Anzeige

Best-Practice

In einer Zeit, in der immer mehr Unternehmen von Cyberangriffen betroffen sind, die auf den Diebstahl sensibler Daten abzielen, ist es essenziell, Sicherheitslücken zu schließen. Ein besonders beliebtes Einfallstor bei Hackern: aktive Benutzerkonten von ehemaligen Mitarbeitern.

hemaligen Mitarbeitern.

Um derartige Schwachstellen in der IT-Sicherheit zu verhindern, bedarf es einer geeigneten Access Governance-Lösung, die vergebene Berechtigungen analysiert und übersichtlich darstellt. Neben den gesetzlichen sollte diese Lösung vor allem auch die unternehmenseigenen Anforderungen berücksichtigen. Gerade für Microsoft-Umgebungen ist eine speziell entwickelte Software ratsam, die Systemverantwortliche dabei unterstützt, die Richtlinien und Benutzerkonstellationen im AD und im NTFS-Filesystem zu überwachen.

Damit auch bei großen Umgebungen nicht der Überblick verloren geht, welcher Mitarbeiter worauf zugreifen darf, ist eine softwarebasierte Auswertung der Berechtigungen notwendig. Denn ohne den Einsatz einer passenden Lösung müssen IT-Systemadministratoren AD-Objekte und Fileserver-Strukturen manuell analysieren und auf Konformität zu Best-Practice-Richtlinien prüfen. Dies ist nicht nur sehr aufwendig, sondern birgt noch dazu ein hohes Fehlerpotenzial. Daher ist der Einsatz einer professionellen Access Governance-Lösung anzuraten. 

 

Bild 1: Anschauliche Dashboard-Ansichten zum schnellen Überblick

Wesentliche Features

Die Software sollte ohne zusätzliche Dienstleistungen einfach installier- und konfigurierbar sein und die Zugriffsberechtigungen der einzelnen Benutzer und Gruppen innerhalb der firmeninternen Microsoft-Infrastruktur identifizieren sowie erfassen. Zudem sollte das Tool imstande sein, die ermittelten Daten nach der Analyse des AD und des NTFS-Filesystems in ein leistungsfähiges Datenbanksystem zu importieren. Damit sich Missstände feststellen lassen, ist eine automatisierte Überprüfung der Berechtigungen hinsichtlich der Microsoft-Best-Practice-Vorgaben sinnvoll. Ein entsprechendes Richtlinienpaket sollte zusammen mit der Lösung ausgeliefert werden. Wichtig ist jedoch, dass der verantwortliche Administrator in der Lage ist, einzelne Policies auszustellen beziehungsweise ein Risikolevel zu definieren, ab dem ein Wert als kritisch angezeigt wird. Ein in der Lösung integriertes Web-Dashboard kann schließlich dafür sorgen, die Informationen strukturiert darzustellen und fehlerhafte Berechtigungskonstellationen sofort zu erkennen.

Microsoft Guidelines

Auf Basis hinterlegter Policies von Microsoft lassen sich Abweichungen verzeichnen. Fallen Verstöße gegen gewisse aktivierte Richtlinien auf, bildet eine moderne Lösung diese ab und spricht Handlungsempfehlungen aus.

NTFS

Microsoft rät beispielsweise dazu, dass Benutzerkonten möglichst keine direkt vergebenen Berechtigungen auf Ordner oder Dateien besitzen sollten. Ergibt die Auswertung allerdings, dass es Konten mit solchen Berechtigungen gibt, empfiehlt Microsoft den Einsatz des AGDLP-Konzeptes. Demgemäß sollten Administratoren die Benutzerkonten den globalen Gruppen zuweisen, die wiederum Mitglied der domänenlokalen Gruppen werden, und letztlich die Berechtigungen in ebendiesen domänenlokalen Gruppen vergeben. Darüber hinaus sollten auf Empfehlung von Microsoft hin nur in Ausnahmefällen Benutzerkonten mit Vollzugriff auf Datenbereiche vorhanden sein, die innerhalb dieses Bereiches dazu fähig sind, die Zugriffsrechte und Besitzer zu verändern. Stattdessen bietet es sich an, mit den NTFS-Berechtigungen „Ändern“, „Lesen“ und „Schreiben“ zu arbeiten, da auf diesem Wege keine Besitzerfunktionen geändert werden können. Der Vollzugriff sollte lediglich Administratoren gestattet sein.

 

Bild 2: Übersicht über die NTFS-Filestruktur

Active Directory

Mit sich selbst verschachtelte AD-Gruppen können innerhalb von Anwendungen oder Skripten zu Problemen in Form von Abstürzen, unendlichen Schleifen oder ungewollten Fehlermeldungen führen. Fallen Gruppen dieser Art auf, gilt es Gruppenkonstellationen zu überprüfen und zirkuläre Verschachtelungen zu vermeiden. Um die IT-Sicherheit zu gewährleisten, sollte die Vergabe höher privilegierte Konten (HPU) nach dem Minimalprinzip erfolgen. Mithilfe einer eigens für Microsoft-Umgebungen entwickelten Access Governance-Software lässt sich die Anzahl an Zuweisungen von Benutzern zur Domänen-Admin-Gruppe kontrollieren. Sobald das vorab festgelegte Risikolevel erreicht ist, überzeugt eine solche Lösung durch die anschauliche Darstellung von Unstimmigkeiten im Vergleich zu den Policies.

Abgleich mit dem Personalsystem

Insbesondere verwaiste Benutzerkonten stellen eine immense Bedrohung dar. Häufig begeben sich Cyberkriminelle explizit auf die Suche nach veralteten Konten, über die sie sich Zugang zu den Systemen verschaffen können, um Daten abzugreifen oder Schadsoftware zu installieren. Werden durch den Abgleich mit einem vorhandenen Personalsystem Benutzerkonten entdeckt, die ausgeschiedenen oder zurzeit inaktiven Personen zugewiesen sind, informiert eine angemessene Lösung über diese Auffälligkeit und ruft zur Deaktivierung oder Löschung des Kontos auf. 

Fazit

Alle Unternehmen haben die Aufgabe, das Thema IT-Sicherheit ernst zu nehmen und kontinuierlich für den Schutz von Daten zu sorgen. Ob Unter- oder Überberechtigungen, noch aktive Konten von Mitarbeitern, die das Unternehmen verlassen haben, oder leere Gruppen und Gruppenmitgliedschaften – IT-Administratoren sollten über eine auf die individuellen Anforderungen abgestimmte Access Governance-Lösung verfügen, die sämtliche Ungereimtheiten in puncto Zugriffsberechtigungen aufdeckt.

Sebastian Spethmann, Account Manager
Sebastian Spethmann
Account Manager, G+H Systems

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Phishing
Jun 26, 2020

Hacker missbrauchen Menschenrechtsbewegung ‚Black Lives Matter‘

Das Check Point Research Team beobachtet den nächsten skrupellosen Versuch von Hackern,…
Ransomware
Jun 23, 2020

Resilienz bei Cyberangriffen – Auf das Backup kommt es an

100-prozentige Cybersicherheit gibt es nicht. Im Falle von Bedrohungen wie Ransomware,…
E-Mail Verschlüsselung
Apr 16, 2020

Mit zehn Best-Practice-Tipps zum rechtskonformen E-Mail-Verkehr

Unverschlüsselte E-Mails sind riskant, dafür hat die DSGVO das Bewusstsein geschärft.…

Weitere Artikel

Cyber Security

IT-Sicherheit im Pandemiejahr: Auf den richtigen Fokus kommt es an!

Vielen war es klar, jetzt ist es quantifiziert: Die Zahl der erfolgreichen Cyberattacken auf Unternehmen ist in diesem Jahr auf 78 Prozent und damit deutlich im Vergleich zu 2018, gestiegen. Das zeigt die aktuelle IDC-Studie zum Thema IT Sicherheit 2020. Im…
Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!