Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Drei vermeidbare Fehler beim Management von Dateiberechtigungen

Geschrieben von Michael Buckbee | Jul 10, 2014 10:05:00 AM

Es ist erschreckend, aber in den meisten Organisationen haben Mitarbeiter zu wesentlich mehr Informationen Zugang, als sie im Rahmen ihrer Tätigkeiten benötigen. Unter solchen Umständen wird das Datenmanagement schnell unübersichtlich. So wird es überaus schwierig, Fehler im System zu finden und zu beheben. Das wird gerade mit zunehmender Größe der Arbeitsumgebungen zu einem Problem. Schon ein kleiner Fehler kann einen Dominoeffekt in Gang setzen, der sich auf Terabytes von Daten auswirkt und letztendlich zu einer massiven Sicherheitslücke werden kann.

Aber wieso sind die Berechtigungsstrukturen auf vielen Dateiservern ein derartiger „Gordischer Knoten“?

Dateisysteme sind erschreckend komplex. 1 TB Daten enthält durchschnittlich:

  • 50.000 Ordner
  • 2.500 Ordner mit spezifischen, eindeutigen Berechtigungen
  • 4 zugeordnete Sicherheitsgruppen auf jedem einzelnen Ordner
  • 15 Mitglieder pro Sicherheitsgruppe

2500 x 4 x 15 = 150.000 funktionale Beziehungen allein in einem Terabyte an Daten.

Bei dieser Komplexität können unzählige Dinge schief gehen. Gerade deshalb sollten Sie die gängigsten Fehler bei der Vergabe von Dateiberechtigungen auf jeden Fall vermeiden. Hier ein kleines Round-up:

  1. Globale Zugriffsgruppen. Diese Situation kennen wir alle: Dem CEO wird eine „Zugriff verweigert!“-Nachricht angezeigt, während er versucht, fünf Minuten vor einem Meeting auf seine Präsentation zuzugreifen. Der Fehler ist nicht direkt zu lokalisieren und so begehen Sie die erste Todsünde in Sachen Zugangskontrolle: Sie richten für die „Everyone- oder „Authenticated User“-Gruppe“ uneingeschränkte Zugriffsrechte ein, und machen sich eine Notiz, dieses Problem später zu beheben… Doch das passiert nie.

Routinemäßig sollte daher eine vollständige und am besten automatisierte Prüfung auf dem Server laufen. Im Rahmen dieser Prüfung werden sämtliche Datencontainer (Ordner, Mailboxen, Sharepoints, etc.) nach globalen Zugriffsgruppen sowie ihren zugeordneten ACLs durchsucht und durch streng kontrollierbare Sicherheitsgruppen ersetzt. Genau das können Sie mit der kostenlosen Testversion von Varonis DatAdvantage unkompliziert ausprobieren. Zusätzlich ist die Software in der Lage, die Daten hinsichtlich ihrer Sensitivität zu analysieren und Änderungen im Sandbox-Modus sicher zu testen.

  1. Einzelne Benutzer einer ACL zuordnen. Zwar mag es einfach und schnell sein, jemanden direkt einer ACL hinzuzufügen, statt die richtige Sicherheitsgruppe für ihn herauszufinden. Doch diese Praxis ist leider ausgesprochen fehleranfällig und wird beim Pflegen und Aufrechterhalten von Berechtigungen schnell zum Albtraum. Denn was, wenn die betroffene Person befördert wird oder eine andere Position im Unternehmen übernimmt? Dann geht die Sucherei nach den ACLs los, die entfernt oder neu hinzugefügt werden müssen, statt einfach nur die Benutzergruppe zu wechseln.

Viele Firmen haben daher strikte Vorgaben, unter keinen Umständen einzelne Benutzer einer ACL zuzuordnen. Vielleicht ist das auch ein guter Ansatz für Ihr Unternehmen.

  1. 3.      Beschädigte ACLs. Wenn eine ACL unter Windows beschädigt ist, wird die NTFS -Vererbung nicht richtig ausgeführt. Entweder erhält das nachfolgende Verzeichnis („child“) Berechtigungen, die es nicht haben sollte oder es erbt Berechtigungen, die im übergeordneten Verzeichnis („mother“) nicht angewandt wurden (es hat einen zusätzlichen ACE auf seiner ACL). Egal welcher Fall von beiden eintritt, er mündet ins Chaos und Sie müssen einen Weg finden um die beschädigten ACLs zu reparieren.

(Brian Vecci hat einen ausführlichen Artikel zu beschädigten ACLs geschrieben.)

Und noch ein Bonus-Tipp!

Auch wenn Sie die drei genannten Fehler vermeiden, sollten Ihre Sicherheitsgruppen in regelmäßigen Abständen von jemandem überprüft werden, der mit dem Kontext vertraut ist. So kann er entscheiden, wer die zutreffenden Mitglieder einer Gruppe sind –andernfalls geraten Ihre Berechtigungen schnell durcheinander. Sicherheitsgruppen müssen dynamisch und anpassbar sein. Das heißt, dass sie den derzeitigen Stand Ihrer Zugangsberechtigungen widerspiegeln sollten und nicht den von vor sechs Monaten.

Denn auch wenn Sie perfekt abgestimmte Sicherheitsgruppen aufgesetzt haben, aber nicht wissen, welchen Dateien und Ordner ihnen zugeordnet sind, besteht immer noch ein Risiko.

Wenn Sie nicht wissen, auf welche Daten diese Gruppen tatsächlich Zugriff gewähren, macht es wenig Sinn die Mitglieder der Gruppen zu verifizieren. Das wäre in etwa so als würden Sie die Schlüssel von jemandem überprüfen wollen, ohne zu wissen, zu welcher Tür diese Schlüssel eigentlich gehören.

Mit der kostenlosen Testversion von Varonis DatAdvantage können Sie herausfinden, welche Gruppen auf welche Daten Zugriff gewähren.

Bildquelle (cc): https://www.flickr.com/photos/viatorius/

The post Drei vermeidbare Fehler beim Management von Dateiberechtigungen appeared first on Varonis Deutsch.
Vollständigen Beitrag anzeigen