Im Test: Ivanti Application Manager

Benutzerrechte einfach und sicher verwalten

| Autor / Redakteur: Dr. Goetz Güttich* / Peter Schmitz

Der Ivanti Application Manager kann in Firmennetzen helfen, für ein hohes Sicherheitsniveau zu sorgen. Besonders interessant ist dabei das Trusted Ownership Checking.
Der Ivanti Application Manager kann in Firmennetzen helfen, für ein hohes Sicherheitsniveau zu sorgen. Besonders interessant ist dabei das Trusted Ownership Checking. (Bild: VIT, IAIT)

Mit dem „Ivanti Application Manager“ können IT-Mitarbeiter die in ihren Unternehmen verwendeten Benutzerrechte granular verwalten und so das Sicherheitsniveau im Netz deutlich erhöhen. Außerdem blockiert die Software nicht autorisierte Anwendungen wie Ransomware und schränkt bei Bedarf den Zugriff auf Dateien, Ordner und Anwendungen ein.

Die granulare Verwaltung der Benutzerrechte mit dem Ivanti Application Manager (ehemals: „Appsense Application Manager“) sorgt dafür, dass Angreifer nicht einfach einen Zugang zu einem Netz herstellen, einen Benutzer-Account mit Administratorrechten hacken und dann die Rechte dieses Kontos nutzen können, um im Netz ihr Unwesen zu treiben.

In manchen Fällen wird es aber dennoch erforderlich sein, dass ein Anwender vorübergehend erweiterte Rechte benötigt. Dies kann der Application Manager bei Bedarf – in einem zuvor konfigurierten Umfang – zulassen. Die Verwaltung des Produkts läuft über eine zentrale Management-Konsole ab.

Der Test

Im Test installierten wir die „Ivanti Management Console“, die zum Verwalten der im Netz zu verteilenden Agenten und der Konfiguration zum Einsatz kommt, auf einem Rechner unter „Windows Server 2008 R2“, der über eine Quad-Core-CPU mit 2,6 GHz Taktfrequenz, acht GByte RAM und 80 GByte freien Festplattenplatz verfügte. Anschließend banden wir diverse Clients unter Windows 7, Windows 8.1 und Windows 10 in unsere Testumgebung ein und erstellten mehrere Konfigurationen, mit denen wir das Sicherheitsniveau auf den Endpoints erhöhten.

Danach testeten wir diese Konfigurationen in der Praxis, indem wir Schadcode wie Viren und Ransomware auf den Client-Systemen ausführten und analysierten, ob diese Malware-Programme die Rechner kompromittieren konnten. Darüber hinaus blockierten wir auch diverse Anwendungen und gaben nur bestimmten Nutzern Zugriffsrechte darauf.

Das gleiche galt genauso für diverse unterschiedliche Unterordner und Muster von Namen von ausführbaren Dateien. Auch bei diesen prüften wir anschließend in der Praxis, ob sich das System so verhielt, wie in unseren Policies vorgegeben.

Installation des Ivanti Application Manager

Die Installation des Ivanti Application Manager erfolgt mit Hilfe eines Wizards und sollte keinen Administrator vor unüberwindliche Hindernisse stellen. Positiv fiel uns allerdings auf, dass die Setup-Routine bei Bedarf dazu in der Lage ist, sämtliche Prerequisites, die zum Betrieb der Lösung erforderlich sind, selbstständig, ohne Interaktion des Administrators, einzuspielen. Ein so komfortables Setup der Voraussetzungen würde man sich bei manch anderem Produkt auch wünschen.

Das Absichern der Clients mit Hilfe des Ivanti Application Manager

Der Kern der Sicherheitsfunktionen der früheren Appsense-Lösung ist das so genannte "Trusted Ownership Checking". Jede Datei im NTFS-Filesystem hat einen Eigentümer. Das können das System, die Administratorengruppe oder auch bestimmte Benutzerkonten sein. Nimmt man den Installer und die Dienstkonten in die Liste der vertrauenswürdigen Benutzer auf und erlaubt es dem System nur, Dateien auszuführen, die diesen Benutzern gehören, so wird damit schon einmal ein großer Teil sämtlicher Malware-Angriffe unterbunden.

Im Betrieb sieht es dann so aus, dass der Application Manager feststellt, welche Anwendungen wem gehören und nur die Ausführung der Applikationen zulässt, die von vertrauenswürdigen Administratoren bereitgestellt wurden. Es lässt sich über dieses Feature also mit einem geringen Administrationsaufwand schnell ein relativ hohes Sicherheitsniveau realisieren.

Das Erstellen unserer ersten Konfiguration

Das Erzeugen und Bearbeiten der Application Manager-Konfiguration läuft über die Application Manager Console ab. Für unseren Test stellte uns der Hersteller eine so genannte Baseline Configuration zur Verfügung, die bereits die grundlegenden Einträge mitbrachte. Nach einem Doppelklick auf diese Baseline Configuration öffnete sich automatisch die Application Manager-Console und wir konnten mit der Arbeit beginnen.

Für unseren ersten Test aktivierten wir zunächst lediglich die zuvor bereits beschriebene „Trusted Ownership“-Funktion. Dazu wechselten wir in der Baumstruktur auf der linken Seite in den Rules-Bereich und setzten den Security-Level für die Gruppe „Jeder“ auf „Restricted“.

Das geht einfach über einen Slider, der die Optionen „Restricted“, „Self-Authorizing“, „Audit Only“ und „Unrestricted“ anbietet. Das einzige Setting, das nicht selbsterklärend ist, dürfte hier „Self-Authorizing“ sein. In diesem Modus blockiert die Software zwar die Ausführung von Programmen, die beim Sicherheits-Check durchfallen, bietet den Anwendern aber über eine Dialogbox an, die Dateien auf Wunsch trotzdem auszuführen.

Der genannte Slider steht auch für andere Komponenten, wie beispielsweise die Administratorengruppe, das System, die lokalen Dienste und so weiter zur Verfügung. Es lassen sich bei Bedarf auch benutzerdefinierte Einträge erstellen. Dank des Slider können Administratoren das Sicherheitsniveau sämtlicher konfigurierten Posten sehr schnell und einfach modifizieren. Die Arbeit mit dem Regeleditor stellt also kein Problem dar.

Nach dem Erstellen der Konfiguration speicherten wir diese ab und gaben sie zum Deployment frei. Dabei mussten wir ihr lediglich einen Namen geben, die Versionierung übernimmt automatisch die Konsole. Nach dem Sichern fand sich die Konfiguration in der Management Console innerhalb unserer Deployment Group unter „Packages“. Da wir zuvor ein sehr kurzes Polling-Intervall definiert hatten, landete der Regelsatz anschließend praktisch sofort auf unseren Clients und wurde aktiv.

Im nächsten Schritt machten wir uns daran, diverse Spam-Mails, die zweifelhafte Attachments enthielten, auf dem Client zu öffnen und die Attachments auszuführen. Wie erwartet, weigerte sich das System, die Malware zu starten, da sie unserem – nicht privilegierten – Benutzerkonto zugeordnet war.

Das gleiche galt für diverse aktuelle Viren und Ransomware-Programme, die wir uns für den Test besorgt hatten und die wir direkt auf dem Client zu starten versuchten. Die Trusted-Ownership-Funktion ist folglich äußerst wirkungsvoll.

Weitere Konfigurationsmöglichkeiten

Jetzt aber wieder zurück zur Application Manager Console. Während der Konfiguration haben die Administratoren jederzeit Gelegenheit, benutzerdefinierte Gruppen einzurichten, die Anwendungen enthalten, die entweder erlaubt oder verboten sind.

Dabei nimmt „Allow“ eine höherwertige Stellung ein als „Deny“, wurde also eine Applikation in einer Gruppe, in der der betroffene User Mitglied ist, erlaubt und in vier verboten, so wird sie trotzdem zugelassen. Die genannten Gruppen lassen sich beispielsweise einsetzen, um für bestimmte, im Active Directory vorhandene Abteilungen, wie den Vertrieb oder den technischen Support, unterschiedliche Anwendungen zu erlauben oder zu blockieren.

Genauso ist es auch möglich, eigene Regeln zu erstellen, die auf bestimmte Voraussetzungen aufbauen. Zum Beispiel wäre eine Gruppe denkbar, die Policies umfasst, die nur greifen, wenn ein Anwender ohne Administrationsrechte auf einem Notebook arbeitet.

Die Device-Regeln

Ebenfalls von Interesse sind die Device-Regeln. Haben in einem Unternehmen zum Beispiel nur bestimmte Abteilungen das Recht, mit Software-Programmen wie „Adobe Illustrator“ zu arbeiten, so lässt sich der Zugriff darauf bei Bedarf auf bestimmte Geräte beschränken.

Definieren die zuständigen Mitarbeiter beispielsweise einen Thin Client als Illustrator-System, so können sie ihre Umgebung mit Hilfe der Device-Regeln so konfigurieren, dass nur dieser Thin Client Illustrator auf dem Terminal Server ausführen kann. Genauso haben die Administratoren auch die Option, nur bestimmten Benutzern und Geräten den Zugriff auf Office-Programme zu erlauben oder einer Gruppe zu verbieten, auf bestimmte Hosts, Ports oder Shares zuzugreifen. Die Regeldefinition insgesamt ist sehr mächtig und bringt eine Vielzahl von Funktionen mit.

Mit den Features der Sicherheitssoftware sind darüber hinaus noch diverse andere Szenarien realisierbar. So werden die User bei Bedarf in die Lage versetzt, bestimmte Installationsprogramme, etwa für VPN-Clients, aus dem Internet herunterzuladen und mit ihren Standardrechten zu installieren. Genauso können die Administratoren über eine Self-Elevation-Funktion den Anwendern auch die Option einräumen, ihre Benutzerrechte zu erweitern. Im Test funktionierte das alles ohne Schwierigkeiten und ohne längere Einarbeitungszeit in die Management-Software.

Im Test bauten wir unsere Konfiguration zu diesem Zeitpunkt nochmals um, ließen dabei aber die Trusted Ownership-Funktion stets aktiviert. Wir legten aber noch diverse Zusatzregeln an, die bestimmte Anwendungen nur auf bestimmten Geräten erlaubten, die den Zugriff auf Ordner beschränkten und die manchen Benutzern die Arbeit mit Office Programmen ermöglichten und anderen nicht. Genauso erlaubten wir testweise nur RDP-Zugriffe von den Clients auf bestimmte Server. Dabei traten im Betrieb keinerlei Überraschungen auf.

Fazit

Im Test konnte uns der Ivanti Application Manager durchaus überzeugen. Das Tool bringt einen großen Funktionsumfang mit und ist sehr gut dazu in der Lage, in Unternehmensnetzen für ein hohes Sicherheitsniveau zu sorgen. Im Betrieb gefiel uns insbesondere das Trusted Ownership Checking, das das Ausführen von Malware auf den geschützten Clients praktisch unmöglich macht, solange die Benutzer nur über die Rechte verfügen, die sie für ihre Arbeit brauchen. Das genannte Konzept macht das Führen von Black- und Whitelists in den meisten Fällen überflüssig und verringert so den Verwaltungsaufwand deutlich.

Auch der sonstige Funktionsumfang der Software sollte an dieser Stelle nicht vergessen werden. Das genaue Vergeben von Benutzerrechten und das Beschränken der Zugriffe auf einzelne Dateien, Ordner, Systeme oder auch Applikationen ermöglicht es den Administratoren, ganz exakt vorzugeben, welche Benutzer was genau dürfen.

Zum Schluss sollte nicht verschwiegen werden, dass Ivanti das hier vorgestellte Produkt „Application Manager“ zusammen mit dem Analyse-Tool „Insight“ und der Patch-Management-Software „Ivanti Patch for Endpoints“ (ehemals: „Shavlik Protect“) zur „Ivanti Endpoint Security Suite 2.0 powered by Appsense“ zusammengeführt hat. Ivanti entstand ja durch den Zusammenschluss der Softwarehersteller Heat Software und Landesk. Landesk hatte seinerseits zuvor bereits Appsense und Shavlik übernommen. Im Moment läuft der Prozess, die von diesen Unternehmen stammenden Produkte in eine einheitliche Angebotspalette zu integrieren.

Patch-Lösung für Unternehmensumgebungen

Im Test: Ivanti Patch for Endpoints

Patch-Lösung für Unternehmensumgebungen

05.04.17 - Einmal ausgerollte Software dauerhaft aktuell halten und durch das Patchen bekannter Schwachstellen die Angriffsfläche der eigenen Systeme reduzieren, lässt sich mit modernen Patch-Management-Lösungen effektiv realisieren. Eines dieser Tools haben wir uns genauer angesehen: Ivanti Patch for Endpoints, das vor dem Zusammenschluss von Landesk und Heat Software Shavlik Protect hieß. lesen

Es ist also zu erwarten, dass Ivanti die in der Endpoint Security Suite 2.0 zusammengefassten Produkte unter einer einheitlichen Oberfläche vereinen wird. Die Management-Werkzeuge sind zwar schon jetzt relativ übersichtlich und ermöglichen ein effizientes Arbeiten. Es wird aber sicher besser sein, mit einer Verwaltungskonsole für die gesamte Endpoint Security Suite zu arbeiten. Deswegen sehen wir der zukünftigen Entwicklung mit Spannung entgegen.

*Über den Autor

Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44646938 / Software)