Hallo in die Runde,
mir geht es hier einmal um das grundsätzlich Prozedere beim Zugriff des Servers auf die Clients. Einmal zur Agenteninstallation aber auch danach zum aktiven Zugriff des Servers auf den Client.
Mit welchem Account soll der Server auf die Clients zur Agenteninstallation zugreifen?
A
ls Domänen-Admin? So ist es sicherlich am einfachsten, aber das ist absolut kein sicheres Verfahren.
Als Lokaler Admin auf dem Client? Was mache ich aber dann, wenn ich LAPS einsetze und das Passwort regelmäßig ändere?
Als separater lokaler Account auf dem Client? Dann ist wohl der LocalAccountTokenFilterPolicy Registry-Wert anzuwenden, damit das funktioniert.
Gibt es
eine sonstige Lösung?
Was ist ein empfohlenes Verfahren?
Kann ich irgendwo erkennen, welche Credentials pro Client hinterlegt sind?
für die Agenteninstallation über den ACMP Server muss sich der User lokale administrative Rechte auf dem Client verschaffen können und das Recht haben Befehle impersoniert auszuführen. Zugriff auf ipc$ und admin$ wird ebenfalls benötigt.
Nach der Agenteninstallation wird kein Benutzer mehr für die Kommunikation oder für die Job Ausführung benötigt. Der Dienst läuft als SYSTEM Benutzer und als Benutzer impersonierte Befehle laufen im Kontext des aktuell angemeldeten Benutzers.
Es können in einigen Client Command Bausteinen natürlich explizit Benutzer hinterlegt sein (z.B. Shell Execute Command im Reiter Ausführen als), diese sind dann eben individuell je Client Command.
Neben der Agenteninstallation über den ACMP Server ist z.B. auch eine Installation über eine GPO oder ein anderes Script möglich, dabei kann die Launcher.exe aus der ACMP Freigabe mit lokalen administrativen Rechten (ohne weitere Parameter) oder der Agent MSI Installer ( ACMP Server Verzeichnis\Installers\ACMP Client MSI\ ) mit entsprechenden Parametern aufgerufen werden.
Um es nochmal klarzustellen: es werden also auf dem Server KEINE Credentials gespeichert mit denen der Server nach der Installation des Agenten auf diesen zugreift?
Der Agent meldet sich ja alle 10 Minuten beim Server. Wie ist der Mechanismus, wenn ich in der Console einen Managed Software-Job, einen CAWUM-Job oder einen Client Command ausführe? Kontaktiert dann der Server den im System-Kontext laufenden Agenten über TCP-Port 2108?
wird eine Aktion vom Agent ausgeführt, der Dienst gestartet oder ein Scanner oder Job Intervall erreicht, nimmt der Agent Kontakt zum Server auf, im Standard über Port 2106 TCP. Wird vom Server eine Aktion an den Client gepushed, versucht der Server eine Verbindung über Port 2108 TCP am Agent aufzubauen.
Die Verbindung wird über ein natives Protokoll und über eine TLS gesicherte Verbindung aufgebaut, Server und Client werden über die jeweilige ID angesprochen. Dabei wird an keiner Stelle ein Benutzer/Kennwort verwendet. Dem Client muss dabei das Serverzertifikat und die ID bekannt sein und die ClientID muss dem Server bekannt sein.
Ebenfalls über diese Art Verbindung laufen Zugriffe auf das ACMP Server File Repository.
Zugriffe auf verteilte File Repositories laufen jedoch nicht über dieses Protokoll, sondern über FTP(S) oder SMB/Windows Share und hier wird der Zugriff mit dem jeweiligen hinterlegten Benutzer gemacht.
