Version 1

    In der IT wird ein immenser Aufwand betrieben, um sowohl Daten als auch Devices abzusichern.
    Es werden pro Standort mittlere vierstellige Summen für Perimeter-Schutz investiert, Zugriffe von außen finden über Multi-Faktor-Authentifizierung gesicherte VPN Tunnel statt. Am Rand des Netzwerks sorgt Deep Packet Inspection für die Analyse von Datenpaketen, auf den Desktops sitzen zusätzliche Antimalware-Lösungen. Die Organisation nutzt DNS Server mit Filtern, und in manchen Umgebungen werden sogar noch Proxyserver eingesetzt. Letzten Endes protokolliert ein SIEM sämtliche Ereignisse im Netzwerk als auch in gewöhnlichen Dateioperationen.

    Und trotzdem passiert etwas – Datenverlust und Datenklau verursachen beinahe täglich Datenskandale. Hinterher ist man immer schlauer.

     

    Das viele Sicherheitsprobleme von Innen entstehen ist keine Neuigkeit.

    Unter Umständen handelt es sich um ein Versehen, oft ausgelöst durch Social Engineering, wo Kompetenzmangel oder Gutgläubigkeit von Mitarbeitern gezielt ausgenutzt werden.

    In manchen Fällen jedoch kommt es zu Situationen, in denen ein Mitarbeiter mit Absicht handelt.
    Auf Deutsch gibt es dazu das martialisch klingende Wort Innentäter, im Englischen spricht man einfach vom Insider Threat.

     

    Das Stichwort hierzu ist Berechtigungsmanagement, und Microsoft bietet Best Practices zu dem Thema sowie weitere Inhalte, die sich an anderer Stelle finden lassen. Das Prinzip der geringsten Rechte sollte angewandt werden und ist ebenso Teil zahlreicher Regularien, nicht zuletzt des IT Grundschutzes.

    Das Einrichten, Aufrechthalten sowie Überprüfen und Dokumentieren eines Berechtigungskonzeptes erfordert nicht zwingend spezielle Werkzeuge, aber realistisch betrachtet fehlt einem IT Pro die Zeit, um mit Bordmitteln zum Ziel zu kommen, und ein Auditor benötigt präzisere Belege als eine Textdatei.

    Drei bzw. vier Werkzeuge werden im Folgenden kurz vorgestellt. Zwei davon sind vollkommen kostenlos!

     

    Permission Analyzer for AD (PAFT)

     

    Zuerst möchte ich den Permissions Analyzer for AD (PAFT) vorstellen.
    Das Werkzeug zeigt die Zugriffsrechte eines Benutzers oder einer Gruppe auf freigegebene oder lokale Ordner sowie Dateien sein. PAFT schaut nicht nur auf Freigabeberechtigungen, sondern auch auf NTFS. Übrigens, PAFT ist eines unserer ältesten kostenlosen Tools und schon seit 2011 verfügbar!

    Die Installation ist schnell erledigt aber benötigt .Net 3.5 vorab.
    Beim ersten Starten wird das Konto zum Zugriff auf AD angelegt:

     

     

    Zur Benutzung werden jeweils zwei Datensätze benötigt – ein Konto und ein Ziel.
    Hier schaue ich, welche Berechtigungen mein Konto auf dem Share „Test“ hat:

     

     

    Jetzt ein anderes Konto auf dem gleichen Ordner:

     

     

    Das Tool zeigt dieselben Daten an wie die „Effektiver Zugriff“ Funktion innerhalb von Windows, aber viel schneller und bequemer in der Auswahl von Zielen und ist ideal, wenn man schnell etwas mehr sehen möchte als mit Get-SMBShareAccess.
    PAFT kann selbstverständlich auch im HelpDesk von Nutzen sein, da von überall getestet werden kann, ob ein Mitarbeiter unter Umständen weiteren Zugriff benötigt.

     

    Access Rights Auditor (ARA)

     

    Das nächste kostenlose Werkzeug ist der Access Rights Auditor. ARA ist eines unserer neuesten kostenlosen Tools und bietet komplexere AD Scans und weist direkt auf mögliche Risiken hin, die durch suboptimales Berechtigungs-Management entstehen können.
    Die gute und übersichtliche Dokumentation befindet sich hier daher möchte ich gar nicht so tief eintauchen, stattdessen eine kurze Vorstellung des Tools auf Deutsch.

    Eine Installation ist nicht erforderlich, es startet nach Mausklick.

     

     

    Die Resultate des schnellen Scans sehen so aus:

     

     

    Ein Mausklick auf eine Kachel zeigt mehr Details zum Hintergrund:

     

     

    Sowie wo die entsprechenden Risiken tatsächlich zu finden sind:

     

     

    ARA kann ebenfalls die Share-Berechtigungen anzeigen, allerdings nicht so detailliert wie PAFT:

     

     

    Schnell, einfach und kostenlos.

     

    Access Rights Manager (ARM)

     

    Den vermutlich schon bekannten Access Rights Manager, die ausgewachsene Version von ARA, gibt es mittlerweile in zwei verschiedenen Varianten; ARM-AE „Audit Edition“ sowie „Full Version“. ARM ist keine Freeware, aber als Evaluierungsversion uneingeschränkt nutzbar für 30 Tage.

    Worin unterscheiden sich die Versionen? Dazu unten etwas mehr.

    Zu ARM gibt es viel Dokumentation, ebenso habe ich vor einigen Monaten ein paar Worte dazu verfasst. Die Installation wurde zwischenzeitlich aktualisiert und sieht nun ähnlich wie die der anderen SolarWinds Produkte aus.

    Nach dem Anlegen der Datenbank und einem Scan von AD sowie Fileserver ist ARM einsatzbereit und ein Dashboard zeigt typische Szenarien bzw. Aufgaben:

     

     

    Da man weitere Details in meinem obigen Posting auf Deutsch oder hier findet, spare ich mir eine Wiederholung aber, zusammengefasst, ist ARM eine rund-um-sorglos Lösung zum Thema Berechtigungsmanagement.

    Die üblichen fragen nach wer, wann, was und warum können out-of-the-box beantwortet werden, kurze Übersichten sowie detaillierte Berichte lassen sich mit wenigen Mausklicks generieren und automatisieren.
    Eine Risiko-Analyse wie bei ARA ist ebenso vorhanden und greift noch tiefer in die Materie ein.

     

    Wo sich die beiden ARMe (sorry, das musste sein) unterscheiden sind die erweiterten Features die z.B. der Helpdesk nutzen kann. Hier eine Übersicht:

     


    Als Beispiel: Wieviel Zeit wird im Helpdesk aufgebracht, um Mitarbeitern neue Berechtigungen zu vergeben? Ein Mitarbeiter, der mit einem neuen Projekt beauftragt wird, benötigt Zugriff auf spezielle Ressourcen. Dazu wird ein Ticket an den Helpdesk gesendet. Der Helpdesk muss die exakten Ressourcen identifizieren, dann mit dem Inhaber der Daten oder zumindest mit dem Manager des Mitarbeiters in Kontakt treten, um festzustellen, ob der Zugriff berechtigt ist. Erst dann wird das Konto bearbeitet.


    Wie schön wäre es, wenn die Anfrage direkt an den Data Owner gesendet werden könnte, der den Vorgang per Mausklick abschließen kann?

    Das ist machbar, ebenso wie weitere Features die zu den Routineaufgaben in AD gehören.

     

     

    Also, welches Tool für welche Aufgaben?

     

    PAFT

    • Effektive Berechtigungen an Ordnern und Dateien
    • Adhoc Suche für einzelne Konten oder Gruppen

    ARA

    • Analyse von Zugriffs-Berechtigungen
    • Zeigt mögliche Risiken durch weitreichende Berechtigungen auf
    • Weist auf Probleme wie unbekannte SID hin

    ARM

    • Rund-um Paket für die Verwaltung von Benutzerrechten
    • Tiefgehende Analyse von Berechtigungsproblemen
    • Permanente Dokumentation inklusive Audits
    • Workflow-automation für den Helpdesk oder Geschäftsprozesse

     

    Viel Spass beim Testen!