Dynamic Access Control: zentrale Zugriffsregeln für Windows Server 2012 (R2)

    Dynamic Access ControlMicrosoft führte in Windows Server 2012 eine neue Zugriffssteuerung für File-Server ein, die nicht mehr auf der statischen Zuordnung von Rechten zu Benutzern und Gruppen beruht. Vielmehr bestimmen zentral im AD hinterlegte Regeln auf Basis von Attributen, die man an Benutzer und Computer sowie an Dateien und Verzeichnissen vergibt, welche Rechte jemand für bestimmte Objekte erhält.

    File-Server galten über Jahre als ein veraltetes Konzept, um Dokumente zwischen mehreren Benutzern zu teilen. Mobiles Arbeiten und eine stark steigende Datenmenge, die sich mit den herkömmlichen Mitteln immer schwieriger verwalten und absichern ließ, deuteten auf ein baldiges Ende der als Datengräber verschrienen zentralen Ablage.

    Aufwertung der Dateidienste in Windows Server 2012 (R2)

    In den beiden letzten Releases brachte Microsoft mehrere neue Features für die Datei-Server-Rolle, mit denen sie aktuelle Anforderungen besser erfüllen kann. Dazu zählten zuletzt die so genannten Arbeitsordner, mit denen sich Dateien zwischen mehreren (mobilen) Clients synchronisieren lassen. Zuvor führte Windows Server 2012 die Rolle des Scale-out File-Server ein, die File Shares auf Basis von SMB 3 als Shared Storage für virtuelle Maschinen oder für Datenbanken bereitstellt.

    Und schließlich sollte Dynamic Access Control ein besser skalierbares Rechte-Management gewährleisten, das sensible Informationen unabhängig von seinem Speicherort vor unbefugtem Zugriff schützen kann. Dies wird erreicht, indem man Ressourcen auf einem File-Server mit Hilfe von Metadaten beschreibt, so dass der Administrator den Zugriff auf alle Dokumente mit der gleichen Klassifizierung einheitlich regeln kann.

    Dynamic Access Control ergänzt ACLs

    Der neue Mechanismus ersetzt das bisherige Rechte-Management auf Basis von ACLs und Freigaben nicht, sondern ergänzt diese um einen zusätzlichen Schutz. Widersprechen sich Privilegien, die über die verschiedenen Verfahren erteilt wurden, dann setzt sich die restriktivste Regelung durch. Wenn also ein Benutzer über NTFS das Schreibrecht in einem Verzeichnis erhält, aber dieses ihm über Dynamic Access Control verweigert wird, dann kann er dort keine Dateien verändern.

    Es leuchtet ein, dass ein zusätzliches Verfahren zur Erteilung von Privilegien das Management der Dateirechte komplizierter macht. Daher empfiehlt es sich, eine konsistente Praxis zur Rechtevergabe einzuhalten, weil sonst die Suche nach den Ursachen für unerwünschte oder gescheiterte Zugriffe schwierig wird.

    Kombination mehrerer Windows-Technologien

    Bei der dynamischen Zugriffssteuerung, wie sie in der lokalisierten Version heißt, handelt es sich nicht um eine einzelne Technologie. Vielmehr nutzt sie ein ganzes Bündel von Windows-Funktionen. Von zentraler Bedeutung sind dabei beliebige Eigenschaften eines User- oder Computer-Objekts, die anstatt einer reinen Gruppenzugehörigkeit für die erteilten Rechte maßgeblich sind.

    Die Claim Types bilden AD-Attribute von User- und Computer-Objekten ab. Sie entscheiden, welche Dateirechte ein Benutzer erhält.

    Diese so genannten Claims (die unglückliche Übersetzung lautet "Ansprüche") leiten sich von diversen Attributen der Objekte im Active Directory ab. Beim Anlegen eines neuen Claim Types ("Anspruchtyps") ordnet man diesem daher ein bestimmtes Attribut zu, wobei er verschiedene Datentypen wie Zahl, Boolscher Wert, Zeichenkette oder mehrwertige Zeichenfolge (für Listen) annehmen kann. Das AD Verwaltungscenter bietet beim Einrichten eines neuen Claim Types eine umfangreiche Liste von Eigenschaften zur Auswahl an.

    AD-Pflege essentiell für dynamische Zugriffssteuerung

    Nachdem später die Zugriffrechte eines Users oder eines Computers davon abhängen, ob ein Claim einen bestimmten Wert aufweist, liegt es auf der Hand, dass die Verlässlichkeit von Dynamic Access Control mit einem gut gepflegten AD steht und fällt.

    Will man etwa eine Regel durchsetzen, wonach eine Datei nur Mitarbeiter einer bestimmten Abteilung lesen dürfen, wenn sich ihr PC an einem ausgewählten Standort befindet, dann wird man unerwünschte Ergebnisse erzielen, wenn die Adresse eines Angestellten im AD nach seiner Versetzung nicht aktualisiert wird. Und natürlich muss man sicherstellen, dass nur befugte Anwender die betreffenden Werte im AD ändern dürfen.

    Claims werden über Kerberos übertragen

    Um Claim Types zu definieren, sind die Schema-Erweiterungen von Windows Server 2012 (R2) erforderlich. Daher muss mindestens ein Domain Controller unter dieser Version des Betriebssystems laufen. Dieser bietet zudem die erforderlichen Kerberos-Erweiterungen, mit denen User- und Geräte-Claims an die Clients übertragen werden. Sie befinden sich in eigenen Feldern des Privilege Account Certificate, das schon bisher Informationen wie die SID oder die Gruppenmitgliedschaften enthielt. Diese Kerberos-Extensionen sind standard­mäßig nicht verfügbar und müssen über eine Gruppenrichtlinie aktiviert werden.

    Wie erwähnt, erfolgt die Zuteilung von Rechten auf Basis von Claims nicht direkt zu Dateien oder Ordnern, wie dies über NTFS der Fall ist. Vielmehr abstrahiert Dynamic Access Control von der vorhandenen Verzeichnisstruktur, indem es eine eigene Ebene einzieht. Diese basiert auf der Klassifizierung von Daten mit Hilfe von Attributen.

    Labels für Dateien definieren

    So ließen sich beispielsweise Dokumente in mehreren Ordnern mit vertraulich kennzeichnen, wobei eine Abstufung in hoch, mittel oder niedrig möglich ist. Andere Resource Properties könnten etwa den Eigentümer von Daten nennen, beispielsweise Firma, Abteilung oder ein bestimmtes Projekt.

    Die Labels, die Dateien und Verzeichnisse beschreiben sollen, müssen zentral im AD-Verwaltungscenter definiert werden.

    Auch hier enthält das AD Verwaltungscenter eine ganze Liste von vordefinierten Werten, deren Namen allerdings nicht lokalisiert wurden und entsprechend die englischen Bezeichnungen tragen. Sie sind per Voreinstellung ebenfalls deaktiviert und können bei Bedarf freigeschaltet werden. Es steht den Anwendern aber natürlich frei, eigene Attribute zu definieren, die wie bei den Claims verschiedene Datentypen unterstützen.

    Bündelung der Properties in Listen

    Jede Eigenschaft, mit der Dateien und Ordner ausgezeichnet werden sollen, muss man in eine Resource Property List aufnehmen, weil nur sie an die File-Server übertragen werden. Dieser Vorgang entfällt für die vordefinierten Eigenschaften, weil diese bereits in der Global Resource Property List enthalten sind.

    Auf der Grundlage der angelegten Claim Types und Resource Properties lassen sich nun Regeln definieren, die bestimmen, welche Eigenschaften einem User oder Computer bestimmte Rechte gewähren, wenn die Dateien oder Ordner mit ausgewählten Beschreibungen versehen wurden. Dabei sind auch Ausdrücke möglich, die mehrere Bedingungen über Boolsche Operatoren verknüpfen.

    Zentrale Regeln formulieren

    Auf diese Weise ließe sich zum Beispiel eine Central Access Rule zusammenstellen, wonach authentifizierte Domänen-Benutzer für Ressourcen mit der Eigenschaft Hoch vertraulich das Recht Lesen und Ausführen erhalten, wenn sie der Abteilung Finanzbuchhaltung angehören und einen PC in der Firmenzentrale nutzen.

    Central Access Rules erlauben die Kombination von mehreren Bedingungen.

    Die zentral verwalteten Regeln müssen auf die File-Server gelangen, auf denen man sie anwenden möchte. Dies erfolgt aber nicht für jede Central Access Rule einzeln, vielmehr fasst man sie in Central Access Policies zusammen, die dann über Gruppenrichtlinien auf die Ziel-Systeme verteilt werden.

    Dateien und Verzeichnisse klassifizieren

    Um eine oder mehrere der zentral definierten Regeln auf eine Ressource anzuwenden, müssen Verzeichnisse oder Dateien schließlich mit den vorhandenen Resource Properties ausgezeichnet werden.

    Diese Klassifizierung kann entweder manuell für jedes Objekt erfolgen oder mit Hilfe des File Server Resource Manager, der Dateien nach bestimmten Kriterien durchsuchen und automatisch klassifizieren kann. Schließlich bietet Microsoft für diesen Zweck noch das separate Data Classification Toolkit an.

    Keine Kommentare