IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

NetzwerkDateifreigaben im Netzwerk zu verwalten gehört zu den Kernaufgaben eines jeden Windows-IT-Administrators. Die technischen Grundlagen haben sich seit der Windows Server 2003-Version nicht dramatisch verändert und sind relativ geradlinig.

Dazu gehört es Resource Shares zu konfigurieren und die individuellen NTFS-Berechtigungen für jeden einzelnen Ordner zu setzen. In der Regel schlagen sich IT-Administratoren täglich damit herum Zugriffsanfragen zu bearbeiten und die entsprechenden Berechtigungen ad-hoc zu vergeben. Und genau das ist der Grund dafür, dass der Gesamtüberblick im Hinblick auf die vergebenen Berechtigungen irgendwann verloren geht. 

Im Laufe seines Lebens erhält ein Ordner sukzessive eine Reihe von Berechtigungen mit dem Resultat, dass diese weitaus freigebiger gesetzt sind als sie es sein sollten. In aller Regel zur Freude von Hackern und böswillig agierenden Insidern. Einer der wichtigsten Gründe warum das passiert ist, dass Administratoren und ganze IT-Abteilungen oftmals nicht in der Lage sind nachvollziehen, welche Rolle ein Mitarbeiter gerade im Unternehmen innehat, welche organisatorischen Veränderungen stattgefunden haben, die Gruppenautorisierungen betreffen oder schlicht, welche Mitarbeiter gekündigt haben und längst nicht mehr im Unternehmen beschäftigt sind. Drei der wichtigsten Vorkommnisse in einer Firma, die Einfluss auf die vergebenen Berechtigungen haben.

Natürlich ist das weder böser Wille noch mangelndes Verständnis seitens der IT-Abteilungen. Vielmehr ist es nicht ganz einfach die Zusammenhänge zwischen einem einzelnen Benutzer und den vergebenen Berechtigungen zu visualisieren und vollständig nachzuvollziehen. Die Berechtigungshierarchien sind komplex und ineinander verschachtelt. Dadurch sind sie kaum nachzuvollziehen und wenn überhaupt, dann nur mit einem enormen Aufwand, wenn man denn keine automatisierten Software-Tools einsetzen kann.

Theoretisch kann jeder Admin die entsprechenden Dateiaktivitäten überwachen und dort sieht er auch, wer auf die Dateien zugreifen kann. Auf dieser Basis entscheidet er, ob dieser Benutzer auch tatsächlich Zugriffsrechte haben sollte. In den allermeisten Fällen verzichten Firmen allerdings aus Ressourcengründen auf ein derartiges Datei-Auditing. Oder sie beschränken es auf einen überschaubaren Zeitraum. Die schiere Zahl der zu überprüfenden Logfiles und das Nachvollziehen der jeweiligen Audit-Trails übersteigen nicht selten vorhandene IT-Kapazitäten. Trotzdem: Es gibt einen Weg aus der Berechtigungsfalle. Vier strategische Schritte helfen, damit IT-Administratoren Netzwerkfreigaben und Berechtigungen leichter verwalten können.

1. Das binäre Modell für Berechtigungsvergabe und Filesharing

Besser als ad-hoc zu agieren ist es die Berechtigungen nach bestimmten Regeln zu vergeben. Je einfacher, desto besser. Experten empfehlen bei der Vergabe von Berechtigungen für Ordner drei Stati zu unterscheiden:

  • Direkt zugewiesene Berechtigungen – jeder Eintrag in den Zugriffskontrolllisten wird direkt dem Eintrag in der Liste der betreffenden Assets zugewiesen
  • Vererbte Zugriffsberechtigungen – also Berechtigungen, die aus den Rechten des übergeordneten Verzeichnisses stammen
  • und die hybride Variante – also sowohl direkte als auch vererbte Berechtigungen

Betrachtet man die aktuellen Implementierungen, sollte man ermitteln, welchen Status die Ordner haben um die es geht. Es ist keineswegs überraschend wenn die überwiegende Mehrzahl dieser Ordner sich in einem hybriden Stadium befindet. Trotzdem sollte es das Ziel sein hybride Berechtigungen soweit als möglich zu beseitigen und stattdessen ein zweistufig binär funktionierendes Modell umzusetzen. Die Ordner sollten dann entweder alle oder keine Berechtigungen erben. Der nächste Schritt besteht darin die bestehenden Gruppenberechtigungen zu standardisieren.

Es sollten nur Gruppenberechtigungen vergeben werden, denn sie sind sehr viel einfacher zu verwalten als individuelle Zugriffsrechte. Man kann dabei durchaus Gruppen einrichten, die nur aus einem Benutzer bestehen. Zum Beispiel dann, wenn man davon ausgehen kann, dass diese Gruppe noch wächst und man dann bereits für Zukunft die entsprechenden Berechtigungen eingerichtet hat.

Und auch hier hat sich das binäre Vorgehensmodell bewährt: Fügen Sie einen Benutzer immer nur der Gruppe mit nur einem Lesezugriff hinzu oder nur der Gruppe, die einen Lese- und Schreibzugriff auf die jeweiligen Ordnerinhalte hat. Selbstverständlich sollte es darüberhinaus eine administrative Gruppe geben. Trotzdem fallen 99 % der Benutzer in einem Unternehmen in eine der obigen Gruppen.

Warum aber ist es so schwierig herauszufinden welche Berechtigungen ein bestimmter Ordner gerade hat? Einer der Gründe ist, dass Gruppen oftmals untereinander verschachtelt sind. Solche Verschachtelungen gilt es deshalb zu vermeiden. In aller Regel fährt man besser damit eine lokale Domain zuzuweisen oder eine universelle Gruppe in den ACLs einzurichten und die gewünschten Benutzer dieser Gruppe hinzuzufügen. Es gibt allerdings einige Fälle, in denen sich auch verschachtelte Gruppen anbieten, wenn man beispielsweise der von Microsoft empfohlenen AGLP-Strategie folgt. Das gilt insbesondere dann, wenn so eine Gruppe bereits existiert, sie die richtigen Benutzer enthält und sie vom richtigen Gruppeneigentümer betreut wird.

Im Laufe der Jahre hat es immer wieder Verwirrung darüber gegeben wie man am besten mit einer Kombination aus NTFS-Berechtigungen und Windows-Sharing-Berechtigungen umgeht. Experten sind sich einig darin, dass es der beste Weg ist, zunächst die Berechtigungen für die Freigaben zu standardisieren und die NTFS-Berechtigungen für die granulare Verwaltung der Berechtigungen zu benutzen. Zum Beispiel: Sie haben die Netzwerkfreigaben so vergeben, dass nur authentifizierte Benutzer zugreifen können und benutzen dann die NTFS-Freigaben um genauer abzustufen wer zugreifen darf (sei es auf das Netzwerk oder auf den Server). Bei Gruppen sollte man aber soweit als möglich darauf verzichten zu verschachteln, denn das macht die Verwaltung nur unnötig komplex. 

An dieser Stelle sollte man darauf achten Berechtigungen, die mehrere Netzwerkfreigaben durchlaufen, korrekt zu setzen. Wenn Sie beispielsweise einen Benutzer bestimmte Zugriffsrechte auf einen Ordner geben, der einige Ebenen unterhalb der Netzwerkfreigaben angesiedelt ist, benötigt er sämtliche Zugriffsberechtigungen durchgängig über den gesamten Verzeichnisbaum hinweg. Hier haben sich automatisierte Lösungen gegenüber einem manuellen Vorgehen inzwischen bewährt. Sie vereinfachen es diese Berechtigungen nachzuvollziehen und zu überprüfen ob sie korrekt vergeben wurden.

Hat man die Berechtigungen in dieser Form geordnet, kann man das binäre Modell durchaus auf die Bereiche der Netzwerkfreigaben übertragen. Fachleute auf diesem Gebiet empfehlen große abteilungsbezogene Bereiche für die Netzwerkfreigaben einzuziehen und dann anschließend spezifische projektbezogene Bereiche einzurichten, auf die Mitarbeiter aus unterschiedlichen Abteilungen zugreifen können. Immer basierend auf dem Need-to-Know-Prinzip. Das heißt, es dürfen nur diejenigen Mitarbeiter zugreifen, die den Zugriff brauchen um ihren Job zu machen.

2. Die Dateneigentümer in die Vergabe von Berechtigungen einbinden

Einer der Gründe, warum Berechtigungen in aller Regel zu weit gefasst sind ist, dass die IT-Abteilung in vielen Fällen nur raten kann, wer eigentlich genau berechtigt ist auf bestimmte Inhalte zuzugreifen oder eben nicht. Irrtümer sind vorprogrammiert. Besser ist es, wenn die IT-Abteilung enger mit den Dateieigentümern zusammenarbeitet. Diese Benutzer sind meistens auf der Management-Ebene im Unternehmen angesiedelt und wissen um den Kontext der betreffenden Daten und Dateien. Und genau deshalb sollten die Dateieigentümer in die Vergabe der Zugriffsberechtigungen eingebunden sein.

Die IT-Abteilung kann einen entsprechenden Prozess installieren, um gemeinsam mit den Dateieigentümern die Berechtigungen zu vergeben. Dazu gehört es zu überwachen wer derzeit auf einen Ordner zugreifen kann, typischerweise überwacht mittels gegenwärtiger Gruppenstrukturen und gegebenenfalls zusätzlich mit Hilfe von Audit-Logs. Auf dieser Basis wird entschieden welche Benutzer aus der betreffenden Gruppe entfernt werden. Für die IT ist es manuell nicht ganz trivial herauszufinden welcher konkrete Benutzer zu welcher Gruppe gehören sollte oder nicht; auch hier gibt es automatisierte Lösungen, die Hilfestellung leisten.

Solche Überprüfungen sind leider nicht etwas, das, ein Mal gemacht, für eine bestimmte Zeit Gültigkeit hat. Die Berechtigungen müssen kontinuierlich überprüft und mit personellen Veränderungen in einem Unternehmen kontinuierlich abgeglichen werden. Ein Beispiel sind Mitarbeiter, die nur projektweise auf bestimmte Inhalte zugreifen müssen. Das kann ein interner Mitarbeiter des Unternehmens mit einem limitierten Zugriff auf bestimmte Gruppeninhalte genauso gut sein wie ein Berater, der nur für genau dieses eine Projekt verpflichtet worden ist. Und wenn das Projekt abgeschlossen ist, sollten auch die dafür vergebenen Zugriffsrechte zurück genommen werden.

Und genau hier liegt der Hase im Pfeffer. Gerade bei längerfristigen und/oder komplexen Projekten vergessen die verantwortlichen Manager nicht selten die IT-Abteilung dahingehend zu informieren. Dadurch entstehen unter Umständen folgenschwere Brüche innerhalb des Berechtigungsmanagements. Damit spiegeln die vergebenen Berechtigungen nicht mehr die bestehende organisatorische Struktur und sind viel zu weit gefasst. Etabliert man allerdings Berichte über den Status des Berechtigungsmanagements beispielsweise vierteljährlich, erhält man ein wesentlich aktuelleres Bild des Status Quo. Die Dateieigentümer werden tätig, sollte der Bericht signalisieren, dass die Berechtigungen nicht mehr aktuell sind.

3. Den Überblick behalten: Monitoring ist (fast) alles

Für die IT-Abteilung ist es nicht damit getan Richtlinien für die Berechtigungsvergabe zu definieren und periodische Berichte zu den Dateiaktivitäten auszulösen. Geteilte Ordner sollten regelmäßig überwacht werden. Wenn Mitarbeiter auf im Netzwerk freigegebene Ressourcen zugreifen können ist der Nutzen unbestritten. Wenig überraschend sind mit dem Nutzen allerdings auch Sicherheitsrisiken verbunden. Datenschutzverstöße gehören inzwischen zum alltäglichen Bild. IT-Abteilungen tun gut daran die Dateiaktivitäten regelmäßig im Hinblick auf verdächtige Anzeichen hin zu überwachen. Sei es, dass ein Hacker sich Zutritt zum Netzwerk verschafft hat, sei es, dass eine Malware bereits ihr Unwesen treibt.

Eine der gängigen Ursachen für Datenschutzverstöße mit durchweg schwerwiegenden Folgen: Angreifer haben sich in den Besitz von Anmeldeinformationen eines oder mehrerer Benutzer gebracht.

Oder ein Insider nutzt seine Zugangsdaten, um an Firmeninterna zu gelangen. Die IT-Abteilung sollte also immer ein Auge auf sämtliche Dateiaktivitäten haben, um auffällige beziehungsweise vom Normalen abweichende Muster zu erkennen. Das sind zum Beispiel auffällige Spitzen bei bestimmten Dateiaktivitäten, veränderte Berechtigungen bei Ordnern oder vertrauliche Inhalte, die häufiger als gemeinhin üblich in einer bestimmten Zeitspanne angesehen und abgerufen werden. Hilfreich ist es, wenn man automatische Benachrichtigungen setzen kann, die in Echtzeit über solche abweichenden Muster informieren. Kontinuierlich die Dateiaktivitäten zu überwachen ist ein sehr viel effektiverer Weg, sich ein Bild von der tatsächlichen Situation im Netzwerk zu machen als sämtliche Logfiles manuell durchzuarbeiten.

Auf einer mehr operationalen Ebene sollte eine IT-Abteilung auch die Aktivitäten überwachen, die geteilte Ressourcen betreffen und die vergebenen Berechtigungen entsprechend anpassen. Nicht selten kommt es beispielsweise vor, dass Benutzer oder Gruppen auf Ordner zugreifen können, diesen Zugriff aber noch nie benutzt haben. Ein anderer Fall ist, dass nicht autorisierte Benutzer auf vertrauliche Inhalte zugreifen können, in die sie keinen Einblick haben sollten. Die Analyseergebnisse kann man anschließend wieder mit den ursprünglichen Berichtsinhalten zusammenführen und so das Berechtigungsmanagement weiter optimieren. 

4. Die Sache mit dem Speichern

IT-Abteilungen sind bereits mit dem Aufsetzen und Verwalten von Netzwerkfreigaben ausreichend beschäftigt. Aspekte, die den Lebenszyklus von Daten und Dateien betreffen geraten dabei leicht in den Hintergrund. Daten haben eine natürliche Lebensspanne und je älter die Inhalte werden, desto weniger relevant sind sie in aller Regel. Für das Speichern von Daten und die Speicherfristen sollte es in jedem Unternehmen Richtlinien geben. Das betrifft nicht nur den jeweils verfügbaren Speicherplatz und das Entfernen veralteter Daten, sondern auch Sicherheitsaspekte. Der „Privacy by Design“-Gedanke hat den Bereich der Daten-Compliance und die gesetzlichen Rahmenbedingungen stark beeinflusst. Eine der Privacy-by-Design-Grundlagen ist der Grundsatz, die Menge der gesammelten Daten so weit wie möglich zu minimieren und die Speicherfristen für Dateien und Ordner zu begrenzen. Daten mit einem Verfallsdatum zu versehen wirkt sich positiv auf die Sicherheit aus: Es gibt schlicht weniger Daten, die bei Datenschutzvorfällen in die Gefahrenzone geraten. Das ist eine basale, aber nichtsdestotrotz effektive Datenschutzstrategie.

Um solchen Strategien in der praktischen Umsetzung mehr Biss zu verleihen, schlagen IT-Fachleute beispielsweise vor, dass die Benutzer auf einer per-Byte-Basis für Speichervolumen zur Kasse gebeten werden. Wenn Abteilungsleiter oder Manager nicht für ihren Anteil an Netzwerkfreigaben zahlen wollen, kann die IT-Abteilung die entsprechenden Shares entfernen oder ihnen einen anderen Speicherplatz zuweisen.

Für eine optimale Speicherstrategie sollte man die folgenden Punkte berücksichtigen:

  • Definieren Sie einen Zeitraum innerhalb dessen Daten nicht mehr genutzt und infolgedessen als veraltet angesehen werden. 1, 2 oder 5 Jahre?
  • Verwenden Sie eine Lösung mit deren Hilfe Sie veraltete Daten ausfindig machen können, und verlassen Sie sich nicht nur auf Zeitstempel.
  • Klassifizieren Sie Ihre Daten wenn möglich automatisch im Hinblick auf Inhalte, Aktivitäten, Zugriffsmöglichkeiten, Vertraulichkeit der Daten und Beteiligung der tatsächlichen Dateieigentümer
  • Daten, die unter die Speicherrichtlinie fallen, sollten demgemäß automatisch gespeichert oder gelöscht werden.
  • Migrieren Sie veraltete Dateien mit sensiblen Inhalten in sichere Ordner oder Archive auf die nur diejenigen Personen zugreifen sollten, die diesen Zugriff auch benötigen
  • Die eingesetzte Lösung sollte in der Lage sein, die Evidenz der Speicherrichtlinien und deren Umsetzung über Berichte nachzuweisen

Fazit

Netzwerkfreigaben sind ein essentieller Dienst auf die kein Unternehmen verzichten kann. Hier setzen alle weiteren Lösungen für die Zusammenarbeit an.
Allerdings sind damit ganz eigene Verwaltungs- und Sicherheitsanforderungen verbunden. Grundsätzlich sollte eine IT-Abteilung die obigen Grundsätze beherzigen, wenn es darum geht Netzwerkfreigaben zu erteilen und zu managen. Das hier erläuterte Modell bildet die Basis für eine sinnvolle Freigabe von Berechtigungen. Selbst die simpelste Richtlinie wird schnell sehr komplex, wenn es darum geht Berechtigungs- und Netzwerkfreigaben zu erteilen und optimal zu verwalten. Inzwischen ist das ohne automatisierte Tools praktisch nicht mehr möglich.

David LinDavid Lin, Varonis

www.varonis.com/de

 

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet