Das Problem
In den meisten Netzwerken kommen sogenannte Service Accounts zum Einsatz. Diese werden beispielsweise verwendet, um Dienste auszuführen. Nicht selten wird hierbei für mehrere Accounts ein und dasselbe Passwort verwendet. Das manuelle Ändern dieser Passwörter gestaltet sich als extrem aufwendig. Deswegen wird aus Bequemlichkeit oft darauf verzichtet.
Das Resultat ist, dass oftmals für viele sicherheitskritische Zugänge die gleichen veralteten Passwörter verwendet werden. Dies stellt natürlich ein extremes Sicherheitsrisiko dar. Einem Angreifer sind Tür und Tor geöffnet, wenn er an nur eines der Passwörter gelangt!
Die Lösung
Mit Hilfe des Discovery Service kann das komplette Netzwerk gescannt werden. Dabei wird sowohl nach lokalen Benutzerkonten als auch nach Active Directory Benutzern gesucht. Zudem werden auch Password Resets ermittelt, über die die Passwörter der gefundenen Accounts zurückgesetzt werden können.
Funktionsweise
Der Discovery Service kann in drei logische Schritte aufgeteilt werden:
- Es wird ein Discovery Service Task angelegt, der die Daten im Netzwerk ermittelt. Dieser kann einmalig oder auch zyklisch ausgeführt werden und läuft im Hintergrund.
- Die gefundenen Daten werden nach erfolgreichem Lauf im Discovery Service Modul angezeigt (z.B. Windows Benutzer, Dienste, etc.).
- Aus den gefundenen Daten können schlussendlich Passwörter oder Password Resets erzeugt werden.