Endgeräte-Management in Remoteumgebungen
In Reih und Glied
Veröffentlicht in Ausgabe 08/2023 - SCHWERPUNKT
IT-Admins kennen es noch von der BYOD-Debatte: Auf Mobilfunkgeräten, die nicht mehr ihrer 100-prozentigen Kontrolle unterliegen, befinden sich tonnenweise geschäftskritische Daten. Mit einer im Zuge der Pandemie veränderten Arbeitsplatzkultur hat das Problem noch einmal neue Züge angenommen. Mobile und Home-Office-Clients stehen heute gleichberechtigt neben Inhouse-Arbeitsplätzen. Mit dem großen Unterschied, dass sie sich außerhalb des gesicherten Firmennetzes befinden, was bedeutet: Sie bauen unabhängig davon Zugang zum Internet auf, nutzen SaaS-Anwendungen et cetera.
Bandbreiten-Engpässe sind da noch das geringste Problem. Remote Work reißt Sicherheitslücken auf, die die IT-Security irgendwie stopfen muss. Die neue Herausforderung: Arbeitsplätze im Home Office müssen kontinuierlich mit Software, Updates und Patches versorgt werden, Konfigurationsänderungen und aktualisierte Sicherheitsrichtlinien sind auszurollen.
Mobil Arbeiten, aber sicher
Soll der Umzug ins Home Office nicht zu einem höheren Sicherheitsrisiko führen, sind einige grundlegende Punkte zu beachten. Zunächst einmal muss die IT-Abteilung standardisierte Hardware und Ersatzgeräte bereitstellen und die internen Server für verschlüsselte Zugriffe von außen vorbereiten. Das A und O für die Sicherheit sind ein standardisierter Softwarebestand und einheitliche Patchstände. Verteilungsprofile müssen erstellt und Windows-Updates vollständig installiert werden. Es ist dafür zu sorgen, dass für alle Home-Office-Plätze Lizenzschlüssel vorhanden sind und ausreichend Lizenzen für das Onboarding bereitstehen.
IT-Admins kennen es noch von der BYOD-Debatte: Auf Mobilfunkgeräten, die nicht mehr ihrer 100-prozentigen Kontrolle unterliegen, befinden sich tonnenweise geschäftskritische Daten. Mit einer im Zuge der Pandemie veränderten Arbeitsplatzkultur hat das Problem noch einmal neue Züge angenommen. Mobile und Home-Office-Clients stehen heute gleichberechtigt neben Inhouse-Arbeitsplätzen. Mit dem großen Unterschied, dass sie sich außerhalb des gesicherten Firmennetzes befinden, was bedeutet: Sie bauen unabhängig davon Zugang zum Internet auf, nutzen SaaS-Anwendungen et cetera.
Bandbreiten-Engpässe sind da noch das geringste Problem. Remote Work reißt Sicherheitslücken auf, die die IT-Security irgendwie stopfen muss. Die neue Herausforderung: Arbeitsplätze im Home Office müssen kontinuierlich mit Software, Updates und Patches versorgt werden, Konfigurationsänderungen und aktualisierte Sicherheitsrichtlinien sind auszurollen.
Mobil Arbeiten, aber sicher
Soll der Umzug ins Home Office nicht zu einem höheren Sicherheitsrisiko führen, sind einige grundlegende Punkte zu beachten. Zunächst einmal muss die IT-Abteilung standardisierte Hardware und Ersatzgeräte bereitstellen und die internen Server für verschlüsselte Zugriffe von außen vorbereiten. Das A und O für die Sicherheit sind ein standardisierter Softwarebestand und einheitliche Patchstände. Verteilungsprofile müssen erstellt und Windows-Updates vollständig installiert werden. Es ist dafür zu sorgen, dass für alle Home-Office-Plätze Lizenzschlüssel vorhanden sind und ausreichend Lizenzen für das Onboarding bereitstehen.
Gegebenenfalls sollten IT-Verantwortliche auch eine lizenzfreie Open-Source-Software als Alternative evaluieren. Für die konkrete IT-Sicherheit müssen ein Antivirenprogramm bereitgestellt und Ansprechpartner im Notfall kommuniziert werden. Ebenso sind die Firewalleinstellungen anzupassen und eine lückenlose Festplattenverschlüsselung der Remoteclients ist durch BitLocker-Konfigurationsprofile sicherzustellen. Advanced Encryption ist umso wichtiger, als die Gefahr von Datenverlust durch physischen Verlust der Hardware bei Home-Office-Geräten besonders hoch ist.
Offene Einfallstore via UEM schließen
Ein einheitlicher Softwarebestand und jederzeit aktuelle Sicherheitspatches an allen Außenstellen lassen sich durch eine Software für Unified Endpoint Management realisieren. UEM (oder auch Clientmanagement) bedeutet die zentrale Verwaltung und Steuerung von Clients und Servern in einem Unternehmensnetzwerk. Administrationsabteilungen regeln damit Aufgaben auf den Clients zentral und im Idealfall komplett automatisiert.
Eine UEM-Plattform spielt die jeweils erforderlichen Patches und Updates ein und garantiert damit die notwendige IT-Sicherheit. Für Home-Office-Arbeitsplätze ist es fast noch wichtiger als für Inhouse-Clients, dass sie stets alle wichtigen und sicherheitsrelevanten Updates enthalten. Der Grund: Es gibt dort keine Firewallstruktur wie in der unternehmensinternen Systemlandschaft. So öffnen sich viel leichter Einfallstore für Schadsoftware oder unerwünschte Späher.
Im Bereich der Festplattenverschlüsselung bietet ein externes UEM-Werkzeug zusätzlichen Nutzen. So kann zum Beispiel, wenn der Rechner außerhalb des Firmennetzwerks startet, gesondert nach dem Entschlüsselungspasswort der Festplatte gefragt werden. Zusätzlich zu den Microsoft-eigenen BitLocker-Möglichkeiten bietet ein im UEM-System integriertes BitLocker-Management noch weitere Vorteile wie einen zentralen Überblick der Festplattenverschlüsselung oder Statusabfragen von Schlüsselschutzeinrichtungen.
Clouddiensten fehlt oft Detailtiefe
Um die einzelnen Clients nicht unnötig zu belasten, sollte das Endpoint Management wissen, welche Updates die IT-Abteilung tatsächlich benötigt und nur diese dann herunterladen und automatisch installieren. Das spart Bandbreite und Zeit. Dazu muss das UEM-System die Heimarbeitsplätze täglich nach aktuellen Updates und Patches scannen, sie hinsichtlich Integrität prüfen und die Updates dann ausspielen. Eine Endgeräte-Verwaltung, die mit einzelnen Freigaberingen arbeitet, ermöglicht es zudem, Windows-Updates auf einzelnen Testsystemen zu verteilen. So lässt sich risikofrei ausprobieren, ob nach dem Update alles reibungsfrei läuft.
Durch Unified Endpoint Management sind solche Prüfungen durchführbar, und zwar genau in der beschriebenen Detailtiefe. Das unterscheidet sie von Light-Varianten aus der Cloud, deren Nutzer einige Einschränkungen hinsichtlich Komfort, Übersichtlichkeit und Flexibilität hinnehmen müssen. Microsoft-Kunden dürften hier Intune kennen, die Endpunkt-Verwaltung mit der wohl größten Marktdurchdringung. Kein Wunder: Im Enterprise-Lizenzvertrag Microsoft 365 E3 ist Intune bereits enthalten.
Daneben gibt es zahlreiche Cloudwerkzeuge, die mit Intune vergleichbar sind, darunter Produkte für spezielle Nischen und Branchen. An den Funktionsumfang einer lokalen Software kommt keine von ihnen heran. Zwar beherrschen cloudbasierte UEM-Systeme die grundlegenden Features der Endgeräteverwaltung: EXE-Dateien und MSI verteilen, Geräte sperren et cetera. Danach wird es dann meist dünn, und dies schränkt die praktische Arbeit damit deutlich ein. Gerade im Fall komplexer Anwendungen, bei denen mehr zu tun ist – Treiber installieren, bestimmte Keys und Ausnahmen setzen – stoßen sie an ihr Limit. Der Ausweg: Die Admins müssen hochkomplizierte Skripte schreiben und diese dann irgendwie ins Home Office bringen.
Kontrolle über Zeit undAusgestaltung von Updates
Mit einem lokalen UEM-Ansatz lassen sich die Skripte in Routinen zusammenziehen und sogar komplexe Verteilszenarien abbilden. Es gibt außerdem weitaus mehr Konfigurationsmöglichkeiten: Der Administrator kann Softwareinstallationen auf vordefinierte Zeitfenster terminieren und damit "verstecken", zum Beispiel am Wochenende. Er kann bestimmen, welche Systeme und Gruppen angesprochen werden sollen, Rechner in unterschiedliche Gruppen schieben und vieles mehr. Dies hat großen Einfluss darauf, wie sehr Softwareupdates die Anwender in ihrer täglichen Arbeit tangieren.
Bei Intune und Co. weiß die Administrationsabteilung oft nicht, wann ein Update installiert wird und den Rechner des Users damit erst einmal lahmlegt. Soll mit dem Clouddienst eine Software verteilt und einer bestimmten Geräte- oder Usergruppe zugewiesen werden, wird diese zunächst als compliant angezeigt. Dies dürfte aber nur geschehen, wenn die Software auch wirklich installiert ist und nicht schon dann, wenn sich die Installation quasi noch in der Warteschleife befindet.
Grund für die Fehlanzeige ist der mangelnde Überblick. Die Installation geschieht dann irgendwann später, wenn sich der Client das nächste Mal anmeldet oder die Kommunikation steht. Genau dies wollen Unternehmen jedoch nicht, denn dadurch sind unplanbare Rechnerausfälle programmiert. Ist vielleicht für das Wochenende der Rollout eines ganzen Standorts vorgesehen und am Freitagabend meldet sich die Endgeräteverwaltung mit einem dringenden Update, sind die Rollout-Pläne erst einmal perdù.
Nicht nur auf das Timing hat ein Unternehmen bei einem Cloudprodukt keinen Einfluss, auch der Funktionsumfang ist strikt vorgegeben. Veröffentlicht Microsoft ein Update von Intune, muss der Admin es so nehmen, wie es kommt. Bei einer lokalen Verwaltung kann er den von ihm bevorzugten Zeitpunkt wählen und dann in Ruhe planen, wie er das Update vor dem Ausrollen eventuell anpassen möchte – ein großes Plus hinsichtlich der Flexibilität.
Mangelnde Kontrolle über den Zeitpunkt von Updates ist also eines der großen Mankos cloudbasierter UEM-Umgebungen. Natürlich gibt es dafür bei Microsoft einen Ausweg: Wer ein größeres Feature-Set will, dem empfiehlt Microsoft einfach seinen Endpoint Configuration Manager (ECM), Nachfolger des System Center Configuration Manager (SCCM) – der aber wiederum on-premises läuft. Was dann außerdem benötigt wird, ist ein Azure AD, das beide verbindet. Im Enterprise-Lizenzvertrag Microsoft 365 E5 ist ECM bereits an Bord.
Cloudangebote für Startups sinnvoll
Auswertungen zu erzeugen, funktioniert bei Cloudwerkzeugen im Vergleich mit einer lokalen Plattform nur begrenzt. Zumeist gibt es vordefinierte Reporte ohne die Möglichkeit, Inventarfelder zu aggregieren oder sich nur bestimmte, gerade benötigte Informationen anzeigen zu lassen. Es ist möglich, festgelegte Abfragen mit x Werten aufzurufen und zu nutzen – das war es dann aber schon. Auch bei der Übersichtlichkeit fehlt es Ansätzen in der Cloud daher oft an der in der Praxis meist erforderlichen Individualisierbarkeit.
Abstriche in Komfort, Flexibilität und Übersichtlichkeit sind das eine; daneben ist der IT-Betrieb mit dem Endpoint Manager abhängig von wiederum anderen Microsoft-Diensten wie den Windows Server Update Services (WSUS). Damit eröffnet sich das Problem vieler Oberflächen, in denen sich der Admin zurechtfinden muss. Zwar hat sich bei Microsoft in den letzten Jahren hier viel getan, aber noch immer sind nicht alle Produkte so konsolidiert, wie es sein sollte.
Was sind also die Gründe, auf cloudbasierte UEM-Angebote zu setzen? Für kleinere Unternehmen und Startups mit wenig Ressourcen und einer überschaubaren Zahl an Clients sind sie auf jeden Fall ein guter Einstieg. Die IT-Abteilung kann einfach, schnell und mit niedrigeren Initialkosten ein Endgerätemanagement aufsetzen, mit allen Basisfunktionen. Wer den passenden Microsoft-Vertrag hat, bekommt Intune ohnehin gratis dazu und muss noch nicht einmal Server und Infrastruktur für ein lokales Setup bereitstellen. Die Kommunikation mit den Clients funktioniert, und es bedarf keiner Agenten.
Dass hier dann bereits Abstriche beim Funktionsumfang zu machen sind, weil bestimmte Aufgaben des UEM nicht agentenlos funktionieren, ist für den Anfang tolerierbar.
Mix aus lokal und cloudbasiert
Wie immer hängt es letztlich vom Einzelfall ab, welches Modell sinnvoller erscheint. Gerade bei großen Serverstrukturen dürfte der hybride Weg der beste sein. So läuft es darauf hinaus, dass beide Ansätze nebeneinander existieren: ein klassisches UEM-Werkzeug mit einem Anteil an Cloudverwaltung. Genau daran arbeiten UEM-Anbieter bereits, indem sie Schnittstellen entwickeln, namentlich zu Intune.
Einige Funktionen gibt es nämlich durchaus, bei denen Clouddienste im Vorteil sind, darunter den Autopiloten. Lokale UEM-Tools führen klassische Bare-Metal-Roll-outs durch: Ein Rechner wird mit dem Betriebssystem neu ausgerollt, sei dieser ganz leer oder sei eine Neuinstallation von Grund auf mit Formatierung und individueller Partitionierung gewünscht. Mit der Autopilot-Funktion von Microsoft muss sich das Betriebssystem gezwungenermaßen bereits auf einer eigenen Partition des Clients befinden, zum Beispiel einer Recovery-Partition.
Egal, wo sich der Client befindet oder ob er gestohlen wurde: Der User beschafft sich einfach einen neuen Rechner mit Betriebssystem, gibt seine Azure-AD- sowie Benutzerdaten ein und der Microsoft-Autopilot stellt die Installation dann so fertig wie vom Administrator hinterlegt.
Ist dann im Autopiloten von Intune zusätzlich der Agent des jeweiligen UEM eingetragen, wird dieser zum Rollout installiert und anschließend übernimmt die lokale Plattform. Sie überspielt alles, was in ihr bereits hinterlegt ist. Eine hilfreiche Kombination des Funktionsumfangs von lokalen Setups mit den einfach gehaltenen Features, die nur die Cloudvariante kann.
Last but not least: Durch ein hybrides UEM-System erhöht sich außerdem die Ausfallsicherheit. Geht eine der beiden Komponenten in die Knie, lassen sich die Endgeräte immer noch – zumindest zum Teil – von der anderen aus managen.
Fazit
Unified Endpoint Management: Das bedeutet einheitlichen Softwarebestand und jederzeit aktuelle Sicherheitspatches – an Inhouse-Clients ebenso wie an Remote-Arbeitsplätzen. Ein vollwertiges UEM-Werkzeug muss wissen, welche Updates die einzelnen Clients benötigen, diese herunterladen und automatisch installieren. Dazu muss es entfernte Geräte täglich nach aktuellen Updates und Patches scannen, sie hinsichtlich Integrität prüfen und die Aktualisierungen dann ausspielen. Light-Varianten aus der Cloud sind hier in Sachen Komfort und Flexibilität oft nicht auf der gleichen Höhe.
(ln)
Sebastian Weber ist Head of Product Management bei Aagon.