Rechteverwaltung

    Endpoint Security: CyberArk Viewfinity 5.5 überwacht Applikationen

    Die Sicherheitslösung CyberArk On-Demand Privileges Manager dient dazu, User-Accounts mit privilegierten Zugriffsrechten zu prüfen und abzusichern. Jetzt hat das Unternehmen aus Israel als Ergänzung dazu Viewfinity 5.5 hinzugefügt und damit die Lösung in Richtung Endpoint Security weiterentwickelt. Diese Software ist in der Lage, Anwendungen und deren Nutzung zu kontrollieren.

    Hyper-V als Standardbenutzer (Nicht-Administrator) verwalten

    Windows Hyper-V LogoMöchte man das Management von Hyper-V und von VMs an Benutzer delegieren, die nicht Mit­glied der Administratoren sind, dann steht da­für seit Windows 8 und Server 2012 eine eigene Gruppe zur Verfügung. Beim Remote-Manage­ment unter Windows 10 muss man indes mit Zugriffsproblemen rechnen.

    Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten

    An Windows 8 anmeldenEs gehört zu den goldenen Regeln der Sys­tem­verwaltung, dass Admini­stratoren nicht perma­nent mit vollen Privi­legien arbeiten sollen. Für nor­male Tätigkeiten (Mail, Web, Office) reicht die Anmeldung als Standardnutzer. Die erhöhten Rech­te bleiben Situationen vorbehalten, in denen sie erforderlich sind. Windows bietet dafür mehrere Optionen.

    Zugriffsrechte für OUs im Active Directory anzeigen mit PowerShell

    Rechte für OUs delegieren in Active Directory-Benutzer und -ComputerDie Bedeutung eines gewissen­haften Rechte-Manage­ments für das AD und seine Objekte ist unbe­stritten. Unter den Bord­mitteln eignen sich GUI-Tools vor allem für das Zuteilen und Ent­ziehen der Berechtigungen, während Power­Shell besonders flexibel bei der Auswer­tung der ACLs ist.

    Herunterfahren von Windows mittels GPO verbieten

    Befehl "Herunterfahren" im Startmenü von Windows 7Während es auf einer Workstation normalerweise jedem Benutzer überlassen bleibt, wann er seinen PC herunter­fährt bzw. neu startet, sollte man das dafür nötige Recht am Server sparsam vergeben. Das gilt besonders für Terminal-Server, wo ein Reboot gleich mehrere User-Sessions betrifft.

    AccessEnum: Benutzerrechte für NTFS und Registry analysieren

    NTFS-Berechtigungen für Dateien und OrdnerEin akkurates Rechte-Management für Dateien und Ordner ist nicht nur kritisch, sondern unter Windows auch notorisch unübersichtlich. Einige Zusatz-Tools vereinfachen diese Aufgabe. Dazu zählt auch das kostenlose AccessEnum, das bei der Aufbereitung der Daten eigene Wege geht.

    Freigabe für Roaming Profiles und Ordnerumleitung einrichten: Name, Berechtigungen, Cache

    Roaming ProfilesMöchte man Server-gespeicherte Profile oder Ordnerumleitung nutzen, dann benötigt man dafür eine zentrale Ablage, die bestimmte Voraus­setzungen erfüllen sollte. Dazu gehören korrekt vergebene NTFS- und Freigaberechte sowie die Konfiguration von Offline-Files und Access Based Enumeration.

    Icacls, Takeown, PowerShell: Besitzer von Dateien unter NTFS ändern

    Besitzer einer Datei ändernBeim Management der Zugriffs­rechte für Dateien und Verzeich­nisse spielt der Besitzer eine wesent­liche Rolle, weil er anderen Benutzern Privilegien zuweisen oder entziehen kann. Möchte man den Besitz mehrerer Dateien über­nehmen, dann ist der Einsatz von Tools für die Kommando­zeile am effizientesten.

    Dumpsec: Berechtigungen für Freigaben, NTFS und Registry anzeigen

    Zugriffsrechte über Dynamic Access Control regeln.Die Zugriffs­berech­tigungen für IT-Ressourcen zu ver­walten, ist eine kritische Aufgabe der System­administration. Nachdem man sich mit den Bord­mitteln von Windows nur schwer einen Überblick über die vergebenen Rechte verschaffen kann, füllen Tools von Drittanbietern diese Lücke. Eines davon ist der Klassiker Dumpsec.

    Zugriffsrechte auf Freigaben anzeigen, ändern und entziehen mit PowerShell

    Zugriffsrechte für SharesDas mit Windows 8 und Server 2012 einge­führ­te Modul SmbShare kann nicht nur Verzeich­nisse freigeben oder deren Freigabe wieder beenden, sondern bietet auch mehrere Cmdlets für die Verwal­tung der Zugriffsrechte.

    Seiten