Delinea Secret Server 11 Professional Edition
Vertrauliches teilen
Veröffentlicht in Ausgabe 03/2022 - TESTS
Der Anbieter Delinea von Produkten rund um das Privileged Account Management (PAM) firmiert unter diesem Namen erst seit Beginn dieses Jahres und doch handelt es sich um ein Unternehmen mit langjähriger Erfahrung. Delinea ist entstanden aus dem Zusammenschluss der Hersteller Thycotic und Centrify. Erstgenannter hat sein Kernprodukt, das zum Zeitpunkt unseres Tests noch den Namen Thycotic Secret Server trug, bereits vor über zehn Jahren erstmals vorgestellt und seitdem eine Familie von dazu passenden Softwareprodukten entwickelt.
Neben dem Secret Server kümmert sich der Privilege Manager darum, mit möglichst wenig lokalen Admin-Rechten auf Endpunkten auszukommen. Beim separat erhältlichen Connection Manager handelt es sich um eine Clientapplikation für Windows und macOS, die nahtlos in den Secret Server integriert ist und Sitzungen verwaltet. Weitere Produkte rund um den Lebenszyklus von Accounts und sicheren Zugriff runden das Angebot ab.
Im Fokus unseres Interesses stand mit dem Secret Server aber das Flaggschiff der Produktpalette, das Delinea sowohl als Cloudangebot wie auch zur Installation on-premises anbietet. In letzterem Fall handelt es sich um eine Webapplikation auf Basis von Microsoft Internet Information Server (IIS) und einer auf Microsofts SQL-Server basierenden Datenbank.
Der Anbieter Delinea von Produkten rund um das Privileged Account Management (PAM) firmiert unter diesem Namen erst seit Beginn dieses Jahres und doch handelt es sich um ein Unternehmen mit langjähriger Erfahrung. Delinea ist entstanden aus dem Zusammenschluss der Hersteller Thycotic und Centrify. Erstgenannter hat sein Kernprodukt, das zum Zeitpunkt unseres Tests noch den Namen Thycotic Secret Server trug, bereits vor über zehn Jahren erstmals vorgestellt und seitdem eine Familie von dazu passenden Softwareprodukten entwickelt.
Neben dem Secret Server kümmert sich der Privilege Manager darum, mit möglichst wenig lokalen Admin-Rechten auf Endpunkten auszukommen. Beim separat erhältlichen Connection Manager handelt es sich um eine Clientapplikation für Windows und macOS, die nahtlos in den Secret Server integriert ist und Sitzungen verwaltet. Weitere Produkte rund um den Lebenszyklus von Accounts und sicheren Zugriff runden das Angebot ab.
Im Fokus unseres Interesses stand mit dem Secret Server aber das Flaggschiff der Produktpalette, das Delinea sowohl als Cloudangebot wie auch zur Installation on-premises anbietet. In letzterem Fall handelt es sich um eine Webapplikation auf Basis von Microsoft Internet Information Server (IIS) und einer auf Microsofts SQL-Server basierenden Datenbank.
Zugangsdaten sicher im Team verwaltet
Möchte ein Team von Administratoren gemeinsam genutzte Zugangsdaten sicher verwahren, ist der naheliegende Schluss oftmals der Einsatz eines dateibasierten Passwort-Safes. Eine solche Lösung funktioniert für kleine Teams hervorragend, doch ihre Grenzen treten schnell zutage. So haben alle Teammitglieder mit Zugang zur Passwortdatei uneingeschränkt lesenden wie auch schreibenden Zugriff auf alle enthaltenen Informationen. Eine solche Passwortdatei unterstützt weder granulare Berechtigungen noch Freigabeprozesse oder gar Protokollierung.
An diesem Punkt setzt der Secret Server an. Die Software ist auf Basis jährlicher Mietlizenzen pro namentlich benanntem Benutzer erhältlich. Dabei unterscheidet Delinea die Anwender nach IT-Administratoren und Business-Usern. Erstere bilden als Mitarbeiter der IT-Abteilung eines Unternehmens die Kernzielgruppe, die intensiv mit dem Secret Server arbeitet. Bei einem Business-Nutzer handelt es sich um einen User außerhalb der IT-Abteilung – etwa im Einkauf –, der die Daten zur Firmenkreditkarte hinterlegen möchte. Oder in der Marketingabteilung, die sämtliche Zugangsdaten zu den Social-Media-Konten des Unternehmens sicher verwahren möchte.
Erweiterte Funktionen nur mit Platinum
Delinea bietet den Secret Server in zwei Ausbaustufen als Professional- und als Platinum-Edition an. Beide verwalten lokal bis zu 10.000 geheime Schlüssel, nur in der Cloud sind es unbegrenzt viele. Unter einem geheimen Schlüssel versteht Delinea nahezu beliebige Datensätze schützenswerter Informationen und gibt dem Secret Server ab Werk über 40 sogenannte Schablonen für geheime Schlüssel mit, die die Struktur der Datensätze beschreiben. So besteht etwa die Schablone für ein lokales Windows-Konto aus Textfeldern für Maschinen- und Benutzernamen, einem Feld für das Passwort und einem Hinweisfeld für Notizen. Die Schablone für ein Active-Directory-Konto ersetzt das Textfeld für den Namen der Maschine durch eines für die Domäne.
Neben diversen Spielarten von SSH- und Telnet-Zugängen kennt der Secret Server etwa auch SSH-Schlüssel, Anmeldungen an Datenbanken, Mainframes und Firewalls verschiedener Hersteller sowie an den Clouds der drei großen Hyperscaler Amazon, Google und Microsoft. Wer nicht fündig wird, darf mit dem Designer für Schablonen per Webfrontend selbst Vorlagen erstellen oder per Import/Export im XML-Format mit anderen Nutzern des Secret Servers austauschen.
Über die manuelle Eingabe geheimer Schlüssel und den Import aus anderen Systemen hinaus erkennen Professional und Platinum auf Wunsch lokale Konten und solche im Active Directory automatisch. Sie können gleichermaßen geheime Schlüssel zeit- oder ereignisgesteuert ändern und über deren Verwendung mittels erweiterter Audit- und Report-Funktionen Auskunft geben. Beide Editionen arbeiten mit diversen Produkten und Standards für Mehrfaktorauthentifizierung sowie Single Sign-on zusammen. Und beide verschlüsseln die ihnen anvertrauten Informationen nach dem Standard AES-256 auf Applikationsebene, auf Wunsch in Verbindung mit einem Hardware Security Module (HSM).
Mit einigen erweiterten Funktionen setzt sich die Platinum-Edition ab. So kann sie auch Service-Accounts, wie sie unter Windows für Dienste und geplante Tasks zum Einsatz kommen, mit ihren Abhängigkeiten verwalten. Sie bietet weiterhin integrierte Freigabe-Workflows, sodass Nutzer beim Admin den Zugriff auf geheime Schlüssel anfordern können. Auf Wunsch ändert der Secret Server den geheimen Schlüssel nach der Verwendung umgehend.
Erweiterter Schutz von Zugangsdaten für Unix- und Linux-Systeme mit automatischer Rotation von SSH-Schlüsseln, fortgeschrittenes Scripting sowie Mechanismen für hohe Verfügbarkeit gehören ebenfalls ab Werk zum Umfang der Platinum-Edition. All diese Funktionen sind zwar auch für die Professional-Variante verfügbar, jedoch nur in Form kostenpflichtiger Add-Ons.
| Produkt |
Software für das Privileged Access Management (PAM).
|
|---|---|
| Hersteller |
Delinea
|
| Preis |
Die Lizenzierung erfolgt auf Basis einer jährlicher Mietlizenz pro namentlich zu benennendem Benutzer und Funktionsumfang. Die Kosten liegen bei einem typischen KMU-Betrieb mit bis zu 250 Nutzern in der Größenordnung von 3000 und 8000 Euro pro Jahr.
|
| Systemanforderungen |
Software: Microsoft Windows Server 2012 bis 2019, Microsoft Internet Information Server (IIS) 7 oder neuer, Microsoft .NET 4.8 oder neuer, Microsoft SQL Server 2012 bis 2019 mit Sortierung auf Serverebene (Collation) "SQL_Latin1_General_CP1_CI_AS".
Minimale Hardware-Anforderungen: Zwei CPU-Kerne und 4 GByte RAM; 25 GByte Festplattenplatz für den Webserver und 50 GByte Festplattenplatz für den Datenbankserver.
Clients: Alle aktuellen Browser, optional Protokoll-Handler für Windows und macOS.
|
| Technische Daten |
Windows Server, SQL Server und IIS als Basis
Der Secret Server unterstützt die 64-Bit-Varianten von Windows Server 2012 bis 2019, sofern es sich mindestens um die Standard-Edition handelt. Microsofts Client-Betriebssysteme, der frühere Small Business Server sowie die Essentials-Varianten neuerer Server eignen sich nicht. Weiterhin darf der Server weder als Domaincontroller noch als SharePoint-Server fungieren.
Generell empfiehlt der Hersteller, zwei separate Systeme zu verwenden, eines für den Webserver und ein weiteres für die Datenbank. Den SQL-Server unterstützt Delinea sowohl in der Standard- als auch der Enterprise-Edition mitsamt sämtlichen Hochverfügbarkeitskonzepten, die Microsoft anbietet. Die Express-Edition akzeptiert Delinea grundsätzlich auch, weist aber darauf hin, dass diese Ausgabe des Datenbankservers sich eher für kleinere Testinstallationen eignet und im praktischen Betrieb eine reduzierte Benutzererfahrung zur Folge haben kann.
Im Rahmen unseres Tests wagten wir dennoch die Installation aller Komponenten auf nur einem virtuellen Server, was in unserer sehr kleinen Umgebung keine Probleme bereitete. Dazu hatten wir eine frische Installation vom Windows Server 2019 vorbereitet und dieses System als Mitglied in unsere Domäne aufgenommen.
Von Delinea hatten wir eine für 30 Tage gültige Trial-Lizenz für den Funktionsumfang der Platinum Edition zur lokalen Installation erhalten. Nachdem wir die DSGVO- und Lizenzbedingungen akzeptiert hatten, luden wir die Setup-routine für den Server sowie die Connection-Manager-Clients für Windows und macOS herunter.
Die Setuproutine enthält sowohl den Secret Server als auch den Privilege Manager. Wir entschieden uns im ersten Dialogschritt, nur Ersteren zu installieren. Daraufhin durften wir wählen, SQL Server Express einzurichten oder die Verbindung zu einem bestehenden SQL-Server aufzunehmen. Auch hier war die erste Option für unser Vorhaben die richtige. Der Assistent überprüfte daraufhin sämtliche Voraussetzungen und scheiterte zunächst am fehlenden .NET Framework sowie dem IIS mitsamt seinen Komponenten.
Installation der Voraussetzungen nur halbautomatisch
Mit Hilfe der Schaltfläche "Fix Issues" veranlassten wir die Installation und Konfiguration der fehlenden Elemente, mussten aber nach der Installation von .NET zunächst manuell einen Neustart initiieren. Anschließend scheiterte die Überprüfung erneut aufgrund fehlender Komponenten des IIS und auch der Button "Fix Issues" half uns nicht weiter. Immerhin teilte uns der Assistent im Detail mit, welche Features des IIS er vermisste. So mussten wir über den Servermanager die IIS-Verwaltungskonsole sowie acht weitere Features manuell hinzufügen. Anschließend konfigurierte die Setuproutine selbsttätig ein selbstsigniertes Zertifikat für das Webfrontend des Secret Servers, verbunden mit der Warnung und Empfehlung, dass ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zum Einsatz kommen möge.
Nun blieb uns nur noch, Namen und Passwort für den initialen Admin-Benutzer des Secret Servers festzulegen und eine SMTP-Konfiguration für den Versand von Benachrichtigungen zu hinterlegen. Eine funktionierende SMTP-Konfiguration ist Voraussetzung, damit lokale Nutzer später ihr Passwort zur Anmeldung am Webfrontend zurücksetzen können, falls sie es vergessen sollten.
Der Assistent präsentierte uns abschließend eine Zusammenfassung der Optionen, die wir per Klick auf "Install" quittierten. Den Rest erledigte das Setup dann komplett eigenständig, lud die aktuelle Version von SQL Server Express herunter und leitete uns schließlich zur Anmeldung am Webfrontend des Secret Servers.
Basiskonfiguration schnell erledigt
Dort konnten wir uns mit unserem initialen Admin-Konto anmelden, einem lokalen Benutzer, der nur innerhalb der Datenbank existiert. Das übersichtliche Dashboard gibt mit seiner vertikalen Menüstruktur auf der linken Seite keine Rätsel auf. Bevor wir uns an die Verwaltung von geheimen Schlüsseln begeben konnten, folgten wir den Handreichungen in der Onlinedokumentation der Software und erledigten einige Voreinstellungen.
Zunächst trugen wir unsere Lizenzen im Bereich "Verwaltung / Lizenzen" ein und mussten diese anschließend online aktivieren. Für Server ohne Internetkontakt bietet Delinea hier alternativ ein Offlineverfahren an. Der Hersteller empfiehlt, auch bei der Verknüpfung mit einem AD den initialen Benutzer sicher aufzubewahren, sodass immer ein Konto zur Anmeldung am Secret Server zur Hand ist. So aktivierten wir im Bereich "Verwaltung / Konfiguration" auf der Registerkarte "Kennwörter lokaler Benutzer" das Zurücksetzen vergessener Kennwörter, um für den Ernstfall gerüstet zu sein.
Weiterhin aktivierten wir auf der Registerkarte "Anmelden" die Option mit dem sperrigen Namen "AD-Berechtigungsnachweise im Cache zur Verwendung bei Offline-Engines speichern", was nichts anderes besagt, als dass der Secret Server die Anmeldung mit einem AD-Account für 30 Tage im Cache behält, falls das AD nicht erreichbar sein sollte.
Einfache Verzahnung mit dem Active Directory
Im Bereich "Verwaltung / Verzeichnisservices" konfigurierten wir dann die Verbindung zu unserer lokalen AD-Domäne. Alternativ dazu spricht der Secret Server auch mit Azure-AD- und OpenLDAP-Domänen. Für unser lokales AD konnten wir optional die Verbindung per LDAPS aktivieren und mussten einen ersten geheimen Schlüssel zur Anmeldung an der Domäne hinterlegen. Ebenfalls optional unterstützt Delinea für dieses Konto eine Mehrfaktorauthentifizierung per FIDO2-Token, TOTP-Authenticator oder Bestätigung per E-Mail.
In den Eigenschaften der Verbindung fügten wir dann auf der Registerkarte "Gruppen" eine oder mehrere Gruppen aus unserer Domäne hinzu, deren Mitglieder der Secret Server anschließend synchronisierte. Diese Synchronisation ist auf der Registerkarte "Verwaltung / Verzeichnisservices / Konfiguration" standardmäßig mit einem Intervall von einer Stunde aktiv. Secret Server legt automatisch für alle Mitglieder der konfigurierten Gruppen aktive Anmeldungen am Webfrontend an. Das funktioniert natürlich nur, solange Lizenzen vorhanden sind.
Umfangreiches Sicherheitskonzept
Unsere aus dem AD synchronisierten Benutzer fanden wir im Dashboard unter "Verwaltung / Benutzerverwaltung" wieder, wo wir sie einzeln oder anhand ihrer AD-Gruppe mit Rollen versehen konnten. Der Secret Server bringt dazu ein weitläufiges Konzept für Role Based Access Control (RBAC) mit und hatte alle unsere Benutzer zunächst mit der Rolle "User" ausgestattet. Alternativ dazu durften wir aus den vorgefertigten Rollen "Administrator", "Basic User" und "Read Only User" wählen oder aber benutzerdefinierte Rollen modellieren. Dazu stellt der Secret Server insgesamt weit über 100 einzelne Berechtigungen bereit, die alle Aspekte der Arbeit mit dem System granular regeln. Für den Einstieg reichte uns aber zunächst die Unterscheidung in Administratoren und Benutzer. Letztere dürfen geheime Schlüssel hinzufügen und bearbeiten, jedoch nicht die Konfiguration des Servers verändern.
Zusätzlich zu den Rollen regeln Ordnerberechtigungen detailliert, wer welche geheimen Schlüssel sehen und nutzen darf. Um uns davon zu überzeugen, legten wir im Bereich "Geheime Schlüssel" des Hautmenüs manuell Unterordner und darin einige geheime Schlüssel, Zugangsdaten zu Windows- und Linux-Systemen sowie unserer Virtualisierungsinfrastruktur an (Bild 2). Der Bereich "Persönliche Ordner" mit allen Ordnern und geheimen Schlüsseln darunter dient, wie sein Name vermuten lässt, der Aufbewahrung individueller Zugangsdaten, die nur der jeweils angemeldete Benutzer sieht.
Alle übrigen Ordner außerhalb dieser Struktur konnten wir mit Berechtigungen versehen und so für andere Benutzer zugänglich machen. Der Secret Server unterscheidet dabei Berechtigungen für Ordner und für einzelne geheime Schlüssel, die sich ähnlich den Berechtigungen in einem Dateisystem auf untergeordnete Objekte vererben. Eigentümer haben Vollzugriff. Alternativ konnten wir die Berechtigungen auf Bearbeiten, Anzeigen oder lediglich Auflisten beschränken. Indem wir uns mit verschiedenen Benutzern am Dashboard anmeldeten, überzeugten wir uns davon, dass das RBAC-Konzept tadellos funktionierte und die einzelnen Nutzer nur auf die geheimen Schlüssel zugreifen konnten, für die sie tatsächlich berechtigt waren.
Konten schnell importiert
Über die feinteiligen Berechtigungen hinaus wusste der Secret Server beim Importieren und automatischen Erkennen von Zugangsdaten zu überzeugen. So fanden wir in der Online-Dokumentation den Download des "Migration Tools", eines Hilfsprogramms, das wir ohne Installation unter Windows ausführen konnten. Das Werkzeug führte uns durch den Export aus den Passwort-Safes KeePass in den Versionen 1.x und 2.x, Password Corral, Password Safe sowie Passwords Max bis zum XML-Import über das Dashboard des Secret Servers.
Auch ohne Import aus einer bestehenden Lösung mussten wir nicht sämtliche geheimen Schlüssel in unserer Umgebung von Hand eintragen. Als mächtiges und komfortables Werkzeug erwies sich die automatische Erkennung, die wir unter "Verwaltung / Erkennung" konfigurieren konnten. Eine sogenannte Erkennungsquelle legt das Ziel eines Scans fest. Der Secret Server untersucht wahlweise eine gesamte AD-Umgebung mit allen darin enthaltenen Computern auf Domänen-Benutzer und lokale Accounts ab. Letzteres setzt voraus, dass der jeweilige Zielcomputer zum Zeitpunkt des Scans am Netz ist. Gleiches gilt für einen Scan vom Typ "UNIX", der Konten aller in einem definierten IP-Adressbereich auffindbaren UNIX- und Linux-Maschinen erkennt.
Laut Empfehlung von Delinea sollte eine Erkennung kein einmaliges Ereignis sein, sondern regelmäßig laufen, sodass sich Änderungen in der Umgebung erfassen lassen und keine Accounts außerhalb der Verwaltungshoheit des Secret Servers unentdeckt bleiben. Standardmäßig verwendet der Secret Server ein tägliches Erkennungsintervall. Als weitere Erkennungsquellen dürfen VMware-ESXi-Infrastrukturen sowie Tenants in den Clouds von Amazon und Google dienen.
Exemplarisch definierten wir in unserer Testumgebung Erkennungsquellen der Typen "Active Directory" und "UNIX". Für den AD-Zugriff verwendeten wir den Account eines Domänen-Admins, für die Linux-Maschinen jeweils ein lokales Konto. Sobald wir die Scans ausgeführt hatten, präsentierte uns das Dashboard in der "Erkennungsnetzansicht" das Ergebnis in Form einer Baumansicht, in der wir für unsere AD-Umgebung und die lokalen Linux-Maschinen die erkannten lokalen und Domänen-Accounts auflisten und in den Secret Server importieren konnten (Bild 3).
| Bewertung | |
|---|---|
| Dieses Produkt eignet sich |
optimal für mittlere und große Unternehmen, die die Zugangsdaten ihrer Nutzer sicher verwalten möchten.
bedingt für sehr große Organisationen mit vielen Teams. Je nach Anforderungen ist hier die Platinum Edition eher geeignet.
nicht für kleine Teams, denen ein dateibasierter Passwort-Safe ausreicht.
|
Automatische Kennwortänderungen
Beim Import eines oder mehrerer Accounts konnten wir den Typ des geheimen Schlüssels, also die gewünschte Schablone, den Zielordner im Secret Server und den Namen des geheimen Schlüssels auswählen. Beim Import mehrerer Konten arbeitet der Secret Server mit Variablen der Form "$DOMAIN\$USERNAME", sodass jeder geheime Schlüssel mit einem individuellen Namen in der Datenbank erscheint.
Beim Import ließ sich pro Account das zugehörige Passwort, falls bekannt, von Hand eintragen. Alternativ wiesen wir den Secret Server an, das Passwort des jeweiligen Kontos zu ändern, entweder auf einen manuell festgelegten Wert oder aber auf ein automatisch generiertes Passwort.
Für alle verwalteten geheimen Schlüssel konnten wir auch später noch ihr jeweiliges Passwort ändern und das auf Wunsch regelmäßig und automatisch nach einem definierten Zeitplan. Dazu fanden wir in den Eigenschaften eines jeden Datensatzes die Registerkarte "Ferne Kennwortänderung". Im Fall von Domänen-Accounts durften wir hier zwischen zwei Methoden wählen. Entweder der Secret Server verwendet bei der Kennwortänderung das Kennwort des Benutzers selbst oder ein privilegierter Account, also der geheime Schlüssel eines Domänen-Administrators oder Konten-Operators, ändert das Kennwort für den betroffenen Benutzer.
Remote-Sitzungen solide gelöst
Um ein Kennwort zu verwenden, konnten wir es – Leseberechtigung vorausgesetzt – aus dem Webfrontend in die Zwischenablage befördern. RDP-Sitzungen zu Windows-Systemen oder PuTTY-Sitzungen zu UNIX und Linux initiiert der Secret Server alternativ direkt aus dem Dashboard heraus. Dazu fanden wir in den Eigenschaften von Windows- und Linux-Konten jeweils Links zum "RDP-Startprogramm" und dem "PuTTY-Startprogramm".
Dahinter verbirgt sich der Protokoll-Handler, den der Secret Server bei erster Verwendung zur Installation unter Windows und macOS anbietet. Nach seiner Installation nimmt dieses Werkzeug Links aus dem Dashboard entgegen und startet die passende Remote-Sitzung. Mehr Komfort beim Aufbau von Sitzungen verspricht der separat zu lizenzierende Connection Manager. Darüber hinaus bietet Delinea auch die Integration in zahlreiche Produkte von Drittanbietern, wie etwa Devolutions Remote Desktop Manager, an.
Fazit
Der Secret Server positioniert sich als umfassende Software für das Privileged Access Management überall dort, wo dateibasierte Ansätze nicht mehr ausreichen. Besonders gut gefallen hat uns das RBAC-Konzept. Die Berechtigungen sorgen dafür, dass Nutzer nur Zugriff auf die geheimen Schlüssel erhalten, die sie auch tatsächlich benötigen.
Nicht vergessen werden darf, dass der Secret Server bei konsequentem Einsatz eine betriebskritische Komponente darstellt. High Availability und Disaster Recovery sollten folglich implementiert und getestet sein. Entsprechende Features offeriert der Hersteller als Add-on für die Professional Edition oder im Umfang der Platinum Edition.
(ln)