Suchen

Mehr Zugriffskontrolle – und mehr Komplexität Dynamic Access Control unter Windows Server 8

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Beim Windows Server 8 stellt DAC im Bereich der Sicherheit eine wichtige Neuerung dar. DAC steht für Dynamic Access Control und schafft auf Grundlage der Datenklassifizierung eine neue Ebene für den Zugriffsschutz von Dateien.

Firma zum Thema

Windows Server 8 bringt eine zusätzliche Ebene für den Zugriffsschutz mit.
Windows Server 8 bringt eine zusätzliche Ebene für den Zugriffsschutz mit.

Bisher wurde unter Windows der Zugriffsschutz auf der Ebene von Dateien und Ordnern definiert. Nun lassen sich auch übergreifende Regeln definieren, die auf einer Klassifizierung von Daten beruhen. Eine wichtige Grundlage dafür ist die FCI (File Classification Infrastructure). Diese wurde bereits beim Windows Server 2008 R2 eingeführt und ermöglicht, Dateien durch Tags zu identifizieren, um sie besser verwalten zu können.

Basierend auf einer Klassifizierung von Dateien lassen sich nun so genannte CAPs (Central Access Policies) definieren. Diese Richtlinien können sowohl unternehmensweit als auch auf organisatorischen Ebenen wie beispielsweise für den Finanzbereich definiert werden. Sie ergänzen die normalen Zugriffsberechtigungen und schaffen somit eine zusätzliche Schutzebene.

Wenn ein Benutzer laut den Datei- und Ordnerberechtigungen ((Discretionary Access Control Lists, DACLs) beispielsweise Zugriffsberechtigungen auf eine Datei mit sensitiven Daten besitzt, eine CAP diesen aber untersagt, hat er keinen Zugriff. Ebenso hätte er keinen Zugriff, wenn die CAP ihn erlaubt, die DACL ihn aber unterbindet. Das schafft neue Möglichkeiten, setzt aber eine entsprechende Klassifizierung von Dateien voraus und führt zu zwei Ebenen der Zugriffskontrolle.

Es wird damit schwieriger nachzuvollziehen, warum man (keinen) Zugriff hat. Die Nutzung von CAPs setzt deshalb gut definierte Konzepte voraus, ist aber ein wichtiger Schritt, wenn es um die Erfüllung von regulatorischen Anforderungen und generell den Schutz von sensitiven Informationen geht.

Ergänzend werden neue Auditing-Funktionen kommen, mit denen der Zugriff auf Dateien entsprechender ihrer Klassifizierung überwacht werden kann. Darüber hinaus können außerdem mit dem Windows RMS (Rights Management Services) Dateien auch automatisch verschlüsselt werden.

Auswirkungen auf den Sicherheitsmarkt

Klar ist, dass der Windows Server 8 Bewegung in einige Segmente bringen wird. Für das Thema „Rights Management“ könnte der Windows Server 8 den Durchbruch bedeuten, auch wenn Microsoft sich stark auf Windows-Infrastrukturen und Office-Dokumente ausrichtet. Für Anbieter von automatischer Klassifizierung eröffnet sich ein enormer Markt.

Lösungen im Bereich GRC (Governance, Risk Management, Compliance) werden sich mit dem Windows Server 8 integrieren müssen. Auf der anderen Seite wird der DLP-Markt (Data Loss/Leakage Prevention) möglicherweise massiv unter Druck geraten, wenn der Windows Server 8 von Haus aus viele Funktionen mit einem zentralen Management mitbringt.

Es dürfte spannend werden, weil der Windows Server 8 ganz neue Möglichkeiten der Informationssicherheit bieten wird. Das schafft Chancen für Software-Hersteller und es hilft Unternehmen, die regulatorischen Anforderungen besser zu erfüllen. Allerdings muss man dazu auch ganz neue Konzepte für die Informationssicherheit im Windows-Umfeld konzipieren und implementieren. Und auch das ist eine spannende Herausforderung für Unternehmen.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:32941590)