G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems

Die Seite wird erstellt Marlene Fischer
 
WEITER LESEN
G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
10 I 20 Sonderdruck für G+H Systems

G+H Systems
Daccord Microsoft Edition

www.it-administrator.de
G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
Quelle: oskanov – 123RF
                               G+H Systems Daccord Microsoft Edition

              Das Dickicht lichten
                                                       von Jürgen Heyer

Je größer das Active Directory und das Filesystem werden, desto schwerer ist es, veraltete oder
ungenutzte Benutzer- oder Dienstkonten zu finden sowie die effektiven Rechte im Dateisystem
zu ermitteln. Hier setzt die neue Daccord Microsoft Edition an, um die Situation zu analysieren
und auf Auffälligkeiten sowie Schwachstellen hinzuweisen. IT-Administrator wollte genauer
wissen, wie gut der Überblick gelingt.

                                             Installation mit
    I
       n der Oktober-Ausgabe 2018 hat-                                                    nicht findet. Sind diese Voraussetzungen
       ten wir uns die damals aktuelle       Linux-Umweg                                  erfüllt, kann der Administrator mit dem
Version Daccord 1.6 angesehen. Deren         Was den überzeugten Windows-Admi-            Quick Start Guide beginnen, der ihn auf
Fokus war es, in heterogenen Umgebun-        nistrator am meisten wundern dürfte, ist     72 Seiten durch die weitere Installation
gen, wo die Benutzer und Rechte an meh-      der Umstand, dass die Daccord Microsoft      sowie die Grundeinrichtung führt.
reren Stellen verwaltet werden, die ver-     Edition auf einem Linux-System läuft und
schiedenen Rechtestrukturen abzufragen       eine entsprechende Installation voraus-      72 Seiten mag viel klingen, es sind aber
und zu analysieren.                          setzt. Zur Auswahl stehen drei Linux-Va-     letztlich viele Screenshots und der Admin
                                             rianten (siehe Kasten), wobei wir uns für    muss nur einige Male mit der Maus kli-
Inzwischen hat der Hersteller G+H Sys-       OpenSuse Linux 15.1 mit Gnome Desk-          cken, um diverse Dinge wie eine Collector
tems aus Offenbach die "Daccord Micro-       top entschieden. Wichtig ist in dem Fall,    Engine, eine Policy Engine und einen
soft Edition" entwickelt, die sich auf die   dass bei der Installation der genannte       CSV- sowie einen NTFS-Connector an-
Berechtigungen und Benutzerkonstella-        Desktop gewählt wird und nicht KDE,          zulegen und zu konfigurieren. Dabei
tionen im Active Directory (AD) sowie        weil es sonst bei der Daccord-Installation   kann er durchweg die Standardeinstel-
im NTFS-Filesystem konzentriert. Die         zu einem Konflikt mit der benötigten Ma-     lungen übernehmen und muss nur die
Software arbeitet als eigenständiges Li-     riaDB kommt.                                 eine oder andere IP-Adresse eintragen,
nux-System und nutzt Agenten zum Zu-                                                      ein administratives Benutzerkonto für
griff auf die Microsoft-Umgebung.            Dass eine Einrichtung auch jemandem          das Daccord-Portal erstellen sowie einen
                                             ohne besondere Linux-Kenntnisse gelin-       Benutzer für den lesenden Zugriff auf das
Zu beachten ist, dass die Edition zur ein-   gen kann, hat der Testautor selbst aus-      AD angeben. In der ersten Version ist der
facheren Visualisierung der diversen Zu-     probieren können. Letztendlich erforderte    Zugriff auf ein AD begrenzt, die Anbin-
griffsberechtigungen dient, sie ist aber     die Installation keine besonderen Einga-     dung mehrerer ADs soll mit einem der
nicht zu deren Administration gedacht.       ben und zog sich alle aktuellen Pakete aus   nächsten Updates kommen.
Dementsprechend ist auch nur ein lesen-      dem Internet. Das Schwierigste war es,
der Zugriff auf das AD sowie die Fileser-    anschließend SSH zu aktivieren, um dann      Der CSV-Connector dient dem Import
ver notwendig. Das ist wichtig für das       beispielsweise mit WinSCP das Daccord-       aktueller Personendaten, wobei dieser Im-
grundsätzliche Verständnis zum Leis-         Installationsskript auf das System zu ko-    port im Rahmen der Installation oder
tungsumfang. Zum Testzeitpunkt stand         pieren. Ebenfalls wichtig ist, dass die      auch später erfolgen kann. Diese Perso-
die Software kurz vor der Veröffentli-       DNS-Namensauflösung korrekt funktio-         nendaten dienen als Referenz für den Ab-
chung und wir konnten einen Blick da-        niert, da andernfalls Daccord den Do-        gleich mit dem AD-Inhalt, worauf wir
rauf werfen.                                 main Controller für die AD-Anbindung         weiter unten noch eingehen. Weiterhin

2       Auszug aus IT-Administrator Oktober 2020                                                           www.it-administrator.de
G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
Daccord Microsoft Edition                Te s t s

                                                                                                       letzten Einlesen an. So ist schnell erkenn-
                                                                                                       bar, in welchem Umfang in den einzelnen
                                                                                                       Bereichen und bei den Kennzahlen Än-
                                                                                                       derungen aufgetreten sind.

                                                                                                       Genauer Blick
                                                                                                       auf den Benutzerstamm
                                                                                                       Sofern im Rahmen der Einrichtung noch
                                                                                                       keine Mitarbeiter über die erwähnten
                                                                                                       CSV-Dateien importiert wurden, sollte
                                                                                                       dies nun geschehen, um so Referenzdaten
                                                                                                       vorliegen zu haben, gegen die das System
                                                                                                       prüfen kann. Wichtig ist es dabei, den ak-
                                                                                                       tiven Mitarbeiterstamm zu importieren
Bild 1: Das Dashboard liefert die wichtigsten Kennzahlen auf einen Blick und ermöglicht durch einen    und diesen auch regelmäßig zu aktuali-
Drilldown eine einfache Bedienung.                                                                     sieren. Um die Daten im passenden Um-
                                                                                                       fang bereitzustellen, lässt sich ein vorbe-
kann der Verantwortliche über den er-               der Benutzer auf ein Dashboard mit den             reitetes Template herunterladen, das die
wähnten NTFS-Connector sämtliche                    wichtigsten Informationen, aufgeteilt in           Spalten angibt, die zu befüllen sind. Der
Fileserver anbinden, deren Berechtigun-             die vier Bereiche "Personen", "Active Di-          Administrator muss also darauf achten,
gen Daccord analysieren soll. In diesem             rectory", "Systeme" sowie "Fileserver". Die-       dass er die Benutzerdaten passend liefert,
Zuge sind die zu prüfenden Laufwerke                se Punkte finden sich neben dem Eintrag            sonst ist ein Import nicht möglich. Der
auszuwählen. Auf jedem Fileserver wie-              "Home" für das Dashboard auch in der               Mitarbeiterstamm kann aus verschiede-
derum ist ein Agent zu installieren. Wäh-           Kopfzeile der Oberfläche wieder. Im Ge-            nen Quellen stammen, beispielsweise aus
rend dessen Konfiguration ist ein Benut-            gensatz zur Ansicht von 2018 ist die Be-           SAP oder von einer HR-(Human Resour-
zerkonto anzugeben, das die Berechtigung            dienung jetzt deutlich intuitiver geworden,        ces)-Software, die zur Personalverwaltung
zum Anmelden als Dienst besitzt, da der             da der Administrator auf die einzelnen             verwendet wird.
Agent später im Hintergrund läuft. Der              Elemente das Dashboards klicken kann
Quick Start Guide hilft hier detailliert bei        und dann über einen Drilldown dazu wei-            Sind die Benutzer importiert, führt Dac-
der Einrichtung. Daccord erlaubt das An-            tere Informationen erhält.                         cord verschiedene Prüfungen durch, so-
binden beliebig vieler Fileserver.                                                                     wohl einen Vergleich der importierten
                                                    Symbolische Schutzschilder in Ampelfar-            Benutzerinformationen mit den AD-In-
Nach dem Einrichten dauert es eine ge-              ben mit einer Zahl daneben weisen auf-
wisse Zeit, bis die ersten Ergebnisse auf           fällig auf erkannte kritische Probleme be-           Daccord Microsoft Edition
der Benutzeroberfläche erscheinen. Um               ziehungsweise Schwachstellen hin, die
                                                                                                         Produkt
die Bereitstellung von Daccord zukünftig            der Administrator sich genauer ansehen
                                                                                                         Programm zur Überprüfung von Zugriffs-
noch weiter zu vereinfachen und die Li-             und beseitigen sollte. Ein Klick darauf
                                                                                                         berechtigungen in Windows-Umgebungen.
nux-Einrichtung zu umgehen, arbeitet                reicht, um eine entsprechende Auflistung
                                                                                                         Hersteller
der Hersteller bereits daran, die komplette         zu bekommen. Ein nächster Klick auf ei-
                                                                                                         G+H Systems
Software als Docker-Image bereitzustel-             nen Eintrag wiederum liefert weitere De-
                                                                                                         www.daccord.de
len. Mithilfe von Windows Docker muss               tailinformationen. In den anderen An-
                                                                                                         Preis
sich der Administrator dann gar nicht               sichten neben dem Dashboard sind
                                                                                                         Daccord kostet einmalig 19,20 Euro pro akti-
mehr mit Linux auseinandersetzen und                ebenfalls Schutzschilder zu finden, hier
                                                                                                         vem AD-Benutzer zuzüglich 20 Prozent War-
bekommt letztendlich einen fertigen Con-            mit kleinen rot oder gelb unterlegten Zah-
                                                                                                         tung jährlich für die Folgejahre. Für größere
tainer mit der lauffähigen Daccord-Soft-            len, um so auf Probleme entsprechend                 Benutzerzahlen gibt es Staffelpreise.
ware. Zum Veröffentlichungszeitpunkt                ihrer Kritikalität hinzuweisen.
                                                                                                         Systemvoraussetzungen
dieses Tests dürfte die Docker-Variante
                                                                                                         Virtuelle Maschine mit 100 GByte Platten-
bereits verfügbar sein.                             Weitere groß dargestellte Kennzahlen in              kapazität, zwei CPUs, 8 GByte RAM.
                                                    den Bereichen liefern unter anderem In-
                                                                                                         Betriebssysteme: SuSE Linux Enterprise
Intuitive grafische Oberfläche                      formationen, wie viele Benutzer impor-
                                                                                                         Server 12 SP2, SP3 oder SP4 oder OpenSuse
Die Bedienung von Daccord erfolgt im                tiert wurden, wie viele Benutzer und                 15.1 Textversion oder Gnome Desktop sowie
Browser mittels WebGUI. Gegenüber dem               Gruppen es im AD gibt sowie die Anzahl               CentOS Linux release 8.1.1911.
Test im Herbst 2018 präsentiert sich die            der Ordner, Dateien, Freigaben, Benutzer
                                                                                                         Technische Daten
Oberfläche weitaus moderner, bunter und             und Gruppen auf den Fileservern. Klei-
                                                                                                         www.it-administrator.de/downloads/
ansprechender mit integrierten grafischen           nere Zahlen jeweils daneben in Rot und                datenblaetter
Statistiken. Nach der Anmeldung gelangt             Grün zeigen die Veränderungen seit dem

www.it-administrator.de                                                                         Auszug aus IT-Administrator Oktober 2020                  3
G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
Te s t s   Daccord Microsoft Edition

                                                                                                    die Anzeige der Berechtigungen und Frei-
                                                                                                    gaben kennt Daccord zwei Verfahren. Ist
                                                                                                    kein Benutzer und keine Gruppe ausge-
                                                                                                    wählt, erfolgt die Anzeige vom Umfang
                                                                                                    her vergleichbar mit den Windows-Bord-
                                                                                                    mitteln, nur optisch etwas besser aufbe-
                                                                                                    reitet. Möglichkeiten zum Ändern gibt es
                                                                                                    aufgrund des nur lesenden Zugriffs nicht.

                                                                                                    Wählt der Administrator im Kopfbereich
                                                                                                    der Ansicht einen Benutzer oder eine
                                                                                                    Gruppe aus, so listet Daccord auf einem
                                                                                                    Registerblatt die effektiven Rechte für die-
                                                                                                    ses Objekt auf. Um noch mehr zu erfah-
                                                                                                    ren, kann der Administrator auf ein an-
                                                                                                    deres Registerblatt umschalten, wo er
                                                                                                    sieht, auf welchem Weg das gewählte Ob-
Bild 2: Daccord zeigt die effektiven Rechte für Benutzer und Gruppen übersichtlich an sowie         jekt Rechte auf eine Freigabe oder ein Ver-
auf welchem Weg die Rechte zustande kommen.                                                         zeichnis erhalten hat. Hier kann es zu
                                                                                                    Überlappungen kommen, wenn beispiels-
halten als auch eine Prüfung der AD-In-              legungen zum Bau eines Richtlinien-Buil-       weise ein Benutzer bestimmte Rechte auf
formationen gegenüber dem bei der Ein-               ders für den Administrator, was aber noch      eine Freigabe durch direkte Zuweisung
richtung importierten Richtlinienkatalog.            zu konkretisieren ist. Eine gute Unterstüt-    sowie durch eine Gruppenzugehörigkeit
So findet Daccord beispielsweise Konten              zung ist, dass Daccord in der eigenen Da-      bekommt. Wichtig sind letztlich die ef-
von ausgeschiedenen Benutzern, die im                tenbank jegliche Änderungen erfasst, so-       fektiven Rechte. Wenn diese nicht passen,
AD noch aktiv sind und damit ein mög-                dass es eine genaue Historie gibt und sich     kann sich der Administrator über Dac-
liches Sicherheitsrisiko darstellen. Ebenso          alles detailliert nachvollziehen lässt.        cord genau informieren, an welcher Stelle
findet das Programm Mitarbeiter ohne                                                                er etwas ändern muss.
einen Verantwortlichen, inaktive Verant-             Detaillierte Analyse der
wortliche oder Konten mit identischen                Fileserver-Berechtigungen                      Neben dieser individuellen Analyse prüft
Benutzernamen. Auch deckt es Personen                Administratoren von Berechtigungen im          Daccord die Fileserver-Laufwerke ebenso
auf, die für sich selbst verantwortlich sind.        Dateisystem von Windows-Fileservern            gegen ein Richtlinienpaket und ermittelt,
                                                     wissen, dass die Sicht der Bordmittel eher     wo die Vererbung unterbrochen ist, wo
Prüfungen von Benutzerrechten inner-                 rudimentär ausfällt und es nach wie vor        Rechte (außer an "Administrators" und
halb des AD dienen dazu, Konten zu fin-              schwierig ist, die effektiven Rechte auf ei-   "System") vergeben wurden, wo "Jeder" be-
den, die beispielsweise das Recht haben,             nen Blick zu erkennen. Oft bekommen            rechtigt ist, welche Benutzerkonten Voll-
als Dienstkonto zu fungieren, oder die               Benutzer im Laufe der Zeit immer mehr          zugriff haben und ob es Anmeldungen als
sich direkt in lokalen Gruppen befinden.             Rechte und es ist irgendwann nicht mehr        lokaler Administrator gab. Auch ermittelt
Weiterhin weist das System darauf hin,               genau ersichtlich, was hier zu viel ist und    Daccord globale Gruppen mit direkten Be-
wenn die Anzahl der Domänen-Admins                   nicht mehr benötigt wird. Regelmäßige          rechtigungen, verwaiste SIDs, in der Regel
auffällig groß ist oder wenn es mit sich             Compliance-Prüfungen helfen dabei, si-         unerwünschte direkte Berechtigungen von
selbst verschachtelte Gruppen gibt. Gut              cherzustellen, dass es nicht auf Dauer Be-     Benutzern und einiges mehr.
gefallen hat uns, dass Daccord nicht nur             nutzer mit zu vielen Rechten gibt, nur
die nackten Informationen liefert, son-              weil sich beispielsweise deren Aufgaben        Wir haben uns im Test die Rechtestruktur
dern auch Hinweise, gegen welche Emp-                geändert haben.                                auf typischen Fileservern angesehen und
fehlungen verstoßen wird.                                                                           merkten schnell, dass Daccord deutlich
                                                     Üblicherweise reklamiert ein Benutzer in       übersichtlichere Informationen liefert und
Basis ist hier das bei der Einrichtung im-           so einem Fall fehlende Berechtigungen          das auch viel einfacher, als es mit Win-
portierte Richtlinienpaket, das Best Practi-         von sich aus sofort, bezüglich der Rück-       dows-Bordmitteln möglich ist. Bei der
ces enthält, Empfehlungen aus dem BSI-               gabe nicht mehr benötigter Rechte dage-        Arbeit mit Daccord ist zu beachten, dass
Maßnahmenkatalog sowie aus der ISO                   gen agiert er eher zurückhaltend. Aus          der Zugriff wie erwähnt ausschließlich
27001. Neben dem universellen Paket ist              Sicht des Unternehmens sollte es aber das      lesend erfolgt und keinerlei Administra-
es möglich, sich für individuelle Richtlinien        Ziel sein, den Benutzern genau die Rechte      tion möglich ist. Vielmehr vermittelt das
in Absprache mit dem Hersteller ein eige-            zu geben, die sie zur Erfüllung ihrer Auf-     Werkzeug einen Blick auf den Status. Für
nes Paket schnüren zu lassen und dieses              gaben benötigen. Daccord kann hier die         Änderungen muss der Administrator so-
zu importieren. Es gibt auch bereits Über-           notwendige Kontrolle übernehmen. Für           mit auf die Windows-Bordmittel oder

4          Auszug aus IT-Administrator Oktober 2020                                                                    www.it-administrator.de
G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
Daccord Microsoft Edition                         Te s t s

                                                                                                         sein sollte. Damit erübrigt sich auf Wunsch
                                                                                                         die gesamte Installation.

                                                                                                         Die Daccord Microsoft Edition ermöglicht
                                                                                                         Compliance-Überprüfungen sowohl für
                                                                                                         die Benutzerpflege als auch die Rechtever-
                                                                                                         gabe im Dateisystem und kommt dazu mit
                                                                                                         vorbereiteten Richtlinienpaketen. Nicht
                                                                                                         mehr genutzte Benutzeraccounts oder wel-
                                                                                                         che mit zu vielen Rechten lassen sich auf
                                                                                                         diese Weise gut ermitteln. Auch liefert Dac-
                                                                                                         cord eine übersichtliche Darstellung der
                                                                                                         effektiven Berechtigungen im Dateisystem
                                                                                                         für Benutzer und Gruppen. Gut gefallen
                                                                                                         hat uns zudem die Historienfunktion, um
                                                                                                         Änderungen an den Benutzern und Rech-
                                                                                                         ten detailliert nachvollziehen zu können.
                                                                                                         Zu beachten ist, dass die Software die In-
                                                                                                         formationen nur einliest und anzeigt, aber
                                                                                                         keine Änderungen ermöglicht. Diese müs-
                                                                                                         sen mit den Windows-Bordmitteln oder
                                                                                                         anderen Werkzeugen erfolgen. Interessierte
                                                                                                         können sich die Installationsdateien samt
Bild 3: Daccord prüft das Dateisystem auf Richtlinienverstöße und hilft dadurch bei der Beseitigung      Quickstart-Guide herunterladen und für
von Schwachstellen und Sicherheitslücken.                                                                sieben Tage testen. (dr)

ein anderes Tool zugreifen. Dann muss                ändert wurde. Der Änderungszeitraum                  So urteilt IT-Administrator
er bei Daccord eine nochmalige Analyse               lässt sich in mehreren Schritten zwischen
                                                                                                           Setup und Einrichtung                             4
veranlassen und kann sich anschließend               den letzten sieben und 180 Tagen filtern.
die Rechte erneut ansehen. Das mag auf
                                                                                                           Bedienung und GUI                                 7
den ersten Blick etwas umständlich er-               Fazit
scheinen, letztlich aber sollte davon aus-           Die Daccord Microsoft Edition eignet
                                                                                                           Benutzerpflege                                    8
zugehen sein, dass sich ein Administrator            sich ideal für komplexe Windows-Um-
bei der Rechtevergabe auskennt und Dac-              gebungen, in denen für viele Benutzer im
                                                                                                           Berechtigungsanalyse                              9
cord in erster Linie zur zusätzlichen Kon-           Active Directory diverse Datei- und Frei-
trolle verwendet.                                    gabeberechtigungen auf unterschiedliche
                                                                                                           Auswertung der Historie                           8
                                                     Fileserver vergeben wurden und diese
Über die Ansichten                                   überwacht werden sollen. Das Tool wird               Die Details unserer Testmethodik finden Sie
verteiltes Reporting                                 umso interessanter und hilfreicher, je               unter www.it-administrator.de/testmethodik
Daccord verfügt über keinen eigenen Be-              mehr Benutzer, Gruppen und Fileserver
                                                                                                          Dieses Produkt eignet sich
reich, in dem das Berichtswesen zusam-               es im Unternehmen gibt, wo individuelle
mengefasst ist. Vielmehr finden sich auf             Berechtigungen zu pflegen sind. Die Er-              optimal für komplexe Windows-Umge-
den einzelnen Übersichtsseiten kleine                weiterung der Unterstützung von einem                bungen mit vielen Benutzern und Gruppen,
Schaltflächen zur Berichtsausgabe im                 auf mehrere ADs ist fest geplant.                    wo an mehreren Stellen Rechte vergeben
PDF-Format, teils auch als CSV-Datei.                                                                     sind. Daccord ermöglicht hier eine über-
Die Reporte sind fertig vorbereitet und              Für einen typischen Windows-Adminis-                 greifende Sicht und Compliance-Prüfung.
nicht durch Filter oder Ähnliches anpass-            trator ist der Umstand sicher ungewöhn-              bedingt in Umgebungen, wo die Rechte
bar, im Falle von CSV ist eine anschlie-             lich, dass die Software unter Linux läuft            nur an wenigen Stellen vergeben werden
ßende Filterung in Excel denkbar.                    und eine entsprechende Installation erfor-           und es nur wenige Benutzer gibt. Zu be-
                                                     derlich ist, um anschließend Daccord zu              werten ist hier, inwiefern dann ein Mehr-
Um Änderungen zu erkennen, vergleicht                installieren. Die Einrichtung erwies sich            wert gegeben ist.
Daccord die diversen Importe der Be-                 im Test als so einfach, dass Linux-Grund-
                                                                                                          nicht, sofern die Rechte nur an einer Stelle
nutzer und der Fileserver-Berechtigun-               kenntnisse durchaus ausreichen. Der Her-
                                                                                                          vergeben werden. Dies ist in der Regel ein-
gen und erstellt daraus chronologische               steller arbeitet zudem an einem optionalen
                                                                                                          fach mit den vorhandenen Windows-Tools
Ansichten der Historie. So kann ein Be-              Docker-Image, das zum Veröffentlichungs-             zu prüfen.
trachter schnell erkennen, wann was ge-              zeitpunkt dieses Tests bereits verfügbar

www.it-administrator.de                                                                           Auszug aus IT-Administrator Oktober 2020                         5
G+H Systems Daccord Microsoft Edition - 10 I 20 Sonderdruck für G+H Systems
Sie können auch lesen