) und dem "Simple Network Management Protocol" (SNMP) zur Informationsgewinnung auf.
Bild 2: Herzstück der Automatisierung sind die Client Commands – hier im eigens dafür entwickelten Editor.
Einfache Softwareverteilung dank Client Commands
Die Bereitstellung von Windows-Betriebssystemen funktioniert über die von Microsoft etablierten Schnittstellen. Typischerweise bootet ein Clientcomputer über PXE, erhält ein Preboot-Image und führt eine über die Antwortdateien gesteuerte Installation durch.
Automatismen konnten wir mithilfe der Client Commands anlegen, die sowohl auf der Konsole des Servers als auch auf dem Clientcomputer laufen können. Grundsätzlich dienen diese Kommandos dem Installieren von Software, dem Einstellen von Konfigurationen oder der sonstigen Interaktion mit dem System. Diese Befehle bestehen stets aus einer Reihe von einzelnen Kommandos und Aktionen, die wir in einem einfach zu nutzenden Editor zusammenstellten. Insbesondere für die Softwareverteilung waren wir jedoch nicht auf die händische Eingabe beziehungsweise Auswahl von Kommandos angewiesen. Ein "Paket Wizard" unterstützte uns bei der Erstellung der Installations- oder Deinstallationsroutine.
Stehen jedoch bereits Skripte zur Verfügung, die entsprechend versierte Administratoren mithilfe von Batches oder WMI-Zugriffen erstellt haben, ist diese Vorarbeit in ACMP nicht verloren. Das Einbinden anderer Programmiersprachen wie PowerShell oder Visual Basic erlaubt die Integration bereits bestehender Programme direkt in ACMP. Langfristig empfiehlt sich für ACMP-Nutzer jedoch die Verwendung der mehr als 170 Client Commands.
Die Möglichkeit zur Delegation und eine umfassende Versionierung heben die ACMP-Variante gegenüber den Basissprachen der Betriebssysteme deutlich ab. Die Versions- und Freigabesteuerung von Client Commands ist ein weiteres wichtiges Hilfsmittel für die tägliche Arbeit der IT-Administration. Die teil- oder vollautomatisierte Bereitstellung von Einstellungen und Programmen erfordert eine Qualitätssicherung und diese wird über ein Vier-Phasen-System mit "Test"-Bereich und "Freigabe" erreicht.
Wer noch mehr Automatisierung wünscht, die eher in die Richtung "Wiederholung von Click- und Eingabefolgen" weist, kann zum optionalen und kostenpflichtigen "ACMP Automate" greifen. Das Programm ermittelt weitgehend automatisch alle Benutzereingaben und Mausklicks und erstellt daraus ausführbare Installations- und Deinstallationsdateien. Mit dem Tool können Administratoren nicht nur Setup-Vorgänge mitschreiben, sondern beliebige Abläufe über Menüs, Schaltflächen oder Steuerelemente automatisieren. Die Steuerung der Oberfläche wie von Geisteshand muss natürlich vor unüberlegten Eingriffen schützbar sein – eine Sperre für Maus und Tastatur für den vor dem Windows-PC sitzenden Anwender ist möglich.
Diverse Techniken schützen die Endgeräte
IT-Security ist eines der wichtigsten Themen unserer Tage und viele IT-Verantwortliche suchen nach einfach zu verwendenden Techniken, um die Betriebssicherheit in der eigenen Umgebung zu erhöhen. In diesem Bereich haben die Entwickler von Aagon in den vergangenen Jahren ordentlich aufgerüstet. Dabei ist "Security Detective" die älteste Ergänzung. Das Modul dient der Inventarisierung von Sicherheitsparametern jedes Clients.
Gängige Antivirenprogramme beispielsweise von Symantec, McAfee, Avira oder TrendMicro liefern ihre Statusinformationen an das Windows-Sicherheitscenter. Diese einheitliche Datenquelle, die seit Windows XP SP2 im Betriebssystem enthalten ist, wird von ACMP abgefragt und entsprechend ausgewertet. Wir erhielten somit die Informationen, ob Client-PCs geschützt sind, welches AV-Werkzeug mit welcher Pattern-Definition im Einsatz ist und ob die AV-Dienste aktiv sind.
Der Security Detective belässt es beim Auslesen von Werten, um diese, beispielsweise für die Verarbeitung in der Desktopautomatisierung, zu nutzen. Das "ACMP Defender Management" geht weit darüber hinaus. Es unterstützt die Verwaltung des in Windows 10 vorinstallierten "Microsoft Defender Antivirus" durch die Koordination von AV-Scans, Meldung von Malware-Funden und deren Reporting. Microsoft hat die Schnittstelle für das eigene AV-Paket großzügig ausgestattet und bietet den CLM-Herstellern diese Möglichkeiten. Da der Defender ohnehin als AV-Paket auf jedem aktuellen Windows-System zur Verfügung steht und so mancher IT-Verantwortlicher recht zügig der BSI-Empfehlung zur Entfernung der Produkte aus dem Hause Kaspersky im Jahr 2022 folgte, war die Nutzung von Defender naheliegend.
Die Konfiguration erfolgt über sogenannte Konfigurationsprofile, mit denen wir eben jene Parameter zentral regeln konnten, die auch lokal im Defender verfügbar sind: Smart­Screen, überwachter Ordnerzugriff, Cloud-basierter Schutz und die Variationen der ASR (Attack Surface Reduction)-Regeln. Letztere erlaubten uns beispielsweise einen expliziten Ausschluss der Verwendung von PSExecute oder den Aufruf von Win32-APIs aus VBA-Makros.
Aagon liefert Standardkonfigurationsprofile mit aus, diese sind aber zunächst keinem Client zugewiesen. Hierzu ergeben sich zwei mögliche Varianten: entweder als explizite Zuweisung über eine Abfrage und der anschließenden Konfigurationsprofilzuweisung per Mausklick oder eleganter über die automatische Containerzuweisung.
Container sind im ACMP-Jargon so etwas wie eine Gruppenzugehörigkeit. Diese Zuordnung geschieht entweder manuell statisch oder dynamisch über zugewiesene Filterkriterien. Ein solches Konstrukt könnte eben sein, dass ein Clientcomputer über einen aktiven Defender verfügt, da keine andere AV-Lösung im Einsatz ist. Letztendlich lässt sich jedem Endgerät für das Defender Management nur ein Konfigurationsprofil zuweisen. In dem Fall, dass mehrere Container-Zugehörigkeiten unterschiedliche Profile zur Anwendung bringen, setzt sich das Profil mit der höchsten Priorität durch. Ist die Mandantenfähigkeit aktiv, erfolgt die Ordnung über entsprechende Mandantencontainer.
Die Konfigurationsfähigkeiten des Windows Defenders sind weitreichend und umfassend in ACMP abgebildet. In der praktischen Anwendung steuern Administratoren über das Defender Management ihre Umgebung über unterschiedliche Konfigurationsprofile gezielter und sehen die Ergebnisse der Quarantäne und die Ergebnisauflistung. Während die Quarantänefunktion über das Kontextmenü direkt eine Wiederherstellung oder einen Ausschluss erlaubte, war dies bei den Ergebnissen nicht so. Verhinderten wir durch die Ordnerüberwachung beispielsweise die Ausführung eines VBS-Jobs, konnten wir diesen Ausschluss nicht direkt per Mausklick in das jeweils korrespondierende Konfigurationsprofil übernehmen.
Updates ohne WSUS
Bereits zur Version 5.4.7. wurde ACMP dahingehend erweitert, dass interne WSUS-Server von Microsoft nicht mehr notwendig sind. Die für die Bereitstellung von Patches und Service Packs erforderlichen Dateien und Metadaten bezieht der ACMP-Server direkt von den Microsoft-Update-Servern. Aagon nennt die eigene Variante "WUM" (Windows Update Management) beziehungsweise "CAWUM" (Complete Aagon Windows Update Management).
In der Software selbst besteht WUM aus den fünf Registern mit Dashboard, Updates, verweigerten Updates, Windows Update Collections und der Übersicht "Management by WUM". Die Einstellungen selbst nimmt der Administrator in der Baumstruktur des Menüs unter "System" vor. Wer sich schon einmal mit WSUS auseinandergesetzt hat, fühlt sich im Konfigurationsbereich von ACMP WUM schnell heimisch. Unter "Update-Produkte" klickten wir die gewünschten Produkte für Updates an, beispielweise Windows und Office und im zweiten Abschnitt, der Update-Klassifizierung, legten wir erneut über Checkboxen fest, welche Teilbereiche bereitgestellt werden sollen – zum Beispiel Treiberpakete oder Service Packs.
Bild 3: Mit dem Defender Management sehen Administratoren in der zentralen Konsole, welche Ereignisse auf den lokalen Windows-Rechnern auftauchen.
Neben gewünschten Sprachpaketen für Downloads gibt es eine weitaus spannendere Funktion: den "Test- und Freigabeprozess". ACMP bietet vier Ebenen, hier als "Ringe" bezeichnet. Über diese waren wir in der Lage festzulegen, wie die Bereitstellung von Updates automatisiert oder manuell vonstattengehen soll. Dies verhindert, dass ein fehlerhaftes Update auf einer großen Anzahl von produktiven Computern zum Einsatz kommt, ohne im Vorfeld im kleineren Testfeld geprüft worden zu sein. Da von Microsoft so vorgesehen, ist auch ein Update von Windows 10 auf 11 über ACPM WUM möglich und in der Onlinehilfe als "Use Case für WUM" zu finden.
Darüber hinaus gibt es für ACMP ein integriertes, optionales Schwachstellenmanagement. Eine zusätzliche Scannersoftware, die direkt vom Softwareagenten aus aktiviert wird, untersucht die lokale Installation nach bekannten Schwachstellen und gibt dies an den ACMP-Server weiter. Über Client Commands ließen sich hierfür Container-Zuweisungen ableiten und automatisch Updates zur Installation bringen.
Fazit
Unser Urteil in Bezug auf ACMP fällt insgesamt positiv aus, auch wenn wir im Zuge dieses Berichts nur einen Teil der Funktionalitäten näher betrachten konnten. Das Produkt wurde schon häufiger von uns gesichtet und wir sehen von Version zu Version eine immer weiter voranschreitende Entwicklung – und dies in zweierlei Hinsicht: Einmal dahingehend, dass der Leistungsumfang stets deutlich erweitert wird und andererseits, dass sich der Bedienungskomfort für den Administrator und den IT-Support gleichermaßen verbessert. Die Qualität der unterstützenden Assistenten, das neue Design der Konsole und die überarbeitete Onlinehilfe runden ein bereits insgesamt positives Gesamtbild noch einmal ab.
So urteilt IT-Administrator
Bewertung
OS-Deployment 8
Softwareverteilung 8
Automatisierung 8
Sicherheitsfunktionen 8
Neue Onlinehilfe 8
Dieses Produkt eignet sich
optimal
für kleine bis große Unternehmen mit der klassischen Anforderung nach OS-Deployment, Softwareverteilung und -management.
bedingt
für Firmen, die vermehrt Cloudressourcen nutzen und/oder auf BYOD setzen.
nicht
in Organisationen, bei denen die Softwarebereitstellung diverse Bestell-, Freigabe- und Verrechnungsprozesse voraussetzt.
(jp)