The ScriptRunner security concept
Mit ScriptRunner implementierst du ein Sicherheitskonzept, das auf mehreren Zonen mit unterschiedlichen Sicherheitsstufen basiert.
Die innere System-Zone enthält die zentralen IT-Ressourcen, z. B. Active Directory, Exchange Server, Office 365 etc. Aus der Sicht von ScriptRunner befinden sich die Zielsysteme in dieser Zone. Das erforderliche Sicherheitsniveau ist hier am höchsten.
Die zweite Zone enthält den ScriptRunner Server und das zentrale Script-Repository. Die erforderliche Sicherheitsstufe ist hoch. Lediglich ScriptRunner Admins können über das ScriptRunner Portal für Administratoren auf diese Zone zugreifen.
Die Anwender-Zone ist der Bereich, in dem sich die Anwender und ihre Ressourcen befinden. Im Fall von ScriptRunner sind dies Helpdesk- und Endanwender, welche das ScriptRunner Portal verwenden und Entwickler, die mit dem ISE Add-on arbeiten. Die Sicherheitsstufe ist hier „normal“.
Die Kommunikation darf nur über eine Zonengrenze hinweg stattfinden. Der Zugriff von der Anwender-Zone zur inneren Zone ist nicht möglich. Durch dieses Modell lassen sich nationale und internationale Sicherheitsstandards umsetzen.
ScriptRunner sichert den kompletten PowerShell-Lifecycle
ScriptRunner dient als zentrales Depot für deine PowerShell-Scripte und -Module und stellt sicher, dass diese schnell auffindbar sind.
Scripte können aus einem Verzeichnis hochgeladen oder aus einem Branch einer externen Codeverwaltung wie Git, Gitlab oder TFS synchronisiert werden.
Module werden einmalig auf dem ScriptRunner Host installiert und stehen danach für alle weiteren Aktivitäten zur Verfügung.
Die Zentralisierung stellt einen wichtigen Schritt zur Standardisierung dar: Sie gewährleistet, dass für alle Aufgaben jederzeit einheitlich die aktuelle Version des jeweiligen Scripts verwendet wird.
Mit dem ScriptRunner ISE Add-on können Scripte für die Bearbeitung bequem ein- und ausgecheckt werden.
Mehr zur professionellen Scriptentwicklung mit ScriptRunner >
Mit ScriptRunner kannst du Zugangsdaten, die für die Script-Ausführung benötigt werden, zentral speichern. Das vereinfacht die Verwaltung wesentlich, besonders bei der Nutzung von mehreren ScriptRunner-Instanzen.
Der zentrale Vorteil ist jedoch, dass keine Credentials innerhalb von PowerShell-Scripten hinterlegt werden müssen. ScriptRunner Server ruft diese zur Script-Laufzeit vom Passwort-Server ab.
Dafür stehen zum einen der Windows Credential Store auf dem ScriptRunner Server zur Verfügung, zum anderen können Passwort-Server, z. B. Cyber-Ark, Pleasant und Delinea durch Passwort Server Connectoren angebunden werden.
Mehr zu ScriptRunner Passwort Server Connectoren >
Das ScriptRunner Sicherheitskonzept gewährleistet eine effektive Trennung von Rechten und Zugriff: Helpdesk und Self-Service Endanwender des ScriptRunner portals bleiben Standard-Domänenbenutzer, ohne administrative Zugangsrechte an den Zielsystemen. Sie geben lediglich den Befehl an den ScriptRunner Server, dass dieser eine Aktion starten soll.
Wird eine Aktion aufgerufen, so startet der ScriptRunner Server auf der Basis der hinterlegten Richtlinien das zugehörige PowerShell-Script als administrativer Stellvertreter. Das Script wird auf dem Zielsystem mit den hinterlegten Systemrechten ausgeführt.
Für jedes Zielsystem können ein oder mehrere Dienstkonten konfiguriert werden. So lassen sich bspw. Managed Service Provider-Szenarien umsetzen.
Mehr zur den ScriptRunner Software Komponenten >
ScriptRunner gewährleistet, dass PowerShell-Scripte in einer zentralen und sicheren Umgebung ausgeführt und überwacht werden können.
Die Basis hierfür stellen Ausführungsrichtlinien dar. Mit ihnen definiert ein ScriptRunner-Admin bei der Erstellung einer Aktion, unter welchen Bedingungen ein Script ausgeführt werden darf.
Beim Aufruf einer Aktion prüft der ScriptRunner Server, ob alle Richtlinien eingehalten werden. Erst wenn dies zutrifft, wird das betreffende Script auf dem Zielsystem ausgeführt. Das Ausführungsprotokoll und die Ergebnisse jeder Aktion werden zentral im ScriptRunner Portal für Administratoren gespeichert.
Mehr zu ScriptRunner Aktionen >
ScriptRunner-Aktionen können an Helpdesk- und Endanwender delegiert werden, sodass diese sie über die Delegate oder Self-Service App starten können.
Der Anwender wählt eine Aktion aus, füllt über das Interface ggf. die erforderlichen Informationen (= Script-Parameter) aus und startet die Aktion. Ausführungsrichtlinien, Zielsysteme, Connectoren, Zugriffsrechte, Rollen und Einstellungen werden im ScriptRunner Server zentral verwaltet.
Der Server startet nun einen isolierten PowerShell-Prozess, gemäß der Ausführungsrichtlinie, mit allen erforderlichen Daten und Informationen und kontaktiert das Zielsystem, mit der Anweisung, das Script auszuführen.
Nachdem das Script ausgeführt wurde, werden die Ergebnisdaten zurück an den ScriptRunner Server gesendet.
Der ScriptRunner Server prüft nun das Ergebnis. Wenn es korrekt ist, wird es an die Delegate/Self-Service App weitergeleitet, und der Anwender wird über die erfolgreiche Ausführung bzw. den Fehler informiert.
Somit können ScriptRunner-Anwender PowerShell-Scripte auch ohne PowerShell-Kenntnisse sicher und einfach ausführen.
Mehr zur sicheren Delegation von Aufgaben mit ScriptRunner >