Schwachstellen Management
Allgemeines
Das Schwachstellen Management ist eine Softwarelösung, die es Ihnen ermöglicht, automatisch zuvor definierte Sicherheitslücken zu erkennen. Aufgrund der zunehmenden Bedrohungen im Internet, veraltete und nicht aktualisierten Programme vereint das Schwachstellen Management all diese Punkte und bietet eine zentrale Verwaltung an, den Problemen zuvorzukommen: Gefundene Schwachstellen in Ihrem Netzwerk werden übersichtlich gelistet und dargestellt und erlauben zusätzlich den Einblick in die einzelnen Clients, die von den Sicherheitslücken betroffen sind.
Das Schwachstellen Management ist vollständig in ACMP integriert und durchläuft dabei wesentlich drei Schritte: Der ACMP Server muss zunächst die Schwachstellendefinitionsdatei herunterladen bzw. aktualisieren. Anschließend muss der Schwachstellen Scanner auf dem Client laufen. Sobald der Scan gelaufen ist, werden die Funde an den ACMP Server übermittelt und stehen Ihnen zur weiteren Auswertung in ACMP zur Verfügung.
Die Einträge werden tabellarisch, in einem Grid, für Sie zusammengefasst. Dort finden Sie diverse Informationen zu der Schwachstelle (CVE ID und Bezeichnung), sowie den jeweiligen Schweregrad und wie viele Clients von der Sicherheitslücke betroffen sind.
Sehen Sie Handlungsbedarf für die Beseitigung der gefundenen Schwachstellen, können Sie nun dynamische Container erstellen, die dann mittels eines Client Commands, einer Windows Update Collection oder eines Managed Software Updates an die betroffenen Clients gesendet werden können. Alternativ dazu können Sie die gewünschte Aktion auch direkt an die betroffenen Clients schicken. Das Ziel des Schwachstellen Managements ist es, Ihnen mögliche Sicherheitslücken aufzuweisen, damit diese beseitigt werden können.
Was ist eine Schwachstelle?
Im ACMP-Kontext ist von einer Schwachstelle die Rede, wenn es sich um eine bekannte und öffentlich dokumentierte Sicherheitslücke innerhalb einer Soft- oder Hardware handelt. Die Datengrundlage basiert dabei auf dem CVE-System (Common Vulnerabilities and Exposures), welches sich nach dem US-amerikanischen Standard richtet und weltweit üblich ist. Die hier genannten Schwachstellen sind nach einem klaren Namensschema aufgebaut: Es setzt sich aus dem Präfix „CVE“, dem Jahr und der ID zusammen, die für die sequenzielle Kennung steht (z.B. „CVE-2024-4450“).
Aufbau des Schwachstellen Managements
Das Plugin Schwachstellen Management besteht aus verschiedenen Reitern, angefangen mit dem Dashboard, in dem Sie relevante Informationen über die Schwachstellen in Ihrem Unternehmen übersichtlich zusammengefasst einsehen können (siehe „Das Dashboard im Schwachstellen Management). Im Reiter entdeckte Schwachstellen werden Ihnen sämtliche Sicherheitslücken aufgelistet, die auf mindestens einem Client in Ihrer Umgebung entdeckt wurden. Unter den global ausgeschlossenen Ausschlüssen finden Sie Schwachstellen, die gesamt (für alle bereits bekannten Funde und auch mögliche zukünftige) ausgeschlossen wurden. Dies betrifft die gesamte Schwachstelle. Lokale Ausschlüsse werden nur explizit für die selektierten Clients ausgeschlossen und nicht für alle.
Vorbereitungen für die Arbeiten im Schwachstellen Management
Um das Schwachstellen Management in Betrieb zu nehmen, sind ein paar Vorbereitungen erforderlich:
Vorkonfigurationen
| Gültige Lizenz | Stellen Sie sicher, dass Sie über eine gültige Lizenz für das Schwachstellen Management verfügen. Diese benötigen Sie auch, wenn Sie das Modul testen. Die Lizenz kann über den Vertriebsansprechpartner angefordert bzw. freigeschaltet werden. |
| Schwachstellen Scanner aktivieren | Standardmäßig ist der Schwachstellen Scanner bei der Inbetriebnahme von ACMP deaktiviert und muss daher aktiviert werden. Die Aktivierung des Scanners sollte generell im Agentenplaner (Client Management > Agentenplaner) durchgeführt werden, damit alle Clients gescannt werden. Navigieren Sie zu dem Bereich der Console und wählen Sie für das Betriebssystem Windows den Job Schwachstellen Scanner aus und öffnen Sie die Startbedingungen über einen Doppelklick. Setzen Sie einen Haken in der Checkbox Aktiviert und ändern Sie nach Bedarf die Startbedingung (Standard: Startintervall: einmal täglich). Alternativ dazu kann der Schwachstellen Scanner über die Abfrageverwaltung auch manuell für einzelne Clients ausgeführt werden.
Bedenken Sie, dass die Ausführung des Schwachstellen Scanners zu Last auf Ihren Systemen führt. Stellen Sie die Startbedingungen daher so ein, dass der Scanner nicht zu Zeiten mit einer generell hohen Belastung ausgeführt wird |
| Zugriff auf ein File Repository | Es ist außerdem erforderlich, dass die Clients, die nach Schwachstellen durchsucht werden sollen, Zugriff auf ein File Repository benötigen, welches den Inhalt der „Schwachstellendefinitionsdateien“ hat. Diese Dateien sind dafür verantwortlich, dass neue Sicherheitslücken in Ihrem System erkannt werden und die Liste synchronisiert wird. Stellen Sie zudem sicher, dass der ACMP Server mit dem Internet verbunden ist, um die Aktualisierungen herunterladen zu können. Überprüfen Sie hierfür die Freigabe der notwendigen URLs, um auf die Ressourcen zugreifen zu können. |
Achtung: Berechtigungen verteilen
Um für spätere Arbeiten im Schwachstellen Management vorbereitet zu sein, sollten Sie bereits vorab einmal die Berechtigungen der Benutzer überprüfen, ob diese korrekt sind. Öffnen Sie dafür die Berechtigungen der jeweiligen Benutzergruppe oder des Benutzers in der Benutzerverwaltung (System > Benutzerverwaltung). Navigieren Sie dafür zu der Wizardseite „Rechte des Benutzers“ > Security > Schwachstellen Management und setzen Sie die nötigen Haken in den Checkboxen. Um sämtliche Funktionen des Plugins nutzen zu können, sollten Sie also die Rechte vollständig vergeben (z.B. um später Schwachstellen auszuschließen oder diesen Ausschluss wieder rückgängig zu machen).
Nötige Berechtigungen für das Schwachstellen Management verteilen
Nachdem Sie die nötigen Vorarbeiten getätigt haben, können Sie mit der eigentlichen Arbeit beginnen. Navigieren Sie in das Schwachstellen Management (Security > Schwachstellen Management) und stellen Sie zunächst sicher, dass die Definitionsdateien aktuell sind. Klicken Sie dafür in der Ribbonleiste auf 
Schwachstellendefinitionsdatei aktualisieren. Die geplante Serveraufgabe wird in Kürze gestartet. Den Stand des Jobs können Sie direkt im Dashboard, im Widget Downloadstatistik, einsehen. Andernfalls liegen noch keine Daten vor und die Widgets bleiben leer.
Allgemeiner Hinweis zur Dauer des Downloads der Definitionsdatei: Je nach Auslastung des ACMP Servers sowie des SQL Servers kann das Aktualisieren der Definitionsdatei längere Zeit in Anspruch nehmen. Führen Sie während dieser Zeit einen Schwachstellen Scan durch, wird dieser in einem Fehler enden. Empfehlung: Prüfen Sie beim ersten Aktualisieren der Definitionsdatei im Taskmanager die CPU-Last des ACMP Server Dienstes und des SQL Server Dienst. Wenn die Auslastung beider Prozesse sich wieder normalisiert hat, sind die Definitionen vollständig aktualisiert.