In diesem Beitrag möchte ich Euch erzählen, wie wir mobile IT-Geräte (im späteren Verlauf auch Devices genannt) z.B. Smartphones und Tablets managen und damit eine erhöhte Daten- und Betriebssicherheit schaffen. Durch das Einführen solch einer Lösung lassen sich neben Windows Geräten und Android Smartphones auch macOS Geräte managen. Hinsichtlich der Zunahme von MacBooks in unserem Arbeitsumfeld ist dies ein wichtiges Kriterium.
Das Zauberwort heißt Mobile Device Management, kurz MDM. Damit lassen sich IT-Geräte zentral inventarisieren und verwalten, wodurch sich Sicherheitsrichtlinien administrieren und Applikation verteilen lassen. Zusätzlich besteht die Möglichkeit, eine genormte Konfiguration auf allen Geräten zu erreichen.
Device Management bei Netfonds
Hierfür gibt es verschiedene Softwarelösung auf dem Markt. In diesem Beitrag beziehe ich mich jedoch verstärkt auf das System von baramundi, da es bereits bei uns als Client Management im Windows Bereich eingesetzt wird. Zwecks Tests wurde hierfür auch ein Testsystem aufgebaut. Im Detail geht es um den Umgang von IT-Geräten mit Betriebssystemen der Unternehmen Google und Apple.
Das Thema “Mobile Device Management” ist notwendig, da die EDV immer mehr auf mobilen Geräten verwendet wird. Dies ist aus vielen Bereichen des beruflichen Alltages nicht mehr weg zu denken. Das Abrufen von Daten aus der Cloud oder mal eben eine E-Mail an einen Kollegen oder Kunden senden, das Terminieren im Kalender oder auch ein Meeting am Smartphone ist heutzutage etwas ganz normales. Das heißt, es wird durchgehend auf Unternehmensdaten zugegriffen und mit diesen gearbeitet.
So werden auch bei uns immer mehr mobile IT-Geräte in den Arbeitsfluss eingebracht. Die mobilen Endgeräte werden per IMEI und Seriennummer gespeichert, bekommen eine Inventarnummer und werden einem Mitarbeiter zugeordnet. Als Sicherheit dienen hier derzeit die Bordmittel des jeweiligen Systems und die Aufklärung und Vernunft des Mitarbeiters.
Bei Laptops und PCs sind wir schon einen Schritt weiter: Sie werden zentral in einem Client Management Lösung von baramundi registriert und verwaltet. Hierüber lässt sich unter anderem ein Überblick über alle Clients verschaffen, Sicherheitsrichtlinien und Software verteilen und Betriebssystem-Installationen durchführen. Dadurch entsteht eine erhöhte Daten- und Betriebssicherheit sowie eine Verringerung des täglichen Arbeitsaufwandes.
Daran erkennt man, dass im Umgang mit den mobilen Geräten ebenfalls noch Optimierungspotential steckt. Dieses Potential lässt sich mit einem Mobile Device Management weiter ausschöpfen.
Anforderungen an unser MDM
Eine der Anforderungen an solch eine Management Lösung ist eine AD-Synchronisation, also das direkte Auslesen der MDM Daten aus dem Active Directory. (Das Active Directory bildet Unternehmensstrukturen ab und stellt Mitarbeiter in Form von Gruppen und Benutzer dar.) Zusätzlich müssen die beiden mobilen Betriebssysteme Android und iOS unterstützt werden. Detaillierte Sicherheitsrichtlinien und Datentrennung, also die Trennung von privaten und geschäftlichen Daten, spielen ebenfalls eine Rolle.
Dazu soll über das Mobile Device Management die Verwaltung von macOS Geräten realisiert werden.
Umsetzung des MDM
Für die Umsetzung des MDM wurde bereits ein Testsystem aufgesetzt. Dieses Testsystem beruht auf der MDM-Softwarelösung von baramundi, die baramundi Management Suite (bMS). Der Vorteil der Softwareauswahl besteht darin, dass sich dieses System in das bestehende Client Management System integrieren lässt.
Für die Umsetzung des Testsystems wurde ein Server eingerichtet – hier wurde die bMS eingerichtet und ein Gateway Server, auf dem der baramundi Gateway Enrollment Wizard installiert wurde.
Über das Gateway findet die Kommunikation zwischen dem bMS und einem Device bzw. mit den mobilen IT-Geräten statt. Für die zuverlässige Kommunikation zwischen dem Server und den Devices wird von dem jeweiligen Betriebssystemhersteller ein Benachrichtigungsservice angeboten. Vor der Kommmunikation stellt der Server über diesen eine Anfrage an das Device, das die Anfrage an den Server beantwortet. Dieses Vorgehen ist notwendig, da sich z.B. Smartphones häufig in einem anderen Netz befinden als der MDM Server (in diesem Fall der bMS Server).
Die Verwaltung der macOS Geräte wurde mittlerweile über unseren bestehenden Client Management Server komplett umgesetzt. Hierzu wenden wir ein weiteres Modul an.
Ablauf bei der Ausführung eines Auftrages
Über das weiter unten dargestellte Schema lässt sich die Kommunikation zwischen den einzelnen Komponenten des MDM darstellen. Der baramundi MDM-Server befindet sich hierbei im LAN (Local Area Network), der baramundi Gateway-Server in einer DMZ (Demilitarized Zone), also ein Firewall geschützter Bereich , der die Kommunikation mit dem Internet schützt bzw. regelt. Im Internet befinden sich die Notification Services von Google und Apple sowie die Mobilen Geräte selbst.
Da sich mobile Geräte in verschiedenen Netzen bewegen, wie z.B. einem Mobilfunknetz oder einem Netzwerk, welches von einer Firewall geschützt wird, kann der Server die mobilen Geräte nicht immer erreichen. Dadurch wäre ein zuverlässiger Verbindungsaufbau nur von dem Gerät zum Server möglich. Da die Geräte über dem Server gemanagt werden sollen, muss es möglich sein, einen Verbindungsaufbau Serverseitig einzuleiten. Dies ist notwendig, da jeder Vorgang, der zum Managen notwendig ist, Serverseitig initiiert wird.
Hierfür stehen die Notification Services zur Verfügung. Diese in einer Cloud befindlichen Herstellerdienste können vom Server benachrichtigt werden.
Wird nun eine Verteilung z.B. einer Richtlinie eingeleitet, sendet der MDM-Server eine Benachrichtigungs-Anfrage (1) an den entsprechenden Notification Service. Dieser benachrichtigt (2) das mobile Gerät, z.B. ein Smartphone, dass der MDM-Server einen Auftrag ausführen möchte. Daraufhin meldet sich das Smartphone bei dem Server und bestätigt diese Anfrage (3), wodurch Nutzdaten ausgetauscht bzw. der Auftrag ausgeführt wird.
Konfigurationsmöglichkeiten
Über bMS lassen sich eine Vielzahl von Konfigurationen vornehmen. Für Android und iOS können beispielsweise Arbeitsprofile erstellt werden, so dass Unternehmensdaten und private Daten getrennt sind. So kann auch der zusätzliche Schutz der Profile durch ein Passwort erzwungen werden, welches sich an den Unternehmensrichtlinien orientiert.
Dazu kann für Arbeitsprofile ein Whitelist AppStore erstellt werden, um die Installation von kritischen Applikationen zu untersagen.
Von Vorteil ist hierbei, dass die Nutzung der Geräte ansonsten wie gewohnt ohne Einschränkungen für private Zwecke möglich ist, da ein solches Arbeitsprofil separat behandelt wird.
Zum zusätzlichen Schutz beim Verlust eines Geräts, kann dieses Arbeitsprofil remote gelöscht und somit der Zugriff auf die Geschäftsdaten unterbunden werden.
Aktueller Stand
MacOS Geräte können jetzt über baramundi verwaltet werden. Das bedeutet, dass den Geräten Benutzer aus dem AD zugeordnet und mit der entsprechenden internen Inventarnummer versehen werden können. Hierzu werden die Geräte direkt vom Händler in den Apple Business Manager eingetragen. Über den Business Manager werden die Geräte dem MDM Server zugewiesen.
Das Enrollment der macOS Geräte an dem MDM Server erfolgt über einen im baramundi Server generierten Link.
Dadurch lässt sich nun u.a. der Compliance-Status der MacBooks ermitteln. Hierzu gehören mitunter die Aktualität der OS Version, die Aktivierung der Datenträgerverschlüsselung, sowie Installation und Aktualität der Security-Software. Es können auch Richtlinien verteilt werden, wie z.B. die Benutzerkennwort-Vorgabe nach den Richtlinien des Unternehmens.
Sehr informativer Beitrag, Julian! Und sehr vielversprechende Security-Features. Klasse!
Thomas, CISO