Windows Geräte ohne Administrative Rechte inventarisieren
Lieber JDisc-Benutzer,
wurden Sie bereits von Ihrer IT-Sicherheitsabteilung aufgefordert, keine lokalen oder Domänenbenutzer mit Administratorrechten auf Windows-Computern für die Netzwerkerkennung zu verwenden?
Leider bietet Windows keine Linux-ähnlichen Methoden zur Erhöhung der Privilegien wie SU oder SUDO. Natürlich möchten die Sicherheitsverantwortlichen, dass Sie das Prinzip der geringsten Rechte (PoLP) überall anwenden – auch bei der Netzwerkerkennung.
Die Erkennung von Windows-Computern mit nicht-administrativen Konten erfordert eine Menge Konfigurationsarbeit, einschließlich der Änderung von DCOM- und WMI-Sicherheitseinstellungen, der Zuweisung von Benutzergruppen, Firewall-Regeln, um eingehenden Datenverkehr über ephemere Ports für WMI zuzulassen, und so weiter. Wenn Sie dies schon einmal versucht haben, wissen Sie wahrscheinlich, dass es sehr zeitaufwändig und fehleranfällig ist.
Deshalb haben wir bei JDisc eine Lösung implementiert, die das Problem der Erkennung von Windows-Computern mit nicht-administrativen Benutzern (lokal oder Domäne) für Sie vereinfacht.
Beginnend mit Build 5132 können Sie unseren JDisc Discovery Zero-Footprint Agent auf Windows Computern mit Ihrer eigenen Softwareverteilung oder einfach manuell installieren und konfigurieren. Über die Kommandozeile können Sie die Benutzer oder Benutzergruppen angeben, die Windows-Computer mit erhöhten Rechten entdecken dürfen.
Installation und Konfiguration des JDisc Discovery Zero-Footprint Agent (mit erhöhter Berechtigung für den lokalen Benutzer „KannNix“ und die lokale Benutzergruppe „Power Users“)
Für eine detailliertere Beschreibung lesen Sie bitte das Kapitel 3.2.1.3 Permanente Installation / Deinstallation in unserem Security Whitepaper.
Bitte stellen Sie sicher, dass das SMB-Protokoll aktiviert und der Port TCP/445 für den eingehenden Netzwerkverkehr geöffnet ist. Dies ist nicht neu und war schon immer erforderlich, um mit dem JDisc Discovery Zero-Footprint Agent zu kommunizieren (Windows Remote Login).
Zu guter Letzt sollten Sie nicht vergessen, nicht-administrative Benutzerkonten für Ihre Windows Computer in der JDisc Discovery Benutzeroberfläche hinzuzufügen/zu konfigurieren.
Cheers, Thomas