Privilege-Management-Tools: Avecto, BeyondTrust, Scriptlogic, Viewfinity

Privilege ManagementDie gerade unter XP weit verbreitete Praxis, Benutzern lokale Administratorrechte einzu­räumen, erhöht Sicherheitsrisiken und führt außerdem dazu, dass Systemkonfigurationen durch Fehlbedienung in Mitleidenschaft gezogen werden. Windows 7 macht es jedoch Firmen leichter, das Prinzip des Least Privilege umzusetzen. An die fein abgestuften Möglichkeiten der Rechteverwaltung, die spezialisierte Tools bieten, reichen die Bordmittel von Windows 7 allerdings nicht heran.

Die üppige Ausstattung von Benutzern mit administrativen Privilegien für den lokalen PC ist in der Regel keine Nachlässigkeit der Systemverwaltung, sondern eine Folge von historisch bedingten Windows-Eigenheiten. So geht eine Reihe von Programmen immer noch davon aus, dass sie im Kontext eines administrativen Kontos ausgeführt werden und bereiten Probleme, wenn sie nur reduzierte Rechten erhalten. Außerdem sollen in vielen Firmen die Anwender in der Lage sein, einfache Aufgaben der Systemkonfiguration, etwa das Einrichten eines Druckers, selbst zu erledigen. Schließlich gibt es häufig Gruppen von Benutzern, die eigene Software installieren dürfen, wofür die Rechte des Standardbenutzers in der Regel nicht ausreichen.

Bordmittel von Windows bieten wenige Optionen

Windows 7 bringt einige Verbesserungen, die helfen, diese 3 Anforderungen zu erfüllen, also schlecht programmierte Software mit normalen Benutzerrechten auszuführen, einfache Administrationsaufgaben an Standardbenutzer zu delegieren und sie ActiveX-Controls installieren zu lassen. Allerdings folgen diese Mechanismen dem alles-oder-nichts-Prinzip. Hat der Benutzer nur Standardrechte, dann müssen alle Programme damit zurechtkommen, erhält er administrative Privilegien, dann arbeitet er dank UAC zwar normalerweise mit reduzierten Rechten, kann diese aber bei Bedarf anheben und alle Aktionen auf dem lokalen Rechner ausführen.

Rechte für Anwendungen, nicht für Benutzer gewähren

Spezialisierte Tools für das Privilege-Management beschreiten hier einen anderen Weg, der dem Administrator eine fein abgestufte Kontrolle ermöglicht. Ein durchgängig praktizierter Ansatz besteht darin, nicht dem Benutzer, sondern bei Bedarf problematischen Anwendungen, Scripts oder Prozessen höhere Rechte einzuräumen. Diese Erhöhung der Rechte erfolgt automatisch und für den Anwender transparent, er muss einem Programm also keine Erlaubnis erteilen oder Warnungen wegklicken.

Die Zuteilung der Privilegien erfolgt zudem bei den meisten Tools auf Basis von differenzierten Regeln, so dass beispielsweise eine Installationsdatei für eine bestimmte Software nur von Mitgliedern einer OU oder auf PCs in einem definierten IP-Adresskreis mit erhöhten Rechten ausgeführt werden kann. Außerhalb dieses Kontextes würde das Setup aufgrund der fehlenden Rechte in den meisten Fällen scheitern.

Ausführungskontrolle einschließlich Whitelisting

Da sich solche Tools individuell um Anwendungen kümmern und ihnen die jeweils benötigten Rechte zuweisen, ist es nur konsequent, dass sie auch ihre Ausführung gänzlich unterbinden. Anbieter wie Avecto oder Viewfinity integrieren daher ein Application Whitelisting in ihre Produkte, mit dem die Nutzung nicht explizit erlaubter Programme unterbunden werden kann.

Die Programme werden beim Whitelisting nach den gleichen Regeln definiert wie bei der automatischen Erhöhung der Rechte. Dieses Targeting erfolgt je nach Produkt auf Basis von Pfad plus Dateinamen, der Signatur (Hash) einer Datei, dem Ordner, in dem sie enthalten sind, der Ursprungs-URL und der Version eines ActiveX-Controls oder von Merkmalen einer CD bzw. DVD. Diese Kriterien tragen weiter dazu bei, die Rechte für ein Programm noch feiner abgestuft zu vergeben.

Privilegien lassen sich nicht nur abhängig von Eigenschaften des Benutzers erteilen, sondern auch an bestimmte Geräte binden. So kann der Administrator beispielsweise entscheiden, ob bestimmte Benutzer auf allen PCs ein ausgewähltes Programm (mit erhöhten Privilegien) ausführen dürfen oder ob alle Anwender die erforderlichen Rechte für die Software nur auf einzelnen Rechnern erhalten.

Installation von ActiveX-Controls

Windows enthält seit Vista den ActiveX-Installationsdienst, der Standardbenutzern das Installieren von Code aus dem Web erlaubt. Das Herunterladen von solchen Komponenten lässt sich zentral auf bestimmte Websites oder signierte Controls einschränken.

Praktisch alle Tools für das Privilege-Management verfügen über Funktionen, mit denen sich die Installation von ActiveX-Controls steuern lässt. Neben dem URL-abhängigen Whitelisting bietet etwa ViewFinity auch die Möglichkeit, die Installation auf bestimmte Versionen der Komponenten zu begrenzen und damit einen einheitlichen Release-Stand zu erzwingen.

Kompatibilität mit Standardrechten ermitteln

Der Schwerpunkt der spezialisierten Produkte für das Privilege-Management liegt erwartungsgemäß darauf, Standardbenutzern die Ausführung von Programmen ohne administrative Rechte zu ermöglichen und ihnen einfache Verwaltungsaufgaben zu übertragen.

Die Tools unterstützen den Systemverwalter mit Analysefunktionen beim Auffinden von Programmen, die höherer Rechte bedürfen. Die Installation von Software durch die Anwender lässt sich durch die Erhöhung der Rechte für die Setup-Programme freischalten.

Beschneidung von Admin-Rechten

Die Tools lassen sich darüber hinaus nutzen, um Benutzer mit administrativen Privilegien zu managen. Man muss sich bei dieser User-Gruppe also nicht damit abfinden, dass sie ohnehin alles tun dürfen. Wie bei Standardbenutzern kann man auch Admins die Rechte zur Ausführung bestimmter Programme entziehen. Dies muss nicht über eine totale Blockade durch das Whitelisting geschehen, sondern kann darauf beruhen, dass für ausgewählte Anwendungen und User die Anhebung der Rechte verweigert wird.

Auditing und Reporting

Zum Funktionsumfang der meisten Produkte gehört das Auditing von Aktionen, für die sie den Anwendungen erhöhte Rechte einräumen. Auf Grundlage dieser Daten lassen sich detaillierte Reports erstellen, aus denen hervorgeht, wer welche Anwendung wann mit administrativen Privilegien gestartet hat.

Integration mit Gruppenrichtlinien

Die Architektur der Tools für das Privilege-Management folgt im Wesentlichen dem gleichen Muster. Die Definition und Verteilung der Regeln ist bei Avecto, BeyondTrust und Viewfinity mit den Gruppenrichtlinien integriert. Sie erweitern den Gruppenrichtlinieneditor um einen Satz an zusätzlichen Regeln, die über die gewohnten Mechanismus an die Clients übertragen werden. Dort erzwingt ein Agent die zentral definierten Policies.

Produktübersicht

RES Workspace Manager enthält unter anderem auch eine Funktion zur Erhöhung der Rechte für Anwendungen.Funktionen für das Privilege-Management finden sich nicht nur in einer Handvoll spezialisierter Tools, sondern auch in Produkten für das User Environment Management wie Appsense oder Workspace Manager von RES Software. Beide Produkte decken eine breites Spektrum dessen ab, was nach ihrer Vorstellung eine Arbeitsumgebung ausmacht, darunter auch ein Profil- oder Device-Management. Die folgende Liste beschränkt sich dagegen auf Produkte, die darauf spezialisiert sind, Anwender bei der Umsetzung des Least-Privilege-Prinzips zu unterstützen.

Avecto

Produkt: Privilege Guard

Infos: Datenblatt mit einer Übersicht über die Funktionen

BeyondTrust

Produkt: PowerBroker Desktops

Infos: Datenblatt mit Funktionsübersicht

Kostenlose Basisversion: PowerBroker Desktops Free Tool erlaubt die automatische Anhebung von Rechten für einfache Administrationsaufgaben

Scriptlogic (gehört zu Quest Software)

Produkt: Privilege Authority

Infos: Funktionsübersicht, Datenblatt

Kostenlose Basisversion: Die Community Edition ist eine gut ausgestattete Einsteigerversion, mit der viele Unternehmen ihr Auslangen finden können. Funktionsvergleich mit der Vollversion und Download.

Viewfinity

Produkt: Viewfinity Privilege Management

Infos: Broschüre

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen