Treecha - stock.adobe.com
UEM und IT-Automatisierung für besseres Endgerätemanagement
Komplexe IT und wenig Personal führen zu Rückstau. UEM bündelt Endgeräteverwaltung, verteilt Software richtlinienbasiert und schließt Lücken schneller per automatisiertem Patching.
Heute melden sich Nutzer wegen des kleinsten Problems bei der IT-Abteilung. Diese muss dann möglichst schnell Abhilfe schaffen, daneben noch Patches und neue Softwareversionen verteilen und das Netzwerk kontrollieren – der tägliche Wahnsinn eines Admins. Würden sich nicht viele dieser Aufgaben automatisieren lassen, wäre er überhaupt nicht mehr bewältigbar.
Es ist die Diskrepanz zwischen dünner Personaldecke und der Tatsache, dass IT-Landschaften immer komplexer werden, die Admins an die Grenzen der Belastbarkeit bringt. Nicht nur, dass die Sphären zwischen lokal und in der Cloud betriebenen Anwendungen immer mehr verschwimmen – auch die inzwischen große Vielzahl an Netzwerkgeräten, verteilt auf Büro, Home-Office und mobile Nutzung, machen eine manuelle Verwaltung mühsam bis schlicht nicht mehr durchführbar.
Unified-Endpoint-Management (UEM)-Systeme als Dreh- und Angelpunkt
Also muss automatisiert werden. Skripting/Orchestrierung und Konfigurationsmanagement, CI/CD oder die Nutzung von Tools zur automatisierten Ressourcen-Bereitstellung sind die mittlerweile bekannten Automatisierungstechniken in der IT. Auch was das Konfigurieren, Administrieren und Patchen von Hard- und Software angeht, hat sich diesbezüglich inzwischen einiges getan. Dreh- und Angelpunkt sind dabei Systeme für Unified Endpoint Management (UEM), auch bekannt als Client-Management.
„Konkret bedeutet Automatisierung durch UEM im Wesentlichen, Clients auf Basis bestimmter Eigenschaften Gruppen und Containern dynamisch zuzuweisen, auf die in der Folge Jobs und Skripte angewandt werden können.“
Sebastian Weber, Aagon
UEM bedeutet das zentrale Steuern und Sichern beliebiger Geräte im IT-Netzwerk von einer einheitlichen Konsole aus. Admins können über solche Plattformen Clients und Software inventarisieren, managen, verteilen, installieren und migrieren. Diese Lösungen beinhalten dafür heute eine Vielzahl von Automatismen für effizienteres und sicheres Endgerätemanagement. Sie sind zumeist modulhaft aufgebaut und bieten Funktionen für Softwareverteilung, Patch-, Lizenz- und Asset-Management, Betriebssysteminstallation, Compliance-Monitoring und Sicherheitsüberwachung. Auch Tools wie Microsoft Defender, BitLocker oder Intune sind dort integriert und interagieren mit den klassischen UEM-Modulen.
Softwareinstallation folgt festgelegten Richtlinien
Konkret bedeutet Automatisierung durch UEM im Wesentlichen, Clients auf Basis bestimmter Eigenschaften Gruppen und Containern dynamisch zuzuweisen, auf die in der Folge Jobs und Skripte angewandt werden können. Damit sind Administrationsabteilungen eine ihrer zeitaufwendigsten Aufgaben los, nämlich das manuelle Installieren und Pflegen von Software auf Hunderten oder Tausenden von Geräten. Die Anwendungen werden zentral im UEM-System hinterlegt, ihre Installation auf den Endgeräten folgt festgelegten Richtlinien.
Ist zum Beispiel in einem Unternehmen die Fluktuation zwischen Büro und Home-Office besonders groß, regelt das UEM-System, dass Netzwerklaufwerke und Drucker bei einem Wechsel des Nutzers (Clients) ohne manuellen Eingriff zugewiesen werden, jeweils abhängig von der IP-Adresse, die das Gerät im jeweiligen Netzwerk erhält. Die Anwender verfügen auf diese Weise immer über die benötigte Software und Hardware und müssen keinen Drucker per Hand auswählen, beziehungsweise dafür ein Ticket erstellen. So entlastet Automatisierung zugleich den Helpdesk.
Zeitnah auf Sicherheitsvorfälle reagieren
Ein UEM-System überwacht, auf welchen Geräten Software nicht auf dem neuesten Stand ist und spielt Updates nach einem festen Zeitplan ein. Dies für jedes Device einzeln und per Hand tun zu müssen, ist schon angesichts der immer dichteren werdenden Taktung von Schwachstellen und Patches heute kaum mehr denkbar.
Nur mittels Automatisierung können IT-Abteilungen deshalb noch direkt und zeitnah auf Sicherheitsvorfälle reagieren. Wie beim Windows RE Bug vor einigen Jahren: Über die Windows-Wiederherstellungsumgebung (Windows RE) konnte der BitLocker hier umgangen werden und Kriminellen potenziell Zugriff auf verschlüsselte Daten gewähren. Microsoft reagierte schnell und veröffentlichte einen Bugfix. Allerdings stellte sich wenige Wochen später heraus, dass das Update gar nicht angewendet worden war. Grund: Das klassische Windows-Update wird nicht auf die Windows-RE-Umgebung übertragen. Man ging also fälschlicherweise davon aus, dass die Lücke geschlossen wäre.
Wer dann seine Computer manuell patchen wollte, musste erst einmal wissen, welches Windows RE vorlag, ob es anfällig war und welches Patch benötigt würde. Zwar gab es einen allgemeinen Patch, der aber in vielen Fällen zu groß war. Die Standard-Windows-RE, wie sie beim Rollout angelegt wird, ist im normalerweise bei Microsoft 512 MByte groß. Der Patch umfasste aber 780 MByte und ließ sich hier gar nicht anwenden. Gefragt war also ein spezieller Patch für genau die eigene Version.
Microsoft erkannte den Ernst der Lage und veröffentlichte daraufhin ein Skript für die Inventarisierung, das Aufschluss über die jeweilige Windows-RE-Version geben sollte. Dieses Skript ließ sich in das UEM-System integrieren, ebenso wie ein weiteres Skript für den eigentlichen Patch. Anstatt den Patch an jedem Rechner einzeln auszuführen, ermöglichte es das UEM-System über ein selbsterstelltes Skript, eigenständig zu erkennen, welche Windows-RE-Version vorlag, ob sie gepatcht werden konnte und wenn ja, mit welchem Patch. Dieser wurde dann automatisch ausgeführt; funktionierte dies nicht, wurde Windows RE automatisch deaktiviert.
Automatisch auf Sicherheitsbedrohungen reagieren
Sicherheitsvorfälle erfordern schnelles und präzises Handeln, manuelles Ansteuern von Gegenmaßnahmen dauern meist zu lange. UEM-Lösungen lassen sich so konfigurieren, dass bei einem Virenfund automatisch vordefinierte Maßnahmen ergriffen werden: Etwa eine Benachrichtigung an das IT-Team senden, den betroffenen Rechner aus dem Netzwerk isolieren und einen Scan auf allen verbundenen Endgeräten anstoßen. Weiteres Beispiel ist das Automatisieren von Sicherheitskonfigurationen abhängig vom jeweiligen Standort des Endgeräts. Befindet sich ein Notebook außerhalb der Netzwerkumgebung, schaltet das UEM-System auf strengere Sicherheitsrichtlinien um, in dem es etwa eine VPN-Verbindung aktiviert oder bestimmte Zugriffe einschränkt.
Patchen, Sicherheit und Automatisieren gehören zusammen
Dadurch, dass UEM-Systeme heute vielfältige Automatismen für Patchen und Softwareverteilung beinhalten, ermöglichen sie es Administrationsteilungen, ihre Operationen effizienter und kostengünstiger durchführen. IT-Systeme sind immer auf dem neuesten Stand und entsprechen den geltenden Sicherheits- und Compliance-Anforderungen. In einer Zeit fragmentierter IT-Landschaften und zunehmender Cyberbedrohungen ist dies essenziell, da manuell den wachsenden Herausforderungen nicht mehr beizukommen wäre.
Über den Autor:
Sebastian Weber ist Chief Evangelist bei der Aagon GmbH in Soest. Aagon entwickelt und vertreibt seit rund 30 Jahren Lösungen für unternehmensweite Betriebssystemstandards auf Clients und Servern sowie für das Client-Management.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
