Auch Administrator-Accounts müssen verwaltet werden

Priviledged Identity Management zur Kontrolle kritischer Benutzerkonten

Seite: 2/4

Firmen zum Thema

Nicht alle privilegierten Accounts sind gleich

Priviledged Identity Management beschäftigt sich speziell mit den „privilegierten Nutzern“, also jenen Arten von Nutzer oder Account, die spezielle, meist weitgehende Berechtigungen im Unternehmen haben. Privilegierte Nutzer werden meist in folgende Gruppen eingeteilt:

  • Gemeinsam benutzte, administrative Accounts: diese Accounts existieren in nahezu jedem System oder Anwendung und besitzen häufig uneingeschränkte Rechte. Oftmals werden diese Accounts von mehreren Administratoren genutzt. Beispiele für diese Arten von Accounts sind der Windows „Administrator“ und der Unix/Linux „root“ Account.
  • Privilegierte persönliche Accounts: diese Accounts sind einer Person fest zugeordnet und besitzen weitgehende Rechte.
  • Anwendungsaccounts: diese „technischen User“ werden von Anwendungen benötigt, um z.B. auf Datenbanken zuzugreifen und haben dort meist auch weitgehende Rechte.
  • „Notfall-User“: diese Art von Accounts wird speziell für Notfälle (Systemausfälle, Disaster Recovery, usw.) verwendet. Die Verwendung unterliegt meist einem definierten Prozess.

Die unterschiedlichen Arten von Accounts müssen teils unterschiedlich behandelt werden:

Bildergalerie

Privilegierte persönliche Accounts sind grundsätzlich wie jede andere Art von persönlichen Accounts zu behandeln. Ihre Verwaltung wird daher von einer herkömmlichen Identity-Management-Lösung mit abgedeckt. Aufgrund der erweiterten Rechte sollten spezielle Prozesse wie häufigerer Passwortwechsel, regelmäßige Rezertifizierung und Überwachung der Benutzeraktivitäten für solche Accounts gelten.

Anwendungsaccounts sind eine Besonderheit, weil hier die Konfiguration des Passwortes in der Anwendung und im Zielsystem (z.B. der Datenbank) gleich gehalten werden muss. Sofern die Anwendung eine Schnittstelle zur Verwaltung ihres technischen Users bereitstellt oder sich dessen Passwort selbst aus z.B. einem Repository holt, kann eine herkömmliche Identity Management Lösung auch zur Verwaltung dieser Accounts verwendet werden. Sie muss nur dafür sorgen, dass das Passwort des technischen Users regelmäßig geändert und das neue Passwort auch der Anwendung bereitgestellt wird.

Notfall-User sind eine Art von gemeinsam genutzten Accounts, für die meist die notwendigen Prozesse definiert sind. Die Passwörter für diese Accounts liegen in einem verschlossenen Umschlag im Tresor. Wird der Account benötigt, so wird der Umschlag aus dem Tresor geholt und dies entsprechend protokolliert. Nach Nutzung wird das Passwort geändert und wieder im Tresor verschlossen.

Gemeinsam genutzte administrative Accounts wie Unix „root“, Windows „Administrator“ oder Oracle „dba“ werden regelmäßig für alle Arten von administrativen Tätigkeiten verwendet. Dadurch, dass mehrere Administratoren diese Accounts verwenden, ist allerdings nicht mehr nachvollziehbar, wer den Account verwendet hat.

Das Notfall-User-Konzept liefert die beste Nachvollziehbarkeit. Ohne entsprechende Tool-Unterstützung ist es jedoch zu aufwändig, dieses Konzept auch für die sonstigen regelmäßigen Aktivitäten anzuwenden. Genau hier setzen Priviledged Identity Management Lösungen an. Diese simulieren den Tresor mit den verschlossenen Umschlägen für einen ganzen Pool von Administrator Accounts (Shared-IDs) auf effiziente und nachvollziehbare Art und Weise.

Inhalt

  • Seite 1: Traditionelle IdM-Ansätze unzureichend
  • Seite 2: Nicht alle privilegierten Accounts sind gleich
  • Seite 3: Identity Management als Grundlage für PIM
  • Seite 4: Überwachung der Aktivitäten privilegierter Nutzer

(ID:2048667)