Issuu on Google+

Strategie & Praxis

Zugriffsregelung

Computerworld 15/14. September 2012 www.computerworld.ch

Windows Server 2012: geregelter Zugriff Komplexere Teamstrukturen, internationale Projekte und mobile Zugänge stellen neue Herausforderungen an IT-Administratoren. Neue Features in Windows Server 2012 vereinfachen nun die Regelung dieser Zugriffsrechte.

Verfügbare Daten identifizieren Um die verfügbaren Daten zu identifizieren, wurden bis anhin meist Ordner erstellt, die mit vordefinierten Zugriffs- und Überwachungsricht­

Von Raúl B. Heiduk

D

ie gewohnten Zugriffswege über Ordner oder Dateien auf dem Fileserver, die für bestimmte Benutzergruppe zugelassen oder gesperrt werden, passen nicht mehr für moderne Teamstrukturen. Wie ist zum Beispiel der Zugriff bei Dateien geregelt, die von einem berechtigten Benutzer via E-Mail an einen mobilen Endanwender ohne die nötigen Zugriffsrechte geschickt werden? Oder wie können Teammitglieder mit unterschiedlichen Rechten gemeinsam an Dateien arbeiten, die in verschiedenen Ordnern abgelegt sind? Wie werden Backup, Archivierung und Verschlüsselung organisiert, wenn die Datenvolumen derart rasant zunehmen? Hier treffen verschiedene Ansprü-

Raúl B. Heiduk (MCP, MCSA, MCSE, MCT, MCTS, MCITP, MCPD) ist Kursleiter bei Digicomp. Er unterrichtet und berät v.a. im Bereich Betriebssysteme, Office, Programmierung sowie Microsoft-SharePointTechnologien www.digicomp.ch

31

für den Zugriff auf spezielle Daten auf. So möchte beispielsweise die Finanzabteilung den Zugriff auf Personen beschränken, die in dieser Abteilung arbeiten. Muss-wissen-Richtlinie: Personen sollen nur auf die Daten Zugriff haben, die zu dem Projekt gehören, an dem sie arbeiten. Für den Zugriff ist massgeblich, wie effizient die Endbenutzer mit den zur Verfügung stehenden Daten arbeiten können. Gleichzeitig regelt dieses Konzept den Schutz vor Missbrauch. Zwischen dem Schutz der Daten und produktiver Arbeit mit den Unternehmensinformationen besteht immer ein Zielkonflikt, der möglichst ausbalanciert gelöst werden muss. Zentrale Überwachungsrichtlinien hingegen sollen die Sicherheit der Daten eines Unternehmens gewährleisten. Eines ihrer vorrangigen Ziele ist die Einhaltung von Regulierungsanforderungen. Industriestandards wie SOX, HIPPA, PCI etc. fordern von den Unternehmen strikte Regelkonformität bezüglich Informationssicherheit und Privatsphäre. Die Sicherheitsüberwachung beweist die Einhaltung dieser Standards. Ausserdem dienen diese dazu, anormale Verhaltensweisen aufzudecken, Lücken im Sicherheitssystem festzustellen oder Spuren für forensische Analysen zu sichern. Es ist klar, dass die Definition von Unternehmensrichtlinien ein Top-Management-Thema sein muss. Die Richtlinien definieren grösstenteils, wie ein Unternehmen zusammenarbeitet und wie der Umgang mit sensiblen Daten zu handhaben ist. Für eine Bank, eine Versicherung oder ein Spital gelten sehr viel härtere Überwachungsrichtlinien als zum Beispiel für ein Marketingunternehmen. Dafür müssen bei Letzterem die Zugriffsrichtlinien sehr gut überdacht sein, um die teamübergreifende Projektarbeit optimal zu unterstützen.

che aufeinander: Unternehmensweite Richt­ linien definieren die Zugriffsrechte, der IT-Administrator muss diese möglichst zentral, einfach und effizient umsetzen können, die Inhalte müssen für die Urheber für eine Benutzergruppe freigegeben werden können und der Endbenutzer muss produktiv mit den Infor­ mationen arbeiten können, ohne sich ständig überlegen zu müssen, ob er die Information verwenden darf. Nebenbei sollte das IT-System möglichst autonom Zugriffe protokollieren, Informationen verschlüsseln und gemäss recht­ lichen Vorgaben ablegen und speichern. Analyse: Wer ist involviert? Eine wichtige Erkenntnis liefert die Analyse der Beteiligten, die in die Erstellung, Anwendung und Klassifizierung der Unternehmensdaten eingebunden sind (vgl. Abbildung 1). Alle beteiligten Personen/Interessen müssen bei einem Neuentwurf des Zugriffskonzepts einbezogen

werden. Nur wenn diese Anspruchsgruppen eng miteinander zusammenarbeiten, können Herausforderungen wie zentrale Steuerung der Regeln, Produktivitätssteigerungen bei den Endbenutzern, Klassifizierung durch Ersteller und automatische Archivierung, Protokollierung und Verschlüsselung bewältigt werden. richtlinien: Wer darf was? Unternehmensrichtlinien lassen sich grob in zwei Kategorien unterteilen: Zugriffs- und Überwachungsrichtlinien. Die Definition kann aus mehreren Ebenen eines Unternehmens stammen: Regulierungsrichtlinie: Diese Richtlinie betrifft Unternehmensanforderungen und zielt auf den Schutz des Zugriffs auf die verwalteten Informationen ab. Beispiel: Erlaube den Zugriff auf Daten mit der Regel «Zugriff nur für CHBürger» für eine spezifische Personengruppe. Abteilungsrichtlinie: Jede Abteilung einer Organisation stellt bestimmte Anforderungen

Windows 8 und Windows Server Day 2012 Erleben Sie Microsofts neue Flaggschiffe am 3. Oktober 2012 bei Digicomp in Zürich. Um 11:15 Uhr findet das Referat «Dynamic Access Control» mit vertiefenden Informationen zum Fachartikel von Raúl Heiduk statt. Computerworld ist Medienpartner. Datum: 3. Oktober 2012 Ort: Digicomp Zürich Programm & Anmeldung: www.digicomp.ch/windowsserverday linien versehen waren. War eine Datei in einem Ordner abgelegt, griffen die Richtlinien, regelten den Zugriff und identifizierten die dort abgelegten Dateien in ihrer Sicherheitsklassifikation. Dieses Konzept greift heute – angesichts (internationaler) Projektarbeit, Archivierung, Selbstklassifikation und multipler Endgeräte – zu kurz. Um eine verbesserte Identifikation zu erreichen, müssen weitere Parameter erfasst werden: Wer ist Urheber, wer Benutzer der Datei? Welches Gerät wird gerade verwendet? Auf welchen Typ Daten wird zugegriffen? Die Daten selbst müssen unabhängig von ihrem Speicherort mit einer Sicherheitsklassifizierung ver­ sehen werden können. Diese muss mit dem Benutzer der Datei und mit der Art des Zugriffs abgeglichen werden können. Umsetzung in Windows Server 2012 Liegen nun die Daten identifiziert vor, müssen die Zugriffsrechte darauf angewendet werden. Dynamic Access Control (DAC) von Windows Server 2012 lässt neu breitere Zuweisungen über die Art der vorliegenden Daten sowie über Typen von Benutzern zu. Die Hauptneuerungen betreffen: Die Definition zentraler Zugriffs- und Überwachungsrichtlinien im Active Directory. Diese

Die Prozessbeteiligten

Bild: istockphoto.com/w-ings

30

basieren auf Ausdrucksbedingungen, die Unternehmensanforderungen in die Anwendung von Zugriffsrichtlinien übersetzen und eine signifikante Reduktion der notwendigen Sicherheitsgruppen mit sich bringen. Dabei wird festgelegt, wer der Benutzer ist, welches Gerät er verwendet und auf welche Daten zugegriffen wird. Integration von Claims in die Kerberos-Windows-Authentifizierung, sodass Benutzer und Geräte nicht nur über Sicherheitsgruppen beschrieben werden, sondern über Ausdrücke wie «Der Benutzer ist in der Finanzabteilung tätig» oder «Die Sicherheitsstufe des Geräts ist hoch». Erweiterung der Klassifizierungsinfrastruktur der Dateien, um Benutzern eines Unternehmens oder einer Abteilung zu ermög­ lichen, ihre Informationen zu klassifizieren. Damit können IT-Administratoren Richtlinien basierend auf dieser Klassifizierung erstellen. Diese Funktionalität arbeitet Hand in Hand mit der automatischen Dateiklassifizierung. Integration der RMS-Dienste (Rights Management Services), um automatisch sensible Informationen zu schützen und diesen Schutz aufrechtzuerhalten, wenn die Daten den Server verlassen. Darüber hinaus unterstützt Windows Server 2012 seine Administratoren beim Festlegen von Überwachungsrichtlinien, die registrieren, welche Informationen von welchen Benutzern verwendet wurden – unabhängig vom Speicherort. Dadurch wird eine umfangreichere und zielsicherere Überwachung möglich als bisher. Zum Beispiel: Aufdecken von Personen, die über keine hohe Sicherheitsstufe verfügen und dennoch ver­ suchen, auf vertrauliche Dokumente zuzugreifen. Überwachung von Personen, die nicht zu einem bestimmten Projekt gehören, aber dennoch versuchen, Informationen darüber zu erhalten. Zusätzlich wird die Klassifizierung von Informationen in den Überwachungsprotokollen festgehalten, sodass ein Ereignisbericht lauten könnte: «Wer hat in den letzten drei Monaten auf hochsensible Informationen zugegriffen?»

Die Zugriffsregelung

CSO/CIOAbteilung

InfrastrukturSupport

Besitzer des Inhalts

Endbenutzer

«Ich muss die richtige Befolgung der Regeln durchsetzen.»

«Ich weiss nicht, welche Daten sich in meinen Datenspeichern befinden und wie der Zugriff zu steuern ist.»

«Mir ist wichtig, den Zugriff auf die Daten zu steuern, Vorschriften einzuhalten und den Zugriff zu protokollieren.»

«Ich möchte die Daten unter Einhaltung der Vorschriften verwenden können und keine Regeln verletzen.»

Abb. 1: Diese Anspruchsgruppen müssen berücksichtigt werden

Daten identifizieren

Zugriff steuern

Zugriff protokollieren

Daten schützen

Manuelle Klassifizierung durch Besitzer des Inhalts

Zugriffsrichtlinien basierend auf Metadaten

Zentrale Zugriffsrichtlinien für alle Fileserver

Automatischer RMS-Schutz basierend auf Metadaten

Automatische Klassifizierung

Ausdrucksbasierende Bedingungen

Ausdrucksbasierende Bedingungen

Fast zeitgleicher Schutz nach Anwendung der Klassifizierung

Anwendungsbasierte Klassifizierung

Unterstützung des Zugriffs und der Einschränkung

Simulation der Richtlinien für produktive Umgebungen

Erweiterung auf Nicht-Office-RMS

Abb. 2: Die Zugriffskontrolle umfasst mehrere Ebenen


Windows Server 2012: geregelter Zugriff