:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Zukunft der Zugriffsrechte in der Praxis Dynamic Access Control mit Windows Server 2012/2012 R2
Die dynamische Zugriffssteuerung (Dynamic Access Control, DAC) in Windows Server 2012 (R2) soll Unternehmen bei der Verwaltung von Datei-Berechtigungen helfen. Die Funktionsweise von DAC ist recht einfach, denn die Rechte, die Anwender für ein Dokument erhalten, sind im Dokument selbst als Metadaten und die Regeln in Active Directory gespeichert.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Bei Dynamic Access Control (DAC) bleiben die Datei-Berechtigungen, also Lesen, Schreiben, Drucken und mehr, im Dokument immer gültig, unabhängig davon, ob das Dokument bzw. die Datei in einen anderen Ordner verschoben, als E-Mail verschickt oder in SharePoint gespeichert wird.
DAC soll aber nicht die herkömmlichen Rechte auf Basis der Access Control List (ACL) ersetzen, sondern diese ergänzen, damit Rechte besser skalierbar sind. Wie bei ACL auch, setzen sich immer die restriktiveren Rechte durch, das gilt auch, wenn Unternehmen ACL und DAC parallel einsetzen.
Grundlagen zur dynamischen Zugriffssteuerung
Rechte werden in DAC über „Claims“ gewährt. Auf deutschen Servern tragen diese die Bezeichnung „Ansprüche“. Basis der Claims sind verschiedene Attribute für Objekte und Anwender in Active Directory. Bei der Einrichtung legen Administratoren daher zunächst Claim Types (Anspruchtypen) fest. Diese verwenden Attribute in Active Directory. Die Einrichtung erfolgt über das Active-Directory-Verwaltungscenter. Hier sind auch die verschiedenen Attribute zu sehen, die sich den Claim Types zuordnen lassen. Im Active-Directory-Verwaltungscenter steuern Administratoren alle Zugriffe und Attribute, die sie verwenden (siehe Abbildung 1).
Unternehmen können auf diesem Weg beispielsweise festlegen, dass nur Mitarbeiter in einer bestimmten Niederlassung und Abteilung fest definierte Dokumente lesen und bearbeiten können. Für die Dokumente können Administratoren wiederum Attribute festlegen. Bei der Zuteilung von Rechten spielt es dann keine Rolle, in welchem Verzeichnis die Datei gespeichert wird. Sobald ein Benutzer aus Active Directory zugreift, überprüft DAC, ob es Zugriffsregeln für die Datei gibt und weist die Rechte entsprechend zu.
Die dazu gehörigen Rechte liest DAC aus dem Active Directory aus. Es spielt daher eine wichtige Rolle, dass Administratoren die Attribute, die in DAC verwendet werden, auch in den Einstellungen der Benutzer korrekt setzen. Sind hier bestimmte Werte nicht gepflegt, funktioniert auch die Rechteverwaltung nicht.
Resource Property Lists
Resource Property Lists fassen Attribute zusammen, die Anwendern den Dokumenten und Verzeichnissen zuteilen können. Natürlich lassen sich diese Vorgänge auch automatisieren. Verwenden Administratoren aber die Standard-Eigenschaften muss keine Liste angelegt werden. Hier gibt es bereits eine vorgefertigte Liste, welche diese Standard-Eigenschaften bereits enthält (siehe Abbildung 2). Attribute lassen sich aber natürlich beliebig anlegen und zuweisen.
Den Zugriff auf die Dokumente bestimmen wiederum die Regeln, welche die erstellten Claim Types und die Eigenschaften der Dokumente verwenden, um Zugriff zu erteilen. In den Regeln legen Administratoren fest, welche Rechte Anwendern zugeteilt werden sollen, wenn diese über bestimmte Attribute, zum Beispiel Abteilung, Standort, etc. verfügen. Diese Regeln lassen sich dann an die Eigenschaften der Dokumente binden. Wir kommen später noch zu diesen Regeln.
Zentrale Zugriffsregel vs. zentrale Zugriffsrichtlinie
Die zentralen Zugriffsregeln steuern also, welche Berechtigungen einem bestimmten Satz Ressourcen, Dateien, Ordner oder Bibliotheken, zugewiesen sind. Während die zentrale Zugriffsrichtlinie steuert, wer zugreifen darf, steuern zentrale Zugriffsregeln, mit welchen Rechten die Anwender auf die klassifizierten Dateien zugreifen dürfen und welche Ressourcen die Regel verwendet. Diese Regeln, mit der Bezeichnung Central Access Rules sind ebenfalls im Active-Directory-Verwaltungscenter im Bereich „Dynamische Zugriffssteuerung“ zu finden (siehe Abbildung 3).
Beispielsweise dürfen nur Benutzer, die als Geschäftsführer definiert sind, auf Dokumente zugreifen, welche die Eigenschaften „Vertraulich“ aufweisen. Hier besteht auch die Möglichkeit, Bedingungen zu verknüpfen und komplexere Regelwerke zu erstellen. Man kann also bspw. die obere Regel noch um eine Bedingung zu ergänzen; bspw. dass der Zugriff nur von PCs aus erlaubt ist, die sich im Firmengebäude befinden, keine Notebooks.
Regeln werden zu Richtlinien zusammengefasst und mit den Servern im Unternehmen verbunden. Dazu steht im Active-Directory-Verwaltungscenter der Bereich „Dynamische Zugriffssteuerung\Central Access Policy“ zur Verfügung. Hier können Administratoren eigene Regeln erstellen, oder vorhandene Regeln bearbeiten (siehe Abbildung 4).
Damit die Regeln funktionieren, müssen die Eigenschaften der Dokumente (Resource Properties) auf die Dokumente klassifiziert werden. Am besten verwenden Unternehmen hier den Dateiserver-Ressourcen-Manager (FSRM), der zu den Bordmitteln in Windows Server 2012/2012 R2 gehört. Microsoft stellt für diese Zwecke aber auch das Microsoft Data Classification Toolkit zur Verfügung, mit dem Administratoren Dateien und Verzeichnisse klassifizieren können.
Auf Basis der Klassifizierung erstellen Administratoren die bereits erwähnten zentralen Zugriffsrichtlinien (Central Access Policies, CAPs). Auch diese legen Administratoren im Active-Directory-Verwaltungscenter fest. Die Richtlinien steuern, welche Rechte Anwender auf Ressourcen haben, die dieser zentralen Richtlinie zugeordnet sind.
Darf ein Anwender auf eine Datei über das Dateisystem zugreifen, verweigert die CAP aber den Zugriff, ist das Öffnen der Datei trotzdem nicht zulässig. Dies gilt auch umgekehrt. Verweigerungen haben auch in Windows Server 2012 R2 immer Vorrang vor erteilten Berechtigungen.
AD RMS und dynamische Zugriffssteuerung
AD RMS und die dynamische Zugriffssteuerung arbeiten zusammen. Wie bei der Rechteverwaltung lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen (siehe Abbildung 5).
(ID:42855519)
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")