Portal
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
RDM
Workspace
Launcher
Potenziellen Sicherheitsbedrohungen immer einen Schritt voraus zu sein, ist entscheidend. Der Arbeitsablauf von AnyIdentity, der auf drei Schlüsselaktionen aufbaut - Kontoermittlung, Heartbeat und Passwortrotation - bildet eine solide Verteidigung gegen unbefugten Zugriff. Heute werfen wir einen genaueren Blick auf den letzten und wirklich kritischsten Schritt: die Passwortrotation.
Die Krönung des Arbeitsablaufs von AnyIdentity
Bevor wir in die Feinheiten der Passwortrotation eintauchen, lassen Sie uns den vierstufigen Arbeitsablauf von AnyIdentity rekapitulieren:
- Kontoermittlung: Identifiziert und katalogisiert privilegierte Konten.
- Heartbeat: Überprüft, ob gespeicherte Passwörter mit den aktuellen übereinstimmen.
- Passwortrotation: Aktualisiert Passwörter bei Bedarf.
- Password-Propagation: Synchronisiert das neue Passwort mit allen verbundenen Systemen
Die Passwortrotation ist das große Finale, die Aktion, die Ihre privilegierten Konten durch regelmäßiges Ändern ihrer Anmeldedaten endgültig sichert.
Was macht die Passwortrotation-Aktion?
Im Kern hat die Aktion der Passwortrotation ein primäres Ziel: das Passwort eines privilegierten Kontos zu ändern. Ihre Ausführung umfasst jedoch mehrere entscheidende Schritte:
- Die Erstellung eines neuen, sicheren Passworts.
- Aufruf des Aktions-Skripts zur Passwortrotation, um das Passwort auf dem Identitäts-Provider zu aktualisieren.
- Speichern des neuen Passworts in PAM.
Wie alle AnyIdentity-Aktionen ist auch das Aktions-Skript für die Passwortrotation in PowerShell geschrieben, sodass Sie die volle Kontrolle haben, um es nach Bedarf anzupassen und zu aktualisieren.
Die Passwortrotation in Aktion
Schauen wir uns ein typisches Szenario an, um zu sehen, wie die Passwortrotation in der Praxis funktioniert. Sobald ein privilegiertes Konto als von Devolutions PAM verwaltet definiert wurde und eine manuelle Anforderung zum Zurücksetzen des Passworts, eine geplante Rotation oder ein Check-in des Kontos erfolgt, geschieht Folgendes:
- Ein neues Passwort wird auf der Grundlage der Passwortrichtlinie Ihres Unternehmens erstellt.
- Die Aktion aktualisiert das Passwort auf dem Identitäts-Provider (z. B. Active Directory).
- Das neue Passwort wird sicher in PAM gespeichert.
Hier ist eine vereinfachte Version, wie ein Skript zur Passwortrotation für ein Azure Key Vault-Geheimnis aussehen könnte:
$Vault = Get-AzKeyVault -VaultName $KeyVaultName -ErrorAction Stop
$Secret = Get-AzKeyVaultSecret -VaultName $KeyVaultName -Name $Name -ErrorAction Stop
Set-AzKeyVaultSecret -VaultName $Vault.VaultName -Name $Secret.Name -SecretValue $NewPassword -ErrorAction Stop
Konfigurieren der Parameter für die Passwortrotation und das Aktions-Skript
Wenn Sie Ihre AnyIdentity-Vorlage erstellen, finden Sie die Skriptparameter unter Aktionen —> Passwortrotation.
In den Skriptparametern definieren Sie alle anpassbaren Parameter, die Sie an das Skript für die Passwortrotation übertragen möchten.
Sobald die Skriptparameter definiert sind, können Sie das Aktions-Skript für die Passwortrotation hinzufügen.
Die eigentliche Passwortrotation ist in einem PowerShell-Skript implementiert, das Sie an Ihre Bedürfnisse anpassen können.
Hinweis: Wenn Sie eine vorgefertigte Vorlage aus dem PAM-Provider-Archiv verwenden, müssen Sie lediglich die Werte für die obligatorischen Skriptparameter angeben.
Intervalle zur Passwortrotation konfigurieren
Nachdem Sie die obige AnyIdentity-Provider-Vorlage und daraus einen AnyIdentity-Provider erstellt haben, verknüpfen Sie diesen Provider mit einem PAM-Tresor. Der Tresor ermöglicht es Ihnen, festzulegen, welche Nutzer von Ihren Providern bearbeitet werden sollen. Über den Tresor können Sie auch den Zeitplan für die Passwortrotation festlegen.
Im Zeitplan für die Passwortrotation können Sie festlegen, wie oft AnyIdentity das Passwort ändert.
Passwörter beim Check-in ändern
Wenn Sie Devolutions Hub mit dem PAM-Modul verwenden, haben Sie noch mehr Kontrolle und können die Passwörter beim Check-in nach einem Zeitplan oder manuell ändern.
Devolutions Hub ist die richtige Lösung für Sie, wenn Sie mehr Kontrolle darüber haben möchten, wann die Passwörter Ihrer Nutzer geändert werden.
Die Auswirkungen einer effektiven Passwortrotation
Die regelmäßige Rotation von Passwörtern verbessert Ihre Sicherheitslage erheblich, indem sie:
- das Zeitfenster für potenzielle Angreifer eingrenzt.
- das Risiko kompromittierter Anmeldedaten mindert.
- die Regelkonformität mit den Sicherheitsrichtlinien gewährleistet.
Durch den Einsatz von AnyIdentitys Möglichkeiten zur Passwortrotation ändern Sie nicht einfach nur Passwörter, sondern Sie verstärken aktiv die Verteidigung Ihres Unternehmens gegen unbefugten Zugriff.
Passwortrotation: Vervollständigung des Sicherheitszyklus
AnyIdentitys dreiteiliger Ansatz zur Verwaltung privilegierter Zugriffe - Kontoermittlung, Heartbeat und Passwortrotation - bildet eine umfassende Sicherheitsstrategie. Während die Kontoermittlung versteckte privilegierte Konten aufdeckt und Heartbeat die Integrität von Passwörtern sicherstellt, ist die Passwortrotation die letzte Festung, die automatisch die Anmeldedaten aktualisiert, um die Sicherheit zu gewährleisten. Diese Komponenten bilden ein System, das sich kontinuierlich anpasst, um die sensibelsten Zugangspunkte Ihres Unternehmens zu schützen.
Wenn Sie Ihr AnyIdentity-Set-up implementieren oder verfeinern, überlegen Sie, wie Sie die Aktion der Passwortrotation optimieren können, um die Sicherheitsbedürfnisse Ihres Unternehmens bestmöglich zu erfüllen, oder erstellen Sie Ihren eigenen AnyIdentity-Provider mit Aktions-Skripten, um die Rotation von Passwörtern auf jedem Identity-Provider zu starten!
