Site
Web

+49 (6251) 10 58-0 IT-Security@MORAWIETZ.de

Site
Web

Verwaltung privilegierter Benutzer und Identitäten

Ein hohes Risiko für Ihr Unternehmen bzw. Behörden

Privilegierte Accounts (wie z.B. der „Administrator“ oder alle generischen Mitglieder der Gruppe „Domänen-Administratoren“) ermöglichen Benutzern eine anonyme Anmeldung und die meist vollständige Kontrolle über Ihr Microsoft Active Directory oder Ihre Microsoft-Server sowie Zugriff auf sämtliche Informationen in diesen Systemen. Einerseits besteht immer das Risiko des unberechtigten Zugriffs, andererseits wissen meist aber auch die rechtmäßigen Nutzer (Administratoren) nicht, welchen Schaden (Trojaner, Spy-Software) sie mit ihren Berechtigungen anrichten können. Diese potenzielle Insiderbedrohung ist für Unternehmen bzw. Behörden besonders schwer zu kontrollieren. Das Hauptproblem ist meistens eine historisch gewachsene Rechteverwaltung, welche über die Jahre über nur sporadisch gewartet wurde.

Privileged Access Management (PAM) wird manchmal auch als Privileged Identity Management (PIM) oder Privileged Access Security (PAS) bezeichnet, und beruht auf dem Principle of Least-Privilege (PoLP), wonach Benutzer nur die für ihre jeweiligen Aufgaben erforderliche Mindestzugriffsebene erhalten. Das Principle of Least-Privilege (PoLP) gilt als Best Practice in der Sicherheitsbranche und ist ein wesentlicher Schritt zum Schutz privilegierter Zugriffe auf sensible Daten und Ressourcen. Bei konsequenter Durchsetzung des Principle of Least-Privilege (PoLP), können Unternehmen bzw. Behörden ihre Angriffsfläche verringern und die Gefahr kostspieliger Datenschutzverletzungen durch böswillige Insider oder externe Cyber-Angriffe reduzieren.

Daraus ergibt sich dann folgendes Bild:

Kein Unternehmen braucht mehr als 2 bzw. 3 Domänen-Administratoren
Der initiale Domänen-Benutzer „Administrator“ existiert mit seinen ursprünglichen Eigenschaften und ist in eine nicht bekannte Anzahl von Prozessen integriert.
Das Kennwort dieser extrem privilegierten Domänen-Benutzer ist mehr als einer Person bekannt.
Dieser extrem privilegierte Domänen-Benutzer wird von unterschiedlichen Personen als Anmelde-Account für die tägliche Arbeit verwendet.

Keine Funktionstrennung bzw. Rollenkonzept im Rahmen der Zugriffskontrolle.
Viele Administratoren sind mit dem normalen Benutzer-Account für E-Mail und Internetsurfen auch gleichzeitig Domänen-Administrator.
Es existieren Benutzerkonten für Entwickler und externe Mitarbeiter mit privilegierten Rechten, welche nicht mehr für das Unternehmen arbeiten oder die Abteilung gewechselt haben.

Werden die Passwörter regelmäßig (spätestens nach 180 Tagen) geändert?
Sind die privilegierten Accounts noch aktiv oder werden diese noch benötigt?
Wer hat worauf Zugriff und wer braucht worauf Zugriff?
In welchen Prozessen wird der beispielsweise der Initial-Benutzer „Administrator“ verwendet?

Die privilegierten Accounts unterliegen Richtlinien, wie dem Bundesdatenschutz Gesetz (BDSG) § 9 Access Control oder Sarbanes Oxley Act, PCI-DSS und Basel II. Danach müssen Unternehmen bzw. Behörden genau nachweisen können, wer sich bei sensiblen Systemen anmeldet und zunehmend auch, welche Vorgänge derjenige ausführt. Weiteres müssen gemäß diesen Gesetzen alle aktuellen technischen Mittel genutzt werden, um die Vertraulichkeit zu gewährleisten. Geschieht dies nachweislich nicht, so liegt mindestens Fahrlässigkeit vor. Eine Haftung liegt bei der Geschäftsleitung, welche ggf. über die Mitarbeiterhaftung auf den Administrator abgewälzt wird.

Wenn Sie ein paar der oben genannten Sicherheitsprobleme auch an Ihrem Unternehmen wiedererkennen, können Sie diesen mit zwei Produkten aus dem Hause Quest entgegenwirken. Mit dem Active Administrator und Security Explorer haben Sie zwei Unternehmenslösungen zur umfangreichen Verwaltung privilegierter Benutzern, welche darüber hinaus noch etliche weitere Features bieten.

Vorteile des Active Administrators & Security Explorer

Auffinden von Service-Accounts
- Analyse der Prozessbeteiligung auf Domänencontrollern und allen Windows Servern.
- Teilautomatisches Ändern von Kennwörtern privilegierter Benutzer bis zu einer Kennwortlänge von 127 Stellen.
- Kennwortvergabe erfolgt per Random-Verfahren ohne Kenntnis einer natürlichen Person. Dadurch müssen diese Kennwörter auch in keinem Kennwort-Safe hinterlegt werden.
Reporting-Funktionen zur besseren Überwachung
Aufbau einer rollenbasierten Rechtedelegation: Damit wird klare Trennung von Domänen-Administratoren und Domänen-User unterstützt. Prinzip „Least Privilege“: Jeder darf nur diejenigen Rechte erhalten, die er für die Durchführung seiner Arbeit unbedingt benötigt.
Monitoring der privilegierten Accounts und Tätigkeiten mit Historie: Versenden von automatischen E-Mails bei unerlaubten Zugriffen; SQL-Datenbank für rückwirkende Forensik.
Verwaltung von Sicherheitsrichtlinien
Backup & Recovery von AD-Objekten und Berechtigungen; Recovery auch von einzelnen Eigenschaften möglich.

Lizenzierung

Der Active Administrator und Security Explorer werden pro aktivem Active Directory User-Account lizenziert (deaktivierte Benutzer werden nicht gezählt). Zum Auslesen der AD-User Anzahl gibt es vom gleichen Hersteller den kostenfreien “Domain Statistics Wizard”. Das Tool erstellt eine kleine Textdatei, welche unter anderem die Anzahl der Server, Workstations, AD-User und Mailboxen beinhaltet. Hierzu werden keine privilegierten Berechtigungen benötigt.

Workshop und Implementierungsunterstützung

Active Administrator und Security Explorer

Evaluierungsworkshop vor dem Kauf (1 Tag)

Implementierung und Konfiguration der Evaluierungsversionen
Kurzeinweisung
Aufzeigen von Möglichkeiten und Potenzialanalyse
Best Practise, Tipps & Tricks

Implementierung und Produktschulung (2 Tage)

Kurz-Audit der bestehenden ADS-Struktur
Implementierung und Kontrolle
Aufzeigen von Potenzialen und Möglichkeiten
Umsetzung kundenspezifischer Anforderungen
Knowhow-Transfer aus anderen erfolgreichen Quest-Projekten

Update & Migration

(1-2 Tage)

Darlegung der Neuerungen und technischen Änderungen
Untersuchung der zugrunde liegenden ADS OU-Strukturen
Backup der augenblicklichen Konfiguration
Erarbeitung Migrationsplan mit Ziel einer reibungslosen Integration in die bestehende Infrastruktur
Migration und Kontrolle

Health-Check bzw. Auditing (1-2 Tage)

Kontrolle vorhandener Installation
Aufzeigen von Optimierungsansätzen
Best Practice

Sie haben Interesse?

Gerne erstellen wir Ihnen ein unverbindliches Angebot für die beiden Produkte (mit 1, 2 & 3 Jahren Wartung alternativ) sowie den Workshops bzw. Implementierungsunterstützung. Bitte nehmen Sie mit uns Kontakt auf.

+49 (6251) 10 58-0 (Zentrale)

Quest@MORAWIETZ.de

Lösungsbausteine Technologie-Portfolio

Webinare

Über uns

Die Dr. MORAWIETZ GmbH ist eines der führenden Beratungs- & Implementierungsunternehmen in den Bereichen Microsoft E-Mail-Systeme (Exchange) sowie IT-Sicherheit und Microsoft-basierter IT-Infrastruktur (ADS) sowie Client-Life-Cycle Management. Von der Planung bis zur schlüsselfertigen Installation begleiten wir die Einführung oder Migration von Active Directory-Umgebungen, Microsoft Exchange, Microsoft Teams und weiteren Microsoft-Lösungen (On-Premises, Cloud & Hybrid). Als Microsoft InnerCircle Partner für Unified Communication und Security zählen wir zu den Top-30-Partnern von Microsoft im Bereich Consulting-Services. Darüber hinaus sind wir auf das Lösungsportfolio von Quest Software spezialisiert.