Criston Precision Management Suite im Test
Präzise Verwaltung
An Werkzeugen für das Desktop-Management herrscht kein Mangel. Mit Criston Precision stellen wir ein weiteres Mitglied dieser Lösungsgattung vor. Das Tool umfasst Funktionsblöcke für das Desktop-, Patch- und Vulnerability- (also Schwachstellen-)Management. Zu den Besonderheiten der Lösung gehört ihre einfache und über die Module konsistente Bedienung.
Die Not der Systemverwaltung muss groß sein; anders kann man es kaum erklären, dass sich
Dutzende Werkzeuge in diesem Segment etabliert haben. Das hier näher beleuchtete Criston Precision
existiert bereits in der Version 5.4 und ist damit nicht als neu einzustufen. Die Lösung umfasst
Funktionen für die Bereiche Desktop-, Patch- und Vulnerability-Management. Verfügbar ist sie für
alle Windows-Version ab Windows 95 bis 2003 – Vista wird in der Dokumentation nicht erwähnt – sowie
für 64-Bit-Windows-Versionen und diverse Linux-Varianten. Dabei werden allerdings nicht alle Module
gleichermaßen unterstützt. Criston unterscheidet zwischen einem Master-Modul (also dem zentralen
Verwaltungsserver), dem Client-Modul, das auf dem zu verwaltenden System einzurichten ist, und der
Verwaltungskonsole. Als Datenbank unterstützt die Suite sowohl eine lokale MSDE, aber auch bereits
vorhandene Datenbanken. Hier gestattet sie den Einsatz auf SQL Server 2000, SQL Server 2005,
Postgres 8 und Oracle. Ab 500 Geräten sollte laut Hersteller eine eigene Datenbank zum Einsatz
kommen. Für Red Hat Linux 9.0 bietet der Hersteller das Master- und das Client-Modul sowie die
Verwaltungskonsole, für andere Linux-Varianten sind nur Master und Client vorhanden, für Solaris 8
nur der Client.
Im LANline-Test verwendeten wir für die zentrale Verwaltungsinstanz mitsamt der Konsole ein
System mit Windows Server 2000. Geliefert wurde eine DVD mit 1,6 GByte an Dokumentation und den
Programmen. Nach dem Einlegen der DVD startet ein Übersichtbildschirm mit den Links zu den
Programmen der Dokumentation und weiteren nützlichen Hinweisen.
Positiv aufgefallen ist unter anderem die Möglichkeit, die Sprachversion auch im laufenden
Betrieb umzustellen. Unterstützt werden alle gängigen europäischen Sprachen, also auch Deutsch,
Englisch, Spanisch und Französisch. Je nach eingestellter Sprache erscheinen dann alle Meldungen
und Dialoge in dieser Sprache. Der Großteil der Dokumentation hingegen ist nur in Englisch
verfügbar. Hat der Admin eine andere Landessprache wie im Test Deutsch gewählt, so muss man leider
die jeweilige Übersetzung der Begriffe – zum Beispiel von "Schwachstellenverwaltung" in "
Vulnerability-Management" – selbst vornehmen. Der versierte Administrator wird damit zwar keine
Problem haben, denn dass Queries Abfragen sind, ist ihm sicher bekannt. Andererseits benötigt er
dann aber kaum die deutsche Version der Software. Auch die Suche in den Handbüchern liefert meist
nur englische Begriffe. Insofern leuchtet die Übersetzung der Software ohne die der Dokumentation
nicht so ganz ein.
Bei der Einrichtung des Masters werden zwei Port-Adressen verlangt. Diese verwendet das
Verwaltungs-Tool zur Kommunikation mit den Agenten und dem virtuellen Host, der Precision Console.
Wir beließen es bei den vorgeschlagenen Ports. Berichte im HTML-Format setzen natürlich nur einen
Browser voraus, für PDF-Berichte ist das Java Runtime Environment 1.5.0_11 erforderlich.
Gruppierungsmöglichkeiten
Nach dem Start der Verwaltungskonsole und der obligatorischen Anmeldung präsentiert sich das
Toolset in einer angenehmen und aufgeräumten Oberfläche. Zu dessen wichtigsten Einträgen zählen
jene zu "Allgemeinen Einstellungen", den "Benutzergruppen", den "Rechnergruppen", der "
Patch-Verwaltung", der "Sicherheitsverwaltung", den "Abfragen", den "Berichten" und den "
Ereignissen"; die Begriffe, die wohl selbsterklärend sind, zeigen die grobe Aufteilung des
Werkzeugs in seine Funktionen auf. Es verwendet Geräte- wie auch Benutzergruppen zur Bündelung der
zu verwaltenden Systeme. Um die Gruppen zu erstellen, bestehen prinzipiell drei Möglichkeiten:
erstens die manuelle Anlage der Gruppe und das Hinterlegen von Einträgen; zweitens die Erzeugung
von Gruppen als Ergebnisse eine Abfrage; und drittens per Rückgriff auf eine bestehende
Active-Directory-Struktur.
Über das jeweilige Kontextmenü, das durch einen rechten Mausklick zu erreichen ist, werden die
Funktionen eingeblendet, zum Beispiel "Gerätegruppe erstellen". Für eigene Belange wird der
Administrator Gerätegruppen erstellen, insbesondere dann, wenn kein Active Directory im Einsatz ist
oder die notwendige Strukturierung dort nicht besteht, zum Beispiel bei temporären Aktionen. So
kann der Admin beispielsweise eine Gruppe "Alle Firefox_alt -Nutzer" erzeugen, wenn eine Migration
zu einer neueren Firefox-Version ansteht. Standardgruppierungen – etwa alle Geräte mit einer
bestimmten Betriebssystemversion – hingegen lassen sich auch aus dem Tool selbst generieren. Dazu
wechselt man am besten zu den Abfragen. Zusammen mit der Software stellt Criston eine Reihe von
vordefinierten Abfragen bereit. Diese haben wir im Test zuerst importiert, was nur wenige Minuten
beansprucht. Aus den nun vorliegen Abfragen, zum Beispiel "Windows-2000-Geräte", lassen sich nun
ebenso schnell per Mausklick die jeweiligen Gerätegruppen generieren. Sobald die Gruppen
eingerichtet sind, beginnt Precision mit deren Abfrage und packt die gewonnenen Inventardaten in
die interne Datenbank.
Client- und Patch-Management
Für den Zugriff auf die zu verwaltenden Geräte verwendet Criston einen Agenten. Genau genommen
sind diese nur für die Funktionen des Desktop- und des Patch-Managements notwendig, nicht jedoch
für das Vulnerability-Management. Zur Ausbringung der Agenten stehen unterschiedliche Methoden zu
Wahl: die Ferninstallation von der Verwaltungskonsole (Push-Installation) oder das Pull-Verfahren.
Bei Letzterem erzeugt ein Assistent eine .exe-Datei des Agenten. Die .exe-Datei muss der
Administrator dann auf die Zielsystem ausbringen und dort ausführen lassen. Dies wiederum kann
beispielsweise im Logon-Skript oder per E-Mail-Versand erfolgen. Nicht ganz selbstverständlich ist
die Unterstützung von Relay-Rechnern, die als Bindeglied zwischen den untersuchten Geräten und dem
Verwaltungsserver fungieren können und den Verwaltungsserver sowie die Netzwerkverbindung
entlasten.
Die bei der Inventarisierung gewonnenen Werte sind anschließend nach unterschiedlichen Kriterien
analysierbar. Hier beantwortet das Werkzeug alle Fragen, die sich im Betrieb stellen mögen. Des
Weiteren hat der Hersteller eine Vielzahl von Berichten integriert, die sich als PDF oder HTML
ausgeben lassen.
Operational Rules
Um aktive Eingriffe auf die untersuchten Systeme vorzunehmen, liefert der Hersteller
Betriebsregeln (Operational Rules). Eine Regel stellt dabei ein Sammlung von Einträgen dar, die als
Komponenten bezeichnet werden. Diese wiederum bieten eine Unmenge von Möglichkeiten: Für Prozesse
beispielsweise ist deren Existenz zu prüfen, ferner lassen sie sich starten oder anhalten. Daneben
sind aber auch weitaus komplexere Abfragen möglich, zum Beispiel Änderungen an der Windows
Firewall, den Diensten, der vorhandenen Antivirensoftware oder der Registry. Unterstützt werden
ferner Wake on LAN, NAC (Network Access Control), die Integration in weitere Tools durch SNMP-Traps
sowie das Senden von E-Mails.
Im Test erstellten wir Regeln zum Prüfen von Prozessen, Registry-Einträgen, dem Sicherheits- und
Patch-Status sowie allgemeine Inventarprüfungen. Die Regeln wiederum sind dann, wie könnte es
anders sein, einer Gerätegruppe zuzuweisen. Des Weiteren sind die bei diesen Tools meist üblichen
Funktionen zur Zeitsteuerung (Scheduling) implementiert. Dringende oder kleine Aktionen mag man
natürlich sofort ausführen. Eine Regel aber, die umfangreiche Aktionen ausführt, wird man
vermutlich auf betriebsarme Zeiten legen und auch periodisch anwenden lassen.
Ein eigener Block ist das Patch-Management. Hierzu nutzt Criston die Scan Engine von Shavilk. Um
die Rechner nach fehlenden Patches zu untersuchen und diese dann auszubringen, werden Patch-Gruppen
aufgebaut. Sie definieren, welche Geräte nach welchen Patches zu durchsuchen sind. Dazu muss der
Admin allerdings im Vorfeld die Patch-Definitionen von der Criston-Website laden. Im Test war
dieser Vorgang nach 15 Minuten erledigt. Die eigentliche Patch-Ausbringung erfolgt dann in einem
zweiten Schritt. Die Patches sind ebenfalls direkt von Criston zu beziehen. Der erste
Download-Vorgang kann je nach Menge der gewählten Patches sehr lange dauern. Bei späteren Aktionen
wird man dies allerdings periodisch und im Hintergrund durchführen. Im Test luden wir Patches,
erzeugten Patch-Gruppen, untersuchten die jeweiligen Rechner und verteilten Patches ad-hoc auf
ausgewählte Rechnersysteme.
Vulnerability-Management
Beim dritten Funktionsblock, dem Vulnerability-Management, geht es um das Auffinden und die
Beseitigung von Schwachstellen wie etwa offenen Ports, unsicheren Passwörtern, der unnötigen
Aktivierung von Protokollen und Diensten oder mangelhaften Firewall-Einstellungen. Zum Prüfen
dieser Schwachstellen liefert Criston einen Assistenten. Dieser fragt in wenigen Schritten die
Parameter ab und erzeugt einen Auftrag, der dann auf eine Gerätegruppe anzuwenden ist. Im Test
untersuchten wir Geräte nach Protokollen, Passwörtern und offenen Ports. Auch die weiteren Aktionen
zum Schließen dieser Lücken sind stimmig.
Zugriff auf das Dateisystem, Prozesse und die Registry
Neben den beschriebenen Funktionen deckt die Suite aber auch die branchenüblichen
Standardaufgaben ab, darunter Softwareverteilung und Fernsteuerung. Neben der Remote Control
besteht auch die Möglichkeit eines direkten Client-Zugangs. Hierbei ermöglicht Criston dem
Administrator den Zugriff auf das Dateisystem, die Registry, die Dienste, Prozesse und
Win-dows-Ereignisse des untersuchten Rechners. Dieser Direktzugriff blendet die jeweilige
Informationselemente wie beispielsweise das Dateisystem direkt in die zentrale Verwaltungskonsole
des Administrators ein. Das Verfahren wird somit nicht über die bei der Remote Control bekannte
Spiegelung des Bildschirms und der Eingabegeräte abgewickelt. Im Test hat diese Methode keine
Probleme bereitet. Daneben bietet das Werkzeug noch so manche weitere interessante Option. Dazu
zählt beispielweise die Unterstützung von Energiespareinstellungen, ein Bandbreitenmanagement oder
das Zusammenspiel mit Intels Vpro-Technik.
Der Test verlief insgesamt positiv. Es sind eher die Kleinigkeiten wie die unstimmige
Dokumentation, die aufgefallen sind. Auch hatten wir in der Maske der Definition eines
Scan-Vorgangs für dessen Namen versehentlich ein "
Fazit
Criston liefert mit der Precision-Suite eine umfangreiche Sammlung für die Bereiche Desktop-,
Patch- und Vulnerability-Management. Das Zusammenspiel der einzelnen Disziplinen ist gut gelöst und
erlaubt eine integriert Verwaltung. Bei Fragen und Problemen ist allerdings aufgrund zu geringer
lokaler Präsenz des Anbieters Geduld gefordert. Preisbeispiele des Herstellers: Bei 500 Anwendern
kostet die Kauflizenz 65 Euro pro Client, bei 1000 Anwendern 55 Euro, jeweils zuzüglich
Support-Kosten.
Info: Criston Tel.: 0172/8140805 Web: www.criston.com
Lesen Sie mehr zum Thema
