Tipp: Aufgaben mit weitreichenden Berechtigungen sicher automatisieren – mit der Privileged Task Automation in PAM360
IT-Administratoren führen regelmäßig Aufgaben durch, für die weitreichende Berechtigungen erforderlich sind – von Änderungen der Systemkonfigurationen, über Software-Installationen und Datei-Übertragungen bis hin zum Log-Management.
Werden diese Tätigkeiten manuell ausgeführt, ist das nicht nur zeitaufwendig, sondern birgt auch Risiken: privilegierte Zugangsdaten müssen verwendet werden, Fehler schleichen sich ein und die Nachvollziehbarkeit leidet.
Mit der Privileged Task Automation (PTA) in PAM360 von ManageEngine lassen sich solche Aufgaben sicher und kontrolliert automatisieren. Privilegierte Prozesse werden dabei als definierte Workflows ausgeführt, ohne dass Administratoren oder andere Nutzer direkt auf privilegierte Zugangsdaten zugreifen müssen. Die benötigten Credentials werden während der Ausführung sicher aus PAM360 abgerufen, alle Aktionen protokolliert und zentral überwacht.
In diesem Tipp erfahren Sie, wie Sie mit der Privileged Task Automation in PAM360 wiederkehrende Aufgaben mit weitreichenden Berechtigungen automatisieren. So lassen sich manuelle Eingriffe reduzieren und gleichzeitig Sicherheits- und Compliance-Anforderungen erfüllen.
- Wie funktioniert die Privileged Task Automation in PAM360?
- Voraussetzungen und Rollen für die Nutzung der Privileged Task Automation
- So erstellen Sie einen automatisierten privilegierten Prozess
- So verwalten und ändern Sie automatisierte privilegierte Prozesse
- So automatisieren Sie privilegierte Prozesse mit Zeitplänen
Wie funktioniert die Privileged Task Automation in PAM360?
Die Privileged Task Automation (PTA) in PAM360 ermöglicht es, administrative Aufgaben automatisiert auszuführen, für die normalerweise die Zugangsdaten eines privilegierten Accounts erforderlich sind. Dazu werden von PAM360 sogenannte privilegierte Prozesse – also eine Abfolge von einzelnen Aufgaben – strukturiert als Workflow ausgeführt. Eine Offenlegung von Credentials ist dafür nicht erforderlich.
Für die Privileged Task Automation nutzt PAM360 eine direkte Integration zur Business-Prozess-Management-Plattform Qntrl von Zoho. Die automatisierten Workflows werden in Qntrl Circuits – einer speziell für die Automatisierung privilegierter Prozesse bereitgestellten Funktion – gesteuert. Verwalten, planen oder anstoßen lassen sie sich allerdings direkt über die Benutzeroberfläche von PAM360, sodass für die Nutzer kein Tool-Wechsel erforderlich ist.
Bei der Ausführung der Workflows kommuniziert PAM360 über einen Bridge Server mit den Zielsystemen. Der Bridge Server wird auf einem dedizierten Server im Unternehmensnetzwerk installiert und stellt eine verschlüsselte Kommunikation bei der nahtlosen und sicheren Ausführung privilegierter Aufgaben sicher.
Benötigt ein Prozess privilegierte Zugangsdaten, ruft der Bridge Server diese sicher aus PAM360 ab. Die Zugangsdaten werden dabei weder angezeigt noch dauerhaft gespeichert. Nach Abschluss der Ausführung werden alle Aktionen zentral protokolliert, sodass Ausführung, Ergebnisse und eventuelle Fehler jederzeit nachvollziehbar sind.
Auf diese Weise lassen sich privilegierte Aufgaben standardisieren, kontrolliert ausführen und revisionssicher dokumentieren – ohne direkte Zugriffe auf privilegierte Konten.
Hinweis:
Sollen privilegierte Aufgaben auf Remote-Systemen ausgeführt werden, die nicht direkt mit dem primären Bridge Server verbunden sind, kann in dem entsprechenden Netzwerk ein zusätzlicher Bridge Server installiert werden. Dieser ermöglicht die Ausführung in isolierten Umgebungen.
Wie läuft ein Privileged Task Automation Workflow in PAM360 ab?
Anstoßen der Aufgabe:
Der Benutzer startet einen vordefinierten Prozess direkt über die PAM360-Oberfläche.
Verarbeitung der Anforderung:
PAM360 leitet den Ausführungsauftrag an den Bridge Server weiter, der anschließend mit Qntrl Circuits kommuniziert, um den Workflow zu starten.
Sichere Ausführung:
Qntrl Circuits prüft die Anforderung und weist die Aufgabe dem passenden Bridge Server zu. Falls erforderlich, ruft der Bridge Server privilegierte Zugangsdaten über die vorgesehenen APIs sicher aus PAM360 ab und führt die Aufgabe auf dem Zielsystem aus.
Protokollierung und Rückmeldung:
Nach Abschluss der Ausführung protokolliert PAM360 alle relevanten Details für Audit- und Compliance-Zwecke.
Weitere Informationen zur Privileged Task Automation
finden Sie auf hier der englischen Website des Herstellers.
Einsatzszenarien für die Automatisierung privilegierter Aufgaben
- Regelmäßige System- und Service-Neustarts auf Servern und kritischen Endpoints
- Automatisierte Software-Installationen und -Updates mit administrativen Rechten
- Durchführen von Konfigurationsänderungen auf Servern, in Datenbanken oder Netzwerkkomponenten
- Ausführen von Wartungs- und Bereinigungsaufgaben, z. B. Logfile-Rotation oder Speicherbereinigung
- Automatisierter Datei- und Datenexport zwischen Systemen, die privilegierte Zugriffe erfordern
- Starten und Stoppen von Diensten oder Anwendungen im Rahmen von Wartungsfenstern
- Ausführen von Skripten mit erhöhten Berechtigungen, ohne privilegierte Zugangsdaten offenzulegen
- Geplante administrative Aufgaben außerhalb der regulären Arbeitszeiten
Noch unentschlossen?
Testen Sie PAM360 30 Tage lang kostenfrei und probieren Sie Funktionen wie rollenbasierte Zugriffskontrolle, Genehmigungs-Workflows, automatische Passwortrotation und vollständige Audit-Trails im praktischen Einsatz.
Jetzt 30 Tage kostenlos testen
Voraussetzungen und Rollen für die Nutzung der Privileged Task Automation
Um die Privileged Task Automation (PTA) in PAM360 nutzen zu können, müssen verschiedene technische Anforderungen erfüllt sowie die geeigneten Benutzerrollen in PAM360 vorhanden sein.
Technische Voraussetzungen:
- Die Privileged Task Automation wurde in PAM360 aktiviert
(Admin Tab > Workflow Orchestration > Privileged Task Automation). - Qntrl ist mit PAM360 registriert und die erforderliche API-Authentifizierung wurde eingerichtet.
- Mindestens ein Bridge Server wurde installiert und in PAM360 registriert.
- Die Zielsysteme, auf denen privilegierte Aufgaben ausgeführt werden sollen, sind über den Bridge Server erreichbar.
- In PAM360 sind die für die Ausführung benötigten privilegierten Konten hinterlegt.
Rollen in PAM360:
- Privileged Administrator: Nutzer mit dieser Rolle können alle PTA-Funktionen nutzen. Dazu zählen das Erstellen, Verwalten und Freigeben privilegierter Prozesse sowie das Einsehen der zugehörigen Audit-Protokolle.
- Andere Benutzer können privilegierte Prozesse ausschließlich dann ausführen, wenn diese explizit für sie freigegeben wurden.
- Benutzerdefinierte Rollen: Falls gewünscht, können Profile mit folgenden Berechtigungen erstellt werden:
- Manage Privileged Process: Der Benutzer kann privilegierte Prozesse erstellen und verwalten.
- Execute Privileged Process: Der Benutzer kann privilegierte Prozesse ausführen.
So erstellen Sie einen automatisierten privilegierten Prozess
Automatisierte privilegierte Prozesse in PAM360 bestehen aus einer Abfolge einzelner Aufgaben, die weitreichende Berechtigungen erfordern. Diese Aufgaben werden als strukturierter Workflow definiert. Privilegierte Prozesse lassen sich in PAM360 folgendermaßen erstellen:
- In PAM360 zu Admin > Workflow Orchestration > Privileged Task Automation > Privileged Process navigieren.
- Auf dem Tab „Processes“ auf „Add“ klicken.
- Namen sowie Beschreibung eingeben und auf „Next“ klicken, um Circuit Builder, die Benutzeroberfläche für die Workflow Automation, zu öffnen.
- Die benötigten Aufgaben per Drag & Drop aus der linken Spalte in den Workflow einfügen und in der gewünschten Reihenfolge anordnen.
- Je nach Aufgabe lassen sich in der rechten Spalte weitere Einstellungen vornehmen. Hier können Sie festlegen, auf welchen Ressourcen die jeweilige Aufgabe ausgeführt werden soll.
- Mit „Save“ speichern.
Unterstützte privilegierte Aufgaben und Flow Controls
Neben vordefinierten privilegierten Aufgaben (States) stellt PAM360 zahlreiche Flow Controls bereit, mit denen sich der Ablauf eines Prozesses z. B. durch Bedingungen, Verzweigungen oder Abhängigkeiten zwischen einzelnen Aufgaben detailliert steuern lässt.
Eine Übersicht aller unterstützten Aufgaben und Flow Controls finden Sie hier im englischen Hilfe-Dokument.
Zusatztipp: Eigene Skripte in privilegierte Prozesse integrieren
Für umfassendere Automatisierungen können Sie in PAM360 eigene Skripte in privilegierte Prozesse einbinden. Die Skripte werden dazu zunächst unter Scripts and Bridges > Scripts hochgeladen und können anschließend in Prozessen verwendet werden.
So verwalten und ändern Sie automatisierte privilegierte Prozesse
Einmal erstellte privilegierte Prozesse lassen sich in PAM360 zentral verwalten und bei Bedarf anpassen. Um einen vorhandenen Prozess zu bearbeiten, gehen Sie folgendermaßen vor:
- In PAM360 zu Admin > Workflow Orchestration > Privileged Task Automation > Privileged Process navigieren.
- In der Zeile mit dem gewünschten Prozess in der Spalte „Actions“ auf das Schild-Symbol klicken und eine der folgenden Optionen auswählen:
- Preview Process: Öffnet eine Voransicht des Workflows im Circuit Builder. Änderungen sind in dieser Ansicht nicht möglich.
- Edit Process: Ermöglicht das Anpassen von Aufgaben, Abläufen oder Konfigurationen.
- Edit Process Name: Prozessname und -beschreibung umbenennen.
- Share with Users: Prozesse für andere Benutzer freigeben oder Zugriffsrechte entziehen.
- Process Snapshot: Zeigt eine Übersicht der mit dem privilegierten Prozess verknüpften Konten und Ressourcen.
- Delete Process: Löscht den Prozess dauerhaft aus PAM360. Ein gelöschter Prozess kann nicht wiederhergestellt werden.
Zusatztipp:
Falls der Eigentümer eines privilegierten Prozesses das Unternehmen verlässt oder eine neue Rolle übernimmt, lässt sich die Ownership eines privilegierten Prozesses in PAM360 gezielt an einen anderen Benutzer übertragen: Einfach den gewünschten privilegierten Prozess aus der Liste auswählen, auf „Transfer Process Ownership“ klicken, neuen Prozesseigentümer auswählen und mit „Transfer“ bestätigen.
So automatisieren Sie privilegierte Prozesse mit Zeitplänen
Nachdem Sie einen privilegierten Prozess in PAM360 konfiguriert haben, können Sie mithilfe von Zeitplänen festlegen, wann und in welchen Intervallen dieser automatisiert ausgeführt werden soll. Vor dem Erstellen eines Zeitplans sollte jedoch sichergestellt werden, dass der privilegierte Prozess vollständig konfiguriert ist.
- In PAM360 zu Admin > Workflow Orchestration > Privileged Task Automation > Privileged Process navigieren.
- Auf dem Tab „Schedules“ auf „Add“ klicken.
- Im Drop-down-Menü bei „Process Name“ den gewünschten Prozess auswählen.
- Falls erforderlich, können Sie über die Schaltfläche „Add Inputs“ bei „Process Inputs“ weitere Eingabeparameter definieren.
- Passenden Zeitplan (tageweise oder monatlich) auswählen und weitere Details (z. B. Startdatum und Startzeit) festlegen.
- Zum Aktivieren des Zeitplans auf „Enable“ klicken.
Nach dem Anlegen können die Zeitpläne auf dem Tab „Schedules“ über „Edit Schedule“ im Drop-Down-Menü in der Spalte „Actions“ geändert bzw. mit „Delete Schedule“ gelöscht werden.
ManageEngine PAM360
ManageEngine PAM360 ist eine umfangreiche Privileged-Access-Management-Lösung, die es IT-Administratoren und privilegierten Anwendern ermöglicht, den Zugriff auf kritische IT-Ressourcen zu überwachen. Passwörter, Signaturen, Zertifikate und Lizenzschlüssel lassen sich dabei genauso granular kontrollieren wie Dokumente, Bilder oder Dienstkonten.
PAM360 bietet kontextbezogene Integrationen mit SIEM-, Ticketing- und Analyselösungen, mit deren Hilfe IT-Administratoren Modelle für das Benutzerverhalten erstellen und anomale Aktivitäten identifizieren sowie beenden können. Umfassende Audit- und Compliance-Berichte liefern zudem die Basis für datengestützte Sicherheitsentscheidungen.