Bundesamt für Sicherheit in der Informationstechnik

M 4.309 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Verzeichnisdienst speichert in der Regel sehr viele schützenswerte Informationen einer Institution wie beispielsweise Benutzerdaten. Es ist deshalb unerlässlich, diese Informationen nur ausdrücklich autorisierten Applikationen, Benutzern und Administratoren zugänglich zu machen. Dazu ist es notwendig, eine zuvor erstellte Sicherheitsrichtlinie, die Regelungen für die Zugriffsberechtigungen enthalten muss (siehe M 2.405 Erstellung einer Sicherheitsrichtlinie für den Einsatz von Verzeichnisdiensten ), konsequent und konsistent umzusetzen.

Die Rechtevergabe erfolgt in der Regel über Access Control Lists ( ACL s). Zugriffsberechtigungen können dabei sowohl auf Objekt- als auch auf Attributsebene vergeben werden. Rechte können über ACLs grundsätzlich nur im positiven Sinne vergeben werden, d. h. der Zugriff wird explizit erlaubt. Ein ausdrücklicher Ausschluss eines Benutzers mittels einer Zugriffsliste kann nicht definiert werden.

Zugriffsberechtigungen werden explizit durch Zuweisung an den Rechte-Inhaber vergeben. Für ein Zielobjekt wird dabei eingetragen, welche weiteren Objekte darauf zugreifen dürfen. Umgekehrt kann daran auch abgelesen werden, auf welche Zielobjekte ein Objekt zugreifen darf.

Zugriffsberechtigungen vererben sich entsprechend der Baumhierarchie des Verzeichnisdienstes. Dies gilt allerdings zunächst nur für die Objektrechte, die Attributsrechte vererben sich nur, wenn dies explizit konfiguriert wird. Die automatische Vererbung von Zugriffsberechtigungen von Objekten auf deren Kindobjekte kann durch die Konfiguration so genannter Masken oder Filter reglementiert werden. Da über das "Self"-Recht eigene Attributswerte verändert werden können, ist es aus Sicherheitssicht kritisch und sollte ebenfalls mit Hilfe eines Filters kontrolliert werden.

Bei einer Partitionierung des Verzeichnisbaums entsteht zunächst eine Lücke in der Vererbungskette, welche allerdings automatisch durch das Anhängen einer inhärenten ACL geschlossen wird.

Wirksam bei einem Zugriffsversuch werden die so genannten effektiven Rechte, d. h. diejenigen Zugriffsberechtigungen, die sich gemäß der schon genannten Mechanismen zur Rechtevergabe als Endresultat ergeben. Diese effektiven Rechte werden bei jedem Zugriff dynamisch berechnet bzw. im Cache des Servers gehalten. Die Administratoren sollten über eine Managementkonsole die Möglichkeit haben, sich diese aktuell gültigen effektiven Rechte auf einzelne Objekte anzeigen zu lassen und sollten diese stichprobenartig kontrollieren.

Ein wichtiger Aspekt bei der Rechtevergabe im Verzeichnisdienst ist die Konfiguration der Benutzer- und der Gruppenkonten. Durch geeignete Definition der Benutzer- und Administratorgruppen lässt sich die Rechtevergabe transparenter und einfacher gestalten.

Dies ist zu empfehlen, da generell eine hohe Komplexität in der Administration die Gefahr durch Fehlkonfigurationen erhöht. Zur vereinfachten und konsistenten Konfiguration der Benutzer und Benutzergruppen sollten Templates (Vorlagen) verwendet werden.

Verzeichnisdienste erlauben eine rollen- und funktionsbasierte Administration. Falls diese administrativen Rollen nicht bereits definiert sind, erfordert dies eine Schema-Erweiterung des Verzeichnisdienstes. Administrative Aufgaben können delegiert werden, so dass sie von Mitgliedern einer zugewiesenen Benutzergruppe (Administratorengruppe) durchgeführt werden können. Auf diese Weise wird auch die Delegation von Administrationsaufgaben realisiert.

Bei einer eventuellen Zusammenführung zweier oder mehrerer Verzeichnisdienst-Bäume zu einem Gesamtbaum sind anschließend die resultierenden effektiven Rechte zu kontrollieren. Auch bei der Verschiebung von Partitionen innerhalb eines Verzeichnisdienst-Baums ist dies zu berücksichtigen. Ebenso müssen die Zugriffsberechtigungen kontrolliert und eventuell nachkonfiguriert werden, wenn z. B. eine Windows-Domäne in einen eDirectory-Baum durch Migration übernommen wurde.

Prüffragen:

  • Wurden die Zugriffsrechte der Benutzer- und Administratorgruppen gemäß der erstellten Sicherheitsrichtlinie konfiguriert?

  • Wurden die sich tatsächlich ergebenden effektiven Rechte auf die Zielobjekte stichprobenartig kontrolliert?

  • Sind die Administratorrollen und die Delegation von Administrationsrechten konsistent konfiguriert?

Stand: 13. EL Stand 2013