Matt MillerKleine IT-Teams benötigen kein Wirrwarr an Sicherheitstools. Sie benötigen Schutzplanken, die schnell implementiert werden können und schwer zu umgehen sind. Das ist das Versprechen von JIT in einem IT-gestützten PAM. Es werden genau die benötigten Rechte nur für den Zeitraum gewährt, in dem sie benötigt werden - danach werden sie automatisch widerrufen. In der Palette von Devolutions ist PAM die Engine, die JIT erzwingt; RDM und Gateway optimieren Anfragen, Starts und Aufzeichnungen - aber PAM kann JIT auch eigenständig durchsetzen.
Probieren Sie es in Ihrer Umgebung aus
Richten Sie Devolutions PAM in der Cloud (Devolutions Cloud) oder auf unserem lokalen Server (Devolutions Server) ein und führen Sie den JIT-Workflow in RDM aus. Sie werden sehen, wie schnell privilegierte Arbeitsabläufe gezielt, nachvollziehbar und zeitlich begrenzt werden, ohne den laufenden Betrieb zu stören. Zum besten Preis auf dem Markt für kleine Teams und dazu in der Lage, Ergebnisse auf Unternehmensniveau zu liefern.
Verwandeln Sie Berechtigungen in ein zeitlich begrenztes, nachprüfbares Privileg
Das herkömmliche Prinzip der geringsten Berechtigungen schränkt zwar die Rechte ein, aber bestehende Berechtigungen bleiben bestehen und können weiterhin missbraucht werden. JIT geht einen Schritt weiter: Der Zugriff wird angefordert, zeitlich begrenzt und dann automatisch wieder entfernt, ohne jegliche Nachfrist. Dies entspricht dem Prinzip keiner dauerhaften Privilegien (Zero Standing Privilege - ZSP): keine permanenten Administratorrechte, sondern nur kurzzeitiger Zugriff bei Bedarf. Im Modell von Devolutions kann JIT sowohl festlegen „wer privilegiert werden kann", als auch „wie dieses Privileg genutzt wird", mit automatischem Widerruf bei Ablauf der Gültigkeit. Kontrollierte Erhöhung, die das Team nicht ausbremst.
Warum das wichtig ist: Sie verringern die Angriffsmöglichkeiten für Angreifer, reduzieren das Risiko seitlicher Bewegungen und machen jede Erhöhung zu einem überprüfbaren, kurzlebigen Ereignis.
JIT-Erhöhung im täglichen Betrieb mit RDM + Gateway
So sieht die geregelte Erhöhung aus, wenn Sie in die Tools eingebettet ist, die die Administratoren bereits verwenden:
- Anfrage in RDM mit einem Grund (und einem Ticket).
- Genehmigung eines zeitlich begrenzten Fensters (z. B. 15/60 Minuten) - es läuft automatisch ab.
- Starten über Devolutions Gateway mit Eingabe der Anmeldeinformation; die Passwörter werden dem Nutzer nicht angezeigt.
- Aufzeichnung der privilegierten Sitzung (RDP/SSH) und Verknüpfung mit der Anfrage.
- Widerruf/Rotation beim Check-in oder bei Zeitüberschreitung - der Zugriff endet, die Anmeldeinformationen ändern sich und der Pfad ist abgeschlossen.
Die Erhöhung der Berechtigungen wird dadurch gezielt, nachvollziehbar und schnell genug, um sie jederzeit nutzen zu können.
JIT-Erhöhung & JIT-Bereitstellung
JIT-Erhöhung: Erteilt einer bestehenden Identität kurzzeitig höhere Berechtigungen für eine definierte Aufgabe/ein definiertes Fenster und widerruft diese anschließend automatisch.
JIT-Bereitstellung: Gewährt kurzzeitige Zugriffsrechte, die an ein Anfragefenster gebunden sind und entfernt diese planmäßig, ohne dass eine manuelle Bereinigung erforderlich ist. In Devolutions PAM kann dies bedeuten, dass ein spezielles Konto für die Aufgabe erstellt, ein Zeitlimit festgelegt und anschließend der Zugriff widerrufen und das Passwort am Ende der Sitzung geändert wird. Beide Vorgehensweisen verhindern dauerhafte Berechtigungen; wählen Sie eine Methode, die am besten zu Ihrem Arbeitsablauf passt.
Wo Remote-Desktop-Management sinnvoll ist (und warum es die Effizienz steigert)
Wo Arbeit Richtlinien in die Praxis umsetzt
Im Allgemeinen konzentriert sich PAM auf die Anmeldeinformationen: Wer darf sie wie lange und mit welcher Genehmigung nutzen? Das Remote-Desktop-Management ergänzt diese Ebene um die Frage der Nutzung, ohne Administratoren auszubremsen. Anfragen erfolgen in RDM, Richtlinien regeln die Genehmigung, und die Datenquelle steuert, welche Sitzungen ein Nutzer starten kann. Das Einfügen der Anmeldeinformation verhindert, dass Techniker jemals die Passwörter einsehen können, und Devolutions Gateway übernimmt die gesamte Verbindung, sodass Sitzungen Netzwerke sauber und konsistent durchlaufen. Da die Schutzmechanismen Teil des täglichen Toolsets sind, steigt die Akzeptanz. RDM sorgt für einen reibungslosen Arbeitsablauf, während PAM die Anmeldeinformationen und Genehmigungen jeder Sitzung verwaltet.
Genehmigungen, die der tatsächlichen Arbeit entsprechen
Genehmigungsprozesse sollten sich nicht wie ein Umweg anfühlen. In RDM gehen Anfragen ein und werden gemäß der festgelegten Richtlinien an die Genehmiger weitergeleitet. Die Zeitfenster sind voreingestellt oder individuell anpassbar und die Antworten werden versendet. Genehmigte Sitzungen werden protokolliert und der Anfrage sowie der Genehmigung zugeordnet, um eine lückenlose Dokumentation zu gewährleisten. Nach Ablauf des Zeitfensters endet der Zugriff. Es gibt keine Nachfrist und keine Überraschungen wie „Ich habe vergessen, den Nutzer zu entfernen".
Schnelle, nachvollziehbare Erhöhung wird zum Standard, nicht zur Ausnahme.
Berichterstattung & Risiko: Zeigen Sie Ihre Arbeit (und Ihre Erfolge)
Prüfer wollen Beweise, keine Versprechungen. Mit Devolutions PAM kann Ihr Beweismaterial Folgendes umfassen: die Anfrage, den Genehmigungsverlauf, die Sitzungsdaten oder -aufzeichnungen (RDP/SSH) sowie Rotations-/Widerrufsereignisse - damit ist der Sachverhalt von Anfang bis Ende klar nachvollziehbar.
Neueste Aktualisierungen optimieren diesen Arbeitsablauf zusätzlich und erleichtern die Darstellung der Governance (z. B. durch die Verknüpfung von Tickets mit Aktivitäten und die Stärkung der „Wer/Was/Wann/Warum"-Zusammenhänge in Protokollen).
Rekonstruieren Sie den Hergang in wenigen Minuten - mit objektiven Kennzahlen zur Abdeckung und für Dienstleistungsvereinbarungen (SLA).
Woran wir gerade arbeiten
Wir investieren weiterhin in:
- Breitere Anbieterabdeckung: Erweiterung der Liste der Arten der Managed-Services-Anbieter (MSP), damit ein größerer Teil Ihres IT-Ökosystems von PAM erkannt und verwaltet werden kann und mit dem Prinzip der geringsten Berechtigungen (PoLP) übereinstimmt.
- Feiner abgestimmte Berechtigungen: Erhöhung der Flexibilität und Granularität der Berechtigungen für privilegierte Konten und PAM-Tresore, um das Prinzip keiner dauerhaften Berechtigungen (ZSP) besser durchzusetzen, die Trennung von Aufgaben zu ermöglichen und mehr Organisationsmodelle (einschließlich MSP-Szenarien) abzudecken.
Und wir erforschen:
- Browserbasierte Ergonomie über die Workspace-Browser-Erweiterung: Wir prüfen Möglichkeiten, ausgewählte PAM-Aktionen in den Browser zu integrieren, beispielsweise das Prüfen/Genehmigen von Anfragen oder das Auslösen von Rotationen, um einfache Aufgaben mit weniger Kontextwechseln zu ermöglichen. Weitere Details werden folgen, sobald die Entwürfe ausgereifter sind.
Starten Sie eine kostenlose 30-tägige Testversion von PAM, um zu sehen, wie wir IT-Experten dabei unterstützen, eine hervorragende PAM-Abdeckung mit weniger dauerhaft bestehenden Zugriffsrechten in ihren Unternehmen zu erreichen.
Steven Lafortune
Adam Listek
Marc Beausejour