Bundesamt für Sicherheit in der Informationstechnik

G 3.88 Falsche Vergabe von Zugriffsrechten

Aufgrund der engen Beziehung zwischen dem Verzeichnisdienst und zu dem darunter liegenden Betriebssystem und der Tatsache, dass Verzeichnisdienste eine Reihe kritischer Daten von Systembenutzern und über Ressourcen enthalten, ist die korrekte Vergabe von Zugriffsrechten auf den Verzeichnisdienst besonders sicherheitskritisch.

Die Zugriffskontrolllisten selbst sind so genannte Attribute (Properties) zu den jeweiligen Objekten. Zugriffsrechte existieren auf Objekte an sich, aber auch auf einzelne Attribute eines Objekts. Die Zugriffsrechte auf Objekte vererben sich standardmäßig von Vater- auf Kind-Objekte innerhalb der Baumhierarchie. Durch ungeeignete Partitionierung des Verzeichnisses können dabei Brüche dieses Vererbungsmechanismus entstehen.

Auch besteht die Gefahr, dass durch die Vielfalt an Konfigurationsmöglichkeiten der Zugriffsrechte inkonsistente oder falsche Zugriffsmöglichkeiten vergeben werden könnten. Sofern die Zugriffsrechte im Verzeichnisdienst falsch vergeben werden, ist dadurch die Sicherheit des Gesamtsystems erheblich gefährdet. Es könnten beispielsweise die Vertraulichkeit und die Integrität von Daten beeinträchtigt sowie mögliche Hintertüren (Backdoors) für weitreichende Systemangriffe eröffnet werden.

Ein besonders kritischer Punkt ist auch die Vergabe der Administrationsrechte wie beispielsweise die Umsetzung eines rollenbasierten Administrationskonzeptes oder die Delegation einzelner Administrationsaufgaben durch die Vergabe entsprechender Zugriffsrechte. Werden diese Rechte falsch vergeben, kann das gesamte Administrationskonzept in Frage gestellt und unter Umständen sogar die Verzeichnissystem-Administration blockiert werden.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK