Der privilegierte Zugriff auf Anwendungen, Ressourcen und Verwaltungsportale ist ein heikles Thema in vielen Unternehmen. Die erforderlichen Konzepte zur "guten" Administration sind bekannt, erweisen sich in der Umsetzung hinsichtlich der Balance von Risikominimierung und Bedienfreundlichkeit zuweilen aber als schwierig. Wer erweiterte Berechtigungen sein Eigen nennen darf, sollte nicht mit dem zugehörigen Account ebenfalls E-Mails lesen oder im Netz surfen. Wer viele Privilegien besitzt, sollte sie nicht alle auf ein Konto konzentrieren, um im Fall einer Kompromittierung den "Blast Radius" gering zu halten. Einige Unternehmen trennen Admin-Konten auch anhand der Nutzung – Cloud-Admins müssen andere privilegierte Accounts nutzen als On-Premises-Admins.
Die Schutzkonzepte hinter diesen Szenarien sind bekannt: "Just in Time" (JIT) bedeutet, dass der eigentlich privilegierte Account nur durch aktives Freischalten der Privilegien zu einem Admin-Account wird. Das kann entweder durch den Besitzer manuell erfolgen oder lässt sich durch einen Prozess zusätzlich schützen – nämlich wenn ein Vier-Augen-Prinzip die Freigabe durch einen Kollegen erfordert und der Besitzer Multifaktor-Authentifizierung (MFA) ausführt oder den Account nur von einem bestimmten Computer, eine Admin-Workstation, also eine "Privileged Admin Workstation" (PAW) oder "Secure Admin Workstation" (SAW), nutzt. Die Freischaltung ist dann zeitgebunden, sodass
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.