Erläuterung: Entscheiden über das Zulassen einer SSH-Verbindung
Die Einstellung SSH-Serververbindung gibt an, ob SSH-Verbindungen für die Kommunikation der Konsole mit einem Endpunkt verwendet werden können. Das Verwenden einer SSH-Verbindung birgt potenzielle Sicherheitsrisiken. Bevor Sie eine Entscheidung treffen, sollten Sie sich daher genau damit befassen, wie und wann SSH innerhalb von Security Controls verwendet wird.
Hintergrundinformationen
Zunächst sollten Sie wissen, dass Security Controls das SMB-Protokoll für die Kommunikation mit Windows-Computern und das SSH-Protokoll für die Kommunikation mit Linux-Computern verwendet. Wenn die Konsole versucht, unbekannte Computer zu ermitteln und mit ihnen zu kommunizieren, probiert sie zuerst das SMB-Protokoll aus. Wenn dieses nicht zum Ziel führt, wird SSH verwendet. SSH ermöglicht eine sichere Kommunikation zwischen zwei Endpunkten. Reagiert ein Endpunkt auf die SSH-Anfrage, wird versucht, sich gegenüber dem Endpunkt zu authentifizieren. Dazu werden von der Konsole bereitgestellte Anmeldeinformationen verwendet.
Obwohl SSH einen verschlüsselten Transport nutzt, sind alle über SSH gesendeten Daten für den SSH-Server sichtbar und verfügbar, auch Benutzernamen und Kennwörter. Um die Sicherheit der über eine SSH-Verbindung gesendeten Daten zu gewährleisten, verlangen viele Organisationen, dass der Client die Authentizität des Remotesystems, mit dem er sich verbindet, vor dem Senden von Daten validiert. Security Controls bietet derzeit keine Unterstützung für die SSH-Serverauthentifizierung. Sie müssen daher entscheiden, ob Sie SSH-Verbindungen grundsätzlich blockieren oder der Konsole das Überspringen der SSH-Serverauthentifizierung erlauben möchten.
Entscheidungsfindung
Wie Sie die Einstellung SSH-Serververbindung konfigurieren, richtet sich primär danach, ob die Computer, die Sie konfigurieren möchten, in Ihrem Netzwerk als vertrauenswürdig gelten. Die Einstellung wird an zwei Stellen der Security Controls-Benutzeroberfläche angezeigt. Für jeden Bereich hat die Einstellung einen anderen Geltungsbereich und andere Auswirkungen.
- In einer Computergruppe auf den Registerkarten Computername, Domänenname, IP-Adressbereich und Organisationseinheit
- Im Dialogfeld Computereigenschaften
Beim Durchführen von Erkennungsvorgängen auf Computern, die in einer Computergruppe definiert sind, ist oft nicht bekannt, um welche Art von Computer es sich am anderen Ende handelt. Möglicherweise wissen Sie, dass es sich bei den in einem bestimmten IP-Bereich Ihres Netzwerks definierten Computern um vertrauenswürdige Linux-Computer handelt. Für solche Computer können Sie die SSH-Verbindung zulassen, indem Sie entweder den Authentifizierungsprozess überspringen oder aber festlegen, dass jeder Computer einen Validierungsschritt durchlaufen muss. Beim Hinzufügen von Domänen oder Organisationseinheiten zu einer Computergruppe ist es jedoch eher unwahrscheinlich, dass Ihnen Informationen über den Betriebssystemtyp oder die Vertrauenswürdigkeit der Computer vorliegen. In dem Fall sollten Sie SSH-Verbindungen blockieren. Die Kehrseite dabei ist, dass Sie Ihre Linux-Computer nicht wie gewohnt verwalten können, es gibt jedoch Problemumgehungen, so genannte Workarounds.
Im Gegensatz zu den Computern in einer Computergruppe, die noch zu ermitteln sind, sind der Konsole die Computer in der Computeransicht oder Scanansicht bekannt. Der Umfang der über einen Computer vorhandenen Informationen kann jedoch begrenzt sein, wenn die Erkennung stattfand, während SSH-Verbindungen blockiert waren. Möglicherweise gibt es Hinweise zu einem Computer, wie eine Adresse, die Sie als statische IP ausmachen können, die den Schluss zulassen, dass der Computer vertrauenswürdig ist. In einer solchen Situation können Sie im Dialogfeld Computereigenschaften die Einstellung SSH-Serververbindung von Blockieren auf Mit Datei der bekannten Hosts abgleichen oder Serverauthentifizierung überspringen setzen. Sie können dann einen vollständigen Energiestatusscan des Linux-Computers oder eine Push-Installation eines Agenten durchführen.
Übersicht über die Optionen für SSH-Serververbindungen
- Blockieren: Wählen Sie diese Option, wenn Folgendes zutrifft:
- In Ihrer Umgebung befinden sich keine Linux-Computer.
- Sie verfügen über Linux-Computer, wissen aber nicht, ob alle SSH-Server in Ihrem Netzwerk vertrauenswürdig und sicher sind.
- Sie wissen nicht sicher, welchen BS-Typ die zu ermittelnden Computer haben.
- Mit Datei der bekannten Hosts abgleichen: Wählen Sie diese Option aus, wenn Sie jeden Zielcomputer anhand der Datei known_hosts validieren möchten, bevor Sie die SSH-Verbindung zulassen. Die Datei known_hosts befindet sich auf dem Konsolencomputer und gilt speziell für den derzeit an der Konsole angemeldeten Benutzer. So sieht der von Security Controls durchgeführte Validierungsprozess aus:
- Machen Sie auf dem Konsolencomputer die Datei known_hosts ausfindig.
- Falls die Datei known_hosts existiert und in der Datei ein Eintrag für den Zielcomputer vorhanden ist, fragen Sie beim Zielcomputer den SSH-Schlüssel ab. Security Controls vergleicht diesen Schlüssel mit dem in der Datei known_hosts. Wenn die zwei Schlüssel übereinstimmen, lassen Sie die Verbindung zu.
- Serverauthentifizierung überspringen: Wählen Sie diese Option nur dann, wenn Sie sicher sind, dass es sich bei den Computern um vertrauenswürdige und sichere Linux-Computer handelt.
Sie können keinen Energiestatusscan der Computer und keine Push-Installation eines Agenten auf den Computern durchführen. Die Auswahl der Option Blockieren hat keine Auswirkungen auf das Überwachen von Agentenbefehlen oder auf die Ergebnisse, die zurück an die Konsole gesendet werden.
Auf der Security Controls-Konsole muss ein SSH-Client installiert sein, damit dieser Prozess verwendet werden kann. Falls Ihre Konsole auf einer älteren Version von Windows oder Windows Server ausgeführt wird, müssen Sie den SSH-Client möglicherweise manuell herunterladen und installieren.
Die Datei befindet sich unter dem Pfad C:\Users\<username>\.ssh. Falls die Datei dort nicht existiert, wird die SSH-Verbindung blockiert.
Sie können die Datei known_hosts erstellen, indem Sie eine PowerShell-Befehlseingabe auf der Security Controls-Konsole öffnen und manuell eine SSH-Verbindung mit dem Zielcomputer initiieren. Während des Prozesses wird der Hostschlüssel des Zielcomputers bestätigt und dann zur neu erstellten Datei known_hosts hinzugefügt.
Der Schlüssel, den Security Controls kennt, wurde ursprünglich mithilfe des Benutzernamens und des Kennworts erstellt, der bzw. das für den Computer festgelegt wurde.
Workarounds bei Auswahl von "Blockiert"
Energiestatusscans
Wenn sich ein Linux-Computer in einer Computergruppe befindet, wird durch den Scan zwar der Computer ermittelt, aber es werden keine Betriebssysteminformationen erkannt. Wenn Sie zu dem Schluss kommen, dass es sich bei dem Computer um ein bekanntes Gerät in Ihrem Netzwerk handelt, dessen Sicherheit feststeht, können Sie zum Dialogfeld Eigenschaften des Computers wechseln und die Einstellung SSH-Serververbindung auf Mit Datei der bekannten Hosts abgleichen oder Serverauthentifizierung überspringen setzen. Zukünftige Scans des Computers werden erwartungsgemäß durchgeführt und liefern vollständige Details zum Computer.
Installieren eines Linux-Agenten
Es kann keine Push-Installation eines Agenten auf einen Linux-Computer durchgeführt werden, wenn die SSH-Verbindung zu diesem Computer blockiert ist. Sie können jedoch den Agenten manuell installieren. Danach funktioniert der Agent ganz normal, da für die reguläre Kommunikation mit der Konsole keine SSH-Verbindung verwendet wird.