Zentrales Sicherheitsmanagement

Mit der Management Suite 8.6 bietet LANdesk eines der führenden Tools für das Client-Lifecycle-Management an. Auf dieser Basis hat das Unternehmen in den vergangenen beiden Jahren eine funktionale Expansion begonnen. Das wichtigste derzeit verfügbare Resultat ist die LANdesk Security Suite, deren Versionsnummer –
aus gutem Grund – mit der der Management Suite übereinstimmt. Denn LANdesk hat die Anwendung für das Sicherheitsmanagement konsequent als Erweiterung der Management Suite realisiert und nutzt viele deren Grundfunktionen.

Der Grundansatz

Der Ansatz von LANdesk sieht eine verteilte Struktur von Servern vor, die um ein als Core Server bezeichnetes zentrales System herum aufgebaut werden. Der Core Server übernimmt diverse Aufgaben wie die Lizenzkontrolle und die Ausgabe von digitalen Zertifikaten für die sichere Kommunikation zwischen den verschiedenen LANdesk-Servern. Er ist aber auch die zentrale Instanz für die Datenbank.
Mit der Management Suite werden über eine zentrale Verwaltungsoberfläche anschliessend alle wesentlichen Funktionen des Client Management bereitgestellt, also beispielsweise die Softwareverteilung, die Inventarisierung und die Fernsteuerung. Die Security Suite arbeitet nun mit dem genau gleichen Ansatz und stellt dabei teilweise auch die gleichen Funktionen bereit wie die Management Suite. Sie arbeitet mit Core Servern und kann Systeme inventarisieren. Sie muss ausserdem auch Komponenten verteilen können und nutzt dazu die Softwareverteilungsfunktionen von LANdesk. Ausserdem umfasst sie optional auch das Patch-Management. Wenn sowohl die Security Suite als auch die Management Suite verwendet werden, kann mit gemeinsamen Core Servern gearbeitet werden. Die Funktionen wie die Inventarisierung müssen nur einmal eingerichtet werden, weil es sich um die gleichen Module handelt.

Das bedeutet auch, dass Kunden, die bereits mit der LANdesk Management Suite arbeiten, die Security Suite als einfache Erweiterung ihrer bestehenden Infrastruktur einführen können und keine gesonderte Infrastruktur aufbauen müssen. Für diese Kunden ist die Security Suite besonders interessant. Kunden, die nur die Security Suite nutzen möchten, haben dagegen typischerweise eine redundante Funktionalität zu anderen im Einsatz befindlichen Client-Management-Lösungen und müssen eine eigene Infrastruktur aufbauen.

Die Funktionalität im Detail

LANdesk arbeitet mit zentralen Konfigurationseinstellungen, die an dezentrale Agents verteilt werden. Für die Verteilung können Systeme im Netzwerk automatisiert über verschiedene Funktionen erkannt werden. Über die Agents werden mehrere Funktionsbereiche abgedeckt. Ein wichtiger Bereich ist die auf der LANdesk-Trusted-Access-Technologie basierende Zugangskontrolle zum Netzwerk. Damit können Systeme, die entweder infiziert sind oder nicht den Sicherheitsrichtlinien entsprechen, aus dem Netzwerk ausgeschlossen werden. Wenn ein Rechner gestartet wird, wird der Status analysiert. Bis das geschehen ist, befindet sich das System in einem geschlossenen Quarantäne-Netzwerk.
Eine dabei genutzte Funktion, die auch unabhängig von der Zugangskontrolle eingesetzt werden kann, ist die erweiterte Analyse auf Verwundbarkeiten (Vulnerabilities) der Clients. Diese kann auch im laufenden Betrieb erfolgen. Damit werden beispielsweise das Patch-Level, die Betriebssystemkonfiguration und der Zustand der Virenscanner überprüft. Alle Prüfungen lassen sich flexibel anpassen.

Ein weiterer wichtiger Funktionsbereich ist die Steuerung von Antivirus-Werkzeugen und lokalen Firewalls. Hier gibt es Schnittstellen zu den marktführenden Anbietern.
Über die Gerätekontrolle können zudem bestimmte Gruppen von USB-Geräten deaktiviert werden, um hier keine Sicherheitslücken entstehen zu lassen.
Die Funktionen der Security Suite beschränken sich aber nicht auf die Analyse. Das System kann Clients auch automatisiert auf den erforderlichen Stand bringen, indem Dateien gelöscht oder neue Dateien auf das System gespielt werden. Hier profitiert LANdesk wieder von seinen Mechanismen für die Softwareverteilung. Ausserdem kann auch das gesamte Patch-Management in die Security Suite eingebunden werden.
Wichtig sind auch die umfassenden Berichte und die Sicherheitsfunktionen auf der Ebene der Konsole. Damit lässt sich der Netzwerkstatus erfassen und sicher­stellen, dass nur autorisierte User Änderungen an den Sicherheitskonfigurationen durchführen dürfen. Die Zuordnung von Benutzern zu administrativen Rollen kann auch über das Active Directory erfolgen.

Einfach zu installieren

Die Installation der Security Suite ist ebenso einfach wie die der Management Suite. Das Installationsprogramm prüft, ob alle Systemvoraussetzungen erfüllt sind und führt anschliessend durch die weiteren Schritte.
Allerdings ist für den Aufbau komplexerer Infrastrukturen dennoch eine genaue Planung erforderlich. Das beginnt bei der Positionierung des Core Servers und geht bis hin zur Frage, mit welchen Servern für die Quarantäne von Netzwerk-Clients bei der Zugriffskontrolle gearbeitet werden muss, um keine Sicherheitslücken entstehen zu lassen.

Die Nutzung

Der Autor ist zugegebenermassen kein Fan des Interface-Designs, auch wenn man das Produkt darüber relativ einfach bedienen kann. Die Navigation ist aber nicht optimal gelöst, und oft hat man mehrere Dialogfelder, die man nacheinander öffnen muss, um bestimmte Einstellungen zu setzen.
Wenn man sich daran aber erst einmal gewöhnt hat, kann man mit dem Produkt durchaus effizient arbeiten. Für Anwender der LANdesk Management Suite ist die Nutzung sogar besonders einfach, weil die Funktionen der Security Suite in der gleichen Konsole bereitgestellt werden.

Über die – standardmässig nicht eingeblendete – Symbolleiste auf der linken Seite können die wichtigsten Funktionen ausgewählt werden. Im rechten Bereich findet sich oben die Netzwerkansicht, während unten die ausgewählten Konfigurationsbereiche angezeigt werden. Der Zugriff auf die Verwaltungsfunktionen erfolgt entweder über die Menübefehle oder die Kontextmenüs.

Was noch alles fehlt…

LANdesk bietet mit seiner Security Suite schon eine beachtliche Funktionalität. Dennoch gibt es Schwachstellen. Das beginnt damit, dass es zwischen den unterstützten Client-Plattformen (Windows, Linux, Mac sowie Handheld-Systeme) deutliche Funktionsunterschiede gibt. Bei Linux beschränkt sich LANdesk auf die Inventarisierung, ergänzt durch die Standardsoftwareverteilung, während bei Windows eine differenzierte Sicherheitskonfiguration möglich ist.
Die Netzwerkquarantäne steht sicher auch erst am Anfang. Andere Zugriffstypen, der Schutz auch bei Zugriffen von Systemen mit festen IP-Adressen oder ein Integrationskonzept für die mit Windows Vista und Longhorn anstehenden, in Windows integrierten Quarantänefunktionen fehlen noch.

Es ist auch nicht optimal, dass LANdesk keine Integration mit den Windows-Gruppenrichtlinien anbietet, wie sie sich etwa bei Novell ZENworks findet. Mit Blick auf die – derzeit noch nicht optimal realisierte – Unterstützung heterogener Zielsysteme mag das sinnvoll sein. Andererseits lassen sich über die Gruppenrichtlinien Tausende von Konfigurationsparametern relativ einfach setzen.
Dennoch muss man festhalten, dass LANdesk eine gute Lösung realisiert hat. Insbesondere hat auch die Verbindung von Ansätzen aus dem klassischen Client-Lifecycle-Management mit dem Security-Management ihren Charme, weil damit Aufgaben wie die Inventarisierung oder die Verteilung von Konfigurationsinformationen bereits sehr gut adressiert sind. Dennoch ist es noch ein langer Weg bis zu dem Punkt, an dem wirklich alle Anforderungen an das Sicherheitsmanagement von Clients optimal erfüllt sind.