Endpoint Management | System Administration

Remote Work richtig managen – Risiken fürs eigene Unternehmensnetzwerk vermeiden

06. Oktober 2020, Avatar of Alexander HaugkAlexander Haugk

Egal ob es um Mitarbeiter im Home Office oder um Mobile Work geht: Eine sichere Verbindung ist essentiell, um die Endgeräte auf Stand zu halten, aber auch für die Netzwerksicherheit des Unternehmens. 

So gilt es nicht nur, die verteilten Notebooks, Smartphones und Tablets abzusichern, ebenso muss sichergestellt sein, dass durch das Management der mobilen Clients kein Risiko für die interne Infrastruktur entsteht. Denn was nützt das sicherste Endgerät, wenn dafür ein Loch in die Abwehr der zentralen Serverlandschaft gebohrt werden muss?

Nachteile von Endpoint Management per VPN

Eine für den Administrator einfache Methode ist, dafür eine VPN-Verbindung zu erzwingen. Das ist aber nicht besonders benutzerfreundlich: Viele User brauchen für ihre tägliche Arbeit keinen permanenten VPN-Zugang und je nach Arbeitsort können Verbindungsabbrüchedie Nutzer einiges an Nerven kosten. Umgekehrt erschwert das auch das zuverlässige und konsequente Management dieser Geräte.

Zwar ließe sich der Zugriff von Außen theoretisch auch dadurch realisieren, dass man den Management Server in der DMZ platziert, das verstößt aber nicht nur gegen die Grundregeln der IT-Sicherheit, sondern auch gegen den gesunden Menschenverstand.

Auch baramundi rät hiervon dringend ab!

Abschirmung des Endpoint Managements per Gateway

Endpoint Management zählt zu den sicherheitskritischsten Systemen überhaupt. Denn ein Endpoint Management hat stets die höchste administrative Berechtigung auf den verwalteten Endpoints. Die logische Konsequenz: Wer die Kontrolle über dieses System erlangt, hat damit praktisch automatisch auch das gesamte Netzwerk im Griff.

Das Management System sollte daher auf jeden Fall durch eine speziell gehärtete Komponente – das sog. Gateway – abgeschirmt werden. Das heißt jedoch nicht, dass auch zwingend eine reguläre VPN-Verbindung notwendig ist, um die Endgeräte aus der Ferne zu managen.

baramundi IEM (Internet-Enabled Endpoint Management) macht solch ein VPN-loses Endpoint Management durch einen verschlüsselten Kanal zwischen Agent und Gateway möglich. Über diese Verbindung können die Endgeräte sicher mit der UEM-Lösung kommunizieren, notwendige Updates und Software installieren und auch Statusmeldungen abgeben, ohne dabei die Sicherheit der internen Systeme zu gefährden.

Der große Vorteil ist dabei, dass dieser Kanal bereits automatisch beim Hochfahren des Endgeräts aufgebaut wird – noch bevor sich der Benutzer anmeldet.

Dies erfolgt natürlich ausschließlich mit verschlüsselter, zertifikatsbasierter Authentifizierung über Standard SSL-Kommunikations-Ports. Ganz nebenbei wird so eine Verbindung geschaffen, die unabhängig von der Stabilität und Sicherheit des vor Ort verwendeten Netzwerks ist.

Statt sich auf einen unsicheren Workaround zu verlassen, können wir deshalb nur jedem IT-Admin empfehlen, lieber auf eine durchdachte und sichere Lösung wie die baramundi Management Suite zu setzen.

Mehr lesen?