Sichere Windows Computer Discovery ohne lokale Adminrechte – mit gruppenverwalteten Dienstkonten (gMSAs)

Da Unternehmen der Cybersicherheit weiterhin Priorität einräumen, bleibt die Minimierung von Sicherheitsrisiken bei gleichzeitiger Aufrechterhaltung der betrieblichen Effizienz eine entscheidende Herausforderung. Zwei Ansätze, die wesentlich zur sicheren Verwaltung der IT-Infrastruktur beitragen, sind die Verwendung von nicht-administrativen Konten für Windows und die Einführung von Group Managed Service Accounts (gMSAs) zur Optimierung der Authentifizierung und Zugriffskontrolle. Durch die Integration dieser Methoden können IT-Administratoren die Sicherheitslage verbessern und gleichzeitig eine nahtlose Discovery und Verwaltung gewährleisten. Wie funktioniert also die Verbesserung der Windows Sicherheit und Computer Discovery ohne Adminrechte und gMSAs?

Windows Computer Discovery mit Konten ohne lokale Adminrechte

In der Vergangenheit haben sich IT-Administratoren auf hoch privilegierte Konten verlassen, um Windows Computer in einer Unternehmensumgebung zu discovern und zu verwalten. Dieser Ansatz birgt jedoch ein erhebliches Sicherheitsrisiko: Kompromittierte administrative Anmeldeinformationen können zu unbefugtem Zugriff, Datenverletzungen und Systemunterbrechungen führen.

Durch die Nutzung von nicht administrativen Konten für die Windows Computer Discovery können Unternehmen die Angriffsfläche reduzieren und das Potenzial für die Ausweitung von Berechtigungen einschränken. Die wichtigsten Vorteile sind:

• Geringere Sicherheitsrisiken: Da nicht administrative Konten nur minimale Berechtigungen haben, stellen sie im Falle einer Kompromittierung ein geringeres Risiko dar.
• Durchsetzung des Prinzips des geringsten Privilegs (PoLP): Durch die Sicherstellung, dass Konten nur über die für die Discovery erforderlichen Berechtigungen verfügen, werden übermäßige Zugriffsrechte verhindert.
• Verbesserte Compliance: Die Verwendung von Konten mit den geringsten Rechten steht im Einklang mit bewährten Sicherheitspraktiken und gesetzlichen Anforderungen.
• Minimale Auswirkungen auf die Systemleistung: Im Gegensatz zu administrativen Scans, die Sicherheitswarnungen auslösen können, können nicht-administrative Konten ohne übermäßigen Ressourcenverbrauch arbeiten.

Sicherheit erhöhen mit Group Managed Service Accounts

Eine wichtige Sicherheitsverbesserung ist die Verwendung von Group Managed Service Accounts (gMSAs) zur sicheren Handhabung der Authentifizierung über mehrere Server und Dienste hinweg. gMSAs bieten einen automatisierten Mechanismus für die Verwaltung von Passwörtern für Dienstkonten, der den Verwaltungsaufwand reduziert und gleichzeitig die Sicherheit erhöht.

Vorteile von gMSAs:

• Automatisierte Passwortverwaltung: Im Gegensatz zu herkömmlichen Dienstkonten aktualisieren gMSAs ihre Passwörter automatisch, so dass ein manuelles Eingreifen nicht erforderlich ist.
• Verbesserte Sicherheit und Compliance: Da gMSAs statische Passwörter überflüssig machen, verringern sie das Risiko der Kompromittierung von Zugangsdaten.
• Vereinfachte Verwaltung: IT-Teams müssen Passwörter nicht mehr manuell ändern oder sich Sorgen über Serviceunterbrechungen aufgrund abgelaufener Anmeldedaten machen.
• Unterstützung starker Kerberos-Authentifizierung: gMSAs lassen sich nahtlos in Active Directory integrieren und bieten robuste Authentifizierungsmechanismen.

Um gMSAs effektiv zu implementieren, folgen Sie den Richtlinien dieses Blogartikels Sicherheit erhöhen mit Group Managed Service Accounts. Da Sie nun wissen, was gMSAs sind und wie sie eingerichtet werden, werden wir mit ihrer Verwendung fortfahren, um den Zugriff von Konten ohne lokale Adminrechte für die Discovery von Windows Computern zu konfigurieren.

Umsetzung von Windows Computer Discovery ohne lokale Adminrechte

Um die Discovery von Windows Computern ohne lokale Administratorrechte zu ermöglichen, folgen Sie bitte der Methode, die in diesen Blogbeiträgen beschrieben wird: Windows Geräte ohne Administrative Rechte inventarisieren und Vollständige Windows-Details ohne Admin-Konten.

Aus der Sicht eines Windows Computer

Schauen wir uns den Computer „WIN-E91R8M04NVC.JDISC-INTERNAL.LOCAL“ genauer an, auf dem der JDisc Discovery Zero-Footprint Agent installiert wurde. Der Agent erscheint in der Liste der Dienste, wobei das Feld Anmelden als auf das gMSA-Konto „JDISC-INTERNAL\MSA-DISCOVER$“ eingestellt ist.

Wenn Sie den Task-Manager aufrufen, erscheint der Prozess des JDisc Discovery Zero-Footprint Agent als unter demselben Benutzerkonto laufend: „JDISC-INTERNAL\MSA-DISCOVER$“. Zusätzlich zeigt die Spalte Befehlszeile im Task-Manager, welche Benutzer oder Benutzergruppen für die Erhöhung der Berechtigungen konfiguriert wurden. Diese entsprechen den Benutzern und Gruppen, die während der Installation des JDisc Discovery Zero-Footprint Agent auf dem Rechner angegeben wurden:

Aus der Sicht des Discovery Server

Als nächstes wechseln wir zu dem Discovery-Server, auf dem JDisc Discovery läuft. Starten Sie auf dem Discovery Server den JDisc Discovery Client, öffnen Sie den Bericht „All Devices“ und suchen Sie den Computer „WIN-E91R8M04NVC.JDISC-INTERNAL.LOCAL“, auf dem der JDisc Discovery Zero-Footprint Agent installiert wurde. Konfigurieren Sie nun das Benutzer Konto „JDISC-INTERNAL\KANNNIX“ als Zugangsberechtigung für den oben genannten Computer.

Klicken Sie mit der rechten Maustaste auf das ausgewählte Element, navigieren Sie zu Manage > Change Accounts ändern und geben Sie das Benutzerkonto „JDISC-INTERNAL\KANNNIX.“ ein:

Sie können nun fortfahren und die Discovery starten. Sobald der Scan abgeschlossen ist, öffnen Sie den Device Details Bericht und navigieren dort zum Analyse > Protocols Tab. Anders als bei der Verwendung von privilegierten Zugangsdaten wird der Status des Remote Login Protokolls auch als erfolgreich markiert, was auf eine Erhöhung der Berechtigung des konfiguierten Benutzers durch den JDisc Discovery Zero-Footprint Agent hinweist.

Integration der Discovery mit Konten ohne lokale Adminrechte und gMSAs für mehr Sicherheit

Durch die Verwendung von nicht-administrativen Konten in Kombination mit einer gMSA-basierten Authentifizierung für die Netzwerk Discovery können Unternehmen folgendes erreichen:

• Eine sicherere IT-Umgebung: Die geringere Abhängigkeit von administrativen Anmeldeinformationen minimiert die Gefährdung durch Cyber-Bedrohungen.
• Nahtlose Netzwerk Discovery: Konten ohne Adminrechte können Computer Details auslesen ohne administrative Anmeldeinformationen.
• Verbessertes Authentifizierungs- und Servicemanagement: gMSAs stellen sicher, dass automatisierte Dienste sicher und effizient funktionieren.

Fazit

In einer Zeit zunehmender Cyber-Bedrohungen müssen Unternehmen proaktive Sicherheitsmaßnahmen ergreifen. Die Implementierung von Konten ohne Adminrechte für die Discovery von Windows Computern und von gMSAs für die sichere Authentifizierung trägt dazu bei, Risiken zu mindern, den manuellen Aufwand zu reduzieren und die Compliance zu gewährleisten. Durch die strategische Integration dieser Praktiken können IT-Teams ein Gleichgewicht zwischen Sicherheit und betrieblicher Effizienz erreichen und so ihre Netzwerkinfrastruktur vor potenziellen Schwachstellen schützen.