BAYOOSOFT Berechtigungsaudit: Vollständige Analyse aller Zugriffsrechte auf Dateien und Verzeichnisse

Ein plan­volles Management von Datei­berech­tigungen schützt sen­sible Infor­mationen gegen unbe­fugten Zugriff. Die Praxis sieht in vielen Firmen aber meist anders aus, wenn der Über­blick über jahre­lang gewachsene Struk­turen verloren geht. Ein Tools-gestützter Service von BAYOOSOFT hilft beim Auf­räumen.

Für den Wildwuchs von Zugriffsrechten auf File-Shares gibt es viele Gründe. Tief verschachtelte Verzeichnis­strukturen und das schiere Volumen an Dateien machen es per se schon schwierig, einen Soll-Zustand auf längere Sicht beizu­behalten. Denn die Berechtigungen unterliegen laufenden Änderungen, weil Mitarbeiter neue Aufgaben übernehmen oder Personal neu hinzukommt bzw. die Firma verlässt.

Kein systematischer Rechteentzug

Über die Jahre wechseln meist auch die Administratoren, so dass sich die Konzepte und Prozesse für das Rechte-Management ebenfalls immer wieder ändern. Während sich Benutzer aktiv darum bemühen, Rechte auf benötigte Verzeichnisse zu erhalten, informieren sie in der Regel die IT-Abteilung nicht, wenn sie den Zugriff nicht mehr brauchen. Auf diese Weise kommt es mit der Zeit zu einer Über­berechtigung.

Ist der Überblick erst einmal verloren gegangen, dann helfen die Bordmittel nicht weiter. Für eine Analyse großer Datenbestände sind sie nicht ausgelegt. Reporting-Tools von Drittanbietern generieren meist übersichtliche Darstellungen von effektiven Berechtigungen, aber es bleibt dem Admin überlassen, diese Daten anschließend zu interpretieren.

Tools-gestützter Service

Aus diesem Grund hat sich die Darmstädter BAYOONET AG entschlossen, das hauseigene Analyse­werkzeug für Zugriffsrechte mit einer Dienstleistung zu kombinieren, um den Kunden im Ergebnis klare Handlungs­anweisungen zur Behebung gefundener Fehlkon­figurationen geben zu können.

Dazu lädt der Consultant im ersten Schritt das Analyse­programm über eine Remote-Sitzung in die Umgebungen des Kunden und erfasst die konfigurierten Berechtigungen sowie die dazugehörigen Gruppen und Konten im Active Directory.

Generieren von Standardberichten

Diese Rohdaten importiert er für die folgende Auswertung in einen SQL Server, standardmäßig beim Anbieter selbst. Obzwar das Tool nur Metadaten, jedoch keine Inhalte erfasst, und BAYOOSOFT bei der Erteilung des Auftrags eine Vertraulich­keitserklärung unterzeichnet, möchten Unternehmen diese Informationen vielleicht doch nicht aus der Hand geben. In diesem Fall würde die Analyse beim Kunden erfolgen, der dafür einen SQL Server inklusive Reporting Services zur Verfügung stellen muss.

Das erste Ergebnis besteht in Standard-Reports, die als Grundlage für darüber hinaus­gehende Auswertungen mittels SQL dienen. Diese beziehen dann bestimmte Merkmale der spezifischen Umgebung ein.

Auswertung über SQL Reporting Services

Wenn ein Unternehmen zum Beispiel eine Namens­konvention für AD-Gruppen verwendet, dann ließe sich damit etwa feststellen, ob es bei der Zuweisung von Berechtigungen der AGULP-Empfehlung von Microsoft folgt.

Ebenfalls nur über die Kenntnis der individuellen Gegebenheiten lässt sich beurteilen, ob bestimmte Personen zu Recht in mehreren Bereichen über weitreichende Privilegien verfügen. Um Konten zu identifizieren, die zur Anmeldung von Services dienen, aber trotzdem alle möglichen Zugriffsrechte besitzen, ist es ebenfalls hilfreich, die jeweiligen Gepflogenheiten beim Führen von Accounts zu kennen.

Am Ende der Analyse, die in der Regel zwei bis drei Tage dauert, erhält der Auftraggeber einen ausführlichen Bericht. Dieser besteht nicht nur aus Diagrammen und Zahlenreihen, sondern umfasst für jeden Aspekt eine Problem­beschreibung, eine Bewertung und eine Handlungs­empfehlung.

Zu den typischen Schwächen, die ein solcher Befund aufdeckt, gehören Rechte­änderungen auf unteren Ebenen einer Verzeichnis­struktur, direkte ACL-Einträge für einzelne Konten, zu stark verschachtelte Gruppenstrukturen im AD oder zu lange Pfadnamen.

Konsequenzen aus dem Befund

Erkannte Defizite mit erheblichem Schadens­potenzial werden Unternehmen sofort beseitigen. Darüber hinausgehende, umfangreichere Korrekturen müssen nicht rein manuell erfolgen, vielmehr lassen sich die generierten Daten dazu nutzen, um die Berech­tigungen etwa per Script anzupassen.

Neben der unmittelbaren Beseitigung von Fehl­konfigurationen stellt sich für die Kunden natürlich die Frage, welche Konsequenzen sie aus dem Befund für die Zukunft ziehen. Bleiben sie bei den eingespielten Prozessen, dann werden sie in absehbarer Zeit erneut den Zustand eines Rechte-Wirrwarrs erreichen.

Dem könnten sie sicherlich durch regelmäßig wieder­kehrende Prüfungen begegnen, um dann die ärgsten Mängel wieder abzustellen. Nachhaltiger wäre es aber natürlich, die Rechtevergabe neu zu organisieren und den dafür erforderlichen Workflow über ein entsprechendes Tool zu unterstützen.

BAYOOSOFT bietet für diese Aufgabe den Access Manager an und macht auch kein Hehl daraus, die Ergebnisse des Berechtigungs­audits als Argument zum Verkauf seiner Software zu nutzen. Dennoch ist der Analyse-Service ein eigen­ständiges Angebot und keine reine Vertriebs­veranstaltung.

Preise

Der Audit wird als Dienstleistung pauschal abgerechnet. Wesentliches Kriterium ist dabei die Zahl der Benutzer. Eine Rolle spielt dabei natürlich auch die Menge der Daten, etwa wenn Unter­nehmen nur kritische File-Shares untersuchen lassen wollen.

Die Kosten liegen im Bereich zwischen 2000 und 5000 Euro. Der Einstiegspreis gilt typischerweise für mittelständische Unternehmen mit ca. 500 Mitarbeitern. Interessenten können einen Termin über die Website des Herstellers verein­baren.