Entwicklung eines Zugriffsrechte- Managements & Best-Practice- Beispiele 2013 1
Inhaltsverzeichnis ABSCHALTUNG VON ENDGERÄTEN ERFORDERT DIE FÄHIGKEIT ZUM ZUGRIFFSMANAGEMENT 3 BEST-PRACTICE-BEISPIELE FÜR DIE IMPLEMENTIERUNG EINER LÖSUNG FÜR DAS ZUGRIFFSMANAGEMENT 3 ANALYSIEREN SIE IHRE INFRASTRUKTUR UND DEFINIEREN SIE ORGANISATORISCHE ANFORDERUNGEN 4 ORTEN SIE BENUTZERKONTEN, DIE ÜBER LOKALE, ADMINISTRATIVE RECHTE VERFÜGEN 4 TESTPHASE UNTER LABORBEDINGUNGEN 5 VERTRAUENSWÜRDIGE BEZUGSQUELLEN 6 PILOTPROJEKT 6 FINDEN SIE ANWENDUNGEN, DIE HÖCHSTE GENEHMIGUNGSVERFAHREN ERFORDERN 7 BEREITEN SIE SICH AUF DIE IMPLEMENTIERUNGSPHASE VOR 9 AUTOMATISIERTE REGELERSTELLUNG FÜR DIE HANDHABUNG VON AUSNAHMEN IM ANWENDUNGSFALL 9 NUTZUNG VON VIEWFINITY PRIVILEGE MANAGEMENT 10 VIEWFINITY-KOMPONENTEN 10 2
ABSCHALTUNG VON ENDGERÄTEN ERFORDERT DIE FÄHIGKEIT ZUM ZUGRIFFSMANAGEMENT Es gibt Anwendungsfälle, bei denen Unternehmen möchten, dass die Endanwender Transaktionen direkt durchführen können, die normalerweise administrative Zugriffsrechte für das System erfordern. Es kann zum Beispiel sein, dass Unternehmen ihren Nutzern erlauben möchten, spezielle ActiveX-Komponenten zu installieren. Sie möchten ihren Nutzern ermöglichen, neue Drucker auf einem System zu installieren und zu konfigurieren. Ein Nutzer, der viel unterwegs ist, soll in der Lage sein, bestimmte Anwendungen ohne eine direkte Verbindung zum Unternehmensnetz zu installieren. Mobile, remote-arbeitende Anwender müssen selbstständig spezielle Aufgaben auf Systemebene durchführen. Andere Anwendungen erfordern ganz bestimmte Berechtigungen, um erwartungsgemäß zu funktionieren. In all diesen Fällen macht ein ausgeklügeltes Zugriffsmanagement-System Sinn. Dieses sogenannte Privilege Management System schafft den Ausgleich zwischen einer rigiden Systemsperrung und individuellen Anpassungen am Platz des Endanwenders. Es stellt sicher, dass die gewünschten Anwendungen mit den entsprechenden Zugriffsrechten funktionieren und ermöglicht dem Systemadministrator die Prüfung der Umgebung des Endanwenders, so dass diese dem erforderlichen Konfigurationsstandard entspricht. BEST-PRACTICE-BEISPIELE FÜR DIE IMPLEMENTIERUNG EINES PRODUKTES FÜR DAS ZUGRIFFSMANAGEMENT Projekte wie diese machen eine umfassende Analyse erforderlich, um die Anforderungen der Nutzer festzustellen und die Umgebung vorzubereiten. Natürlich sind Unternehmen stets bestrebt, ihre IT-Sicherheit zu erhöhen. Dennoch benötigen sie die Möglichkeit, die Einräumung von Zugriffsrechten zu steuern. Viewfinity bietet eine automatisierte Methode zur Schaffung einer unternehmensweiten Infrastruktur mit möglichst wenigen Zugriffsrechten. Sie hilft den Unternehmen dabei, die Risiken einer dauerhaften Bedrohung zu reduzieren. 3
ANALYSIEREN SIE IHRE INFRASTRUKTUR UND DEFINIEREN SIE ORGANISATORISCHE ANFORDERUNGEN ORTEN SIE BENUTZERKONTEN, DIE ÜBER LOKALE, ADMINISTRATIVE RECHTE VERFÜGEN Die verschiedenen Abteilungen in Ihrer Organisation haben unterschiedliche Rechte auf ihren Desktops. Die Unterschiede können von Anwender zu Anwender oder auch von einer Nutzergruppe zu einer anderen bestehen. Sogar innerhalb einer Abteilung können Unterschiede aufgrund der Hierarchie und den Zugriffsrechten auftreten. Relevante Fragen: Wissen Sie, wie viele Anwender innerhalb Ihrer Organisation administrative Rechte haben? Hatten Sie entschieden, wer innerhalb Ihrer Organisation, wenn überhaupt, administrative Rechte erhält? Nur wenn Sie wissen, welche Anwender oder Nutzergruppen über administrative Rechte auf ihren Desktops verfügen, können Sie neu definieren, wer diese Rechte zukünftig erhalten soll. Sobald die Analyse abgeschlossen ist, können die IT- Administratoren aktiv werden. Gegebenenfalls müssen sie einzelnen Anwendern oder verdächtigen Gruppen die Administrationsrechte wieder entziehen. Best Practice: Führen Sie eine Abfrage durch, um festzustellen, wie viele Nutzer über administrative Rechte verfügen. Planen Sie administrative Rechte von so vielen Endgeräten / Nutzern wie möglich zu entfernen 4
TESTSPHASE UNTER LABORBEDINGUNGEN Erfahrungen zeigen, dass ein Test in einer vollständig kontrollierten Umgebung durchgeführt werden muss. Dafür sollten Sie mehrere Tage einplanen. Wir empfehlen Ihnen, die Testläufe auf Computern mit den Standardeinstellungen Ihrer Organisation durchzuführen. Installieren Sie zuerst Viewfinity Administrative Console auf einem der Computer. Dann installieren Sie den Viewfinity Agent auf den Computern mit Standardeinstellung. Danach setzen Sie die Viewfinity Privilege Management Software im Discovery-Modus ein. Damit startet die Analyse der anwendungsbezogenen Administrationsrechte. Im Hintergrund werden nun Informationen über Anwendungen, Prozesse und administrative Tätigkeiten gesammelt, die administrative Zugriffsrechte erfordern. Es ist unabdingbar, dass diese Informationen zur Verfügung stehen, bevor Anwender ihre lokalen Zugriffsrechte verlieren. Die eigentliche Analyse sollte mit dem Test der Grundfunktionen und der manuell erstellten Zugriffsregeln beginnen. Sehr wichtig ist es, ein Verständnis für die Umgebung mit ihren hunderten bis tausenden von Endgeräten und hunderten von Anwendungen zu bekommen. Automatisierte Tools unterstützen Sie maßgeblich dabei, genauestens herauszufinden, welche Anwendungen etc. besondere Zugriffsrechte erfordern. Unsere Analyse der Zugriffsrechte auf Anwendungen basiert auf den Anwenderaktivitäten und sammelt über einen bestimmten Zeitraum Daten, um auch alle Zugriffe (Events) festzuhalten. In der Anfangsphase ist es wichtig, die Reporting-Möglichkeiten der Softwarelösung zu testen. Wenn Sie wissen, welche Informationen Sie analysieren und um welche Sie sich kümmern müssen, ist das hilfreich. Die Mühe lohnt sich, denn sie spart Ihnen künftig Zeit. Nach ein paar Tagen im Test unter Laborbedingungen können Sie die meisten Regeln, die Sie für den Produktivprozess benötigen, automatisiert erstellen. Die Informationen, die Sie dafür brauchen, basieren auf den tatsächlichen Aktivitäten der Endanwender. Diese Eckdaten haben Sie über einen gewissen Zeitraum erfasst. Nachdem die Datenerfassung und Analyse abgeschlossen sind, werden die Zugriffsregeln automatisch kreiert. Diese umfassende Vorbereitung stellt sicher, dass bei der Löschung administrativer Rechte, alle Regeln definiert worden sind, um einen unterbrechungsfreien Wechsel in eine Umgebung mit möglichst wenigen Zugriffsrechten sicher zu stellen. 5
VERTRAUENWÜRDIGE BEZUGSQUELLEN Wir empfehlen Ihnen, dass Sie während der Testphase wichtige Regeln auf Basis von Viewfinity Trusted Sources erstellen. Der Viewfinity Administrator kann Trusted Vendors, also vertrauenswürdige Bezugsquellen, definieren. Mögliche Szenarien sind: Vertrauenswürdige Geschäftspartner jede Software, die von diesem Anbieter unter Vertrag genommen wurde und administrative Rechte erfordert, wird erhoben. Vertrauenswürdige Freigabe - jede Software, die auf diesem Datenträger gespeichert ist, wird Standardnutzern für eine Installation zur Verfügung gestellt. (Weitere Informationen über vertrauenswürdige Bezugsquellen finden Sie in unserem Handbuch.) Die Nutzung von vertrauenswürdigen Bezugsquellen reduziert die Notwendigkeit zusätzlicher Regeln in einer standardmäßigen Betriebssystem-Umgebung. PILOTPROJEKT Das Pilotprojekt sollte mit der Auswahl typischer Endanwender-Computer beginnen. Es ist wichtig, Computer von Endanwendern mit administrativen Rechten und von Standardnutzern einzubinden. Faktoren für die Wahl des richtigen Computers sind: typische Standard-Betriebssysteme; Abteilungen (reicht von einer einfachen Rechner-Lösung bis zu einer komplizierten Umgebung beispielsweise eines Software-Entwicklers); Einsatzort; Einsatzort in einer erweiterten Entwicklungsumgebung; Nutzer, die keine Kunden der Domain sind; Nutzer, die sich außerhalb der unternehmensweiten Firewalls befinden. Sie können die Auswirkungen der aktiven Regeln untersuchen, sie verändern und, sofern erforderlich, erweitern. Beobachten und kontrollieren Sie die Teilnehmer, damit Sie Daten sammeln, die Ihnen dabei helfen, die richtigen Regeln für Mitarbeiter mit Zugriffsrechten auf tätigkeitsbezogene Anwendungen aufzustellen. Wählen Sie 20 bis 40 Endanwender für Ihr Pilotprojekt aus. Es beginnt mit dem Discovery-Modus. Sie sollten während dieser anfänglichen Discovery-Phase sowie während der Regelwerkerstellung keine Nutzerrechte oder Aktivitäten ändern. 6
FINDEN SIE ANWENDUNGEN, DIE HÖCHSTE GENEHMIGUNGSVERFAHREN ERFORDERN Best Practice: Vor der Löschung administrativer Rechte binden Sie eine Gruppe von Nutzern ein, die administrative Rechte benötigen, und setzen Sie den Discovery-Prozess in Gang. Dieser Prozess analysiert die Nutzeraktivität und erstellt eine Liste der Anwendungen, die genutzt werden und administrative Rechte erfordern. Nach Erstellung der Liste mit Anwendungen analysieren Sie die Ergebnisse und stellen Regeln auf; Um Zugriff auf eine bestimmte Anwendung oder Version zu erhalten, kreieren Sie eine Elevate Privileges Policy, also eine Regel für den Zugriff; Um diesen Level allen Anwendungen von einem spezifischen Anbieter oder Produkt einzuräumen, definieren Sie eine Regel für vertrauenswürdige Bezugsquellen. Die untenstehende Abbildung zeigt das Beispiel einer Anwendung mit erforderlichen Benutzerrechten, die entdeckt wurde. Von dieser Bildschirmmaske aus können Regeln automatisch generiert werden. 7
Wir empfehlen Ihnen, 10 bis 14 Tage für die Discovery-Phase einzuplanen. Die Ergebnisse zeigen: Die durch Viewfinity-Software erstellte Liste von Anwendungen, die administrative Rechte erfordern; Events einschließlich der Anwendungstypen (EXE, MSI, COM ActiveX, etc.), Produktname, Datum der Anforderung, Begründung der geschäftlichen Notwendigkeit und eine Aufzählung spezifischer Anforderungen; Die gesammelten Events sind nach dem Typ des Nutzer-Accounts geordnet: Standard-Anwender oder Administratoren; Durch die Hervorhebung einer bestimmten Ereignisregel kann sie automatisch genehmigt werden; Identische Events von verschiedenen Computern werden automatisch miteinander kombiniert und als ein einziges Event dargestellt. Diese Zusammenfassung von Events weist Trends in Ihrem Unternehmen auf, die sich auf Anwendungen beziehen, für die Zugriffsrechte in Frage kämen. Relevante Fragen: Wählen Sie ein Standard-Modell für jede Abteilung (beginnend vom Support für ein Call Center bis zum Support für die Entwicklungsabteilung). Zum Beispiel: Endanwender haben keine administrativen Rechte, aber ein paar Anwendungen oder Systemaufgaben, die Zugriffsrechte zur Nutzung einer Software-Lösung erfordern; Endanwender haben administrative Rechte, aber bestimmte Anwendungen oder Systemaufgaben sollen für sie nicht zugänglich sein; Endgeräte sind vollständig abgeschaltet. Nur ausgewählte Anwendungen können genutzt werden (Positivliste oder auch als Whitelist bekannt). 8
BEREITEN SIE SICH AUF DIE IMPLEMENTIERUNGSPHASE VOR Um das Viewfinity-Produkt vollständig nutzen zu können, wird eine Schulung der Administratoren und Projektplaner durch den Anbieter bzw. Wiederverkäufer empfohlen. Der Wiederverkäufer sollte in die Vorbereitungen der Produkteinführung involviert werden. Das gilt ebenso für die gesamte Testplanung, die Definition der Erfolgskriterien, die Prüfung der anfänglichen Regeln während der Testphase und vor dem endgültigen Produktivlauf der Agenten, da 90 Prozent Ihrer bevorzugten Managementrechte und regeln frühzeitig definiert und implementiert werden. Aber es gibt auch immer Ausnahmen. Viewfinity bietet IT-Administratoren eine Methode, um die Beantwortung von Anfragen nach Zugriffsrechten von Endanwendern zu vereinfachen. Wir empfehlen Ihnen dringend, eine nachvollziehbare Methode für die Feedback-Einholung und die Kommunikation zwischen Endanwendern und IT-Personal zur Analyse der Nutzungsperformance festzulegen. AUTOMATISIERTE REGELERSTELLUNG FÜR DIE HANDHABUNG VON AUSNAHMEN IM ANWENDUNGSFALL Viewfinity Policy Automation ermöglicht die automatisierte Abfrage und Erfassung besonderer Zugriffsrechte. Die Lösung kombiniert die Erstellung geeigneter Regeln mit der Autorisierung der Zugriffsrechte in einem Rutsch. Ein automatisierter Abfrageprozess für Zugriffsrechte in Kombination mit dem entsprechenden Regelwerk spart sowohl dem IT-Administrator als auch dem Endanwender enorm viel Zeit. Wenn ein Nutzer versucht eine Anwendung, die Administrationsrechte erfordert, einzuführen, entdeckt die Viewfinity-Lösung automatisch, dass Administrationsrechte erforderlich sind. Um hier auf einfachste Art und Weise Unterstützung zu bieten, können Sie unsere Funktion Endanwender-Legitimations-Dialog aktivieren. Diese fragt nach der Legitimationsberechtigung des Endanwenders, wenn spezielle Zugriffsrechte erforderlich sind. Best Practice: Editieren Sie Nachrichten von Endanwendern durch Aufrufen von Standard- Nachrichten, Logos, URL-Adressen (mehrere Sprachen werden unterstützt). Anfragen von Endanwendern und Legitimationsnachrichten können konfiguriert werden, um ein Helpdesk-Ticket zu erfassen, sofern das Helpdesk- System Tickets im Email-Format akzeptiert. 9
NUTZUNG VON VIEWFINITY PRIVILEGE MANAGEMENT Funktionen von Viewfinity Privilege Management sind in Active Directory Group Policies integriert. Sie ermöglichen es IT-Administratoren, flexible Zugriffsregeln für Anwendungen und Desktop-Funktionen mit Administrationsrechten festzulegen. Desktops arbeiten auch weiterhin auf der Basis der geringsten Anzahl von Zugriffsrechten, außer bei den Funktionen, die mit dem Vermerk Zugriffsrecht gekennzeichnet sind. Dazu gehören zum Beispiel Anwendungen, die Administrationsrechte erfordern, Druckerinstallationen, ActiveX-Komponenten und einige andere. Viewfinity Privilege Management verwendet die gleichen Standardregeln und funktionen, die Ihnen eine einfache Listung von verbotenen oder schädlichen Anwendungen ermöglichen. Führen Sie Ihre Negativliste und blockieren Sie diese Anwendungen, selbst wenn die Anwender über Administrationsrechte verfügen. VIEWFINITY-KOMPONENTEN Viewfinity Privilege Management läuft auf verschiedenen Clients und nutzt dafür eine domainverteilte Gruppen-Policy. Der Viewfinity Agent muss auf jedem Client, der die Regel managen soll, installiert werden. Die folgenden Plattformen werden unterstützt: Windows XP SP3 Windows Vista SP1 Windows 7 Windows 7 x64 Windows Server 2003 SP3 Windows Server x64 2003 SP3 Windows Server 2008 Windows Server x64 2008 Windows Server x64 2008 R2 Viewfinity Agenten können installiert werden, indem Sie eine Regel für die Softwareimplementierung innerhalb der Gruppe, eine existierende, automatisierte Software-Installationsmethode wie SCCM (Konfigurationsmanager) oder ein ähnliches Tool nutzen. Viewfinity Agenten benötigen wenig Platz und haben keinen Einfluss auf die Performance Ihres Betriebssystems. Ausreichend sind 25 30 MB Speicherplatz, 3-5 MB RAM und weniger als ein Prozent der CPU-Last. 10
Der Viewfinity GPO Editor (Konsole des Administrators) managed die Viewfinity Policies, entdeckt Anwendungen, die Administrationsrechte erfordern, und setzt einen Statusbericht auf. Die erforderlichen Komponenten sind: Microsoft MMC 3.0 Microsoft.NET Framework 3.5 SP1 Internet Explorer 8 und höher Microsoft Report Viewer 2010 11