Discovery: Konten, Endpunkte und Dienste in einer Domain erfassen

Vault

Discovery

BeyondTrust Vault ist ein geräteintegrierter Anmeldedaten-Speicher, der das Erkennen und den Zugriff auf privilegierte Anmeldedaten ermöglicht. Sie können privilegierte Anmeldedaten manuell hinzufügen oder das integrierte Discovery-Tool verwenden, um Active Directory- und lokale Konten in BeyondTrust Vault einzuscannen und zu importieren.

Weitere Informationen finden Sie in Technisches Whitepaper zu BeyondTrust Vault.

Discovery: Windows-Domäne

Mit dem BeyondTrust Vault-Add-on können Sie Active Directory-Konten, lokale Konten, Windows-Dienstkonten und Endpunkte erfassen. Jumpoints werden verwendet, um Endpunkte einzuscannen und die mit diesen Endpunkten assoziierten Konten zu erfassen.

Klicken Sie auf Neuer Discovery-Auftrag, um eine neue Discovery zu initiieren. Die Optionen sind:

  • Windows-Domäne: Ermitteln von Endpunkten, Domänenkonten und lokalen Konten, die über einen Jumpoint auf einer Windows-Domäne zugänglich sind.
  • Lokale Windows-Konten auf Jump-Clients: Ermitteln lokaler Windows-Konten auf Rechnern, auf denen derzeit ein aktiver Jump-Client im Servicemodus online ist.

Die Option Lokale Windows-Konten auf Jump-Clients wird nur angezeigt, wenn Sie über die Berechtigung Jump Clients verfügen, die sich unter Benutzer & Sicherheit > Benutzer > Zugriffsberechtigungen > Jump-Technologie befindet. Wenden Sie sich bei Problemen an Ihren Website-Administrator.

Klicken Sie auf Fortsetzen, um den Discovery-Prozess zu starten.

Wenn Sie Windows-Domäne ausgewählt haben, führen Sie die Schritte im Abschnitt Domäne hinzufügen aus. Wenn Sie Lokale Windows-Konten auf Jump-Clients ausgewählt haben, führen Sie die Schritte im Abschnitt Discovery: Jump-Client-Suchkriterien aus.

Weitere Informationen zu Jumpoints finden Sie im BeyondTrust Jumpoint-Handbuch für Privileged Remote Access.

Domäne hinzufügen

DNS-Name der Domäne

Geben Sie den DNS-Namen Ihrer Umgebung ein.

Jumpoint

Wählen Sie einen vorhandenen Jumpoint in der Umgebung, in der Sie Konten erfassen möchten.

Verwaltungskonto

Wählen Sie das für den Start des Discovery-Auftrags erforderliche Verwaltungskonto aus. Wählen Sie die Verwendung eines neuen Kontos aus. Dafür müssen Benutzername, Passwort und Passwortbestätigung eingegeben werden. Sie können auch ein vorhandenes Konto verwenden, das in einem vorangehenden Auftrag erfasst oder im Abschnitt Konten manuell hinzugefügt worden ist.

Benutzername

Geben Sie einen gültigen Benutzernamen ein, der für die Discovery verwendet werden soll (nutzername@domäne).

Passwort

Geben Sie ein gültiges Passwort ein, das für die Discovery verwendet werden soll.

Passwort bestätigen

Geben Sie das Passwort zur Bestätigung erneut ein.

Sie können definieren, welche Teile einer Domäne einen Discovery-/Import-Auftrag ausführen sollen. Sobald Sie die erforderlichen Felder für einen Discovery-Auftrag ausgewählt haben, können Sie die Suche verfeinern, indem Sie angeben, auf welche OUs die Suche abzielen soll, oder indem Sie LDAP-Abfragen eingeben.

Discovery-Bereich

Wählen Sie die Objekte aus, die Vault erkennen soll:

  • Domänenkonten
  • Endpunkte
  • Lokale Konten
  • Dienste

Sie können einen Suchpfad eingeben oder ihn leer lassen, um alle OEs und Container zu durchsuchen. Sie können auch eine LDAP-Abfrage verwenden, um den Umfang der gesuchten Benutzerkonten und Endpunkte einzuschränken.

Discovery: Jump-Client-Suchkriterien

Geben Sie ein oder mehrere Suchkriterien ein, um aktive Jump-Clients zu finden, die Sie zur Ermittlung lokaler Windows-Kontenverwenden möchten. Alle Textfeldsuchen sind partiell und unterscheiden nicht zwischen Groß- und Kleinschreibung. Jump-Clients, die allen Suchkriterien entsprechen, werden auf der nächsten Seite zur Auswahl vor Beginn der Discovery angezeigt.

Die folgenden Arten von Jump-Clients können nicht für die lokale Konto-Discovery verwendet werden und werden nicht in den Suchergebnissen angezeigt:
  • Jump-Clients, die derzeit offline oder deaktiviert sind
  • Jump-Clients, die nicht als ein erweiterter Dienst laufen
  • Jump-Clients, die in einem Domänen-Controller installiert sind
  • Passive Jump-Clients

Jump-Gruppen

Administratoren können über ihre Jump-Gruppen und deren Attribute nach Jump-Clients suchen. Wenn der Benutzer kein Mitglied einer Jump-Gruppe ist, ist der Auswahlabschnitt Jump-Gruppen ausgegraut und es wird entweder ein Tooltip oder ein Hinweis eingeblendet, der darauf hinweist, dass der Benutzer Mitglied in mindestens einer Jump-Gruppe sein muss, um mit dem Jump-Client Discovery-Prozess fortzufahren. Dies ist vergleichbar mit der Domänen-Discovery, wenn ein Benutzer während der Discovery kein Mitglied eines Jumpoint oder beim Importieren eines Endpunkts kein Mitglied einer Jump-Gruppe ist.

Sie können Alle von Ihnen freigegebenen Jump-Gruppen oder Bestimmte Jump-Gruppen durchsuchen.

Jump-Client-Attribute

Sie können eine oder mehrere freigegebene Jump-Gruppen auswählen. Private Jump-Gruppen werden nicht unterstützt.

Es können ein oder mehrere Jump-Client-Attribute eingegeben werden. Wenn mehr als ein Suchkriterium eingegeben wird, werden nur Jump-Clients, die alle Kriterien erfüllen, für die Discovery verwendet.

Die folgenden Attribute können als Suchkriterien verwendet werden:

  • Name: Der Name des Jump-Clients, wie er in der Spalte Name in der zugriffskonsole erscheint.
  • Hostname: Der Hostname des Jump-Clients, wie er in der Spalte Hostname/IP der zugriffskonsole erscheint.
  • FQDN: Der vollqualifizierte Domänenname des Jump-Clients, wie er unter dem FQDN-Label des Detailbereichs Jump-Client in der zugriffskonsole angegeben ist.
  • Tag: Das Tag des Jump-Clients, wie es in der Spalte Tag der Konsole des Support-Technikers erscheint.
  • Öffentliche/Private IP: Die öffentlichen und privaten IP-Adressen des Jump-Clients, wie sie unter dem Label Öffentliche IP des Detailbereichs Jump-Client in der zugriffskonsole angegeben sind. Jump-Clients, deren IP-Adresse mit dem angegebenen Suchwert beginnt, werden gefunden.

Klicken Sie auf Fortsetzen, um den Discovery-Prozess zu initiieren.

Discovery: Jump-Clients wählen

In diesem Bildschirm werden die Jump-Clients angezeigt, die bei der Discovery verwendet werden sollen. Wählen Sie einen oder mehrere aus und klicken Sie auf Discovery starten.

Discovery-Ergebnisse

Die Ergebnisse zeigen eine Liste der ermittelten Endpunkte und lokalen Konten an. Wählen Sie einen oder mehrere aus und klicken Sie auf Auswahl importieren.

Gefundene Elemente importieren

Eine Liste der von Ihnen getroffenen Auswahlen wird angezeigt.

Kontogruppe

Wählen Sie aus, aus welcher Kontengruppe Sie importieren möchten, und klicken Sie dann auf Import starten. Es wird eine Warnung angezeigt, die darauf hinweist, dass dieser Prozess nicht gestoppt werden kann, wenn er einmal gestartet ist. Klicken Sie auf Ja, um fortzufahren, oder auf Nein, um abzubrechen.

Importieren

Eine Meldung zeigt an, dass der Import erfolgreich abgeschlossen wurde. Eine Liste der Endpunkte und lokalen Konten wird angezeigt.

Konten

Nach Freigegebenen/Persönlichen Konten suchen

Wenn Sie eine umfangreiche Liste ermittelter Konten erhalten, verwenden Sie das Feld Suchen, um Konten nach Name, Endpunkt oder Beschreibung zu suchen (nach Name und Beschreibung nur für persönliche Konten).

Schalten Sie zwischen freigegebenen und persönlichen Konten um. Wählen Sie ein oder mehrere Konten. Klicken Sie auf ..., um das Passwort zu rotieren, das Konto zu bearbeiten oder zu löschen. Sie können auch oben auf der Seite auf Rotieren klicken, um das Passwort für die ausgewählten Konten zu rotieren.

Discovery-Aufträge

Zeigen Sie Discovery-Aufträge an, die derzeit für eine spezifische Domäne ausgeführt werden, oder prüfen Sie die Ergebnisse erfolgreicher oder fehlgeschlagener Discovery-Aufträge.

Ergebnisse anzeigen

Klicken Sie bei einem Discovery-Auftrag auf Ergebnisse anzeigen, um die Discovery-Ergebnisse anzuzeigen. Dazu gehören erfasste Endpunkte, erfasste lokale Konten, erfasste Domänen-Konten sowie Services, die in der Domäne gefunden werden.

Anhand des Filterfelds über dem Raster können Sie die Liste der Elemente nach Attributen filtern. Klicken Sie in jedem Reiter auf das i neben dem Filterfeld, um anzuzeigen, nach welchen Attributen gesucht werden kann.

Sie können festlegen, welche Endpunkte, Konten und Services in Ihre BeyondTrust Vault-Instanz importiert und gespeichert werden sollen. Markieren Sie für jedes Listenelement, das Sie importieren möchten, das danebenstehende Kontrollkästchen und klicken Sie auf Ausgewählte importieren.

Weitere Informationen finden Sie in Domänen, Endpunkte und privilegierten Konten mit BeyondTrust Vault erfassen.