Ändern von IIS-Kennwörtern auf der Inventarisierungsstation

IT-Asset-Management (Cloud)

Wenn Sie Microsoft IIS als Webserver für eine Inventarisierungsstation verwenden, können Sie die Standardauthentifizierung wählen. Dazu ist ein spezielles Verfahren notwendig, um den Verlust von „verwaisten“ verwalteten Geräten zu verhindern, wenn Sie das Kennwort für das autorisierte Konto ändern müssen.

(Sie können sämtliche in diesem Thema behandelten Schritte vermeiden, wenn Sie einen anonymen Zugriff auf Inventarisierungsstationen zulassen. Damit können solche Inventarisierungsstationen von verwalteten Geräten, bei denen die Verbindung zur üblichen Inventarisierungsstation getrennt wird, auch als Failover-Systeme verwendet werden. Wenn Sie jedoch aus Sicherheitsgründen die Standardauthentifizierung verwenden müssen, ist dieses Thema für Sie relevant.)

Die Kontonamen und Kennwörter, die von verwalteten Geräten für die Standardauthentifizierung beim Zugriff auf IIS auf der Inventarisierungsstation verwendet werden, werden zu dem Zeitpunkt auf den jeweiligen verwalteten Geräten gespeichert, zu dem die betreffenden Geräte übernommen werden (und der Inventarisierungsagent installiert wird). Wenn Sie dann später das Kennwort für das Konto ohne sorgfältige Planung ändern, „verwaisen“ die Geräte, für die das alte Kennwort verwendet wird, und können keine Inventardaten mehr hochladen.

Führen Sie einen der folgenden Schritte aus, um zu verhindern, dass verwaiste Geräte entstehen:
  • Treffen Sie die Festlegung, dass das Kennwort für das Zugriffskonto niemals abläuft (gängige Praxis für Dienstkonten).
  • Vergewissern Sie sich, dass nur der Upload-Speicherort (ManageSoftRL) mit der Standardauthentifizierung gesichert ist und dass für den Download-Speicherort (ManageSoftDL) immer die anonyme Authentifizierung verwendet wird. Dazu müssen die Einstellungen für IIS manuell angepasst werden wie erläutert unter Konfiguration der Inventarisierung
  • Verwalten Sie Kennwortänderungen mit einem Paar überlappender Konten.
Die letztgenannte Vorgehensweise funktioniert folgendermaßen:
  1. Gehen Sie davon aus, dass von der Inventarisierungsstation für die ihr zugeordneten verwalteten Geräte ein Benutzername:Kennwort-Paar in der Form FirstAccount:OrigPwd bereitgestellt wurde. Gemäß einer Unternehmensrichtlinie rückt der Zeitpunkt näher, zu dem die Festlegung für OrigPwd geändert werden muss.
  2. Sorgen Sie dafür, dass fünf Tage vor Ablauf von OrigPwd ein weiteres Konto SecondAccount:LongtermPwd in Windows eingerichtet wurde (entweder in Active Directory oder als lokales Konto auf dem Server der Inventarisierungsstation) und dass für dieses Konto Zugriffsrechte für Microsoft IIS eingeräumt wurden. Vergewissern Sie sich, dass die Festlegung für LongtermPwd nicht am selben Datum geändert werden muss, an dem OrigPwd abläuft. Dies sollte ein Kennwort sein, das während des gesamten Zyklus das aktuelle Kennwort bleiben kann, so lange, bis der nächste Zeitpunkt näher rückt, zu dem neue Kennwörter vergeben werden müssen.
  3. Registrieren Sie wiederum fünf Tage vor Ablauf von OrigPwd die Festlegung für SecondAccount:LongtermPwd in der Benutzeroberfläche der Inventarisierungsstation in der Registerkarte Local Web Server.
    Tipp: Angesichts des Zeitraums von fünf Tagen steht ausreichend Zeit zur Verfügung, dass die neuen Kontodetails auf alle verwalteten Geräte heruntergeladen werden können. Jedes einzelne Gerät wird auf den neuen Kontonamen und das neue Kennwort umgestellt, sobald die entsprechenden Informationen heruntergeladen wurden. Wenn Sie Außendienstmitarbeiter beschäftigen, deren Notebooks mithilfe der Standardauthentifizierung von einer Inventarisierungsstation verwaltet werden, sorgen Sie dafür, dass dieser Zeitraum lang genug ist, damit für alle im Außendienst mitgeführten Geräte eine Verbindung hergestellt werden kann. Ebenfalls ist zu klären, ob ein Mitarbeiter gerade seinen Jahresurlaub in Anspruch nimmt und sein Desktopcomputer während dieser Zeit ausgeschaltet ist. In beiden Fällen müssen die jeweiligen Systeme während des notwendigen Zeitraums von einem Monat oder auch länger in Betrieb bleiben.
  4. Wiederholen Sie diesen Vorgang, falls Sie mehrere Inventarisierungsstationen einsetzen, für jede einzelne von ihnen, und registrieren Sie ein zweites Konto mit einem langfristigen Kennwort. (Dabei kann es sich um dasselbe zweite Konto handeln, sofern Ihre Sicherheitsinfrastruktur dies zulässt. Für die Inventarisierungsstationen ist es nicht erforderlich, dass verschiedene Konten verwendet werden.
  5. Nach dem Zeitraum der Überlappung läuft OrigPwd ab, oder Sie können das betreffende Kennwort auf der bzw. den Inventarisierungsstation(en) deaktivieren, sofern Sie dies wünschen. Die verwalteten Geräte werden weiterhin mit SecondAccount:LongtermPwd betrieben.
  6. Wiederholen Sie diesen Vorgang, wenn der nächste Zyklus der Kennwortänderung ansteht. Sie können bei Bedarf wieder auf FirstAccount mit einem neuen langfristigen Kennwort umsteigen, das den Zeitraum der Überlappung überdauert und bis zum folgenden Zyklus der Kennwortänderung gültig bleibt.

Durch Hin- und Herwechseln zwischen (mindestens) zwei Konten mit einem ausreichenden Überlappungszeitraum kann für die verwalteten Geräte im Zeitraum der Überlappung zwischen den Konten gewechselt werden, sodass keine verwaisten Geräte entstehen.

Tipp: Bei anderen Änderungen benötigen Sie ggf. keine separaten Konten während des Zeitraums der Überlappung. Wenn beispielsweise das Protokoll für die installierten Inventarisierungsagenten, das zum Kontaktieren der Inventarisierungsstation verwendet wird, von HTTP in HTTPS geändert wird, können die verwalteten Geräte ebenfalls verwaisen, genau wie bei einer Änderung des Kennworts. Bei einem Wechsel des Protokolls können Sie jedoch sowohl HTTP als auch HTTPS auf demselben IIS-Server aktivieren und beide in Betrieb halten, bis die Einstellungen von allen verwalteten Zielgeräten (und etwaigen untergeordneten Inventarisierungsstationen) aktualisiert und umgestellt wurden.

IT-Asset-Management (Cloud)

Current