Access Governance: Ganz sicher, dass es sicher ist!

Advertorial

Administratoren, IT-Systemverantwortliche und IT-Leitungen kennen dieses dumpfe, sorgenvolle Gefühl nur zu gut, wenn es um die Einstellungen und Konfigurationsparameter im Active Directory und in den Zugriffsrechten auf den Dateiservern geht. Mit den Jahren wurden so viele Werte angepasst, Gruppen gebildet, Gruppen geschachtelt und Benutzerrechtezuweisungen vorgenommen, dass niemand mehr ganz genau weiß, ob die daraus entstandene Gesamtkomposition den geltenden Sicherheitsstandards entspricht. So etwas wie eine „TÜV-Prüfung“ für Microsoft Domänen existiert ja nicht. Oder womöglich doch!?

Je größer die Umgebung wird, desto unübersichtlicher wird es mit den Standardbordmitteln, die Microsoft dem IT-Verantwortlichen zur Verfügung stellt. Es fehlt die detaillierte, grafische Übersicht, die es dem Administrator erlaubt, die Sicherheitseinstellung schneller und unkomplizierter einzusehen. Eine manuelle Analyse von AD-Objekten und Fileserver-Strukturen ist äußerst zeitaufwendig und birgt zudem ein hohes Fehlerpotenzial.

Exakt an dieser Stelle setzt die daccord Microsoft Edition an und bietet dem Administrator eine ganze Reihe an flexibel einsetzbaren Werkzeugen, um diese Übersicht zu gewinnen und vor allem über beliebig lange Zeiträume festzuhalten, um Veränderungen nachzuverfolgen. Hinter daccord steht die G+H Systems, ein bundesweit agierendes Software- und Consulting-Unternehmen mit Sitz in Offenbach am Main.

Klare Gliederung – einfache Bedienung

Nach Abschluss der Installation zeigt der Wizard die Browser-URL an, unter der das Web-Frontend der Software zu erreichen ist. Alle weiteren Schritte bei der Interaktion mit der daccord Microsoft Edition erledigt der Administrator über den Browser. Die Weboberfläche bietet eine ganz klare Struktur mit dem obligatorischen Dashboard, in dem alle aktuellen Veränderungen grafisch ansprechend zur Darstellung gebracht werden.

Sicherheit durch Richtlinien

Während der Installation fordert der Wizard, zu jedem Hauptpunkt ein entsprechendes Richtlinienpaket einzulesen. Die Inhalte findet der IT-Profi auch in einer Komplettübersicht. Einerseits könnte der Anwender eine Richtlinie – beispielsweise, dass eine zu hohe Anzahl von aktiven Administrationskonten ein Risiko darstellt – komplett deaktivieren oder die jeweiligen Schwellwerte anpassen. Die mitgelieferten Richtlinien sind keine Eigengewächse aus dem Hause daccord, sondern basieren zum Beispiel auf den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Einen Richtlinieneditor für die Software gibt es nicht. Wohl aber die Möglichkeit, sich individuelle Richtlinienpakete als Dienstleistung vom Hersteller erzeugen zu lassen. Individuelle Anforderungen an die eigenen Compliance-Richtlinien können sich Firmen momentan einkaufen – eine interessante und womöglich einzigartige Dienstleistung. Der Hersteller bietet zusätzlich an, einen Policy Builder als Modul zu integrieren, der bei der Einrichtung von kundenspezifischen Policies noch weiter unterstützen soll.

Wer sieht und liest was?

Der Dialog „Fileserver“ ist besonders spannend für Administratoren, die sich um die Prüfung der Zugriffsrechte Gedanken machen müssen. Letztendlich greift die daccord Microsoft Edition alle Daten ab, die Microsoft Windows in den Dialogen Freigabe und Sicherheit bietet. Wer den in den Tiefen der Microsoft-Fenster zu findenden Abschnitt „Effektive Berechtigung“ kennt, wird sich schon einmal die Frage gestellt haben, warum es dies nicht als Übersichtsfunktion gibt – Benutzername oder Gruppenname eingeben und sich darstellen lassen, welche Dateien oder Ordner mit welchen Rechten sicht- beziehungsweise änderbar sind. Nun – die Suche nach der Funktion hat ein Ende, denn sie steht mit der Microsoft Edition von daccord jetzt zur Verfügung, praktischerweise sogar ohne direkten Zugriff auf die Dateiserver selbst, was eine nachträgliche oder dokumentierende Verarbeitung ermöglicht.

Jedes Element, beispielsweise ein Ordner oder eine Datei, wird – nach einem Mausklick – detailliert in einem separaten Fensterbereich dargestellt, jedoch nicht der Inhalt oder die Größe, sondern die Zugriffsrechte der verschiedenen Personen und Rollen, der Vererbungsstatus und die effektive Berechtigung. Ganz so, wie in den Microsoft-Dialogen – jedoch in „hübsch“ und „übersichtlich“.

Fazit

Zur Benutzerkonten- und Rechteprüfung von gewachsenen, großen oder unübersichtlichen Windows-Strukturen ist die Microsoft Edition von daccord bestens gewappnet. Sehr gut gefiel uns die zügige und unkomplizierte Einrichtung sowie die klare Gliederung und die gute Übersicht, die die Software dem Administrator bietet. Die laufende Überwachung von Dateiservern und der automatische Abgleich der Active Directories mit Exporten aus Personalwirtschaftssystemen ergeben das erforderliche Werkzeug, um die Einhaltung der Compliance sicherzustellen.

Letztendlich sind Nutzer für eine Prüfung mithilfe der Microsoft Edition von daccord nicht mehr auf die Unterstützung eines externen Dienstleisters angewiesen. Dem Auslesen teilweise sehr großer Datenmengen und den damit verbundenen hohen Datenbankanforderungen wird die Software durch die native Nutzung der performanten Graph-Datenbanken des Herstellers Neo4J gerecht.

Insbesondere dank der modernen Docker-Container-Struktur ist die daccord Microsoft Edition innerhalb kürzester Zeit installiert, ohne dass an den bestehenden Systemen irgendeine Änderung durchzuführen wäre. Ausgestattet mit der kostenfreien 7-Tage-Nutzungslizenz kann sich jeder Interessent problemlos ein eigenes Bild von der Lösung machen.

In absehbarer Zukunft erweitert der Hersteller die Microsoft Edition noch um weitere Integrations-pakete, die den Leistungsumfang noch einmal deutlich erweitern. Aktuell in Planung, so der Anbieter, sind Pakete für das Azure AD mit Office 365, Microsoft Exchange Teams und OneDrive.

Teaserfoto: © Adobe Stock/NicoElNino