Just-in-Time-Administration im Active Directory

Die Zeit läuft ab

Ein Benutzer benötigt kurzfristig mehr Rechte – das kann ein Administrator aus Ihrem Team sein oder ein externer Berater, der eine klar definierte Aufgabe wahrnehmen muss. Bei diesem Klassiker im IT-Betrieb ist oft nicht geregelt, wann und wie die gewährte Erweiterung der Zugriffsrechte wieder zurückgenommen wird. Dies kann Tür und Tor für einen Angriff auf Ihre Infrastruktur öffnen. Mit Just-in-Time-Administration gibt es jedoch Mittel und Wege, die Gültigkeitsdauer zusätzlicher Berechtigungen verbindlich zu gestalten.
Firmen benötigen zunehmend eine flexible IT, die sich schnell an die aktuellen Anforderungen anpassen lässt. Der Königsweg dorthin ist die Hybrid Cloud, bei ... (mehr)

Ein "Admin auf Zeit" (Just-in-Time-Admin oder JIT) ist ein Konzept, das in der Sicherheitsstrategie von Microsoft zusammen mit der präzisen Definition der gewährten Rechte (Just Enough Admin oder JEA) die Grundlage dafür bildet, den Angriffsvektor "Administrator-Account" zu minimieren. Bereits seit 2014 propagieren Microsoft-Architekten wie Jeffrey Snover diese Strategie, mit Server 2016 hat sie einen eleganten technischen Unterbau im Active Directory erhalten, den Sie ohne großen Aufwand in Ihrer Umgebung einsetzen können.

Wie die meisten Strategien zur Rechtevergabe in AD-Umgebungen basiert auch JIT auf Gruppen: Der zu berechtigende Account kommt in eine Gruppe, die entweder direkt mit Zugriffsrechten versehen oder ihrerseits Mitglied in Gruppen ist, die die gewünschten Zugriffsrechte wahrnehmen. Eine bekannte Ausprägung dieser Berechtigungsvergabe ist das AGDLP-Prinzip [1]. Es geht also darum, zu einem vorher festgelegten Zeitpunkt die Mitgliedschaftskette zwischen Benutzer und Berechtigungen zu unterbrechen.

JIT per PowerShell

Die einfachste Methode, Gruppenmitgliedschaften zu einem festgelegten Zeitpunkt zu beenden, besteht darin, das Benutzerkonto mit den üblichen Mitteln der AD-Administration aus der Gruppe zu entfernen. Der enstprechende Vorgang kann zeitgesteuert mittels Task Scheduler oder ereignisgesteuert aus einem Orchestrierungs- oder Identity-Management-System heraus ausgelöst werden. Dafür muss das aufrufende Konto über entsprechende Rechte im AD verfügen. Mit Hilfe der PowerShell ist das sehr einfach möglich. Sie benötigen dafür lediglich das Active-Directory-Modul, das Teil der Remoteserver-Verwaltungstools (RSAT) für Active Directory Domain Services ist. Mit

> Add-ADGroupMember -Identity "Gruppe" -Members "User"

fügen Sie einen User einer Gruppe hinzu und mit

 ...
                

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite