Jump to content

User für Inventarisierung

Slim2033

Von Slim2033
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

die Frage ist, wie ein hochprivilegierter Dienst abgesichert ist und wie die Handhabung im Alltag läuft. Wenn die Anforderungen es hergeben, kann man auch bei solchen Aufgaben mit hohen Privilegien arbeiten, solange das Konstrukt ausreichend sicher ist. (Ein Dienst als "System" hat höchste Rechte, ist aber prinzipiell weniger leicht angreifbar als ein Dienst mit einem AD-Konto, das lokaler Admin ist - es sei denn, der Dienst ist schlecht implementiert, der Installationsprozess ist schlecht oder was auch immer.)

 

Und damit sind wir bei den Anforderungen. Wir diskutieren hier ein Detail am falschen Ende des Auswahlprozesses. Legt fest, was ihr wirklich funktional braucht. Dann könnt ihr prüfen, welche Rechte eine Software dafür braucht. Danach lässt sich schauen, welche Software das wie gut macht. Nicht umgekehrt.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Lian Grand Master

Lian   2.421

Geschrieben
Geschrieben

Falls Ihr Euch entscheidet ein Domänenkonto zu verwenden, dann fragt den/die Hersteller vorher ab, ob das Werkzeug mit Managed Service Accounts (gMSA) umgehen kann. Hier kann man durchaus Hersteller in die Pflicht nehmen und ich habe damit gute Erfahrungen gemacht.

Falls Ihr eine eigene Lösung scriptet, dann berücksichtigt gMSA

https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Den Weg Konten über gMSA abzusichern gibt es schon seit Jahren (ca. 2012).

Zitat

A standalone Managed Service Account (sMSA) is a managed domain account that provides automatic password management, simplified service principal name (SPN) management and the ability to delegate the management to other administrators. This type of managed service account (MSA) was introduced in Windows Server 2008 R2 and Windows 7.

The group Managed Service Account (gMSA) provides the same functionality within the domain but also extends that functionality over multiple servers.

Das hilft dabei ein Domänenkonto, das bei einem Dienst hinterlegt ist, weiter abzusichern.

 

 

Link zu diesem Kommentar
Slim2033 Explorer

Slim2033   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 16 Stunden schrieb Sunny61:

Welche Anforderungen hast Du denn an die Software? Was soll sie alles in welcher Taktung auslesen?

Meine Anforderungen wären:

- keine Domänadmin-Rechte nötig

- besser noch auch keine lokalen Adminrechte

- Inventarisierung von Linux (Ubuntu/Debian) und Windows 10 Clients (ca. 50-60 Stück)

- Erfassung von Hardware/Software (Arbeitsspeicher, CPU, Grafikkarte, Betriebssystemversion, SSD o. HDD) der Clients

- Lizenzmanagment oder alternativ zumindest die Möglichkeit einen Office Key zum jeweiligen Client (als Notiz o.ä.) zu hinterlegen

- wöchentlicher Scan

- wenn möglich ohne zusätzlichen Agenten auf den Clients

 

Ich sehe schon das Thema geht allgemein etwas tiefer in Detail. Ich werde mich weiter dazu belesen.

 

bearbeitet von Slim2033
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

ohne dich nerven zu wollen: Ich glaube nicht, dass du damit die Anforderungen sinnvoll und umfassend beschrieben hast. Deine Antwort ist typisch für einen Admin, der eine lästige Aufgabe vom Tisch haben will, sich aber mit den organisatorischen Hintergründen nicht befasst.

 

Du führst nahezu nichts auf, was die Inventarisierung selbst betrifft. Wozu soll sie überhaupt dienen? Wer braucht die Ergebnisse wozu? Was ist der Business Need dahinter?

Dann die nächste Ebene, immer noch funktional: Welche Eigenschaften folgen daraus, die der Inventarisierungsprozess haben muss? Welche Eigenschaften davon kann/soll eine Software umsetzen, welche müssen organisatorisch erfolgen? Was folgt daraus für die funktionalen Details, die eine Software haben muss (z.B. bestimmte Exportformate, Abstraktionen, Verarbeitungen ...)?

 

Die ganzen technischen Details, die du aufführst, kommen erst weit danach.

 

Um es an Beispielen festzumachen: "Erfassung von Hardware/Software" ist ein weites Feld. "Lizenzmanagement" ist noch ein weiteres Feld. Ich kann dir Batch-Dreizeiler bauen, die sowas dem Begriff nach machen - aber ob die wirklich leisten, was euer Unternehmen braucht?

 

Gruß, Nils

 

Link zu diesem Kommentar
Slim2033 Explorer

Slim2033   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor einer Stunde schrieb NilsK:

Moin,

 

ohne dich nerven zu wollen: Ich glaube nicht, dass du damit die Anforderungen sinnvoll und umfassend beschrieben hast. Deine Antwort ist typisch für einen Admin, der eine lästige Aufgabe vom Tisch haben will, sich aber mit den organisatorischen Hintergründen nicht befasst.

 

Du führst nahezu nichts auf, was die Inventarisierung selbst betrifft. Wozu soll sie überhaupt dienen? Wer braucht die Ergebnisse wozu? Was ist der Business Need dahinter?

Dann die nächste Ebene, immer noch funktional: Welche Eigenschaften folgen daraus, die der Inventarisierungsprozess haben muss? Welche Eigenschaften davon kann/soll eine Software umsetzen, welche müssen organisatorisch erfolgen? Was folgt daraus für die funktionalen Details, die eine Software haben muss (z.B. bestimmte Exportformate, Abstraktionen, Verarbeitungen ...)?

 

Die ganzen technischen Details, die du aufführst, kommen erst weit danach.

 

Um es an Beispielen festzumachen: "Erfassung von Hardware/Software" ist ein weites Feld. "Lizenzmanagement" ist noch ein weiteres Feld. Ich kann dir Batch-Dreizeiler bauen, die sowas dem Begriff nach machen - aber ob die wirklich leisten, was euer Unternehmen braucht?

 

Gruß, Nils

 

Ich verfolge einfach einen anderen Ansatz. Was wir ungefähr wollen habe ich ja im Eingangspost kurz angerissen (Excelliste ersetzen) bzw. was erfasst werden soll auch. Der springende Punkt, warum die Anforderungen auch nicht so umfassend sind, ist einfach der Grund dieses Themas - die Umsetzung mit den Rechten. Anstatt zu schauen welche Software das abdeckt, was wir umsetzen wollen, schaue ich erstmal welche Software Inventarisierung (als globalen Begriff) so umsetzt wie ich es mir vorstelle (ohne Agenten, ohne Adminrechte).

 

Die Inventarisierung hat folgenden Zweck. Wie im Eingangspost beschrieben läuft die Erfassung der PCs in der Firma über Excellisten. Diese manuell per Hand zu pflegen ist sehr aufwendig und (meiner Meinung nach) nicht zeitgemäß. Zu dem natürlich auch sehr fehleranfällig. In der Excelliste steht eigentlich soweit alles, was ich auch in der Beschreibung erwähnt habe (Hardware, Software, Betriebssystemversion).

Ich möchte einfach (aktuelle - ohne remote oder an den Arbeitsplatz gehen zu müssen) Informationen über einen PC abrufen können. Ich möchte mir anzeigen lassen welche Windows 10 Version auf welchem Client installiert ist und welchen dazugehörigen Office Key (weiteres "Lizenzmanagment" ist nicht nötig) er verwendet, ob er noch eine HDD oder schon eine SSD in seinem PC hat. Mehr eigentlich nicht. Die Ergebnisse brauche in erster Linie ich selbst um einen aktuellen Überblick über die Clients zu haben. Exportformate, Abstraktionen und Verarbeitungen sind nicht nötig, daher eher eine "Basic"-Variante der Inventarisierung.

 

Ich hoffe du weißt nun in welche Richtung unsere Inventarisierung (wenn es denn überhaupt eine richtige Inventarisierung ist ;) ) gehen soll. Tut mir Leid, wenn ich das nicht ausreichend beschrieben habe.

 

bearbeitet von Slim2033
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
Am 30.8.2019 um 10:13 schrieb Slim2033:

Ich möchte einfach (aktuelle - ohne remote oder an den Arbeitsplatz gehen zu müssen) Informationen über einen PC abrufen können. Ich möchte mir anzeigen lassen welche Windows 10 Version auf welchem Client installiert ist und welchen dazugehörigen Office Key (weiteres "Lizenzmanagment" ist nicht nötig) er verwendet, ob er noch eine HDD oder schon eine SSD in seinem PC hat. Mehr eigentlich nicht.

Das kann man mit WMI erledigen. Ein Script per GPO auf den Clients als geplante Aufgabe ausführen lassen. Wohin sollen die Infos fliessen? In eine SQL DB wäre eine Möglichkeit.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...