WS IT-Solutions

Privileged ADUser Analyse

In vielen ActiveDirectory-Domains gibt es etliche Benutzerkonten, die hochprivilegiert sind. Nicht wenige davon können durch verschiedene Faktoren ein Risiko darstellen. Der Klassiker sind dabei Benutzer, die mit nicht ablaufenden Kennwörtern als ServiceAccount eingesetzt werden. Und wie oft habe ich diese Konten schon als Mitglied der Domain-Admin-Gruppe gesehen… 🙁 Wenn die Gefährdung von den Administratoren verstanden wurde kommen meist diese Fragen auf: Welche Konten sind denn

AD SecurityScopes – Sicherheitsebenen

Active Directory ist ein Vertrauensverbund von Computern und Benutzern. Mit einer einzigen Anmeldung gegen einen DomainController kann ein Benutzer auf Ressourcen der Struktur zugreifen – eine Berechtigung vorausgesetzt. Dieses Schema bietet sehr viele Vorteile: von SingleSignOn über zentrale Verwaltung bis zur einfachen Implementierung und Bereitstellung von Standardservices. Doch auch für einen Angriff gegen die Infrastruktur ist der Standard sehr nützlich: wird eine Identität (ein Benutzer

Privileged Access Management mit Just Enough Administration

Moin aus Niederbayern! Ich möchte euch heute meine aktuelle Lösung zur Berechtigung von Adminkonten vorstellen: meine Scriptreihe PAM-AdminGUI. Mit diesen Scripten bekommt ihr eine grafische Steuerung für temporäre Gruppenmitgliedschaften. und alles wird mit Boardmitteln bereitgestellt. Neugierig geworden? Dann lasst uns loslegen… Die aktuelle Situation in vielen Infrastrukturen Privilegierte Benutzer 24/7? In den vergangenen Jahren entwickelte sich ein Standard, der IT-Infrastrukturen schützen soll: administrative Benutzer verwenden

Group Managed Service Accounts mit einer GUI steuern: gMSA-Admin

Wer Sicherheit in seine Windows Server Automation bringen möchte, der kommt nicht um die gMSA (Group Managed Service Accounts) herum. Deren Idee ist simple und genial: dieser spezielle benutzerähnliche Objekttyp bekommt regelmäßig über einen DC ein  neues Kennwort. Und dieses Kennwort wird auf sicherem Wege auf die Server übertragen, die den gMSA verwenden sollen. Dort kann er als Scheduled Task User oder als Service-Account verwendet