:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Im Test: Ivanti Application Manager Benutzerrechte einfach und sicher verwalten
Mit dem Ivanti Application Manager können IT-Mitarbeiter die in ihren Unternehmen verwendeten Benutzerrechte granular verwalten und so das Sicherheitsniveau im Netz deutlich erhöhen. Außerdem blockiert die Lösung nicht autorisierte Anwendungen wie Ransomware und schränkt bei Bedarf den Zugriff auf Dateien, Ordner und Anwendungen ein.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die granulare Verwaltung der Benutzerrechte mit dem Ivanti Application Manager (ehemals AppSense Application Manager) sorgt dafür, dass Angreifer nicht einfach einen Zugang zu einem Netz herstellen, einen Benutzer-Account mit Administratorrechten hacken und dann die Rechte dieses Kontos nutzen können, um im Netz ihr Unwesen zu treiben.
In manchen Fällen wird es aber dennoch erforderlich sein, dass ein Anwender vorübergehend erweiterte Rechte benötigt. Dies kann der Application Manager bei Bedarf – in einem zuvor konfigurierten Umfang – zulassen. Die Verwaltung des Produkts läuft über eine zentrale Management-Konsole ab.
Der Test
Im Test installierten wir die Ivanti Management Console, die zum Verwalten der im Netz zu verteilenden Agenten und der Konfiguration zum Einsatz kommt, auf einem Rechner unter Windows Server 2008 R2, der über eine Quad-Core-CPU mit 2,6 GHz Taktfrequenz, acht GByte RAM und 80 GByte freien Festplattenplatz verfügte. Anschließend banden wir diverse Clients unter Windows 7, Windows 8.1 und Windows 10 in unsere Testumgebung ein und erstellten mehrere Konfigurationen, mit denen wir das Sicherheitsniveau auf den Endpoints erhöhten. Danach testeten wir diese Konfigurationen in der Praxis, indem wir Schadcode wie Viren und Ransomware auf den Client-Systemen ausführten und analysierten, ob diese Malware-Programme die Rechner kompromittieren konnten. Darüber hinaus blockierten wir auch diverse Anwendungen und gaben nur bestimmten Nutzern Zugriffsrechte darauf. Das gleiche galt genauso für diverse unterschiedliche Unterordner und Muster von Namen von ausführbaren Dateien. Auch bei diesen prüften wir anschließend in der Praxis, ob sich das System so verhielt, wie in unseren Policies vorgegeben.
Installation des Ivanti Application Managers
Die Installation des Ivanti Application Managers erfolgt mit Hilfe eines Wizards und sollte keinen Administrator vor unüberwindliche Hindernisse stellen. Positiv fiel uns allerdings auf, dass die Setup-Routine bei Bedarf dazu in der Lage ist, sämtliche Prerequisites, die zum Betrieb der Lösung erforderlich sind, selbstständig, ohne Interaktion des Administrators, einzuspielen. Ein so komfortables Setup der Voraussetzungen würde man sich bei manch anderem Produkt auch wünschen.
Das Absichern der Clients mit Hilfe des Ivanti Application Managers
Der Kern der Sicherheitsfunktionen der früheren AppSense-Lösung ist das so genannte "Trusted Ownership Checking". Jede Datei im NTFS-Filesystem hat einen Eigentümer. Das können das System, die Administratorengruppe oder auch bestimmte Benutzerkonten sein. Nimmt man den Installer und die Dienstkonten in die Liste der vertrauenswürdigen Benutzer auf und erlaubt es dem System nur, Dateien auszuführen, die diesen Benutzern gehören, so wird damit schon einmal ein großer Teil sämtlicher Malware-Angriffe unterbunden. Im Betrieb sieht es dann so aus, dass der Application Manager feststellt, welche Anwendungen wem gehören und nur die Ausführung der Applikationen zulässt, die von vertrauenswürdigen Administratoren bereitgestellt wurden. Es lässt sich über dieses Feature also mit einem geringen Administrationsaufwand schnell ein relativ hohes Sicherheitsniveau realisieren.
Das Erstellen unserer ersten Konfiguration
Das Erzeugen und Bearbeiten der Application Manager-Konfiguration läuft über die "Application Manager Console" ab. Für unseren Test stellte uns der Hersteller eine so genannte Baseline Configuration zur Verfügung, die bereits die grundlegenden Einträge mitbrachte. Nach einem Doppelklick auf diese Baseline Configuration öffnete sich automatisch die Application Manager-Console und wir konnten mit der Arbeit beginnen.
Für unseren ersten Test aktivierten wir zunächst lediglich die zuvor bereits beschriebene "Trusted Ownership"-Funktion. Dazu wechselten wir in der Baumstruktur auf der linken Seite in den Rules-Bereich und setzten den Security-Level für die Gruppe "Jeder" auf "Restricted". Das geht einfach über einen Slider, der die Optionen "Restricted", "Self-Authorizing", "Audit Only" und "Unrestricted" anbietet. Das einzige Setting, das nicht selbsterklärend ist, dürfte hier "Self-Authorizing" sein. In diesem Modus blockiert die Software zwar die Ausführung von Programmen, die beim Sicherheits-Check durchfallen, bietet den Anwendern aber über eine Dialogbox an, die Dateien auf Wunsch trotzdem auszuführen.
Der genannte Slider steht auch für andere Komponenten, wie beispielsweise die Administratorengruppe, das System, die lokalen Dienste und so weiter zur Verfügung. Es lassen sich bei Bedarf auch benutzerdefinierte Einträge erstellen. Dank des Sliders können Administratoren das Sicherheitsniveau sämtlicher konfigurierten Posten sehr schnell und einfach modifizieren. Die Arbeit mit dem Regeleditor stellt also kein Problem dar.
Nach dem Erstellen der Konfiguration speicherten wir diese ab und gaben sie zum Deployment frei. Dabei mussten wir ihr lediglich einen Namen geben, die Versionierung übernimmt automatisch die Konsole. Nach dem Sichern fand sich die Konfiguration in der Management Console innerhalb unserer Deployment Group unter "Packages". Da wir zuvor ein sehr kurzes Polling-Intervall definiert hatten, landete der Regelsatz anschließend praktisch sofort auf unseren Clients und wurde aktiv.
Im nächsten Schritt machten wir uns daran, diverse Spam-Mails, die zweifelhafte Attachments enthielten, auf dem Client zu öffnen und die Attachments auszuführen. Wie erwartet, weigerte sich das System, die Malware zu starten, da sie unserem – nicht privilegierten – Benutzerkonto zugeordnet war. Das gleiche galt für diverse aktuelle Viren und Ransomware-Programme, die wir uns für den Test besorgt hatten und die wir direkt auf dem Client zu starten versuchten. Die Trusted Ownership-Funktion ist folglich äußerst wirkungsvoll.
Weitere Konfigurationsmöglichkeiten
Jetzt aber wieder zurück zur Application Manager Console. Während der Konfiguration haben die Administratoren jederzeit Gelegenheit, benutzerdefinierte Gruppen einzurichten, die Anwendungen enthalten, die entweder erlaubt oder verboten sind. Dabei nimmt "Allow" eine höherwertige Stellung ein als "Deny", wurde also eine Applikation in einer Gruppe, in der der betroffene User Mitglied ist, erlaubt und in vier verboten, so wird sie trotzdem zugelassen. Die genannten Gruppen lassen sich beispielsweise einsetzen, um für bestimmte, im Active Directory vorhandene Abteilungen, wie den Vertrieb oder den technischen Support, unterschiedliche Anwendungen zu erlauben oder zu blockieren.
Genauso ist es auch möglich, eigene Regeln zu erstellen, die auf bestimmte Voraussetzungen aufbauen. Zum Beispiel wäre eine Gruppe denkbar, die Policies umfasst, die nur greifen, wenn ein Anwender ohne Administrationsrechte auf einem Notebook arbeitet.
Ebenfalls von Interesse sind die Device Regeln. Haben in einem Unternehmen zum Beispiel nur bestimmte Abteilungen das Recht, mit Software-Programmen wie Adobe Illustrator zu arbeiten, so lässt sich der Zugriff darauf bei Bedarf auf bestimmte Geräte beschränken. Definieren die zuständigen Mitarbeiter beispielsweise einen Thin Client als Illustrator-System, so können sie ihre Umgebung mit Hilfe der Device-Regeln so konfigurieren, dass nur dieser Thin Client Illustrator auf dem Terminal Server ausführen kann. Genauso haben die Administratoren auch die Option, nur bestimmten Benutzern und Geräten den Zugriff auf Office-Programme zu erlauben oder einer Gruppe zu verbieten, auf bestimmte Hosts, Ports oder Shares zuzugreifen. Die Regeldefinition insgesamt ist sehr mächtig und bringt eine Vielzahl von Funktionen mit.
Mit den Features der Sicherheitssoftware sind darüber hinaus noch diverse andere Szenarien realisierbar. So werden die User bei Bedarf in die Lage versetzt, bestimmte Installationsprogramme, etwa für VPN-Clients, aus dem Internet herunterzuladen und mit ihren Standardrechten zu installieren. Genauso können die Administratoren über eine Self-Elevation-Funktion den Anwendern auch die Option einräumen, ihre Benutzerrechte zu erweitern. Im Test funktionierte das alles ohne Schwierigkeiten und ohne längere Einarbeitungszeit in die Management-Software.
Im Test bauten wir unsere Konfiguration zu diesem Zeitpunkt nochmals um, ließen dabei aber die Trusted Ownership-Funktion stets aktiviert. Wir legten aber noch diverse Zusatzregeln an, die bestimmte Anwendungen nur auf bestimmten Geräten erlaubten, die den Zugriff auf Ordner beschränkten und die manchen Benutzern die Arbeit mit Office Programmen ermöglichten und anderen nicht. Genauso erlaubten wir testweise nur RDP-Zugriffe von den Clients auf bestimmte Server. Dabei traten im Betrieb keinerlei Überraschungen auf.
Fazit
Im Test konnte uns der Ivanti Application Manager durchaus überzeugen. Das Tool bringt einen großen Funktionsumfang mit und ist sehr gut dazu in der Lage, in Unternehmensnetzen für ein hohes Sicherheitsniveau zu sorgen. Im Betrieb gefiel uns insbesondere das Trusted Ownership Checking, das das Ausführen von Malware auf den geschützten Clients praktisch unmöglich macht, solange die Benutzer nur über die Rechte verfügen, die sie für ihre Arbeit brauchen. Das genannte Konzept macht das Führen von Black- und Whitelists in den meisten Fällen überflüssig und verringert so den Verwaltungsaufwand deutlich.
Auch der sonstige Funktionsumfang der Software sollte an dieser Stelle nicht vergessen werden. Das genaue Vergeben von Benutzerrechten und das Beschränken der Zugriffe auf einzelne Dateien, Ordner, Systeme oder auch Applikationen ermöglicht es den Administratoren, ganz exakt vorzugeben, welche Benutzer was genau dürfen.
Zum Schluss sollte nicht verschwiegen werden, dass Ivanti das hier vorgestellte Produkt "Application Manager" zusammen mit dem Analyse-Tool "Insight" und der Patch Management-Lösung "Ivanti Patch for Endpoints" (ehemals Shavlik Protect, das wir kürzlich schon getestet hatten) zur "Ivanti Endpoint Security Suite 2.0 powered by AppSense" zusammengeführt hat. Ivanti entstand ja durch den Zusammenschluss der Softwarehersteller HEAT Software und LANDESK. LANDESK hatte seinerseits zuvor bereits AppSense und Shavlik übernommen. Im Moment läuft der Prozess, die von diesen Unternehmen stammenden Produkte in eine einheitliche Angebotspalette zu integrieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1211200/1211209/original.jpg "Ivanti Patch for Endpoints nimmt dem Administrator viel Arbeit ab und sorgt dafür, dass etliche Sicherheitslücken zeitnah geschlossen werden. (Jane - Fotolia.com)")
Im Test: Ivanti Patch for Endpoints
Patch-Lösung für Unternehmensumgebungen
Es ist also zu erwarten, dass Ivanti die in der Endpoint Security Suite 2.0 zusammengefassten Produkte unter einer einheitlichen Oberfläche vereinen wird. Die Management-Werkzeuge sind zwar schon jetzt relativ übersichtlich und ermöglichen ein effizientes Arbeiten. Es wird aber sicher besser sein, mit einer Verwaltungskonsole für die gesamte Endpoint Security Suite zu arbeiten. Deswegen sehen wir der zukünftigen Entwicklung mit Spannung entgegen.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
Artikelfiles und Artikellinks
(ID:44637269)
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1908500/1908509/original.jpg "Besserer Schutz durch Zero Trust Network Access (Fortinet)")