Vault für Privileged Remote Access

Discovery: Erfassen von Domänen, Konten und Endpunkten

Bildschirmaufnahme der BeyondTrust PRA /login-Kopfzeile, in der Vault > Discovery hervorgehoben ist

BeyondTrust Vault ist ein geräteintegrierter Anmeldedaten-Speicher, der das Erkennen und den Zugriff auf privilegierte Anmeldedaten ermöglicht. Sie können privilegierte Anmeldedaten manuell hinzufügen oder das integrierte Discovery-Tool verwenden, um Active Directory- und lokale Konten in BeyondTrust Vault einzuscannen und zu importieren.

Weitere Informationen finden Sie unter Technisches Whitepaper zu BeyondTrust Vault.

Domänen-Discovery

Mit dem BeyondTrust Vault-Add-on können Sie Active Directory-Konten, lokale Konten und Endpunkte erfassen. Jumpoints werden verwendet, um Endpunkte einzuscannen und die mit diesen Endpunkten assoziierten Konten zu erfassen.

Weitere Informationen zu Jumpoints finden Sie im Leitfaden zu BeyondTrust Privileged Remote Access-Jumpoints.

Jumpoint

Wählen Sie einen vorhandenen Jumpoint in der Umgebung, in der Sie Konten erfassen möchten.

Verwaltungskonto

Wählen Sie das für den Start des Discovery-Auftrags erforderliche Verwaltungskonto aus. Wählen Sie die Verwendung eines neuen Kontos aus. Dafür müssen Benutzername, Kennwort und Kennwortbestätigung eingegeben werden. Sie können auch ein vorhandenes Konto verwenden, das in einem vorangehenden Auftrag erfasst oder im Abschnitt Konten manuell hinzugefügt worden ist. Sobald ein Konto ausgewählt worden ist, klicken Sie auf Erfassen, mit mit der Erfassung zu beginnen.

Bereich

Wählen Sie die spezifischen Kontotypen aus, die BeyondTrust Vault erfassen soll.

Discovery-Aufträge

Zeigen Sie Discovery-Aufträge an, die derzeit für eine spezifische Domäne ausgeführt werden, oder prüfen Sie die Ergebnisse erfolgreicher oder fehlgeschlagener Discovery-Aufträge.

Ergebnisse anzeigen

Zeigen Sie die Ergebnisse des Discovery-Auftrags im Abschnitt Discovery-Ergebnisse an. Dazu gehören erfasste, Endpunkte, erfasste lokale Konten und erfasste Domänen-Konten, die in der Domäne gefunden werden. Zu jedem erfassten Element werden Name und Beschreibung angegeben. Sie können festlegen, welche Endpunkte und Konten in Ihre BeyondTrust Vault-Instanz importiert und gespeichert werden sollen. Aktivieren Sie zu jedem Element auf der Liste, das Sie importieren möchten, das danebenstehende Kontrollkästchen und klicken Sie auf Auswahl importieren.

Endpunkte: Erfasste Systeme anzeigen und verwalten

Bildschirmaufnahme der BeyondTrust PRA /login-Kopfzeilennavigation, die Vault > Endpunkte hervorhebt.

Endpunkte

Zeigen Sie Informationen zu allen erfassten Endpunkten an, wie Name und Hostname des Systems sowie Informationen zu den mit diesen Systemen verbundenen Konten.

Suchen

Suchen Sie anhand von Namen, Hostnamen, Beschreibung oder Jumpoint-Namen nach einem bestimmten Endpunkt oder einer Gruppe an Endpunkten.

Konten

Zeigen Sie die Anzahl der während der Discovery erfassten Endpunkte sowie die Endpunkte an, mit denen diese verbunden sind. Kicken Sie auf die Option Konten, um die mit dem System verknüpften Konten anzuzeigen.

Bearbeiten

Ändern Sie die Informationen zu den Endpunkten, insbesondere Name, Beschreibung, Hostname und Jumpoint.

Löschen

Löschen Sie den Endpunkt aus der Liste der Endpunkte.

Konten: Verwalten von an Endpunkten verwendenden privilegierten Konten

Bildschirmaufnahme der BeyondTrust PRA /login-Kopfzeilen-Navigation, die Vault > Konten hervorhebt.

Zeigen Sie Informationen zu allen erfassten und manuell hinzugefügten Konten an und verwalten Sie sie. Zu den verfügbaren Informationen gehören:

  • Typ: Der Kontotyp, insbesondere, ob es sich um ein Domänenkonto oder ein lokales Konto handelt
  • Name: Der Name des Kontos
  • Endpunkt: Der Endpunkt, mit dem das Konto verknüpft ist
  • Letzter Checkout: Das letzte Mal, an dem das Konto ausgecheckt worden ist
  • Kennwortalter: Das Alter des Kennworts

Anhand dieser Informationen können Sie verschiedene Aktionen ausführen, wie beispielsweise Aus-/Einchecken von Anmeldedaten und die Anmeldedaten-Rotation.

Konten

Neues Konto hinzufügen

Klicken Sie auf Neues Konto hinzufügen, um manuell ein neues Konto zu BeyondTrust Vault hinzuzufügen.

Suchen

Suchen Sie anhand von Name, Endpunkt-Name oder Beschreibung nach einem bestimmten Konto oder einer Gruppe von Konten.

Auschecken/Einchecken

Klicken Sie auf Auschecken, um einen Satz von Anmeldedaten anzuzeigen und zu verwenden. Nach der entsprechenden Auswahl wird die Eingabeaufforderung Konto-Kennwort angezeigt, und der Anmeldedaten-Satz wird für 60 Sekunden angezeigt, damit Sie das Kennwort kopieren können. Sobald die Eingabeaufforderung geschlossen ist, wird die Option Einchecken verfügbar. Wenn Sie mit der Nutzung des Kontos fertig sind, klicken Sie auf Einchecken, um das Kennwort wieder im System einzuchecken.

Weitere Informationen siehe Anmeldedaten von der PRA /login-Schnittstelle auschecken.

...

Klicken Sie auf ..., um weitere Aktionen anzuzeigen, wie Kennwort rotieren, Bearbeiten und Löschen. Wenn Kennwort rotieren ausgewählt ist, rotiert oder ändert das System das Kennwort automatisch. Wenn Bearbeiten ausgewählt ist, können Sie die Informationen des Kontos ändern. Über die Option Löschen entfernen Sie das Konto aus der Liste Konten.

Weitere Inforamtionen finden Sie unter Privilegierte Anmeldedaten mit BeyondTrust-Vault rotieren.

Generisches Konto :: Hinzufügen

Anhand der Option Neues Konto hinzufügen können Sie Konten hinzufügen, ohne einen Discovery-Auftrag ausführen zu müssen. Stattdessen können Sie manuell Informationen zum Konto eingeben. Diese Option ist in Situationen nützlich, in denen ein geteiltes Konto oder eine Kombination aus Benutzername und Kennwort verwendet werden kann, um auf viele verschiedene Systeme zuzugreifen.

Name

Geben Sie einen Namen für das Konto ein.

Beschreibung

Geben Sie eine knappe, aber prägnante Beschreibung für das Konto ein.

Benutzername

Geben Sie den Benutzernamen für das Konto an.

Authentifizierung

Wählen Sie die Authentifizierungsmethode für das Konto aus: Kennwort oder Privater SSH-Schlüssel.

Wenn Sie einen SSH-Schlüssel zur Authentifizierung auswählen, müssen Sie einen privaten Schlüssel für das Konto im OpenSSH-Format angeben. Optional können Sie die mit dem privaten Schlüssel verknüpfte Passphrase eingeben.

Kennwort

Wird zur Authentifizierung Kennwort ausgewählt, müssen Sie das Kennwort für das Konto eingeben und das Kennwort dann bestätigen.

Privater SSH-Schlüssel

Wird zur Authentifizierung Privater SSH-Schlüssel ausgewählt, müssen Sie den privaten SSH-Schlüssel für das Konto eingeben.

Checkout

Wenn das Konto ausgecheckt und von mehreren Benutzern oder Sitzungen gleichzeitig verwendet werden kann, wählen Sie diese Option.

Kontobenutzer

Legen Sie fest, welche Benutzer auf dieses Konto zugreifen können.

Ist Privater SSH-Schlüssel ausgewählt, werden die folgenden Optionen verfügbar: Privater SSH-Schlüssel, SSH-Schlüssel-Passphrase, Schlüsselgröße, Schlüssel-Fingerabdruck und Schlüsselformat.

Privater SSH-Schlüssel

Machen Sie Angaben zum privaten SSH-Schlüssel.

SSH-Schlüssel-Passphrase

Geben Sie ggf. die Passphrase des privaten SSH-Schlüssels ein.

Schlüsselgröße

Geben Sie die Länge des Schlüssels in Bits an.

Schlüssel-Fingerabdruck

Geben Sie den mit dem privaten SSH-Schlüssel verknüpften Fingerabdruck an.

Schlüsselformat

Wählen Sie den Verschlüsselungsalgorithmus des privaten SSH-Schlüssels aus.

Benutzerkonten mit der Berechtigung Kann Vault verwalten ist es ausdrücklich gestattet, auf jedes Vault-Konto zuzugreifen.

Lokales Konto :: Bearbeiten

Name

Zeigen Sie den für das Konto verwendeten Namen an oder bearbeiten Sie ihn.

Beschreibung

Zeigen Sie die Beschreibung des Kontos an oder bearbeiten Sie sie.

Benutzername

Zeigen Sie den mit dem Konto verknüpften Benutzernamen an.

Kennwort

Geben Sie ein neues Kennwort für das Konto an oder lassen Sie das Feld leer, um das vorhandene Kennwort zu behalten. Bestätigen Sie das eingegebene Kennwort.

Kennwortalter

Zeigen Sie das Alter des vorhandenen Kennworts an.

Gleichzeitige Checkouts zulassen

Wenn das Konto ausgecheckt und von mehreren Benutzern oder Sitzungen gleichzeitig verwendet werden kann, wählen Sie diese Option.

Endpunkt

Zeigen Sie an, welcher Endpunkt bzw. welche Endpunkte mit dem Konto verknüpft sind.

Endpunkt-Hostname

Zeigen Sie den Hostnamen der verknüpften Endpunkte an.

Kontobenutzer

Legen Sie fest, welche Benutzer auf dieses Konto zugreifen können.

Benutzerkonten mit der Berechtigung Kann Vault verwalten ist es ausdrücklich gestattet, auf jedes Vault-Konto zuzugreifen.

Domänen-Konto :: Bearbeiten

Name

Zeigen Sie den für das Konto verwendeten Namen an oder bearbeiten Sie ihn.

Beschreibung

Zeigen Sie die Beschreibung des Kontos an oder bearbeiten Sie sie.

Benutzername

Zeigen Sie den mit dem Konto verknüpften Benutzernamen an.

Kennwort

Geben Sie ein neues Kennwort für das Konto an oder lassen Sie das Feld leer, um das vorhandene Kennwort zu behalten. Bestätigen Sie das eingegebene Kennwort.

Kennwort-Verlauf anzeigen

Zeigen Sie die Daten und Uhrzeiten von Kennwort-Änderungen an. Klicken Sie auf Einblenden, um das Kennwort vorübergehend anzuzeigen. Klicken Sie auf Benutzen, um das Kennwort dieses Kontos auf dieses Kennwort einzustellen.

Kennwortalter

Zeigen Sie das Alter des vorhandenen Kennworts an.

Anmeldedaten automatisch rotieren

Wenn die Anmeldedaten nach dem Einchecken automatisch rotiert werden sollen, wählen Sie diese Option aus.

Die Anmeldedaten der Active Directory sind die einzigen Anmeldedaten, die die automatische Rotation unterstützen.

Gleichzeitige Checkouts zulassen

Wenn das Konto ausgecheckt und von mehreren Benutzern oder Sitzungen gleichzeitig verwendet werden kann, wählen Sie diese Option.

Eindeutiger Name

Zeigen Sie den eindeutigen Namen des Kontos an.

Kontobenutzer

Legen Sie fest, welche Benutzer auf dieses Konto zugreifen können.

Benutzerkonten mit der Berechtigung Kann Vault verwalten ist es ausdrücklich gestattet, auf jedes Vault-Konto zuzugreifen.

Domänen: Hinzufügen und Verwalten von Domänen

Fügen Sie Informationen zu Ihren Domänen hinzu, zeigen Sie sie an und verwalten Sie sie.

Bildschirmaufnahme der BeyondTrust PRA /login-Kopfzeilen-Navigation, die Vault > Domänen hervorhebt.

Domänen

Neue Domäne hinzufügen

Klicken Sie auf Neue Domäne hinzufügen, um manuell eine neue Domäne zur Liste Domänen hinzuzufügen.

Domänenname

Zeigen Sie den Namen der Domäne an.

Jumpoint

Zeigen Sie den für die Erfassung von Konten und Endpunkten in der Domäne verwendeten Jumpoint an.

Verwaltungskonto

Zeigen Sie das mit dem Jumpoint und der Domäne verknüpfte Verwaltungskonto an.

Erfassen

Klicken Sie auf Erfassen, um den Jumpoint zu initiieren und nach Endpunkten und Konten in der Domäne zu scannen.

Bearbeiten

Klicken Sie auf Bearbeiten, um die Angaben zur Domäne zu bearbeiten.

Löschen

Klicken Sie auf Löschen, um diese Domäne aus der Liste der Domänen zu löschen.

Domäne :: Hinzufügen

DNS-Name

Geben Sie den DNS-Namen der Domäne ein.

Jumpoint

Wählen Sie einen vorhandenen Jumpoint in der Umgebung, in der Sie Konten erfassen möchten.

Verwaltungskonto

Wählen Sie das erforderliche Verwaltungskonto aus, um einen Discovery-Auftrag zu dieser Domäne zu initiieren. Wählen Sie die Verwendung eines neuen Kontos aus. Dafür sind Benutzername, Kennwort und Kennwort-Bestätigung erforderlich. Andernfalls können Sie auch ein in einem vorangehenden Auftrag erfasstes oder ein im Abschnitt Konten manuell hinzugefügtes Konto auswählen.

Domäne :: Bearbeiten

DNS-Name

Zeigen Sie den DNS-Namen der Domäne an oder bearbeiten Sie ihn.

Jumpoint

Zeigen Sie die Jumpoint-Informationen der Domäne an oder bearbeiten Sie sie.

Verwaltungskonto

Zeigen Sie das für die Initialisierung eines Discovery-Auftrags für diese Domäne erforderliche Verwaltungskonto an oder bearbeiten Sie es. Wählen Sie die Verwendung eines neuen Kontos aus. Dafür sind Benutzername, Kennwort und Kennwort-Bestätigung erforderlich. Andernfalls können Sie auch ein in einem vorangehenden Auftrag erfasstes oder ein im Abschnitt Konten manuell hinzugefügtes Konto auswählen.