Zu Hauptinhalten wechseln
Matrix42 Self-Service Help Center

Empfehlungen für einen sicheren Betrieb

Vergeben Sie so wenig Rechte wie möglich und so viele Rechte wie nötig!

Verwenden von Passwörtern in Empirum

Matrix42 bietet Kunden die Möglichkeit, in Software Paketen eigene Variablen mit dem Typ Passwort zu verwenden, um diese während der Ausführung nutzen zu können. Diese sind zwar nicht lesbar gespeichert, können aber wieder im Klartext ausgegeben werden, um sie in Installationsskripts verwenden zu können. Dies ist systembedingt nicht zu verhindern. Grundsätzlich haben normale Benutzer keinen Zugriff auf die Steuerdateien mit den verschlüsselten Daten, lokale Administratoren können diesen aber erlangen. Somit wird empfohlen, diese Skript-Passwörter nur dann zu nutzen, wo keine Alternativen (Single Sign on, Matrix42 MyWorkspace) zur Verfügung stehen.

 Zusätzlich zu den in Skripten verwendbaren Passwörtern nutzt Empirum für die internen Komponenten (Depotserver Synchronisation mit EmpSync, Agenten) eine auf AES256 basierte Verschlüsselungsvariante, für die keine Komponente bereitgestellt wird, die diese wieder in Klartext umwandeln kann. Da diese Variante auf einem Shared Secret Verfahren beruht, kann nicht ausgeschlossen werden, dass mit lokalem Zugriff auch eine Entschlüsselung möglich sein kann.

Matrix42 empfiehlt diese für alle Empirum Agent Konfigurationen und Depotsynchronisation zu verwenden, wo eine Nutzung von Zertifikaten oder Computer Konten nicht möglich ist.

Bei der Konfiguration der "Subdepot" und "Subdepot Webservices Configuration" Pakete ist die Nutzung von Variablen notwendig, da bei der Installation diverse PowerShell Skripts verwendet werden. Die relevanten INI Dateien, in denen diese Informationen gespeichert werden, werden nicht auf verwaltete Computer kopiert bzw. dort vorgehalten, sondern stehen nur diesen Servern zur Verfügung. 

Ablage der Konfigurationsdateien

Die Konfigurationsdateien, in denen Kennwörter hinterlegt werden, sind durch NTFS Berechtigungen vor unprivilegiertem Zugriff auf den verwalteten Computern geschützt.

Computername.ini
Computer und benutzerspezifische Datei mit Konfigurationsinformationen für Installationspakete. Es wird jeweils nur die eigene Datei lokal gespeichert.

AgentTemplate.xml
Allgemeine Konfigurationsdateien des Empirum Software Management Agent und der OS Installation. Es werden alle Konfigurationsdateien lokal gespeichert. Diese Datei enthält bei Nutzung der zertifikatbasierten oder Computer Konten Authentifizierung keine Kennwörter. 

Der Interpreter Setup.exe

Der Interpreter "Setup.exe" wird für die Abarbeitung von Empirum Skripten durch den Empirum Agenten verwendet. Hier gibt es im Abschnitt [Encryption] in der Standard-Setup.inf die Möglichkeit, die Empirum eigenen Verschlüsselungen (Setup, Sync) entschlüsseln zu lassen, um sie in der Skriptabarbeitung an Befehle übergeben zu können.

Das heißt, ein solches Passwort (Setup, Sync) kann durch einen einfachen ECHO-Befehl im Klartext ausgegeben werden.
Betroffene Verschlüsselungsmethoden: Setup, Sync

  • War dieser Artikel hilfreich?