G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Quelle: oskanov – 123RF G+H Systems Daccord Microsoft Edition Das Dickicht lichten von Jürgen Heyer Je größer das Active Directory und das Filesystem werden, desto schwerer ist es, veraltete oder ungenutzte Benutzer- oder Dienstkonten zu finden sowie die effektiven Rechte im Dateisystem zu ermitteln. Hier setzt die neue Daccord Microsoft Edition an, um die Situation zu analysieren und auf Auffälligkeiten sowie Schwachstellen hinzuweisen. IT-Administrator wollte genauer wissen, wie gut der Überblick gelingt. Installation mit I n der Oktober-Ausgabe 2018 hat- nicht findet. Sind diese Voraussetzungen ten wir uns die damals aktuelle Linux-Umweg erfüllt, kann der Administrator mit dem Version Daccord 1.6 angesehen. Deren Was den überzeugten Windows-Admi- Quick Start Guide beginnen, der ihn auf Fokus war es, in heterogenen Umgebun- nistrator am meisten wundern dürfte, ist 72 Seiten durch die weitere Installation gen, wo die Benutzer und Rechte an meh- der Umstand, dass die Daccord Microsoft sowie die Grundeinrichtung führt. reren Stellen verwaltet werden, die ver- Edition auf einem Linux-System läuft und schiedenen Rechtestrukturen abzufragen eine entsprechende Installation voraus- 72 Seiten mag viel klingen, es sind aber und zu analysieren. setzt. Zur Auswahl stehen drei Linux-Va- letztlich viele Screenshots und der Admin rianten (siehe Kasten), wobei wir uns für muss nur einige Male mit der Maus kli- Inzwischen hat der Hersteller G+H Sys- OpenSuse Linux 15.1 mit Gnome Desk- cken, um diverse Dinge wie eine Collector tems aus Offenbach die "Daccord Micro- top entschieden. Wichtig ist in dem Fall, Engine, eine Policy Engine und einen soft Edition" entwickelt, die sich auf die dass bei der Installation der genannte CSV- sowie einen NTFS-Connector an- Berechtigungen und Benutzerkonstella- Desktop gewählt wird und nicht KDE, zulegen und zu konfigurieren. Dabei tionen im Active Directory (AD) sowie weil es sonst bei der Daccord-Installation kann er durchweg die Standardeinstel- im NTFS-Filesystem konzentriert. Die zu einem Konflikt mit der benötigten Ma- lungen übernehmen und muss nur die Software arbeitet als eigenständiges Li- riaDB kommt. eine oder andere IP-Adresse eintragen, nux-System und nutzt Agenten zum Zu- ein administratives Benutzerkonto für griff auf die Microsoft-Umgebung. Dass eine Einrichtung auch jemandem das Daccord-Portal erstellen sowie einen ohne besondere Linux-Kenntnisse gelin- Benutzer für den lesenden Zugriff auf das Zu beachten ist, dass die Edition zur ein- gen kann, hat der Testautor selbst aus- AD angeben. In der ersten Version ist der facheren Visualisierung der diversen Zu- probieren können. Letztendlich erforderte Zugriff auf ein AD begrenzt, die Anbin- griffsberechtigungen dient, sie ist aber die Installation keine besonderen Einga- dung mehrerer ADs soll mit einem der nicht zu deren Administration gedacht. ben und zog sich alle aktuellen Pakete aus nächsten Updates kommen. Dementsprechend ist auch nur ein lesen- dem Internet. Das Schwierigste war es, der Zugriff auf das AD sowie die Fileser- anschließend SSH zu aktivieren, um dann Der CSV-Connector dient dem Import ver notwendig. Das ist wichtig für das beispielsweise mit WinSCP das Daccord- aktueller Personendaten, wobei dieser Im- grundsätzliche Verständnis zum Leis- Installationsskript auf das System zu ko- port im Rahmen der Installation oder tungsumfang. Zum Testzeitpunkt stand pieren. Ebenfalls wichtig ist, dass die auch später erfolgen kann. Diese Perso- die Software kurz vor der Veröffentli- DNS-Namensauflösung korrekt funktio- nendaten dienen als Referenz für den Ab- chung und wir konnten einen Blick da- niert, da andernfalls Daccord den Do- gleich mit dem AD-Inhalt, worauf wir rauf werfen. main Controller für die AD-Anbindung weiter unten noch eingehen. Weiterhin 2 Auszug aus IT-Administrator Oktober 2020 www.it-administrator.de
Daccord Microsoft Edition Te s t s letzten Einlesen an. So ist schnell erkenn- bar, in welchem Umfang in den einzelnen Bereichen und bei den Kennzahlen Än- derungen aufgetreten sind. Genauer Blick auf den Benutzerstamm Sofern im Rahmen der Einrichtung noch keine Mitarbeiter über die erwähnten CSV-Dateien importiert wurden, sollte dies nun geschehen, um so Referenzdaten vorliegen zu haben, gegen die das System prüfen kann. Wichtig ist es dabei, den ak- tiven Mitarbeiterstamm zu importieren Bild 1: Das Dashboard liefert die wichtigsten Kennzahlen auf einen Blick und ermöglicht durch einen und diesen auch regelmäßig zu aktuali- Drilldown eine einfache Bedienung. sieren. Um die Daten im passenden Um- fang bereitzustellen, lässt sich ein vorbe- kann der Verantwortliche über den er- der Benutzer auf ein Dashboard mit den reitetes Template herunterladen, das die wähnten NTFS-Connector sämtliche wichtigsten Informationen, aufgeteilt in Spalten angibt, die zu befüllen sind. Der Fileserver anbinden, deren Berechtigun- die vier Bereiche "Personen", "Active Di- Administrator muss also darauf achten, gen Daccord analysieren soll. In diesem rectory", "Systeme" sowie "Fileserver". Die- dass er die Benutzerdaten passend liefert, Zuge sind die zu prüfenden Laufwerke se Punkte finden sich neben dem Eintrag sonst ist ein Import nicht möglich. Der auszuwählen. Auf jedem Fileserver wie- "Home" für das Dashboard auch in der Mitarbeiterstamm kann aus verschiede- derum ist ein Agent zu installieren. Wäh- Kopfzeile der Oberfläche wieder. Im Ge- nen Quellen stammen, beispielsweise aus rend dessen Konfiguration ist ein Benut- gensatz zur Ansicht von 2018 ist die Be- SAP oder von einer HR-(Human Resour- zerkonto anzugeben, das die Berechtigung dienung jetzt deutlich intuitiver geworden, ces)-Software, die zur Personalverwaltung zum Anmelden als Dienst besitzt, da der da der Administrator auf die einzelnen verwendet wird. Agent später im Hintergrund läuft. Der Elemente das Dashboards klicken kann Quick Start Guide hilft hier detailliert bei und dann über einen Drilldown dazu wei- Sind die Benutzer importiert, führt Dac- der Einrichtung. Daccord erlaubt das An- tere Informationen erhält. cord verschiedene Prüfungen durch, so- binden beliebig vieler Fileserver. wohl einen Vergleich der importierten Symbolische Schutzschilder in Ampelfar- Benutzerinformationen mit den AD-In- Nach dem Einrichten dauert es eine ge- ben mit einer Zahl daneben weisen auf- wisse Zeit, bis die ersten Ergebnisse auf fällig auf erkannte kritische Probleme be- Daccord Microsoft Edition der Benutzeroberfläche erscheinen. Um ziehungsweise Schwachstellen hin, die Produkt die Bereitstellung von Daccord zukünftig der Administrator sich genauer ansehen Programm zur Überprüfung von Zugriffs- noch weiter zu vereinfachen und die Li- und beseitigen sollte. Ein Klick darauf berechtigungen in Windows-Umgebungen. nux-Einrichtung zu umgehen, arbeitet reicht, um eine entsprechende Auflistung Hersteller der Hersteller bereits daran, die komplette zu bekommen. Ein nächster Klick auf ei- G+H Systems Software als Docker-Image bereitzustel- nen Eintrag wiederum liefert weitere De- www.daccord.de len. Mithilfe von Windows Docker muss tailinformationen. In den anderen An- Preis sich der Administrator dann gar nicht sichten neben dem Dashboard sind Daccord kostet einmalig 19,20 Euro pro akti- mehr mit Linux auseinandersetzen und ebenfalls Schutzschilder zu finden, hier vem AD-Benutzer zuzüglich 20 Prozent War- bekommt letztendlich einen fertigen Con- mit kleinen rot oder gelb unterlegten Zah- tung jährlich für die Folgejahre. Für größere tainer mit der lauffähigen Daccord-Soft- len, um so auf Probleme entsprechend Benutzerzahlen gibt es Staffelpreise. ware. Zum Veröffentlichungszeitpunkt ihrer Kritikalität hinzuweisen. Systemvoraussetzungen dieses Tests dürfte die Docker-Variante Virtuelle Maschine mit 100 GByte Platten- bereits verfügbar sein. Weitere groß dargestellte Kennzahlen in kapazität, zwei CPUs, 8 GByte RAM. den Bereichen liefern unter anderem In- Betriebssysteme: SuSE Linux Enterprise Intuitive grafische Oberfläche formationen, wie viele Benutzer impor- Server 12 SP2, SP3 oder SP4 oder OpenSuse Die Bedienung von Daccord erfolgt im tiert wurden, wie viele Benutzer und 15.1 Textversion oder Gnome Desktop sowie Browser mittels WebGUI. Gegenüber dem Gruppen es im AD gibt sowie die Anzahl CentOS Linux release 8.1.1911. Test im Herbst 2018 präsentiert sich die der Ordner, Dateien, Freigaben, Benutzer Technische Daten Oberfläche weitaus moderner, bunter und und Gruppen auf den Fileservern. Klei- www.it-administrator.de/downloads/ ansprechender mit integrierten grafischen nere Zahlen jeweils daneben in Rot und datenblaetter Statistiken. Nach der Anmeldung gelangt Grün zeigen die Veränderungen seit dem www.it-administrator.de Auszug aus IT-Administrator Oktober 2020 3
Te s t s Daccord Microsoft Edition die Anzeige der Berechtigungen und Frei- gaben kennt Daccord zwei Verfahren. Ist kein Benutzer und keine Gruppe ausge- wählt, erfolgt die Anzeige vom Umfang her vergleichbar mit den Windows-Bord- mitteln, nur optisch etwas besser aufbe- reitet. Möglichkeiten zum Ändern gibt es aufgrund des nur lesenden Zugriffs nicht. Wählt der Administrator im Kopfbereich der Ansicht einen Benutzer oder eine Gruppe aus, so listet Daccord auf einem Registerblatt die effektiven Rechte für die- ses Objekt auf. Um noch mehr zu erfah- ren, kann der Administrator auf ein an- deres Registerblatt umschalten, wo er sieht, auf welchem Weg das gewählte Ob- Bild 2: Daccord zeigt die effektiven Rechte für Benutzer und Gruppen übersichtlich an sowie jekt Rechte auf eine Freigabe oder ein Ver- auf welchem Weg die Rechte zustande kommen. zeichnis erhalten hat. Hier kann es zu Überlappungen kommen, wenn beispiels- halten als auch eine Prüfung der AD-In- legungen zum Bau eines Richtlinien-Buil- weise ein Benutzer bestimmte Rechte auf formationen gegenüber dem bei der Ein- ders für den Administrator, was aber noch eine Freigabe durch direkte Zuweisung richtung importierten Richtlinienkatalog. zu konkretisieren ist. Eine gute Unterstüt- sowie durch eine Gruppenzugehörigkeit So findet Daccord beispielsweise Konten zung ist, dass Daccord in der eigenen Da- bekommt. Wichtig sind letztlich die ef- von ausgeschiedenen Benutzern, die im tenbank jegliche Änderungen erfasst, so- fektiven Rechte. Wenn diese nicht passen, AD noch aktiv sind und damit ein mög- dass es eine genaue Historie gibt und sich kann sich der Administrator über Dac- liches Sicherheitsrisiko darstellen. Ebenso alles detailliert nachvollziehen lässt. cord genau informieren, an welcher Stelle findet das Programm Mitarbeiter ohne er etwas ändern muss. einen Verantwortlichen, inaktive Verant- Detaillierte Analyse der wortliche oder Konten mit identischen Fileserver-Berechtigungen Neben dieser individuellen Analyse prüft Benutzernamen. Auch deckt es Personen Administratoren von Berechtigungen im Daccord die Fileserver-Laufwerke ebenso auf, die für sich selbst verantwortlich sind. Dateisystem von Windows-Fileservern gegen ein Richtlinienpaket und ermittelt, wissen, dass die Sicht der Bordmittel eher wo die Vererbung unterbrochen ist, wo Prüfungen von Benutzerrechten inner- rudimentär ausfällt und es nach wie vor Rechte (außer an "Administrators" und halb des AD dienen dazu, Konten zu fin- schwierig ist, die effektiven Rechte auf ei- "System") vergeben wurden, wo "Jeder" be- den, die beispielsweise das Recht haben, nen Blick zu erkennen. Oft bekommen rechtigt ist, welche Benutzerkonten Voll- als Dienstkonto zu fungieren, oder die Benutzer im Laufe der Zeit immer mehr zugriff haben und ob es Anmeldungen als sich direkt in lokalen Gruppen befinden. Rechte und es ist irgendwann nicht mehr lokaler Administrator gab. Auch ermittelt Weiterhin weist das System darauf hin, genau ersichtlich, was hier zu viel ist und Daccord globale Gruppen mit direkten Be- wenn die Anzahl der Domänen-Admins nicht mehr benötigt wird. Regelmäßige rechtigungen, verwaiste SIDs, in der Regel auffällig groß ist oder wenn es mit sich Compliance-Prüfungen helfen dabei, si- unerwünschte direkte Berechtigungen von selbst verschachtelte Gruppen gibt. Gut cherzustellen, dass es nicht auf Dauer Be- Benutzern und einiges mehr. gefallen hat uns, dass Daccord nicht nur nutzer mit zu vielen Rechten gibt, nur die nackten Informationen liefert, son- weil sich beispielsweise deren Aufgaben Wir haben uns im Test die Rechtestruktur dern auch Hinweise, gegen welche Emp- geändert haben. auf typischen Fileservern angesehen und fehlungen verstoßen wird. merkten schnell, dass Daccord deutlich Üblicherweise reklamiert ein Benutzer in übersichtlichere Informationen liefert und Basis ist hier das bei der Einrichtung im- so einem Fall fehlende Berechtigungen das auch viel einfacher, als es mit Win- portierte Richtlinienpaket, das Best Practi- von sich aus sofort, bezüglich der Rück- dows-Bordmitteln möglich ist. Bei der ces enthält, Empfehlungen aus dem BSI- gabe nicht mehr benötigter Rechte dage- Arbeit mit Daccord ist zu beachten, dass Maßnahmenkatalog sowie aus der ISO gen agiert er eher zurückhaltend. Aus der Zugriff wie erwähnt ausschließlich 27001. Neben dem universellen Paket ist Sicht des Unternehmens sollte es aber das lesend erfolgt und keinerlei Administra- es möglich, sich für individuelle Richtlinien Ziel sein, den Benutzern genau die Rechte tion möglich ist. Vielmehr vermittelt das in Absprache mit dem Hersteller ein eige- zu geben, die sie zur Erfüllung ihrer Auf- Werkzeug einen Blick auf den Status. Für nes Paket schnüren zu lassen und dieses gaben benötigen. Daccord kann hier die Änderungen muss der Administrator so- zu importieren. Es gibt auch bereits Über- notwendige Kontrolle übernehmen. Für mit auf die Windows-Bordmittel oder 4 Auszug aus IT-Administrator Oktober 2020 www.it-administrator.de
Daccord Microsoft Edition Te s t s sein sollte. Damit erübrigt sich auf Wunsch die gesamte Installation. Die Daccord Microsoft Edition ermöglicht Compliance-Überprüfungen sowohl für die Benutzerpflege als auch die Rechtever- gabe im Dateisystem und kommt dazu mit vorbereiteten Richtlinienpaketen. Nicht mehr genutzte Benutzeraccounts oder wel- che mit zu vielen Rechten lassen sich auf diese Weise gut ermitteln. Auch liefert Dac- cord eine übersichtliche Darstellung der effektiven Berechtigungen im Dateisystem für Benutzer und Gruppen. Gut gefallen hat uns zudem die Historienfunktion, um Änderungen an den Benutzern und Rech- ten detailliert nachvollziehen zu können. Zu beachten ist, dass die Software die In- formationen nur einliest und anzeigt, aber keine Änderungen ermöglicht. Diese müs- sen mit den Windows-Bordmitteln oder anderen Werkzeugen erfolgen. Interessierte können sich die Installationsdateien samt Bild 3: Daccord prüft das Dateisystem auf Richtlinienverstöße und hilft dadurch bei der Beseitigung Quickstart-Guide herunterladen und für von Schwachstellen und Sicherheitslücken. sieben Tage testen. (dr) ein anderes Tool zugreifen. Dann muss ändert wurde. Der Änderungszeitraum So urteilt IT-Administrator er bei Daccord eine nochmalige Analyse lässt sich in mehreren Schritten zwischen Setup und Einrichtung 4 veranlassen und kann sich anschließend den letzten sieben und 180 Tagen filtern. die Rechte erneut ansehen. Das mag auf Bedienung und GUI 7 den ersten Blick etwas umständlich er- Fazit scheinen, letztlich aber sollte davon aus- Die Daccord Microsoft Edition eignet Benutzerpflege 8 zugehen sein, dass sich ein Administrator sich ideal für komplexe Windows-Um- bei der Rechtevergabe auskennt und Dac- gebungen, in denen für viele Benutzer im Berechtigungsanalyse 9 cord in erster Linie zur zusätzlichen Kon- Active Directory diverse Datei- und Frei- trolle verwendet. gabeberechtigungen auf unterschiedliche Auswertung der Historie 8 Fileserver vergeben wurden und diese Über die Ansichten überwacht werden sollen. Das Tool wird Die Details unserer Testmethodik finden Sie verteiltes Reporting umso interessanter und hilfreicher, je unter www.it-administrator.de/testmethodik Daccord verfügt über keinen eigenen Be- mehr Benutzer, Gruppen und Fileserver Dieses Produkt eignet sich reich, in dem das Berichtswesen zusam- es im Unternehmen gibt, wo individuelle mengefasst ist. Vielmehr finden sich auf Berechtigungen zu pflegen sind. Die Er- optimal für komplexe Windows-Umge- den einzelnen Übersichtsseiten kleine weiterung der Unterstützung von einem bungen mit vielen Benutzern und Gruppen, Schaltflächen zur Berichtsausgabe im auf mehrere ADs ist fest geplant. wo an mehreren Stellen Rechte vergeben PDF-Format, teils auch als CSV-Datei. sind. Daccord ermöglicht hier eine über- Die Reporte sind fertig vorbereitet und Für einen typischen Windows-Adminis- greifende Sicht und Compliance-Prüfung. nicht durch Filter oder Ähnliches anpass- trator ist der Umstand sicher ungewöhn- bedingt in Umgebungen, wo die Rechte bar, im Falle von CSV ist eine anschlie- lich, dass die Software unter Linux läuft nur an wenigen Stellen vergeben werden ßende Filterung in Excel denkbar. und eine entsprechende Installation erfor- und es nur wenige Benutzer gibt. Zu be- derlich ist, um anschließend Daccord zu werten ist hier, inwiefern dann ein Mehr- Um Änderungen zu erkennen, vergleicht installieren. Die Einrichtung erwies sich wert gegeben ist. Daccord die diversen Importe der Be- im Test als so einfach, dass Linux-Grund- nicht, sofern die Rechte nur an einer Stelle nutzer und der Fileserver-Berechtigun- kenntnisse durchaus ausreichen. Der Her- vergeben werden. Dies ist in der Regel ein- gen und erstellt daraus chronologische steller arbeitet zudem an einem optionalen fach mit den vorhandenen Windows-Tools Ansichten der Historie. So kann ein Be- Docker-Image, das zum Veröffentlichungs- zu prüfen. trachter schnell erkennen, wann was ge- zeitpunkt dieses Tests bereits verfügbar www.it-administrator.de Auszug aus IT-Administrator Oktober 2020 5
Sie können auch lesen