Access Manager: Wiedervorlage für Mitgliedschaften in AD-Gruppen und für NTFS-Rechte

Als besonders ungünstig erweist sich in dieser Hinsicht eine Umgebung, wo mehrere Admins auf direkten Zuruf von End­anwendern Berechtigungen auf Verzeichnisse und andere IT-Ressourcen vergeben. Mangels Dokumentation geht nach relativ kurzer Zeit der Überblick verloren, wer aus welchem Grund welche Rechte besitzt. In der Regel kommt es zusätzlich zur Über­berechtigung vieler User.

Rechtevergabe durch die Fachabteilung

Die BAYOONET AG schiebt mit dem Access Manager solchen unerwünschten Entwicklungen gleich mehrfach einen Riegel vor. Die erste Maßnahme steht darin, dass Berech­tigungen nicht ad hoc erteilt werden, sondern über einen definierten Genehmigungs-Workflow (siehe dazu BAYOOSOFT Access Manager: Ordner-Berechtigungen über Workflows vergeben).

Dabei beantragt üblicherweise der Benutzer selbst über ein Self-Service-Portal die Zugriffsrechte, die er für eine bestimmte Aufgabe benötigt. Geprüft wird diese Anfrage vom Verant­wortlichen in der Fachabteilung, der in der Regel besser weiß als die IT-Abteilung, mit welchen Projekten ein Mitarbeiter beschäftigt ist.

Befristete Berechtigungen

Die nächste Haltelinie lässt sich durch die zeitliche Beschränkung von Berechtigungen einziehen. Wenn klar ist, wie lange ein (externer) Mitarbeiter in ein bestimmtes Projekt involviert ist, dann entzieht Access Manager dieser Person mit Ablauf des hinterlegten Datums die Zugriffsrechte auf die betreffende Ressource.

Kritische Verzeichnisse lassen sich schützen, indem dort alle Berechtigungen grundsätzlich nach einer vorgegebenen Frist ablaufen.

Umfassende Protokollierung

Alle Aktivitäten, welche die Berechtigung von Benutzern beeinflussen, schreibt das System mit. Die IT-Abteilung kann den Audit-Trail direkt einsehen und so jedes Ereignis im Protokoll erkennen.

Für Audits, bei denen Unternehmen nachweisen müssen, wie Rechte für bestimmte Benutzer zustande gekommen sind, bietet Access Manager eine Reihe von vordefinierten Reports. Ausgangpunkt kann dafür entweder ein User-Account oder eine Ressource sein.

Im ersten Fall erfährt man, wo überall ein Benutzer zu welchem Zeitpunkt eine Berechtigung erhalten oder verloren hat. Umgekehrt lässt sich aber auch anzeigen, wann welche Konten auf eine bestimmte Ressource berechtigt wurden.

Die Reports können von Access Manager an die Inhaber verschiedener Rollen versandt werden.

Korrektur der Compliance-Drift

Access Manager ist dem Active Directory vorgeschaltet und speichert den Soll-Zustand für die Berechtigungen in seiner eigenen Datenbank, bevor es diesen über AD-Gruppen­mitglied­schaften abbildet. Da liegt es nahe, dass Admins das System einfach umgehen, indem sie User mit den Bordmitteln in AD-Gruppen aufnehmen.

Hier entdeckt der regelmäßige Vergleich von Ist- und Soll-Zustand jedoch schnell solche unzulässigen Operationen, so dass Access Manager die Compliance mit der erwünschten Konfiguration automatisch wieder­herstellen kann.

Auch solche Vorkommnisse scheinen im Protokoll auf. Möchte man allerdings herausfinden, wer das AD am Access Manager vorbei manipuliert hat, dann muss man dafür das Windows-eigene Auditing auswerten.

Regelmäßige Revision von Berechtigungen

Der Workflow, welcher Genehmigungen an die Fach­abteilungen delegiert, sowie die zeitliche Befristung von Privilegien beugen einer unkon­trollierten Rechtevergabe vor. Berichte und Audit-Trails helfen zudem, Änderungen bei den Zugriffsrechten nachzuverfolgen.

Dennoch lässt sich damit alleine eine Über­privilegierung noch nicht ausschließen. Eine solche kann etwa zustande kommen, wenn Mitarbeiter die Abteilung wechseln und die Zuständigen vergessen, sie aus den bisherigen Profilen zu entfernen.

Das Problem multipliziert sich zusätzlich noch, wenn ein übermäßig mit Rechten ausgestattetes Konto als Referenz-User auf einen neuen Benutzer mit dem gleiche Aufgaben­gebiet kopiert wird. Solche Fehl­entwicklungen sind auch schwer über Reports zu entdecken.

Daher setzt BAYOONET als letzte Verteidigungs­linie auf eine periodische Neubewertung von Berechtigungen. Die Intervalle zwischen den Revisionen der Zugriffsrechte und der Zeitraum, innerhalb dessen diese erfolgen müssen, lassen sich einstellen.

Adressat von Nachrichten, die zur Rezertifizierung auffordern, ist der Verantwortliche, eine Rolle im Access Manager. Sie genehmigt bzw. verweigert innerhalb des Workflows die Anträge auf Berechtigungen. Üblicherweise haben mehrere Personen diese Funktion inne, so dass die anfallenden Aufgaben aufgeteilt und auch bei ungeplanten Abwesenheiten von anderen übernommen werden können.

Der Verantwortliche erhält eine Übersicht über alle Ressourcen, für die er die Zugriffsrechte bestätigen soll. Diese sind mit einem Ausrufezeichen markiert. Es reicht allerdings nicht, die jeweiligen Berechtigungen durchzusehen, vielmehr muss ihre Gültigkeit explizit durch Anklicken der entsprechenden Schaltfläche bestätigt werden.

Diese Aktion wird ebenfalls mitprotokolliert, so dass sich im Nachhinein erkennen lässt, wer die vorhandenen Zugriffsrechte zu welchem Zeitpunkt bestätigt oder gegebenenfalls geändert hat. Die dazugehörige Auswertung liefert ein eigener Report, der auch zeigt, welche Berechtigungen bis dato nicht erneuert wurden.

In dringenden Fällen können Unternehmen zu einer radikalen Maßnahme greifen, wenn der Verantwortliche den letzten Termin für die Rezertifizierung verstreichen ließ, und sämtliche Berechtigungen auf Ressourcen entfernen, wenn diese nicht bestätigt wurden. Diese lassen sich dann nicht mehr reaktivieren, sondern müssen neu gesetzt werden.

Fazit

Ein Genehmigungs-Workflow für Berechtigungen, die Delegierung der Rechtevergabe an die Fachabteilungen sowie eine zeitliche Befristung von Zugriffsrechten helfen dabei, verbindliche Prozesse für das Berechtigungs-Management zu etablieren. Dadurch sollte kein Benutzer Privilegien erhalten, die ihm nicht zustehen.

In dynamischen Arbeits­umgebungen mit einer starken Ausrichtung auf Teams und Projekte unterminiert der ständige Wechsel von Zuständigkeiten der Benutzer aber eine einmal erreichte Berechtigungs­struktur.

Zwar zeigen Audit-Trails und Report dann bei Bedarf, warum einige User zu viele Rechte besitzen - allerdings nur, wenn dieser Sachverhalt jemandem auffällt. Dies kann die proaktive und regelmäßige Prüfung der Zugriffsrechte sicher­stellen.