IT-Dokumentation - Der Blog

Sicherheit durch Berechtigungsanalysen

Di, 28. Juni 2022

Damit nicht jede beliebige Person auf sämtliche Ressourcen in einem Netzwerk zugreifen kann, werden verschiedenste Berechtigungsstufen im Unternehmen verteilt. Die dazu nötigen Tools sind bei Windows Server natürlich mit dabei. Ob die Berechtigungen via Gruppenrichtlinienobjekten (Group Policies Objects – GPOs) oder manuell vergeben werden, spielt dabei erstmal keine Rolle.

Je granularer und individueller die Rechte vergeben werden, umso schwieriger wird es, die Übersicht zu behalten. Die Bordmittel, die Windows dafür bereithält, sind dafür in vielen Fällen nicht genug aussagekräftig.

Berechtigungen sind schnell vergeben

Wie bereits erwähnt, gibt es viele Möglichkeiten, Berechtigungen an User oder Gruppen auszurollen. Auch wenn es firmenintern spezielle Richtlinien gibt und diese Rechte meist durch Gruppenzugehörigkeiten definiert werden, gibt es immer wieder Ausnahmen. Dann nämlich, wenn von übergeordneter Stelle eine Anweisung kommt, speziellen Personen zusätzliche Berechtigungen zu verleihen.

Die Berechtigungsvergabe ist in der Regel kein Problem und auch „von oben“ genehmigt. Schwierig wird es erst, wenn sich Personen wieder aus einzelnen Abteilungen verabschieden und ihre Sonderrechte beibehalten. Hin und wieder kann es auch sein, dass User-Accounts von bereits ausgeschiedenen Mitarbeitern weiterhin oder zumindest für einen kurzen Zeitraum betrieben werden müssen.

Es besteht einfach die Gefahr, dass nach kurzer Zeit die Rücknahme von Berechtigungen vergessen oder schlicht übersehen werden. So können sich nicht nur im Lauf der Zeit sogenannte Systemleichen etablieren, sondern auch gravierende Sicherheitsmängel im ansonsten vielleicht gut abgesicherten Netzwerk eröffnen.

Die Kontrollmöglichkeiten sind im Normalfall sehr eingeschränkt

Selbstverständlich kann jeder einzelne User-Account in der Windows Domäne durch die entsprechenden Admin-Tools gesichtet und bewertet werden. Das artet aber sehr schnell in Arbeit aus und wird deswegen kaum und schon gar nicht regelmäßig durchgeführt. Das Sicherheitsrisiko lebt also.

Anders sieht die Sache aus, wenn man auch für solche Aufgaben eine professionelle IT-Dokumentationslösung heranzieht. So wird zum Beispiel mit Docusnap nicht nur eine vollständige und automatisierte Inventarisierung der IT-Hardware vorgenommen, sondern auch die Daten aus dem Active Directory ausgelesen und in der Datenbank gespeichert.

Mit diesen Daten können dann die unterschiedlichsten Auswertungen durchgeführt werden. Unter anderem können so auch die entsprechenden Berechtigungsstrukturen ausgelesen und auch grafisch dargestellt werden. Auch die Vererbungen werden dabei akkurat abgebildet.

Berechtigungsanalyse im beruflichen Alltag

Die Verantwortung für aktuelle und korrekt gesetzte Zugriffsrechte wird in der Regel von der Geschäftsführung an die jeweiligen Abteilungs- und Teamleiter delegiert. Diese geben das Thema ihrerseits wieder an die IT-Abteilung weiter, mit der Begründung, dass sie nicht in der Lage seien nachzuvollziehen, wer welche Berechtigungen hat. Die IT-Abteilung weiß aber im Gegenzug gar nicht, welcher Mitarbeiter überhaupt auf welche Daten zugreifen darf. Eine klassische Pattsituation entsteht und die Arbeit, in diesem Fall die Berechtigungsanalyse, bleibt liegen.

Ein gängiger Ansatz das Thema trotzdem in den Griff zu bekommen ist, dass die IT den jeweiligen Fachabteilungsleitern regelmäßig, zum Beispiel monatlich, eine komplette Liste aller zugeordneter Mitarbeiter und derer Berechtigungen zur Überprüfung und gegebenenfalls Korrektur zukommen lässt. Die Rückmeldungen können dann wiederum von der IT eingepflegt werden.

Berechtigungsanalyse mit Docusnap: automatisiert und wiederkehrend

Unsere Software Docusnap kann Ihnen bei der Analyse der Berechtigungen sehr viel Arbeit abnehmen.
Sie inventarisiert und dokumentiert Ihre gesamte Berechtigungsstruktur automatisiert und wiederkehrend. Dabei bietet Docusnap die Möglichkeit, effektive Zugriffsberechtigungen für Benutzer und Gruppen zu ermitteln und zu analysieren. Dafür stehen umfangreiche Berichte zur Verfügung, welche die aktuelle Berechtigungssituation vom Standpunkt der Benutzer und Gruppen oder vom Standpunkt einer Ressource (z. B. ein Verzeichnis) beleuchten. Diese Berichte können zudem automatisiert und regelmäßig per Email an beliebige Empfänger, zum Beispiel alle Abteilungsleiter Ihres Unternehmens, verschickt werden.

Mit der Berechtigungsanalyse in Docusnap können Sie unter anderem folgende Fragen beantworten:

  • Worauf hat Mitarbeiter X Zugriff?
  • Wer hat Zugriff auf das Personalverzeichnis?
  • Wie kommen Berechtigungen zustande?
  • Wie setzen sich die Berechtigungen (NTFS, Freigabe) für einen Benutzer zusammen?

Die Berechtigungsanalyse ist für alle Windows-Systeme bzw. Systeme, die das SMB- oder CIFS-Protokoll (z. B. Samba, Netapp Filer) unterstützen, möglich.
Darüber hinaus können auch die Berechtigungen für SharePoint-Server und für Exchange-Postfächer ausgelesen und analysiert werden.
Die Möglichkeiten mit Docusnap sind vielfältig. Nutzen Sie sie, um sich und Ihr Unternehmen zu schützen.

So geht’s in Docusnap:

 

Professionelle IT-Abteilungen arbeiten mit professionellen Lösungen

Nicht nur die sicherheitsrelevante Überwachung und Dokumentation kann mit Docusnap realisiert werden. Auch das gesamte Netzwerk profitiert im Normalbetrieb von der regelmäßigen Inventarisierung durch Docusnap. Und mit den vielfältigen Auswertungen und Berichten, die Docusnap bereits Out-of-the-box mitbringt, erleichtert man sich das Leben als IT-Verantwortlicher auch außerhalb von Notfällen enorm.

Interesse geweckt? Probieren Sie es einfach aus. Mit unserer 30-Tage-Testversion können Sie Docusnap bereits auf Herz und Nieren testen. Völlig kostenlos und ohne Verpflichtungen.

Und damit Sie von Anfang an das volle Potenzial von Docusnap auskosten können, legen wir unseren Profi-Support auch nochmal obendrauf. Sogar in der Testphase ohne weitere Kosten. Probieren und dokumentieren – wir freuen uns auf Sie.