All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • All About Security auf Google+
  • Unter4Ohren IT-Security Podcast auf YouTube

Identity- und Access-Management

Sicherheitsgruppen im Active Directory

Sicherheitsgruppen im Active Directory

- Regelmäßige Pflege und Aktualisierung wird oft vernachlässigt. FirstAttribute warnt vor Sicherheitsrisiken durch fehlerhafte Zugriffsberechtigungen sowie fehlende Automatismen. Die Verwaltung von Sicherheitsgruppen im Verzeichnisdienst Active Directory erfordert von IT-Administratoren meist zeitaufwendige Handarbeit. Gerade die regelmäßige Aktualisierung der Zugriffsberechtigungen der Benutzer stellt gleichzeitig eine potenzielle Quelle für Sicherheitsrisiken dar.

Jörg Hoffmann, Geschäftsführer des Softwareunternehmens FirstAttribute Services GmbH (www.firstattribute.com):

„Wir erleben in Projekten sehr häufig, dass die laufende Pflege der Berechtigungsgruppen im Active Directory der tatsächlichen Benutzer-Situation in der jeweiligen Organisation mehr oder weniger deutlich hinterherhinkt. Das bedeutet dann beispielsweise, dass Mitarbeiter zu weit reichende Zugriffsberechtigungen haben, die sie für ihren aktuellen, tatsächlichen Aufgabenbereich gar nicht benötigen. Umgekehrt kommt es vor, dass es durch zeitliche Überlastung der Administratoren zu Verzögerungen bei der Vergabe von Benutzerrechten kommt. Dies führt dann zu Produktivitätsverlusten, weil der betreffende Mitarbeiter nicht effizient arbeiten kann.“

Lösungsansatz: Dynamische Sicherheitsgruppen im Active Directory

Auf der Grundlage dieser Erfahrungen hat FirstAttribute das Tool FirstWare-Dynamic Group entwickelt. Mit FirstWare-DynamicGroup lassen sich im Active Directory dynamisch verwaltete Sicherheitsgruppen anlegen, vergleichbar etwa mit den aus der Exchange-Welt bekannten dynamischen Verteilerlisten. Bei einer Veränderung der Benutzereigenschaften werden die jeweiligen Gruppenzugehörigkeiten automatisch angepasst. Auf die Änderung der Abteilungsbezeichnung folgt somit automatisch das Entfernen des Benutzerobjekts aus der Sicherheitsgruppe der „alten“ Abteilung sowie das Hinzufügen des Benutzerobjektes zu der Sicherheitsgruppe der „neuen“ Abteilung.

Black und White Lists für Benutzer

Über einen LDAP-Filter werden Gruppenmitgliedschaften auf Basis von Attributen definiert. Als LDAP-Filter können beliebige Attribute durch UND- bzw. ODER-Verknüpfungen kombiniert werden. Die Gruppenmitgliedschaften werden regelmäßig, beispielsweise täglich zu einer festgelegten Uhrzeit, abgefragt, überprüft und gegebenenfalls aktualisiert. Mit Hilfe von White und Black Lists können zudem Benutzer festgelegt werden, die entweder auf jeden Fall oder unter keinen Umständen Mitglied einer bestimmten Gruppe sein sollen. Der Dienst fügt entsprechende User dann im Rahmen des nächsten planmäßigen Durchlaufs hinzu oder entfernt diese.

30 Tage kostenlos testen

FirstWare-DynamicGroup kann unter http://www.firstattribute.com/de/active-directory-tools/ad-dynamic-groups/ heruntergeladen und 30 Tage lang kostenlos mit vollem Funktionsumfang getestet werden. Die Lizenzkosten für die dauerhafte Nutzung richten sich nach der Anzahl der Managed User. Weitere Informationen erhalten Interessenten direkt von FirstAttribute.