Site
Web

+49 (6251) 10 58-0 IT-Services@MORAWIETZ.de

Site
Web

Wir machen Ihre Computer-Endgeräte inklusive der lokalen Administratoren-Konten sicher

Das zentrale Problem:

Im Rahmen der ganzen Sicherheitsmaßnahmen (wie Firewall, Zugriffsrechte auf Fileserver, Datenbank-Berechtigungen usw.) wird immer wieder vergessen, dass zu viele Benutzer privilegierte Berechtigungen - selbst Standard-Benutzer (normale Office-Benutzer) - auf die Computer-Endgerät haben.

Im Detail erkennen wir:

Auf jedem Computer in der Domäne wird ein gemeinsames lokales Konto mit identischem Kennwort verwendet.
Viele IT-Administratoren verwenden der Einfachheit halber für die lokalen Admin-Konten auf allen Computern das gleiche Passwort.
Standard-Benutzer haben privilegierten Zugriff auf Computer, wenn eine Anwendung mit den normalen Benutzerrechten nicht richtig funktioniert.
Viele Applikationen benötigen privilegierte Rechte, um richtig zu funktionieren. IT-Administratoren erteilen Standard-Benutzer meist ohne Dokumentation diese privilegierte Rechte

Das bedeutet, dass

zu viele lokale Administratoren-Konten auf dem jeweiligen Computer existieren
Standard-Domänen-Benutzer zu hohe Rechte auf dem lokalen Endgerät haben, da irgendwelche Applikationen (meist historisch gewachsen) diese angeblich benötigen
alle Mitglieder der Gruppe „Domänen-Administratoren“ vollen administrativen Zugriff auf alle Computer-Endgeräte haben (damit existiert Pass-the-Hash-Problematik!)

Unser Lösungsansatz:

Mit dem kostenlos von Microsoft bereitgestellten Tool LAPS (Local Administrator Password Solution) und dem KACE Privilege Manager von Quest gehört dieses Sicherheitsproblem der Vergangenheit an.

Zentrales Management bei dezentraler und nachvollziehbarer Ausführung

Viele Unternehmen, Krankenhäuser und Behörden erhöhen ihre IT-Sicherheit kontinuierlich und vergessen häufig das Problem, den lokalen Admin-Account, welcher bei jedem neu eingerichteten Computer-Endgerät erstellt wird, mitzusichern. Wir erkennen immer wieder, dass unsere Kunden unsicher sind, wie sie den Zugriff auf den lokalen Administrator sichern können, ohne Einbuße in der Funktionalität hinnehmen zu müssen. Oft werden unternehmensspezifische Standard-Passwörter verwendet, die dann auch ehemaligen Mitarbeiter bekannt sind. Ist der lokale Administrator einmal gehackt, kann sich der Angreifer auf dem Computer bewegen, bis er ein Ziel (meist Administrator aus der Domäne) mit höheren Rechten erkennt und meist unsichtbar angreift.

Mit dem von Microsoft kostenlos bereitgestellten Tool LAPS (Local Administrator Password Solution) können die Administratoren der Domäne zentral das lokale Kennwort des Administratoren-Accounts auf dem dezentralen Computer-Endgerät managen:

Speicherung des automatisch erzeugten Kennwortes in einem geschützten Feld innerhalb des Active Directory Systems (ADS)
Zentrale Definition der Komplexität sowie der Länge des Passwortes
Zentrale Definition des Ablaufdatums nebst Änderungsintervall der dezentralen Passwörter auf den Computer-Endgeräten
Auslesen des automatisiert gespeicherten Kennwortes nebst Änderungsintervall mit einer kostenlos bereit gestellten GUI

Neben dieser zentralen Passwort-Management-Lösung (Microsoft LAPS) löst der KACE Privilege Manager von Quest elegant mit zentraler Oberfläche die Herausforderung der benötigten privilegierten Rechte für Standard-Benutzer.

Der KACE Privilege Manager erlaubt IT-Administratoren, lokale Benutzerrechte schnell und präzise zu evaluieren und zu verwalten. Somit benötigt kein Benutzer mehr lokale Adminrechte, wenn eine Anwendung mit den normalen Benutzerrechten nicht ausreichend funktioniert. Damit kann der KACE Privilege Manager dem Standard-Benutzer die privilegierten Rechte entziehen und sie dem notwendigen Prozess bei der Ausführung geben.

Das starke Bundle aus Microsoft LAPS und dem KACE Privilege Manager von Quest sichert die zentral gemanagten Computer-Endgeräte nachhaltig gegen Angriffe. Lokale Adminrechte werden im Rahmen der täglichen Arbeit am Computer-Endgerät mit Zielrichtung maximaler IT-Sicherheit zentral gemanagt. Zudem ist der bestehende lokale Administrator gegen interne und externe Angriffe effizient und nachhaltig geschützt. Diese beiden Lösungen funktionieren selbstverständlich auch bei Home-Office oder Remote-Benutzer-Zugriffen. Alle Informationen werden lokal bzw. dezentral gecasht.

Workshop

zur gemeinsamen Umsetzung Microsoft LAPS und

Implementierung Quest KACE Privilege Manager

Gemeinsam mit Ihren IT-Verantwortlichen implementieren wir die oben skizzierte Lösung in Ihrer Infrastruktur. Dabei profitieren Sie von unserer langjährigen Erfahrung und unserem offenen, zielorientierten Know-how-Transfer.

Workshop-Ergebnis

In einer für den Proof of Concept neu geschaffenen Computer OU werden alle enthaltenen Computer-Objekte mit der kostenfreien Microsoft LAPS (Local Administrator Password Solution) abgesichert und können mit dem KACE Privilege Manager zentral administriert und konfiguriert werden. Der Kunde hat die maximale Kontrolle über alle Computer-Endgeräte bei gleichzeitig maximaler Sicherheit. Alle Programme und Anwendungen auf dem Ziel-Computer können gesteuert bzw. gemanagt werden und funktionieren im administrativen Kontext, ohne dass ein Standard-Benutzer (Information Worker) irgendwelche privilegierten Rechte auf das Computer-Endgerät hat. Aus Sicherheitsgründen wird die Standard-Gruppe „Domain-Administratoren“ durch eine neue geschaffene Benutzergruppe (z.B. „GRP.Client-Administratoren“) ersetzt. Gleichzeitig wird der Standard-Benutzer „Administrator“ in einen vom Kunden vorgegebenen Benutzer (z.B. „Kunden-Admin“) umbenannt.

Microsoft LAPS UI auf dem Client und auf dem Server

Am Ende des Workshops ...

Microsoft LAPS ist installiert und für den Betrieb konfiguriert
Der KACE Privilege Manager von Quest ist installiert und für den Betrieb initial konfiguriert. Dabei verwenden wir entweder die vom Kunden bereits erworbene Lizenz oder eine von uns zur Verfügung gestellte PoC-Testlizenz). Der Kunde kann die PoC-Testlizenz ohne Einschränkung mindestens 60 Tage evaluieren.
Falls der Kunde den KACE Privilege Manager später erwirbt, genügt das Einspielen des Lizenzschlüssels in die im Workshop erarbeitete Installation.
Über alle Konfigurationen und Installationsschritte erhält der Kunde eine ausführliche Dokumentation im PDF-Format.

Sie haben Interesse?

Gerne stehen wir Ihnen telefonisch oder per E-Mail für Fragen oder eine Angebotsstellung zur Verfügung.

+49 (6251) 10 58-0 (Zentrale)

IT-Services@MORAWIETZ.de

Download Flyer

Workshop-Kosten

Die Kosten für diesen 3-Tages-Workshop inklusive Vor- und Nachbereitung sowie einer ausführlichen Dokumentation betragen EUR 4.950,00 (pauschal)

(netto, zzgl. MwSt. und Reise- oder Remotekosten)

Der Workshop ist wahlweise vor Ort oder remote durchführbar

Über uns

Die Dr. MORAWIETZ GmbH ist eines der führenden Beratungs- & Implementierungsunternehmen in den Bereichen Microsoft E-Mail-Systeme (Exchange) sowie IT-Sicherheit und Microsoft-basierter IT-Infrastruktur (ADS) sowie Client-Life-Cycle Management. Von der Planung bis zur schlüsselfertigen Installation begleiten wir die Einführung oder Migration von Active Directory-Umgebungen, Microsoft Exchange, Microsoft Teams und weiteren Microsoft-Lösungen (On-Premises, Cloud & Hybrid). Als Microsoft InnerCircle Partner für Unified Communication und Security zählen wir zu den Top-30-Partnern von Microsoft im Bereich Consulting-Services. Darüber hinaus sind wir auf das Lösungsportfolio von Quest Software spezialisiert.