Just-in-Time-Administration im Active Directory

Die Zeit läuft ab

Ein Benutzer benötigt kurzfristig mehr Rechte – das kann ein Administrator aus Ihrem Team sein oder ein externer Berater, der eine klar definierte Aufgabe wahrnehmen muss. Bei diesem Klassiker im IT-Betrieb ist oft nicht geregelt, wann und wie die gewährte Erweiterung der Zugriffsrechte wieder zurückgenommen wird. Dies kann Tür und Tor für einen Angriff auf Ihre Infrastruktur öffnen. Mit Just-in-Time-Administration gibt es jedoch Mittel und Wege, die Gültigkeitsdauer zusätzlicher Berechtigungen verbindlich zu gestalten.
Firmen benötigen zunehmend eine flexible IT, die sich schnell an die aktuellen Anforderungen anpassen lässt. Der Königsweg dorthin ist die Hybrid Cloud, bei ... (mehr)

Ein "Admin auf Zeit" (Just-in-Time-Admin oder JIT) ist ein Konzept, das in der Sicherheitsstrategie von Microsoft zusammen mit der präzisen Definition der gewährten Rechte (Just Enough Admin oder JEA) die Grundlage dafür bildet, den Angriffsvektor "Administrator-Account" zu minimieren. Bereits seit 2014 propagieren Microsoft-Architekten wie Jeffrey Snover diese Strategie, mit Server 2016 hat sie einen eleganten technischen Unterbau im Active Directory erhalten, den Sie ohne großen Aufwand in Ihrer Umgebung einsetzen können.

Wie die meisten Strategien zur Rechtevergabe in AD-Umgebungen basiert auch JIT auf Gruppen: Der zu berechtigende Account kommt in eine Gruppe, die entweder direkt mit Zugriffsrechten versehen oder ihrerseits Mitglied in Gruppen ist, die die gewünschten Zugriffsrechte wahrnehmen. Eine bekannte Ausprägung dieser Berechtigungsvergabe ist das AGDLP-Prinzip [1]. Es geht also darum, zu einem vorher festgelegten Zeitpunkt die Mitgliedschaftskette zwischen Benutzer und Berechtigungen zu unterbrechen.

JIT per PowerShell

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023