Tags: Rechteverwaltung, Dateisystem, Active Directory
Ein planvolles Management von Dateiberechtigungen schützt sensible Informationen gegen unbefugten Zugriff. Die Praxis sieht in vielen Firmen aber meist anders aus, wenn der Überblick über jahrelang gewachsene Strukturen verloren geht. Ein Tools-gestützter Service von BAYOOSOFT hilft beim Aufräumen.
Für den Wildwuchs von Zugriffsrechten auf File-Shares gibt es viele Gründe. Tief verschachtelte Verzeichnisstrukturen und das schiere Volumen an Dateien machen es per se schon schwierig, einen Soll-Zustand auf längere Sicht beizubehalten. Denn die Berechtigungen unterliegen laufenden Änderungen, weil Mitarbeiter neue Aufgaben übernehmen oder Personal neu hinzukommt bzw. die Firma verlässt.
Kein systematischer Rechteentzug
Über die Jahre wechseln meist auch die Administratoren, so dass sich die Konzepte und Prozesse für das Rechte-Management ebenfalls immer wieder ändern. Während sich Benutzer aktiv darum bemühen, Rechte auf benötigte Verzeichnisse zu erhalten, informieren sie in der Regel die IT-Abteilung nicht, wenn sie den Zugriff nicht mehr brauchen. Auf diese Weise kommt es mit der Zeit zu einer Überberechtigung.
Ist der Überblick erst einmal verloren gegangen, dann helfen die Bordmittel nicht weiter. Für eine Analyse großer Datenbestände sind sie nicht ausgelegt. Reporting-Tools von Drittanbietern generieren meist übersichtliche Darstellungen von effektiven Berechtigungen, aber es bleibt dem Admin überlassen, diese Daten anschließend zu interpretieren.
Tools-gestützter Service
Aus diesem Grund hat sich die Darmstädter BAYOONET AG entschlossen, das hauseigene Analysewerkzeug für Zugriffsrechte mit einer Dienstleistung zu kombinieren, um den Kunden im Ergebnis klare Handlungsanweisungen zur Behebung gefundener Fehlkonfigurationen geben zu können.
Dazu lädt der Consultant im ersten Schritt das Analyseprogramm über eine Remote-Sitzung in die Umgebungen des Kunden und erfasst die konfigurierten Berechtigungen sowie die dazugehörigen Gruppen und Konten im Active Directory.
Generieren von Standardberichten
Diese Rohdaten importiert er für die folgende Auswertung in einen SQL Server, standardmäßig beim Anbieter selbst. Obzwar das Tool nur Metadaten, jedoch keine Inhalte erfasst, und BAYOOSOFT bei der Erteilung des Auftrags eine Vertraulichkeitserklärung unterzeichnet, möchten Unternehmen diese Informationen vielleicht doch nicht aus der Hand geben. In diesem Fall würde die Analyse beim Kunden erfolgen, der dafür einen SQL Server inklusive Reporting Services zur Verfügung stellen muss.
Das erste Ergebnis besteht in Standard-Reports, die als Grundlage für darüber hinausgehende Auswertungen mittels SQL dienen. Diese beziehen dann bestimmte Merkmale der spezifischen Umgebung ein.
Auswertung über SQL Reporting Services
Wenn ein Unternehmen zum Beispiel eine Namenskonvention für AD-Gruppen verwendet, dann ließe sich damit etwa feststellen, ob es bei der Zuweisung von Berechtigungen der AGULP-Empfehlung von Microsoft folgt.
Ebenfalls nur über die Kenntnis der individuellen Gegebenheiten lässt sich beurteilen, ob bestimmte Personen zu Recht in mehreren Bereichen über weitreichende Privilegien verfügen. Um Konten zu identifizieren, die zur Anmeldung von Services dienen, aber trotzdem alle möglichen Zugriffsrechte besitzen, ist es ebenfalls hilfreich, die jeweiligen Gepflogenheiten beim Führen von Accounts zu kennen.
Am Ende der Analyse, die in der Regel zwei bis drei Tage dauert, erhält der Auftraggeber einen ausführlichen Bericht. Dieser besteht nicht nur aus Diagrammen und Zahlenreihen, sondern umfasst für jeden Aspekt eine Problembeschreibung, eine Bewertung und eine Handlungsempfehlung.
Zu den typischen Schwächen, die ein solcher Befund aufdeckt, gehören Rechteänderungen auf unteren Ebenen einer Verzeichnisstruktur, direkte ACL-Einträge für einzelne Konten, zu stark verschachtelte Gruppenstrukturen im AD oder zu lange Pfadnamen.
Konsequenzen aus dem Befund
Erkannte Defizite mit erheblichem Schadenspotenzial werden Unternehmen sofort beseitigen. Darüber hinausgehende, umfangreichere Korrekturen müssen nicht rein manuell erfolgen, vielmehr lassen sich die generierten Daten dazu nutzen, um die Berechtigungen etwa per Script anzupassen.
Neben der unmittelbaren Beseitigung von Fehlkonfigurationen stellt sich für die Kunden natürlich die Frage, welche Konsequenzen sie aus dem Befund für die Zukunft ziehen. Bleiben sie bei den eingespielten Prozessen, dann werden sie in absehbarer Zeit erneut den Zustand eines Rechte-Wirrwarrs erreichen.
Dem könnten sie sicherlich durch regelmäßig wiederkehrende Prüfungen begegnen, um dann die ärgsten Mängel wieder abzustellen. Nachhaltiger wäre es aber natürlich, die Rechtevergabe neu zu organisieren und den dafür erforderlichen Workflow über ein entsprechendes Tool zu unterstützen.
BAYOOSOFT bietet für diese Aufgabe den Access Manager an und macht auch kein Hehl daraus, die Ergebnisse des Berechtigungsaudits als Argument zum Verkauf seiner Software zu nutzen. Dennoch ist der Analyse-Service ein eigenständiges Angebot und keine reine Vertriebsveranstaltung.
Preise
Der Audit wird als Dienstleistung pauschal abgerechnet. Wesentliches Kriterium ist dabei die Zahl der Benutzer. Eine Rolle spielt dabei natürlich auch die Menge der Daten, etwa wenn Unternehmen nur kritische File-Shares untersuchen lassen wollen.
Die Kosten liegen im Bereich zwischen 2000 und 5000 Euro. Der Einstiegspreis gilt typischerweise für mittelständische Unternehmen mit ca. 500 Mitarbeitern. Interessenten können einen Termin über die Website des Herstellers vereinbaren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
Weitere Links