Die Integritätsbestätigung für Geräte ist ein wichtiger Prozess in jeder IT-Management-Strategie. Wie der Name schon sagt, wird damit die Authentizität und Integrität der Hardware und Software eines Geräts oder Endpunkts ‘bescheinigt’ oder überprüft.
Dies wird in der Regel in einem Zertifikat festgehalten, das mit dem Schlüssel einer Zertifizierungsstelle (CA) unterzeichnet und mit Hilfe der Public-Key-Infrastruktur (PKI) validiert wird. Alternativ kann das Zertifikat selbst signiert und anhand der Identität des Erstellers oder eines öffentlichen Geräteregisters überprüft werden.
Bieten Sie Endpunktsicherheit über die vertraute NinjaOne-Plattform.
→ Erfahren Sie mehr über die Endpunktsicherheits-Lösung von NinjaOne.
Was ist wichtig bei der Integritätsbestätigung für Geräte?
Normalerweise ist die Integritätsbestätigung in zwei asymmetrischen Schlüsseln verankert: Die Identität des Erstellers und die des Eigentümers. Beide Schlüssel liefern Details zu den kryptografischen Eigenschaften eines Endpunkts.
- Die Erstelleridentität wird bei der Entwicklung erzeugt und von der Ersteller-PKI gebilligt.
- Die Eigentümeridentität wird zum Zeitpunkt der Eigentumsübertragung oder bei jeder Änderung der BL0-Konfiguration (Bootloader) erzeugt.
Der Eigentümeridentitäts-Schlüssel wird von der Erstelleridentität bestätigt, in der Regel durch die spezifischen Prozesse des Anbieters. Microsoft verwendet beispielsweise seine eigene Intune-Integritätsbestätigung für Geräte, während Apple seine eigene Integritätsbestätigung für Mac, iPhone, iPad und Apple TV hat.
Die Integritätsbestätigung für Geräte ist entscheidend, um festzustellen, ob ein in Ihrem System registriertes Gerät authentisch ist. Dies verringert potenzielle Sicherheitsschwachstellen und trägt zu einer sicheren Verwaltung bei, wenn Sie beispielsweise eine Endpunkt-Management- oder eine Mobile Device Management-Lösung (MDM) verwenden.
Was ist Gerätevertrauen?
Das Gerätevertrauen bestimmt, ob ein in einem Netzwerk vorhandenes Gerät für den Zugriff auf Ressourcen oder die Durchführung bestimmter Aufgaben als sicher und zuverlässig angesehen werden kann. Außerdem wird sichergestellt, dass jedem Endpunkt, der verwendet oder verwaltet wird, bestimmte Berechtigungen auf der Grundlage spezifischer Anforderungen und Ziele gewährt werden können.
Es ist eine selten diskutierte Funktion in jeder proaktiven IT-Verwaltung- und Sicherheitsstrategie. Wir lesen oft Guides darüber, welche Software zu verwenden, oder über die Planung unseres IT-Budgets, aber wir vergessen den ersten Schritt einer wirksamen Sicherheitsstrategie: Wir müssen sicherstellen, dass wir dem, was wir verwalten, überhaupt vertrauen können.
Was ist das ACME-Protokoll?
Das Automated Certificate Management Environment (ACME)-Protokoll automatisiert den gesamten Lifecycle digitaler Zertifikate, von der Ausstellung bis zur Erneuerung. Dies beschleunigt den Prozess und minimiert das Risiko menschlichen Versagens.
Die Internet Security Research Group (ISRG) hat das ACME-Protokoll für Lets Encrypt, ihren eigenen öffentlichen Zertifikatsdienst, entwickelt. Seit der jüngsten Veröffentlichung als Internet-Standard RFC 8555 verwenden viele Betriebssysteme ACME, um den Prozess der Integritätsbestätigung zu optimieren. Zuvor wurde diese Aufgabe vom Simple Certificate Enrollment Protocol (SCEP) übernommen.
Integritätsbestätigung und Zero-Trust-Sicherheit
ACME spielt eine zentrale Rolle bei der Förderung robuster Zero-Trust-Sicherheit-Frameworks. Die Integritätsbestätigung für Geräte bietet einen kryptografischen Nachweis der Attribute eines Geräts, der die asymmetrische Schlüsseltechnologie nutzt. Diese eindeutigen Kennungen werden in der Regel in der Anfangsphase der MDM-Registrierung oder anderer Einrichtungs-Prozesse für Geräte verwendet.
ACME stellt sicher, dass die Eigenschaften des Geräts kryptografisch validiert und mit einem umfassenden Gerätekatalog abgeglichen werden. Sobald die Authentizität und die Attribute des Geräts bestätigt sind, kann es in die Infrastruktur aufgenommen werden, was eine sichere und vertrauenswürdige Verwendung innerhalb des Systems ermöglicht.
Was geschieht mit fehlgeschlagenen Integritätsbestätigungen?
Die Integritätsbestätigung für Geräte kann gelegentlich fehlschlagen. In solchen Fällen kann das Gerät immer noch auf eine ACME-Abfrage antworten, aber bestimmte kritische Informationen, wie etwa der erwartete Objektidentifikator, könnten fehlen. Die Gründe für eine fehlgeschlagene Integritätsbestätigung können vielfältig sein, von vorübergehenden Netzwerkproblemen bis hin zu schwerwiegenderen Szenarien wie kompromittierter Hardware oder Software.
Obwohl es keine sichere Methode gibt, die genaue Ursache des Fehlschlagens zu ermitteln, können Unternehmen die Risiken durch Strategien innerhalb ihrer Zero-Trust-Architektur minimieren, insbesondere im Rahmen von Protokollen zur Integritätsbestätigung für verwaltete Geräte. Anhand dieses Frameworks können Unternehmen je nach den Ergebnissen der Integritätsbestätigung einen Gerätevertrauenswert berechnen. Eine niedrigere Punktzahl sollte je nach dem berechneten Zahlenwert unterschiedliche Maßnahmen auslösen, wie zum Beispiel die Verweigerung des Zugangs zu Diensten oder die Benachrichtigung des IT-Teams.
Es ist erwähnenswert, dass die Ergebnisse der Integritätsbestätigung eine direkte Rolle bei der Geräteregistrierung spielen, insbesondere bei MDM. Bei der Android-Registrierung beispielsweise müssen Benutzer:innen oder Geräte die entsprechenden Anmeldeinformationen angeben, um konfiguriert zu werden.
→ Starten Sie Ihre 14-tägige kostenlose Testversion der auf G2 führenden Endpunkt-Management-Software.
Stärkung der Gerätesicherheit mit NinjaOne
NinjaOne bietet Endpunktsicherheit durch seine mehrfach ausgezeichnete RMM-Softwarelösung. Die robuste Plattform automatisiert nicht nur die Patch- und Softwarebereitstellung, um Schwachstellen schnell und in großem Umfang zu erkennen, sondern schützt auch wichtige Unternehmensdaten durch Endpunkt-Backups.
Sichern Sie sich Ihr kostenloses Angebot, testen Sie 14 Tage gratis, oder sehen Sie sich eine Demo an.
