Portal
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
RDM
Workspace
Launcher
Hatten Sie schon einmal das Gefühl, mit Ihren privilegierten Konten ein nicht enden wollendes „Wo ist Walter?“-Spiel zu spielen? Da sind Sie nicht allein. Den Überblick über alle privilegierten Konten zu behalten, ähnelt oft dem Versuch, Katzen zu hüten - frustrierend und scheinbar unmöglich. Aber wie wäre es, wenn es eine Möglichkeit gäbe, diesen Prozess zu automatisieren und all diese schwer fassbaren Konten aus ihrem Versteck zu holen?
Willkommen bei der Kontoermittlungs-Funktion von AnyIdentity. Diese Aktion innerhalb der AnyIdentity-Anbieter ermöglicht es Ihnen, Ihre Identitätsanbieter mit einem Suchscheinwerfer zu durchleuchten und jeden Winkel zu erhellen, in dem privilegierte Konten lauern könnten.
AnyIdentity-Arbeitsablauf
AnyIdentity ermöglicht vier Aktionen, die einen umfassenden Arbeitsablauf für die Passwortverwaltung bilden:
- Kontoermittlung: Identifiziert und katalogisiert privilegierte Konten.
- Heartbeat: Überprüft, ob gespeicherte Passwörter mit den aktuellen übereinstimmen.
- Passwortrotation: Aktualisiert Passwörter bei Bedarf.
- Propagation: Aktualisiert die gespeicherten Anmeldeinformationen von externen Diensten und Hosts.
Die Kontoermittlung ist der entscheidende erste Schritt, der den Grundstein für eine effektive Verwaltung privilegierter Zugriffe legt.
Die versteckten Gefahren von unbekannten Konten
Stellen Sie sich vor, ein altes Administratorkonto, das vor Jahren für eine einmalige Aufgabe erstellt wurde, liegt vergessen in einer staubigen Ecke Ihres Netzwerks. Das ist eine tickende Zeitbombe mit potenziellen Sicherheitslücken. Diese Konten manuell aufzuspüren, ist nicht nur zeitaufwändig, sondern oft auch nicht machbar. An dieser Stelle kommt die Kontoermittlung von AnyIdentity ins Spiel, um die Situation zu retten - und damit möglicherweise die Sicherheitslage Ihres Unternehmens.
AnyIdentity wirft einen Röntgenblick auf Ihr Netzwerk
Die Kontoermittlungs-Funktion von AnyIdentity findet nicht nur Konten, sondern sammelt sie in der Infrastruktur von Devolutions PAM, um Ihnen zu helfen, privilegierte Konten zu überprüfen und zu verwalten. Lassen Sie uns in die technischen Aspekte eintauchen und schauen, wie das funktioniert.
Die Ermittlung in Aktion
Stellen Sie sich vor, Sie führen einen gezielten Scan durch und verfügen innerhalb von Minuten über ein Verzeichnis der privilegierten Konten: kein Rätselraten mehr und keine weiteren manuellen Prüfungen. Schauen Sie es sich im GIF weiter unten in Aktion an.
Das Herzstück des Prozesses der Kontoermittlung ist ein PowerShell-Aktion-Skript, das eine Verbindung zu Ihrem Identitätsanbieter herstellt und alle einem bestimmten Ort gefundenen Konten auflistet. Die Aufgabe des Aktion-Skripts besteht darin, eine vollständige Bestandsaufnahme alle privilegierten Konten auf Ihrem Identitätsanbieter zu erstellen.
Hier ist ein vereinfachtes Beispiel dafür, wie dieses Skript für einen SQL-Server-Anbieter aussehen könnte:
$connectionString = “Server=$Server\\$Instance,$Port;Database=master;”
if ($ProviderSqlLoginUserName) {
$connectionString += “User Id=$ProviderSqlLoginUserName;Password=$(ConvertFrom-SecureString $ProviderSqlLoginPassword -AsPlainText);”
} else {
$connectionString += "Integrated Security=True;"
}
$connection = New-Object System.Data.SqlClient.SqlConnection($connectionString)
$connection.Open()
$command = $connection.CreateCommand()
$command.CommandText = "SELECT name, password_hash FROM sys.sql_logins;"
$reader = $command.ExecuteReader()
$logins = @()
while ($reader.Read()) {
$logins += [PSCustomObject]@{
id = $reader['name']
username = $reader['name']
secret = $reader['password_hash']—join ''
}
}
$connection.Close()
$logins
Dieses Skript stellt eine Verbindung zu einer SQL Server-Instanz her und ruft alle SQL-Logins zusammen mit ihren Passwort-Hashes ab. Die Ausgabe ist so strukturiert, wie es AnyIdentity erwartet, mit ID, Nutzernamen und geheimen Eigenschaften für jedes Konto.
Konfigurieren der Ermittlungsaktion
In der AnyIdentity-Anbietervorlage definieren Sie die Parameter, die das Discovery-Skript benötigt.
Diese Parameter werden den Parametern des PowerShell-Aktion-Skripts zugeordnet und ermöglichen eine flexible Konfiguration des Ermittlungsprozesses.
Die Ermittlung in Aktion
Wenn Sie einen AnyIdentity-Anbieter aus einer Vorlage erstellen, ist der nächste Schritt, eine Scan-Konfiguration zu erstellen.
Wenn eine Scankonfiguration ausgeführt wird, ruft sie das Skript für die Kontoerkennung mit den angegebenen Parametern auf.
- Es verbindet sich mit dem Identitätsanbieter (in unserem Beispiel SQL Server).
- Es listet alle Konten und ihre zugehörigen Geheimnisse auf.
- Es gibt alle ermittelten Konten in einem standardisierten Format an das PAM-Modul zurück.
- Sobald die Konten beim PAM-Modul eingegangen sind, werden sie verarbeitet und für den Import in das PAM-Modul zur Verfügung gestellt.
Im Folgenden können Sie sich einen Überblick über den gesamten Prozess verschaffen.
Teamwork makes the dream work“ (Teamarbeit macht Träume wahr)
Die Kontoermittlung ist nur der Anfang. Sobald Konten entdeckt sind, geht der Arbeitsablauf von AnyIdentity weiter.
• Aktion Heartbeat: Überprüft regelmäßig, ob die gespeicherten Geheimnisse mit denen des Identitätsanbieters übereinstimmen. • Aktion Passwortrotation: Aktualisiert Passwörter bei auftretenden Unstimmigkeiten automatisch oder basierend auf einem von Ihnen definierten Zeitplan. • Password-Propagation: Falls konfiguriert, wird eine Verbindung zu Remote-Endpunkten hergestellt und die gespeicherten Anmeldeinformationen werden mit dem neu geänderten Passwort aktualisiert.
Dieser ganzheitliche Ansatz stellt sicher, dass Ihre privilegierten Konten erkannt, kontinuierlich überwacht und gesichert werden.
Nun sind Sie dran!
Sind Sie bereit, die versteckten Ecken Ihres Netzwerks zu beleuchten? Die Kontoermittlungs-Funktion von AnyIdentity ist Ihr erster Schritt zu vollständiger Transparenz und Kontrolle Ihrer privilegierten Konten.
Wenn Sie bereit sind, Konten bei Ihren Identitätsanbietern zu erkennen und mithilfe der PowerShell-Anpassung die Kontrolle zu übernehmen, fordern Sie ein Demo an, um AnyIdentity, ein Element des Devolutions PAM-Moduls kennenzulernen.
