„Pain Points“ beim Berechtigungs­management

Probleme beim Management von Benutzerrechten

| Autor / Redakteur: Sascha Giese / Peter Schmitz

Berechtigungsmanagement ist auf Grund der Dynamik von Unternehmen sehr zeitintensiv und fehleranfällig.
Berechtigungsmanagement ist auf Grund der Dynamik von Unternehmen sehr zeitintensiv und fehleranfällig. (Bild: gemeinfrei / Pixabay)

Die Verwaltung von Benutzerkonten und Zugriffsrechten ist kein so spannendes Aufgabenfeld wie zum Beispiel die Planung des ersten Einsatzes einer KI-gesteuerten Software im Unternehmen. Trotzdem ist Management und Kontrolle von Zugriffen allgegenwärtig und leider viel zu häufig von unterschätzter Wichtigkeit.

Die Rechteverwaltung selbst ist keine komplexe Angelegenheit, tatsächlich sind die notwendigen Arbeitsschritte größtenteils Routine-Aufgaben, doch genau hier liegt ein Risiko. In einer von SolarWinds durchgeführten Umfrage wurden die drei größten „Pain Points“ definiert, die im nachfolgend näher beleuchtet werden.

1. Das Verschieben, Hinzufügen oder Verändern von Berechtigungen

24 Prozent der Befragten führten das Verändern von Berechtigungen als größten Pain Point auf, was dem dafür notwendigen Zeitaufwand geschuldet ist. Unternehmen arbeiten heute viel dynamischer als in der Vergangenheit. Ebenso werden für viele Aufgaben externe Ressourcen hinzugezogen. Und diese Dynamik erfordert stete Veränderungen an Benutzerrechten und -rollen.

Über viele Jahre wurde die Verwaltung von Benutzern und deren Berechtigungen innerhalb von Active Directory® (AD) mit dem Bordwerkzeug „Active Directory-Benutzer und -Computer“ durchgeführt. Später unterstützte das das „Active Directory-Verwaltungscenter“ weitere Attribute, die im Laufe der Jahre hinzugefügt wurden. Beide Tools sind noch vorhanden, aber die Standardaufgaben werden mittlerweile über PowerShell® durchgeführt. PowerShell ermöglicht Automatisierung – Benutzernamen, Rollen und Berechtigungen werden als einfach Variablen eingepflegt. Für die klassischen Szenarien wie das Aufschalten eines Ordnerzugriffs oder das Verschieben in eine andere Gruppe gibt es vorgefertigte Scripts zu Hauf zu finden in verschiedenen PS-Repositorien, kostenlos und getestet.

Viele Administratoren pflegen ihre eigenen Repositorien, um gleich weitere Aufgaben mit dem gleichen Script erledigen zu können, wie etwa das Anlegen eines Kontos bei einer Drittanbieter-Lösung, vielleicht einem Webportal, das von den Mitarbeitern genutzt wird. Das Erstellen und Pflegen der Scripts erfordert viel Sachverstand, welcher sich häufig erst über einen längeren Zeitraum angeeignet werden muss.

Weitere Hürden sind oft hausgemacht. Wenn keine ordentliche Gruppenstruktur vorhanden ist und Berechtigungen einzeln vergeben werden, stößt PowerShell ebenso schnell an Grenzen wie in sehr großen Umgebungen, in denen die schiere Anzahl an „Organizational Units“ schon Komplexität erzeugt. Ein geeignetes Werkzeug minimiert die Komplexität nicht nur, sondern beschleunigt die Erledigung der Aufgaben und beseitigt Fehlerquellen, die bei manuellem Bearbeiten aufkommen.

Am Beispiel von SolarWinds Access Rights Manager (ARM) wird die Durchführung des Benutzerbereitstellungsprozesses in drei Phasen zusammengefasst, die als Joiner, Mover und Leaver bezeichnet werden:

  • In die Joiner-Phase fällt der Onboarding-Prozess. Dazu gehört die Bereitstellung eines neuen Benutzerkontos inklusive aller notwendigen Berechtigungen bis hin zu Dateifreigaben und dem Anlegen von Konten in anderen Systemen.
  • In der Mover-Phase wechseln Mitarbeiter beispielsweise in eine andere Abteilung und es können die Zugriffsrechte widerrufen oder unmittelbar vom Dateneigentümer erteilt werden.
  • Schließlich, in der Leaver-Phase, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, informiert die Personalabteilung den Helpdesk.

2. Die Durchführung eines Audits und der Nachweis der Konformität

Weitere 24 Prozent der Befragten sehen die Durchführung eines Audits als Herausforderung. Im Hinblick auf die aktuellen Anforderungen durch das IT-Sicherheitsgesetz 2.0, aber auch klassisch nach dem BSI IT-Grundschutz, muss der Aufwand zum Schutz der Sicherheit der Daten sowie der IT generell betrieben werden. Die Dokumentation dazu ist leider keine sehr erfüllende Aufgabe und wird gerne vernachlässigt, was bei einem Audit zu Problemen führen kann.

Ein Security-Audit benötigt Vorarbeit. Audit-Richtlinien, etwa zum Objekt-Zugriff, müssen gesetzt sein damit Events gesammelt werden können. Im Idealfall werden die Events von einer zentralen SIEM Lösung gesammelt, welche sinnvolle Berichte zur per Mausklick generieren kann.

Mitunter erschweren mitgliederlose Gruppen oder lokale Konten in AD die Verwaltung und können Audits verlängern. Verschachtelte oder rekursive Gruppenmitgliedschaften können zusätzlich zur Unübersichtlichkeit und Komplexität beitragen. Indem man komplizierte Konfigurationen von AD-Gruppenmitgliedschaften vor Audits bereinigt, lässt sich der gesamte Compliance-Prozess optimieren.

Temporäre Konten, die nicht mehr benötigt, aber auch nicht gelöscht werden und inaktiv bleiben, setzen das Unternehmen Risiken aus und machen Audits und Bewertungen unnötig kompliziert. PCI DSS 8.1.4 erfordert sogar, dass temporäre oder inaktive Konten innerhalb von 90 Tagen gelöscht oder deaktiviert werden. Denn ungenutzte oder inaktive Konten werden gerne von Angreifern ausgenutzt, die damit unter dem Deckmantel eines autorisierten Benutzers Daten stehlen und manipulieren.

Im Internet sind zahlreiche kostenlose Tools zu finden, die beispielsweise jederzeit effektive Berechtigungen einzelner Konten anzeigen. Das ist sinnvoll, um einen einzelnen Datensatz zu überprüfen, auch für den Helpdesk falls gerade an einem Ticket gearbeitet wird. Für einen Audit benötigt es jedoch mehr Tiefe, wie Berichte zu beliebigen Gruppen, Benutzern oder Ressourcen, sowie historischen Informationen über Zugriffe und Veränderungen.

Für Active Directory allein sind Berichte der folgenden Kategorien empfehlenswert:

  • Worauf können Benutzer und Gruppen zugreifen
  • Welche Mitarbeiter verwaltet ein Manager
  • Benutzerkonten Detail-Ansicht
  • Inaktive Konten
  • OU Mitglieder und Gruppenmitgliedschaften
  • Veränderungen an Benutzern und Gruppen
  • Lokale Konten identifizieren

Reporte sollten mit weiteren Filtern versehen werden können, um nach bestimmten Benutzern oder einer Kombination von Gruppen und Ressourcen zu suchen. Zertifizierte Auditoren sind im Umgang mit gängigen Tools vertraut und können sich in kürzester Zeit selbst die notwendigen Berichte erstellen, oder nutzen ad-hoc Funktionen, um gezielte Cross-Checks durchzuführen.

Nach dem Anlegen notwendiger Berichte ist es eine gute Idee, diese zu automatisieren, um zeitnah Ereignisse und Änderungen zu identifizieren. Damit können böse Überraschungen beim Audit vermieden werden, aber auch ernstzunehmende Zwischenfälle aufgedeckt werden.

3. Das Verstehen von rekursiven Gruppenmitgliedschaften

Das Verständnis der rekursiven Gruppenzugehörigkeit wurde als dritter Pain Point in der Rechteverwaltung von 21 Prozent der Befragten genannt.

Gruppen haben nicht nur Konten als „Kinder,“ sondern unter Umständen auch weitere Gruppen. Verschachtelte Gruppen sind sinnvoll und notwendig, aber auch schwer überschaubar und es kann über mehrere Gruppen hinweg dazu kommen, dass ein Ring entsteht und eine Untergruppe das eigene Elternteil darstellt. Dadurch kommt es zur Situation, dass jedes Mitglied dieses Konstruktes alle Berechtigungen aller Gruppen bekommt.

Mit Boardmitteln („Mitglied von“) kann man diese über eine Tiefe von zwei, vielleicht drei Stufen noch manuell überblicken, aber in der Realität hat man es meistens mit größeren Versionen zu tun, und die Nachvollziehbarkeit individueller Berechtigungen ist nicht mehr gegeben.

Verschiedene Werkzeuge auf dem Markt sind in der Lage, das gesamte Konstrukt zu erkennen und an beliebiger Stelle aufzubrechen, um dem Administrator eine Übersicht samt möglicher Lösungen zu bieten.

Fazit

Berechtigungs­management ist auf Grund der Dynamik von Unternehmen sehr zeitintensiv und fehleranfällig und konkurriert mit dem Anlegen und Pflegen einer Dokumentation zur Vorbereitung auf ein Audit um die knappen Ressourcen im IT-Team. PowerShell Scripts können helfen, benötigen jedoch weiteren Sachverstand und sind nicht ohne Anpassungen und nicht in jeder Situation einsetzbar. Die in der Umfrage genannten Probleme sind nicht neu, daher gibt es verschiedene Lösungen auf dem Markt, um dem Administrator den Alltag zu erleichtern.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46323909 / Head Geeks Speech)