Gerade genug Admin-Rechte
8. November 2017
Viele Systembetreuer können ein Lied davon singen: Die Mitarbeiter arbeiten eigentlich mit Benutzer-Accounts, die aus Sicherheitsgründen keine erhöhten rechte zugewiesen bekommen, aber dies gilt nicht für alle. Denn bestimmte User benötigen „unbedingt“ erhöhte Berechtigungen, etwa weil bestimmte Anwendungen installiert und getestet werden müssen, oder um auf alle Daten der internen Netzlaufwerke zuzugreifen, oder weil bestimmte Funktionen oder Apps mit eingeschränkten Benutzerrechten nicht „sauber“ funktionieren. Dabei haben die Mitarbeiter teilweise Recht, wenn derartige „Admin-Rechte“ angefordert werden, allerding nutzen einige Mitarbeiter dies nur als Ausrede, damit für die eine „Extrawurst“ bereitgestellt wird.
Dabei ist es ein wichtiges Standbein der IT-Sicherheit, dass „normale“ Benutzer auch nur „normale“ Berechtigungen zugewiesen bekommen. Im Windows-Umfeld wurde der Ruf nach höheren Berechtigungen meist erhört (teilweise auch erst nach Intervention der Geschäftsleitung, entgegen dem Rat der IT-Sicherheitsbeauftragten), und an bestimmte Benutzer oder Gruppen erhöhte Admin-Berechtigungen verteilt. Oft werden diese User der Liste der „lokalen Administratoren“ hinzugefügt, damit diese Mitarbeiter zumindest über „ihr“ System (oftmals eine Workstation oder ein Desktop-Arbeitsplatz).
Allerdings öffnen diese Methoden oftmals Sicherheitslücken, und gefährden die IT-Security nachhaltig. Denn ein wichtiger Grundsatz lautet: Es sollten niemals erhöhte Berechtigungen eingesetzt werden, wenn diese nicht aktuell unerlässlich sind. Sprich benötigt der Mitarbeiter nur einmal im Monat (lokale Administrator-Berechtigungen) so sollte dein Account nicht dauerhaft den (lokalen) Administratoren hinzugefügt werden. Dies lässt sich durch ein ausgefeiltes Berechtigungssystem erreichen.
Zudem steht dafür auch JEA, Just Enough Administration zur Verfügung. Damit lassen sich derartige Probleme umschiffen, und die Berechtigungen gezielt verteilen. Dabei wird ausgenutzt, dass Microsoft es ermöglicht, bestimmte Prozesse oder Anwendungen direkt über die Powershell auszuführen, obwohl der Benutzer „eigentlich“ nicht über die erforderlichen rechte verfügt. Zudem lassen sich die „freigegebene“ Applikationen oder Aufgaben einzeln freigeben, es findet daher eine Art „Whitelisting“ statt. Dabei können die betreffenden Mitarbeiter nur die im Vorfeld erlaubten Apps starten, und benötigen keine Administrator-berechtigungen. Dies erhöht die IT-Security in diesem Fällen. Weitere Informationen finden die Systembetreuer auf der entsprechenden Seite von Microsoft.
