Der Ausbruch der WannaCry-Malware zeigt eindeutig, wie gefährlich der Betrieb älterer Betriebssysteme ist. Windows XP, Windows Vista und andere Systeme wurden massenweise infiziert, große Unternehmen wie die Bahn oder Telefonica waren betroffen. Und das, obwohl eigentlich seit März ein Patch für die Schwachstelle verfügbar war.

Auch wenn der eigentliche Angriff gestoppt ist, so ist der Angriffsweg an sich immer noch gefährlich und stellt eine konkrete Herausforderung für Unternehmen dar. Das Risiko steckt nicht nur in Firmensystemen, sondern gerade auch in Trends wie Bring your own device. Wie können IT-Verantwortliche sicherstellen, dass alle Geräte mit Zugriff aufs Unternehmensnetzwerk auch auf dem aktuellsten Stand sind?

Analyse und Upgrade der IT-Umgebung

Oft ist die Sorge, dass Systeme nicht mit neuen Patches kompatibel sind. Hier liefert das Microsoft Tool System Center Configuration Manager (SCCM) die notwendigen Telemetrie-Daten. Es analysiert die IT-Umgebung, um Probleme wo möglich zu vermeiden. Besonders interessant ist das Feature "Upgrade Readiness", das Teil des Inventarisierungsprogramms ist und die in Windows integrierten Upgrade Checks nutzt. Hier können Cloud-Angebote wie zum Beispiel Upgrade Analytics unterstützen. So erhalten IT-Verantwortliche auf einen Blick eine Übersicht, welche Geräte sich problemlos auf das aktuellste Microsoft-Betriebssystem bringen lassen und wo es eventuell Probleme gibt.

Tatsächlich spricht einiges für ein Upgrade auf das aktuellste Microsoft OS. Dank Windows as a Service müssen keine Migrationen zwischen Betriebssystemsversionen mehr geplant und umgesetzt werden. Das OS lässt sich über den SCCM bequem ausrollen. In Windows 10 wurden die Sicherheitsfunktionen maßgeblich überarbeitet, neue Richtlinien decken dabei beispielsweise auch Geräteklassen wie Tablets oder BYOD-Systeme besser ab. Hinzu kommt, dass die Unterstützung für ältere Betriebssysteme begrenzt ist. Für Windows 7 läuft der allgemeine Support am 14. Januar 2020 aus, für Windows 8.1 endet er am 10. Januar 2023.

Sicherheitsfunktionen in Windows 10

Neben dem Support sind auch die Sicherheitsfunktionen von Windows 10 für Unternehmen interessant. Microsoft teilt diese in vier Bereiche auf:

• Geräteschutz: Diese Funktionen kümmern sich um den Schutz von Windows und des Gerätes selbst. Dazu gehört etwa, dass die "Gesundheit" der Produkte überwacht wird, oder dass Compliance-Vorgaben eingehalten und angewandt werden.

• Identitätsschutz: Mit dieser Funktion wird der Schutz der Nutzerdaten gewährleistet. Dazu gehört die in Windows integrierte 2-Faktor-Authentifizierung über einen Azure-Dienst, Windows Hello oder der Credential Guard. Letzterer schützt Zugangsdaten vor Attacken wie "Pass the Hash". Zudem setzen diese Funktionen auch Sperren des Accounts um.

• Informationsschutz: Dieser Bereich schützt die gespeicherten Informationen. Bitlocker etwa bietet Verschlüsselungsfunktionen für Daten oder komplette Windows-Geräte. Darüber hinaus lässt sich der Zugriff steuern, etwa wenn Geräte sich nur mit bestimmten Netzwerken verbinden dürfen.

• Gefahrenabwehr: Neben dem Schutz kümmert sich Windows auch um die Verteidigung gegen Angriffe. SmartScreen überprüft beispielsweise Downloads, der AppLocker verhindert das Ausführen unerwünschter Programme und der Windows Defender blockt Schadsoftware.

Diese vier Funktionen melden alle Daten an das SCCM zurück. Dort werden sie analysiert und in Dashboards aufbereitet. So hat man einen ständigen Überblick über den Status aller Endpunkte im Netzwerk. Dazu liefert SCCM die notwendigen Tools, um neue Systeme aufzunehmen oder nicht mehr benötigte sicher zu entfernen.

Hilfe vom Partner

SCCM kann mit seinen Features und Funktionen auf den ersten Blick verwirren. Es macht Sinn, die Lösung nicht einfach nur zu kaufen, sondern direkt mit dem zuständigen Partner eine Schulung zur Einweisung in das Produkt zu vereinbaren. Idealerweise sollte dieses Training keine einmalige Angelegenheit sein, sondern auch während des Einsatzes fortgeführt werden. Denn viele Fragen und Probleme tauchen erst im Betrieb auf - entsprechend sollten Firmen eine langfristige Unterstützung von Anfang an mit einplanen.