LackyVis - stock.adobe.com
Rechteverwaltung mit Gruppenrichtlinien: Die Schwachstellen
Viele Unternehmen verwalten ihre Nutzerrechte nur mit Hilfe von Gruppenrichtlinienobjekten. Bei komplexen Anforderungen stößt dieser Ansatz jedoch funktionell an seine Grenzen.
Die Gruppenrichtlinienobjekte von Microsoft, auch Group Policy Objects (GPO) genannt, sind für viele Unternehmen ein praktischer Ausgangspunkt für bequemes Privileged Account Management. So unterstützen GPOs sie dabei, verteilte Nutzerrechte in den Griff zu bekommen und privilegierte Zugriffsrechte mit Hilfe zentralisierter Richtlinien zu verwalten. Doch nicht allen Unternehmen empfiehlt es sich, ihr PAM ausschließlich in die Hände von Gruppenrichtlinienobjekten zu legen.
Dies betrifft insbesondere Unternehmen mit komplexen Anforderungen wie strengen Compliance-Richtlinien, vielen verschiedenen Nutzern und Gruppen, vielen Non-Domain-Geräten oder Drittanbietern, die sich nicht im Active Directory befinden, aber dennoch Zugriff auf sensible Systeme benötigen. Für sie bieten GPOs längst nicht die nötigen Funktionen, um privilegierte Berechtigungen effektiv und sicher zu managen.
Die Vorteile von GPOs liegen auf der Hand: Sie sind kostenlos und bieten sofort einsatzbereite Vorlagen zur bequemen Einführung einer Standard-Passwort-Hygiene, wie etwa die Definition lokaler Zugriffskontrollen. Anspruchsvollen und komplexen IT-Umgebungen werden sie jedoch nicht gerecht – sowohl was die Effektivität der Verwaltung privilegierter Zugriffe angeht, als auch in Sachen Sicherheit. So gaben im Rahmen der aktuellen Thycotic Black Hat Studie 91 Prozent der befragten Hacker an, Windows-Umgebungen trotz GPO-Richtlinien zu kompromittieren. Es lohnt sich also, einen Blick auf die Schwachstellen der Gruppenrichtlinienobjekte zu werfen.
Die Nachteile von Gruppenrichtlinienobjekten
Folgende vier Punkte zählen zu den größten Nachteilen von GPOs:
GPOs ermöglichen kein automatisches Passwort-Management. Einer der größten Nachteile beim Einsatz von Gruppenrichtlinien betrifft das Passwort-Management. So können mit GPOs zwar lokale Passwortanforderungen festgesetzt werden, eine automatische Erstellung, Speicherung und Rotation von privilegierten Anmeldeinformationen ist jedoch nicht möglich. Für die betroffenen IT-Abteilungen und ihre Mitarbeiter bedeutet diese manuelle Passwortverwaltung nicht nur einen enormen zeitlichen Mehraufwand, sondern in erster Linie auch eine Reduzierung der Passwortkomplexität, die mit einem erhöhten Sicherheitsrisiko einhergeht. GPOs bieten zudem keinen Passwort-Tresor für lokale Konten, der zentral geschützt und gemanagt wird. Deshalb bleibt es Administratoren verwehrt, Sitzungen aus der Ferne zu überwachen oder Funktionsüberprüfungen durchzuführen, die das Risiko für einen Missbrauch privilegierter Anmeldeinformationen einschränkt.
Außerdem schwächeln GPOs auch bei der unkomplizierten Bereitstellung von Passwörtern. Fehlen Mitarbeitern die Zugriffsdaten, um bestimmte Anwendungen auszuführen, sind Gruppenrichtlinien keine Hilfe. Denn erhöhte Berechtigungsnachweise werden entweder nur mit einem einzelnen Benutzer geteilt, oder das Konto eines Benutzers muss über privilegierte Rechte verfügen. Eine unkomplizierte und schnelle Verwaltung oder automatisierte Weitergabe dieser privilegierten Anmeldeinformationen ist hingegen nicht möglich.
Fehlende Analysefunktionen erschweren die Einhaltung von Compliance-Anforderungen. Monitoring-Berichte, forensische Analysen und Dokumentationen sind nicht nur seit Wirksamkeit der EU-DSGVO Pflicht in der Cybersicherheit. Verfügen IT-Verantwortliche über die nötige Transparenz, was die Aktivitäten in ihrem Netzwerk, und speziell administrative Zugriffe betrifft, sind sie in der Lage, mögliche Kompromittierungen durch Hacker oder interne Angreifer frühzeitig zu identifizieren, eigene Sicherheitsmaßnahmen zu dokumentieren und den Vorfall gegebenenfalls den entsprechenden Datenschutzbehörden zu melden. Mit GPOs allein ist dies jedoch nicht möglich, da die IT-Abteilung hier nicht bequem auf einen Audit-Trail zurückgreifen kann. Den Verantwortlichen stehen demzufolge keine Berichte zur Verfügung, die dokumentieren, wie Passwörter verwendet werden, wie auf privilegierte Konten zugegriffen wurde oder ob und wie Administratoren Konfigurationen hinzugefügt oder geändert haben.
Fehlende Anwendungskontrolle erschwert die Implementierung einer Least Privilege Policy. Die Durchsetzung einer Least-Privilege-Policy, das heißt die konsequente Umsetzung einer minimalen Rechtevergabe, ist eine der wirksamsten Methoden, um nicht autorisierte Zugriffe auf privilegierte Systeme einzudämmen. Doch die Implementierung dieser Zugriffsrichtlinien stellt für viele Unternehmen nach wie vor eine große Herausforderung dar, vor allem, wenn sie sich auf Gruppenrichtlinienobjekte verlassen. Zwar können bestimmte Nutzer hier zu einer Admin-Gruppe mit privilegiertem Zugriff hinzugefügt werden, eine fundierte Bestimmung, welche Benutzer Zugriff auf administrative Kontrollen benötigen und welche nicht, ermöglichen sie jedoch nicht. Dies liegt vor allem daran, dass GPOs keine Discovery-Phase zulassen. Auch bieten GPOs IT-Abteilungen keinen Überblick darüber, welche Anwendungen derzeit mit Administrator-Rechten ausgeführt werden. All dies birgt die Gefahr, dass – ohne aufwendige Vorüberprüfung – einzelnen Nutzern oder Systemen ungerechtfertigt zu weit gefasste Berechtigungen zugewiesen werden.
Kein Privilege-Management für Drittanbieter und Non-Domain-Systeme. Gruppenrichtlinienobjekte sind eng mit Active Directory verbunden, doch interne Nutzer sind längst nicht das einzige Risiko, wenn es um die Verwaltung von privilegierten Accounts geht. Das Problem: GPOs können weder Berechtigungen verwalten für Nicht-Domänen-Maschinen, Partner oder Auftragnehmer, die Zugriff auf Daten benötigen, noch für Personen, die offline arbeiten. Damit setzen sich Unternehmen jedoch großen Sicherheitsrisiken aus, da kompromittierte Drittanbieter-Systeme ein klassisches Angriffsziel für Cyberkriminelle sind.
„Gruppenrichtlinienobjekte sind eng mit Active Directory verbunden, doch interne Nutzer sind längst nicht das einzige Risiko, wenn es um die Verwaltung von privilegierten Accounts geht.“
Markus Kahmen, Thycotic
Enterprise-PAM: Diese Fragen sollten Unternehmen stellen
Viele Unternehmen haben die Notwendigkeit, privilegierte Konten jenseits von Gruppenrichtlinienobjekten zu verwalten und schützen, längst erkannt und sind sich der wachsenden Bedeutung von Privileged Account-Management für eine umfassende Security-Strategie bewusst. Damit folgen sie nicht zuletzt den Analysten von Gartner, die PAM als Nummer 1 Priorität für CISOs für das Jahr 2018 gelistet haben.
Bei der Auswahl einer geeigneten PAM-Lösung stehen den IT-Verantwortlichen nun verschiedenen Lösungen zur Verfügung, die sorgfältig auf die individuellen Voraussetzungen und Bedürfnisse des Unternehmens hin evaluiert werden sollten. Dabei empfiehlt es sich, folgende zentrale Fragen zu stellen und potenzielle Lösungen daraufhin abzufragen:
Wie werden lokale Passwörter verwaltet? Enterprise-PAM-Lösungen sollten in der Lage sein, komplexe Compliance-konforme Passwörter zu erstellen, sie absolut sicher in einem Passwort-Tresor zu speichern und sie automatisch und regelmäßig beziehungsweise bei Bedarf abzuändern – ohne dabei die Arbeitsabläufe und damit die Produktivität der Benutzer zu beeinträchtigen. Im Falle eines Cybervorfalls muss es möglich sein, alle Admin-Passwörter „hinter den Kulissen“ automatisch, schnell und auf einmal zu erneuern, damit die Mitarbeiter ihre Tätigkeiten zeitnah und ohne Einschränkungen fortsetzen können.
Wird die Umsetzung einer Least Privilege Policy unterstützt? Nur Privilege Management mit Anwendungssteuerung ermöglicht die Implementierung und konsequente Durchsetzung einer Least Privilege Policy. Die Basis ist dabei eine automatische Überprüfung, welche Nutzer tatsächlich auf welche Anwendungen zugreifen. Davon ausgehend können die Verantwortlichen dann in einem weiteren Schritt ihre Richtlinien und Zugriffserlaubnis auf granularer Ebene festlegen. Anwendungen, die Administrator- oder Root-Zugriff erfordern, werden auf der Grundlage der Richtlinie stillschweigend erhöht, ohne dass Berechtigungen geändert oder erhöhte Anmeldeinformationen bereitgestellt werden müssen. Whitelisting, Blacklisting und Greylisting ermöglichen zudem kontextbezogene Richtlinien, die die Produktivität der Mitarbeiter gewährleisten.
Werden privilegierte Berechtigungen für Nicht-Windows und Nicht-Domänen-Endpunkte verwaltet? Viele moderne Enterprise PAM-Tools funktionieren mit Windows- und Mac-Geräten sowie mit domänengebundenen und domänenungebundenen Endpunkten und bieten so die größtmögliche Transparenz und Kontrolle über wirklich alle Accounts. Anders als bei GPOs sind hier also auch externe Mitarbeiter und Drittanbieter geschützt, die mit eigenen Geräten oder außerhalb des Netzwerks arbeiten.
Welche Berichte und Analysen werden zur Verfügung gestellt? Enterprise-PAM-Tools sollten die IT-Abteilung bei der Einhaltung von Compliance-Anforderungen und Dokumentationspflichten unterstützen, indem sie ihnen unveränderliche Auditprotokolle und leicht konfigurierbare sowie übergreifend einsetzbare Berichte zur Verfügung stellen. Im Ernstfall können Unternehmen so DSGVO-relevante Vorfälle schnell melden und ihre angemessenen Abwehrmaßnahmen gegenüber den Behörden beweisen.
Über den Autor:
Markus Kahmen ist Regional Director Central Europe bei Thycotic.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
