Access Manager: Wiedervorlage für Mitgliedschaften in AD-Gruppen und für NTFS-Rechte

    Access-Manager-Rezertifizierung-TeaserDiverse Tools für das Active Directory erlauben eine strin­gente Verwaltung von Be­nutzern und Gruppen. Lau­fende Änderungen bei den Zu­ständig­keiten der Mit­arbeiter nagen aber beständig an der ur­sprüng­lich er­zielten Ord­nung. BAYOOSOFT Access Manager bietet mehrere Mecha­nismen, um das zu ver­hindern.

    Die Beschränkung von Zugriffs­rechten auf das Not­wendigste ist ein zentrales Element der IT-Sicherheit. Sie steht auch im Zentrum von Regularien wie etwa der DSGVO, wobei diese zusätzlich fordern, dass Unternehmen rückwirkend Auskunft geben können, wer zu einem bestimmten Zeitpunkt welche Berechtigungen auf eine fragliche Ressource hatte.

    Als besonders ungünstig erweist sich in dieser Hinsicht eine Umgebung, wo mehrere Admins auf direkten Zuruf von End­anwendern Berechtigungen auf Verzeichnisse und andere IT-Ressourcen vergeben. Mangels Dokumentation geht nach relativ kurzer Zeit der Überblick verloren, wer aus welchem Grund welche Rechte besitzt. In der Regel kommt es zusätzlich zur Über­berechtigung vieler User.

    Rechtevergabe durch die Fachabteilung

    Die BAYOONET AG schiebt mit dem Access Manager solchen unerwünschten Entwicklungen gleich mehrfach einen Riegel vor. Die erste Maßnahme steht darin, dass Berech­tigungen nicht ad hoc erteilt werden, sondern über einen definierten Genehmigungs-Workflow (siehe dazu BAYOOSOFT Access Manager: Ordner-Berechtigungen über Workflows vergeben).

    Vergabe von Berechtigungen über Workflows in Access Manager

    Dabei beantragt üblicherweise der Benutzer selbst über ein Self-Service-Portal die Zugriffsrechte, die er für eine bestimmte Aufgabe benötigt. Geprüft wird diese Anfrage vom Verant­wortlichen in der Fachabteilung, der in der Regel besser weiß als die IT-Abteilung, mit welchen Projekten ein Mitarbeiter beschäftigt ist.

    Befristete Berechtigungen

    Die nächste Haltelinie lässt sich durch die zeitliche Beschränkung von Berechtigungen einziehen. Wenn klar ist, wie lange ein (externer) Mitarbeiter in ein bestimmtes Projekt involviert ist, dann entzieht Access Manager dieser Person mit Ablauf des hinterlegten Datums die Zugriffsrechte auf die betreffende Ressource.

    Berechtigungen lassen sich zeitlich befristet erteilen.

    Kritische Verzeichnisse lassen sich schützen, indem dort alle Berechtigungen grundsätzlich nach einer vorgegebenen Frist ablaufen.

    Umfassende Protokollierung

    Alle Aktivitäten, welche die Berechtigung von Benutzern beeinflussen, schreibt das System mit. Die IT-Abteilung kann den Audit-Trail direkt einsehen und so jedes Ereignis im Protokoll erkennen.

    Die zahlreichen Einträge im Audit lassen sich durch Filter eingrenzen.

    Für Audits, bei denen Unternehmen nachweisen müssen, wie Rechte für bestimmte Benutzer zustande gekommen sind, bietet Access Manager eine Reihe von vordefinierten Reports. Ausgangpunkt kann dafür entweder ein User-Account oder eine Ressource sein.

    Dieser Bericht zeigt, wo ein bestimmter Benutzer überall Berechtigungen hat und wie er an sie gelangt ist.

    Im ersten Fall erfährt man, wo überall ein Benutzer zu welchem Zeitpunkt eine Berechtigung erhalten oder verloren hat. Umgekehrt lässt sich aber auch anzeigen, wann welche Konten auf eine bestimmte Ressource berechtigt wurden.

    Der Versand von Berichten an Verantwortliche kann helfen, fehlerhafte Berechtigungen zu entdecken.

    Die Reports können von Access Manager an die Inhaber verschiedener Rollen versandt werden.

    Korrektur der Compliance-Drift

    Access Manager ist dem Active Directory vorgeschaltet und speichert den Soll-Zustand für die Berechtigungen in seiner eigenen Datenbank, bevor es diesen über AD-Gruppen­mitglied­schaften abbildet. Da liegt es nahe, dass Admins das System einfach umgehen, indem sie User mit den Bordmitteln in AD-Gruppen aufnehmen.

    Hier entdeckt der regelmäßige Vergleich von Ist- und Soll-Zustand jedoch schnell solche unzulässigen Operationen, so dass Access Manager die Compliance mit der erwünschten Konfiguration automatisch wieder­herstellen kann.

    Auch solche Vorkommnisse scheinen im Protokoll auf. Möchte man allerdings herausfinden, wer das AD am Access Manager vorbei manipuliert hat, dann muss man dafür das Windows-eigene Auditing auswerten.

    Regelmäßige Revision von Berechtigungen

    Der Workflow, welcher Genehmigungen an die Fach­abteilungen delegiert, sowie die zeitliche Befristung von Privilegien beugen einer unkon­trollierten Rechtevergabe vor. Berichte und Audit-Trails helfen zudem, Änderungen bei den Zugriffsrechten nachzuverfolgen.

    Dennoch lässt sich damit alleine eine Über­privilegierung noch nicht ausschließen. Eine solche kann etwa zustande kommen, wenn Mitarbeiter die Abteilung wechseln und die Zuständigen vergessen, sie aus den bisherigen Profilen zu entfernen.

    Das Problem multipliziert sich zusätzlich noch, wenn ein übermäßig mit Rechten ausgestattetes Konto als Referenz-User auf einen neuen Benutzer mit dem gleiche Aufgaben­gebiet kopiert wird. Solche Fehl­entwicklungen sind auch schwer über Reports zu entdecken.

    Daher setzt BAYOONET als letzte Verteidigungs­linie auf eine periodische Neubewertung von Berechtigungen. Die Intervalle zwischen den Revisionen der Zugriffsrechte und der Zeitraum, innerhalb dessen diese erfolgen müssen, lassen sich einstellen.

    Über die Systemeinstellungen lassen sich die Intervalle und die Dauer der Rechterevision konfigurieren.

    Adressat von Nachrichten, die zur Rezertifizierung auffordern, ist der Verantwortliche, eine Rolle im Access Manager. Sie genehmigt bzw. verweigert innerhalb des Workflows die Anträge auf Berechtigungen. Üblicherweise haben mehrere Personen diese Funktion inne, so dass die anfallenden Aufgaben aufgeteilt und auch bei ungeplanten Abwesenheiten von anderen übernommen werden können.

    Der Verantwortliche erhält eine Übersicht über alle Ressourcen, für die er die Zugriffsrechte bestätigen soll. Diese sind mit einem Ausrufezeichen markiert. Es reicht allerdings nicht, die jeweiligen Berechtigungen durchzusehen, vielmehr muss ihre Gültigkeit explizit durch Anklicken der entsprechenden Schaltfläche bestätigt werden.

    Die Berechtigungen auf die durch Ausrufezeichen gekennzeichneten Ressourcen müssen bestätigt werden.

    Diese Aktion wird ebenfalls mitprotokolliert, so dass sich im Nachhinein erkennen lässt, wer die vorhandenen Zugriffsrechte zu welchem Zeitpunkt bestätigt oder gegebenenfalls geändert hat. Die dazugehörige Auswertung liefert ein eigener Report, der auch zeigt, welche Berechtigungen bis dato nicht erneuert wurden.

    In dringenden Fällen können Unternehmen zu einer radikalen Maßnahme greifen, wenn der Verantwortliche den letzten Termin für die Rezertifizierung verstreichen ließ, und sämtliche Berechtigungen auf Ressourcen entfernen, wenn diese nicht bestätigt wurden. Diese lassen sich dann nicht mehr reaktivieren, sondern müssen neu gesetzt werden.

    Fazit

    Ein Genehmigungs-Workflow für Berechtigungen, die Delegierung der Rechtevergabe an die Fachabteilungen sowie eine zeitliche Befristung von Zugriffsrechten helfen dabei, verbindliche Prozesse für das Berechtigungs-Management zu etablieren. Dadurch sollte kein Benutzer Privilegien erhalten, die ihm nicht zustehen.

    In dynamischen Arbeits­umgebungen mit einer starken Ausrichtung auf Teams und Projekte unterminiert der ständige Wechsel von Zuständigkeiten der Benutzer aber eine einmal erreichte Berechtigungs­struktur.

    Zwar zeigen Audit-Trails und Report dann bei Bedarf, warum einige User zu viele Rechte besitzen - allerdings nur, wenn dieser Sachverhalt jemandem auffällt. Dies kann die proaktive und regelmäßige Prüfung der Zugriffsrechte sicher­stellen.

    1 Kommentar

    Bild von Olaf Eitner
    Olaf Eitner sagt:
    15. April 2020 - 10:21

    Ein sehr guter Artikel. Auch bei uns besteht eine recht "dynamische Arbeits­umgebung" und recht(lich) ähnlichen Problemen (es wechseln nicht nur (häufig) die Personen/Projekte, sondern auch deren SO). Vielen Dank für diese Anregungen! O.E.