Portal Portal Forum Forum Devolutions Force Devolutions Force Hub Business Hub Business Hub Personal Hub Personal Devolutions Send Devolutions Send Download RDM RDM Workspace Workspace Launcher Launcher
Produkte

Aus dem AnyIdentity-Arbeitsablauf: Heartbeat

Anyidentity workflow devolutions heartbeat

Die Heartbeat-Aktion von AnyIdentity überwacht und verifiziert kontinuierlich gespeicherte Passwörter, um die Sicherheit von privilegierten Konten zu gewährleisten, indem sie unbefugte Änderungen erkennt und zeitnahe Passwort-Aktualisierungen veranlasst.

Adam Bertram
Adam Bertram

Adam Bertram ist seit über 20 Jahren in der IT tätig und ein erfahrener Online-Business-Profi. Er ist ein erfolgreicher Blogger, Berater, 6-facher Microsoft MVP, Trainer, veröffentlichter Autor und freiberuflicher Autor für zahlreiche Publikationen. Besuchen Sie Adam auf adamtheautomator.com für technische Anleitungen, verbinden Sie sich auf LinkedIn oder folgen Sie ihm auf X unter @adbertram.

View more posts

Der Arbeitsablauf von AnyIdentity basiert auf drei grundlegenden, harmonisierten Aktionen, um eine solide Verwaltung privilegierter Zugriffe zu gewährleisten: Kontoermittlung, Heartbeat und Passwortrotation. Jede dieser Aktionen spielt eine entscheidende Rolle bei der Aufrechterhaltung der Sicherheit und Integrität Ihres Systems.

Heute befassen wir uns mit der Heartbeat-Aktion, dem wichtigsten Zwischenschritt, der als Brücke zwischen der initialen Ermittlungsphase und dem abschließenden Rotationsprozess dient. Diese mittlere Komponente ist für die Aufrechterhaltung einer aktuellen und sicheren Umgebung für privilegierte Zugriffe als ständiger Wächter vor unbefugten Änderungen und mögliche Sicherheitsverletzungen unerlässlich.

Der AnyIdentity-Arbeitsablauf

Bevor wir in die Details der einzelnen Schritte eintauchen, lassen Sie uns einen Blick auf den dreistufigen Arbeitsablauf von AnyIdentity werfen. Dieser Prozess gewährleistet eine umfassende Verwaltung privilegierter Zugriffe.

  1. Kontoermittlung: Findet und katalogisiert privilegierte Konten.
  2. Heartbeat: Überprüft, ob gespeicherte Passwörter mit den aktuellen übereinstimmen.
  3. Passwortrotation: Aktualisiert Passwörter bei Bedarf.
  4. Propagation: Aktualisiert die gespeicherten Anmeldeinformationen von externen Diensten und Hosts.

Die Heartbeat-Aktion ist die entscheidende Vergleichskomponente, die als Vermittler zwischen der Kontoermittlung und der Passwortrotation fungiert.

Was macht die Heartbeat-Aktion?

Im Kern ist die Heartbeat-Aktion bemerkenswert einfach. Sie vergleicht das in PAM gespeicherte Passwort mit dem aktuellen Passwort des Identitätsanbieters.

Lassen Sie uns dies mit etwas Pseudocode aufschlüsseln.

# Vereinfachte Darstellung der Heartbeat-Aktion
$storedPassword = Get-StoredPassword -Account $accountName
$currentPassword = Get-CurrentPassword -Account $accountName
if ($storedPassword -ne $currentPassword) {
  Write-Host "Passwords do not match"
}

Wie alle anderen Aktionen von AnyIdentity ist auch die Heartbeat-Aktion in PowerShell geschrieben und kann jederzeit aktualisiert werden, sodass der Nutzer die Kontrolle behält.

Die entscheidende Bedeutung von Heartbeat

Viele gehen davon aus, dass die Hauptfunktion von Heartbeat darin besteht, zu prüfen, ob die Anmeldedaten synchronisiert sind, doch seine Rolle ist weitaus wichtiger. Die Heartbeat-Aktion dient als wichtige Sicherheitsmaßnahme, die dafür sorgt, dass niemand die Anmeldedaten von einer externen Quelle aus geändert hat. Es geht nicht nur um die Synchronisierung, sondern auch um die Überprüfung, ob das System die Anmeldedaten verwaltet und kontrolliert.

Diese kontinuierliche Überwachung ist aus mehreren Gründen von entscheidender Bedeutung:

  1. Erkennung unbefugter Änderungen: Heartbeat überwacht Anmeldeinformationen auf unbefugte Änderungen, ob unbeabsichtigt oder böswillig. Dadurch wird sichergestellt, dass die Integrität des Zugriffs jederzeit gewahrt bleibt.
  2. Verhinderung von Sicherheitsverstößen: Durch die schnelle Erkennung von Unstimmigkeiten hilft die Heartbeat-Aktion, potenzielle Sicherheitsverletzungen zu verhindern, die auftreten könnten, wen Anmeldedaten ohne Wissen des Systems geändert werden.
  3. Aufrechterhaltung der Systemkontrolle: Die Aktion stellt sicher, dass das PAM-System die Kontrolle über die Anmeldeinformationen behält und dass alle Passwortänderungen die richtigen Kanäle durchlaufen und ordnungsgemäß protokolliert werden.

Die Heartbeat-Aktion fungiert daher als ständiger Wächter über Ihr System zur Verwaltung privilegierter Zugriffe und stellt sicher, dass Ihre Anmeldedaten jederzeit sicher, synchronisiert und unter der Kontrolle des Systems bleiben.

Heartbeat in Aktion

Um zu sehen, wie dies in der Praxis funktioniert, lassen Sie uns ein typische Szenario durchspielen:

  1. Die Kontoermittlung findet ein privilegiertes Konto „sysadmin01“ und speichert sein Passwort in PAM.
  2. Die Heartbeat-Aktion wird nach einem festgelegten Zeitplan ausgeführt (z. B. alle 4 Stunden).

Beispielsweise betrachten wir vielleicht eine abgespeckte Version des SQL Server Login-Heartbeat-Skripts.

function Compare-SqlLoginPassword {
    param (
        [string]$Server,
        [string]$UserName,
        [string]$StoredPasswordHash
    )

    $query = "SELECT password_hash FROM sys.sql_logins WHERE name = '$UserName'"
    $result = Invoke-SqlCmd -ServerInstance $Server -Query $query

    $currentPasswordHash = $result.password_hash -join ''

    return $currentPasswordHash -eq $StoredPasswordHash
}
  1. Bei dieser Prüfung wurde festgestellt, dass das für „sysadmin01“ gespeicherte Passwort nicht mit dem aktuellen Passwort übereinstimmt.
  2. Die Heartbeat-Aktion ergibt einen falschen boolschen Wert.

Heartbeat konfigurieren

Die Heartbeat-Aktion ist zwar unkompliziert, ihre Effektivität hängt jedoch von der richtigen Konfiguration ab. Die Aktion besteht aus zwei Bereichen, die zu konfigurieren sind (wenn Sie Ihren eigenen Anbieter erstellen):

• Parameter zur Definition des Identitätsanbieters, mit dem eine Verbindung hergestellt werden soll; • kontospezifische Parameter wie Nutzername und Geheimnis, wie unten gezeigt.


Beispiel-Parameter für die Heartbeat-Aktion von AnyIdentity
Beispiel-Parameter für die Heartbeat-Aktion von AnyIdentity


Heartbeat-Aktionen bestehen auch aus einem PowerShell-Skript, das eine Verbindung zum Identitätsanbieter herstellt und den Vergleich durchführt.


PowerShell-Skript für die Heartbeat-Aktion von AnyIdentity
PowerShell-Skript für die Heartbeat-Aktion von AnyIdentity


Bitte beachten Sie, dass diese beiden Bereiche nur gelten, wenn Sie Ihren AnyIdentity-Anbieter über eine Vorlage erstellen Wenn Sie eine vorgefertigte Vorlage verwenden, müssen Sie Werte für jeden obligatorischen Parameter angeben.

Ein einfaches Konzept, aber entscheidend für eine sichere Passwortrotation

Obwohl das Konzept einfach ist, spielt die Heartbeat-Aktion eine wichtige Rolle im Arbeitsablauf von AnyIdentity bei der Verwaltung privilegierter Zugriffe. Die regelmäßige Überprüfung der Passwortintegrität stellt sicher, dass Ihre PAM-Lösung mit Ihren Identitätsanbietern synchronisiert bleibt. Noch wichtiger ist, dass sie als entscheidende Sicherheitsmaßnahme dient, indem sie kontinuierlich über unbefugte Änderungen wacht und die Kontrolle des Systems über privilegierte Anmeldedaten aufrechterhält.

Wenn Sie Ihr Set-up von AnyIdentity implementieren oder verfeinern und Hilfe bei der Heartbeat-Aktion benötigen, sollten Sie sich unbedingt unsere Dokumentation zu Heartbeat-Aktions-Skripten ansehen, die Ihnen einige Ideen zur Implementierung Ihrer eigenen Heartbeat-Aktions-Skripte bietet.

Table of Contents
Related Posts

Read more Produkte posts