Thycotic Secret Server im Test

Vom sicheren Geheimnis

10. Februar 2020, 07:00 Uhr   |  Von Thomas Bär und Frank-Michael Schlede.

Vom sicheren Geheimnis

Die Verwaltung privilegierter Konten ist für Administratoren oft eine wahre Herausforderung. Excel-Listen mit Zugangsdaten oder die überaus praktische KeePass-Software von Dominik Reichl reichen für Unternehmen schlicht nicht aus. Thycotics Secret Server wäre eine professionelle Alternative.

Könnte sich der frühere Kollege, der die Firma vor drei Jahren verlassen hat, noch immer als Administrator oder root anmelden, da ihm das Passwort noch bekannt sein dürfte? Ja? Dann sind Sie als IT-Verantwortlicher bei diesem Testartikel genau richtig. Organisationen und Firmen, die sich mit der Verwaltung von Benutzerkonten - insbesondere mit denen, die mit hohen Zugriffsrechten verknüpft sind - auseinandersetzen, betreiben PAM, also "Privileged-Account-Management". Typische Beispiele für privilegierte Konten: der Domänenadministrator, das lokale Installationskennwort für Windows-Computer oder der immer noch verwendbare sa-Account auf einem MS-SQL-Server.

Diese Konten nutzen Administratoren zur Softwareinstallation, Freigabe oder zur Inbetriebnahme von Netzwerkgeräten. Da es so praktisch ist, direkt mit Administrationsrechten auf einem System zu arbeiten, sind diese Accounts ein besonders begehrtes Ziel von Angreifern. Gerät das Administrationskennwort in falsche Hände, kann dies fatale Folgen haben. Die eigentlich berechtigten Personen ließen sich sperren, und eine unkontrollierbare Datenmanipulation wäre möglich.

301 LANline 2020-02 P01 Bild 2
©

Für verschiedene Arten von Zugangsdaten bietet der Secret Server eine passende Vorlage.

Hilfe durch Thycotic Server

Thycotic Software fasst mit der Software "Secret Server" alle notwendigen Anforderungen für das Management privilegierter Benutzerkonten in einer gemeinsamen Web-Oberfläche zusammen. Das erklärte Ziel ist die Einhaltung von Richtlinien und Compliance-Anforderungen wie PCI-DSS, HIPAA, SOX, Basel 2 oder FISMA. Grob gesagt lassen sich die Erwartungen dieser kryptisch bezeichneten Regularien recht simpel zusammenfassen: Wer macht was, wann, wo und wie?

Um diese entscheidenden Fragen beantworten zu können, überwacht die Software die in diesem Zusammenhang erforderlichen Netzwerkzugriffe, sofern der Benutzer eine Aktion mit einem privilegierten Konto durchführt. Die tatsächlich erforderlichen Kontendaten speichert die Software in einer verschlüsselten Datenbank. Durch diesen "Quereinstieg" ist die Verwendung der tatsächlich genutzten Passwortdaten für den Benutzer nicht erforderlich. Alle notwendigen Verwaltungsaufgaben, beispielsweise die automatische Passwortänderung oder die Ausgabe von Compliance- oder Auditing-Reports, führen Administratoren auf dem Secret Server durch.

Der Hersteller bietet die Software für Testzwecke in zwei Varianten an: direkte lokale Installation oder die Nutzung als Clouddienst. Wir entschieden uns für eine Installation der lediglich für Microsoft Windows verfügbaren Secret Server auf einem lokalen Server. Dank einer recht guten Installationsbeschreibung gelang die Einrichtung auf einem Windows Server 2016, virtualisiert mit Virtual-Core v2.5/KVM im Rechenzentrum von Kamp (DHP ControlCenter) und eingebettet in ein Windows Server 2019 Active Directory, weitgehend ohne größere Schwierigkeiten. Leider funktionierte die automatische Installation einiger IIS-Features nicht. Aber mit etwas IIS-Kenntnissen ließen sich die Features manuell einrichten. Im Anschluss war der Installer nicht in der Lage, ein Download-Paket mit dem SQL Express Server herunterzuladen - auch dies ließ sich manuell bewerkstelligen. Für produktive Umgebungen empfiehlt der Hersteller die Nutzung eines vollwertigen SQL-Servers.

Etwas ärgerlich ist dies allerdings, denn die IIS-Problematik hatten wir bereits in einem Test im Jahr 2016 festgestellt. Nach rund 45 Minuten ließ sich der Server nutzen - auf die Einbindung eines gültigen SSL-Zertifikates verzichteten wir in der Teststellung. Daher war es erforderlich, die beteiligten Browser und Betriebssysteme auf das Zusammenspiel mit dem selbstsignierten Zertifikat einzustimmen.

301 LANline 2020-02 P01 Bild 3
©

Zugriffe per RDP- oder PuTTY kann der Secret Server komplett mitdokumentieren.

Alles im Browser

Nach der Installation meldet sich der Administrator über einen Browser-Link mit den angelegten Zugangsdaten an. In unserem Test dauerte es jedoch rund zwei Minuten, ehe die Intranet-Seite überhaupt erreichbar war. Ein Begrüßungsfenster erklärt mit einigen Hinweisen, mit welchen Befehlen neue "Secrets" und Ordner anzulegen sind oder wie der IT-Profi an die weiteren, tieferen Einstellungen gelangt. Die gesamte Struktur ist wohlgeordnet und logisch aufgebaut.

Am unteren Menübereich entdeckt der Neuanwender einen äußerst wichtigen Befehl: "Admin". An dieser Stelle heißt es zunächst, die Lizenzen einzugeben und zu aktivieren - ein Vorgang, der in wenigen Augenblicken erledigt ist. In unserem Testszenario folgte die Einbindung der Active-Directory-Domäne. Dazu legten wir zunächst unter "Secret" einen Account für den Domänenadministrator an. Aufbauend auf diesem Konto gelang die Integration mit wenigen Mausklicks.

Wer im späteren Verlauf die Möglichkeit haben möchte, RDP- und PuTTY-Sitzungen zu protokollieren, legt die Grundeinstellungen für das "Session Recording" ebenfalls in der "Configuration" fest. Die Anzahl der Anpassungsmöglichkeiten, die der Secret Server dem Administrator bietet, ist in der Tat beeindruckend. Noch ein wenig besser gefiel uns, dass trotz der großen Menge die logische Struktur stets leicht zu identifizieren ist.

Die Organisation der Passwörter und Zugangsberechtigungen erfolgt über Gruppe, Benutzer und Ordner, die der Administrator in allen erdenklichen Varianten miteinander verschachteln kann. Grundsätzlich empfiehlt es sich, mit einer wohlüberlegten Ordnerstruktur zu arbeiten, um eine ordentliche Rechtevererbung zu erhalten. Selbstverständlich kann der IT-Profi auch alle Werte direkt setzen, beispielsweise ob ein Passwort für den Benutzer sichtbar gemacht werden darf oder nicht. Wer dies jedoch stets manuell vornimmt, wird viele Vorzüge der Software nicht gänzlich nutzen können.

Das Einpflegen von "Secrets" für Windows, die Domäne, Web-Seiten oder lokale Zugriffsdaten für VMware-ESX(i)-Systeme ist selbsterklärend. Die Entwickler von Thycotic haben sich nicht nur auf Log-in-Daten beschränkt - auch PIN/PUK-Informationen für SIM-Karten oder Bankverbindungen kann der Benutzer problemlos hinterlegen. Für die verschiedenen Einsatzbereiche, beispielsweise lokale Windows-Konten, Kontakte, MySQL Account, VMware Credentials oder SSH Key, passt die Software das Eingabefenster nach den jeweiligen Erfordernissen an. Zu jedem Secret kann der Benutzer zudem Notizen einpflegen.

Dies klingt praktisch, ist es jedoch nur bedingt, da der Server in der Suchfunktion die Notizen nicht erfasst - ein Feld wie "Bankname" jedoch lässt sich suchen - seltsam. Administratoren können Secrets bei Bedarf aus einer Excel- oder CSV-Datei auch direkt einlesen, wobei das Importformat vorgegeben ist.

Passwörter zeigt die Software bei Eingabe erwartungsgemäß nur als dicke Punkte an, markiert jedoch in knallig roter Schrift, dass Passwörter im Stil von "Test123" als "weak" (schwach) gelten. Per Mausklick kann der Benutzer ein Passwort im Klartext lesen oder in die Zwischenablage kopieren. Ein weiteres Feature in der Software ist die Überführung eines Passworts in die klassische NATO-Buchstabierweise - was ein Vorlesen am Telefon vereinfacht. Auf Wunsch generiert der Secret Server auch "starke" Kennwörter wie "G*8qes#qO@zY". Wir haben in der Vergangenheit schon andere Passwortgeneratoren unter der Lupe gehabt, die sich zumindest halbwegs Mühe bei der Erzeugung geben, dass sich ein Mensch das Passwort auch irgendwie merken könnte - der Secret Server will allerdings dem Menschen ja exakt diese Aufgabe gänzlich abnehmen.

Wenn eine solche Software sensible Informationen wie Passwörter in einer Datenbank speichert, wäre es natürlich fatal, wenn diese in falsche Hände gerät. Im Test konnten wir die Aussage des Herstellers verifizieren, dass alle Daten auf dem SQL-Server verschlüsselt sind.

Der Secret Server ist jedoch nicht nur eine zentrale Datenbank für Passwörter und Benutzernamen - dies ließ sich auch mit Freeware-Tools erledigen. Die Mehrwerte der Thycotic-Lösung für das Privileged-Accout-Management liegen in der kontinuierlichen Protokollierung der Nutzung von Konten. Zu jedem gespeicherten "Secret" kann der Administrator über den Befehl "View Audit" eine Liste mit Zeitstempel, Aktion und der zugreifenden Person ausgeben. Ändert ein Benutzer einen Eintrag, wird es protokolliert - lässt sich ein Benutzer ein Passwort im Klartext anzeigen, ist auch dies dann aufgeführt.

Äußerst überzeugend präsentiert sich die Software im Bereich "Reporting". In dem Register gibt es eine größere Anzahl vorgefertigter Auswertungen, die der Administrator bei Bedarf mit Hilfe von SQL-Statements selbst noch erweitern kann. Die SQL-Syntax entnimmt der Nutzer den vorgefertigten Reports, was die Anpassung nach den eigenen Wünschen vereinfacht. Wie in vielen professionellen Lösungen ermöglicht Thycotic auch das Scheduling und das regelmäßige Versenden von Auswertungen.

Ein äußerst lebenspraktischer Report ist zum Beispiel: "What computers in Active Directory no longer exist?" Dabei listet der Secret Server diejenigen Computerkonten auf, die der Domain Controller seit mehr als drei Monaten nicht mehr ausmachen konnte.

In unserer Teststellung fand die Protokollierung von Sitzungen, Kommandos und Befehlen im Zuge einer administrativen Sitzung den höchsten Anklang. Szenarien, bei denen externe Consultants beauftragt wurden, Änderungen am System vorzunehmen, sind für diese Technik gerade zu prädestiniert. Viele Firmenadministratoren wollen oder müssen diese Zugriffe mitschreiben und exakt festhalten. Der Secret Server fungiert dabei wie ein Proxy-Server, der die Verbindung als Stellvertreter initiiert und protokolliert.

Handelt es sich bei diesem zu protokollierenden Zugriff beispielsweise um einen Windows Server, greift der Consultant nicht direkt über den RDP-Client zu, sondern nutzt einen Aufruf aus der Browser-Sitzung auf dem Secret Server. Lediglich beim allerersten Zugriff ist die Installation einer Client-Komponente im Browser erforderlich. Dies funktionierte in unseren Tests unter Windows Server 2019, Windows 10 x64 und macOS X 10.14.6 Mojave mit Google Chrome ohne Schwierigkeiten.

Wenige Augenblicke nach dem Aufruf startet der Zugriff auf die entfernte Maschine, ohne dass überhaupt eine Benutzername-Passwort-Kombination eingegeben werden müsste. Die zur Anmeldung erforderliche Kombination von Nutzer und Passwort hat die Secret-Server-Software im Hintergrund eingefügt.

Zugriffe dieser Art sind jedoch nicht auf die Browser-Sitzung beschränkt. Für Windows und macOS bietet der Hersteller ein kleines Zusatzprogramm namens Launcher. Auch dies ermöglicht einen Benutzerzugriff auf ausgewählte Ressourcen, ohne dass die Eingabe von Log-in-Daten überhaupt erforderlich wäre.

Neben den Varianten für die lokale On-Premises-Installation und dem Cloud-Betrieb unterscheidet der Hersteller zudem noch vier Feature-Editionen. In der "Platinum"-Edition reichert Thycotic die Software noch um Funktionen wie Unix-Unterstützung, erweiterte Scripting-Fähigkeiten und Genehmigungsvorgänge an. Das Thema Hochverfügbarkeit ist in der Cloudvariante stets gegeben. In der größeren Edition ist die Funktion enthalten, in der einfacheren "Professional"-Edition ist HA nur als kostenpflichtiges "Add-on" zu haben. Wer mehr als 10.000 Passwörter, hier "Secrets" genannt, verwalten will, wird beinahe zwangsläufig auf die lokal zu installierende Variante zurückgreifen müssen, da diese Zahl das Maximum in der Cloudausprägung darstellt.

Unterhalb der Professional-Edition gibt es für bis zu 25 Benutzer die Vault-Edition, die die typischen Funktionen wie AES-256-Verschlüsselung, Mehr-Faktor-Authentifizierung, rollenbasierendes Management, Ordner und Berechtigungen, Dateianhänge in der Datenbank, AD-Integration, RDP- und PuTTY-Support und Web-Passwort-Filter ebenso beherrscht wie größeren Varianten. Die Integration in CRM, SAM und HSM und der Proxy-Service für RDP/SSH bleiben den größeren Varianten vorbehalten. Session-Recording und -Monitoring und die Protokollierung von Tastatureingaben zur Dokumentation - wohl die wichtigsten Funktionen - gibt es bei der Platinum als Dreingabe, bei der Professional-Variante allerdings nur als Add-on. Für bis zu zehn Benutzer und limitiert auf 250 Secrets bietet Thycotic den Secret Server sogar als freie Software ohne Ablaufdatum an.

301_Kasten 1
©

Fazit

Der Secret Server von Thycotic ist eine überzeugende Software zur Verwaltung privilegierter Benutzerkonten. Alle Funktionen zur Umsetzung von PAM bringt die Software gleich mit. Die Lösung unterstützt die IT beim Management verschiedener Benutzerkonten, prüft die Einhaltung von Richtlinien und liefert die dazugehörigen Berichte.

Funktionen wie automatisierte Passwortwechsel erhöhen die Sicherheit der kompletten Netzwerk-Server-Struktur, ohne dass die Administration dafür einen größeren Aufwand betreiben muss. Dank der zügigen Testinstallation oder der vorgehaltenen Cloudvariante steht einer eigenen Betrachtung nicht viel im Weg. Der Preis der Software ist abhängig von den gewählten Funktionen. In einer Ausprägung für zehn Benutzer und 500 sogenannte "Secrets" liegt der Preis knapp über 10.000 Euro.

Thomas Bär und Frank-Michael Schlede.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Thycotic: Service-Konten unter Kontrolle halten
Einfacher Einstieg in die Absicherung privilegierter Konten
Privileged-Access-Management als integriertes System

Verwandte Artikel

PAM

Privileged-Account-Management

Thycotic