Tod des Superusers – wie Windows von Least-Privilege gebändigt wurde
Risiken für Anwendungen beherrschen, eine konzeptuelle Übersicht, z.B. Kontrolle von Anwendungen, Berechtigungen und Benutzern ohne das Unternehmen lahm zu legen
TweetDer Superuser ist tot. Und was ihn umgebracht hat, ist der Aufstieg von etwas namens Least-Privilege. Das Konzept hinter diesem Begriff lässt sich verblüffend einfach zusammenfassen: Der Zugang eines Benutzers zu einem EDV-System sollte auf Basis der Mindestrechte erfolgen, die er zur Erfüllung seiner Aufgaben benötigt.
Das Prinzip lässt sich auf jede Computing-Umgebung anwenden. Die meisten Unternehmen verwenden es jedoch hauptsächlich, um die Aktivitäten der Benutzer von Windows-Desktop und -Servern zu kontrollieren, indem sie deren Status auf Standardnutzer beschränken. Dieses Vorgehen bietet ohne zusätzlichen Aufwand einen mehrfachen Zugewinn an Sicherheit:
Standardnutzerkonten dürfen Anwendungen weder installieren noch deinstallieren, was bedeutet, dass keine Fremdsoftware Ports aus dem Netzwerk öffnet
Sie können keine wichtigen Standardeinstellungen durcheinander bringen, z.B. durch das Löschen von Systemdateien und Druckerwarteschlangen, was administrativen Aufwand für die Reparatur benötigen könnte.
hilft dabei, Angreifer oder Malware abzuschotten, falls ein Konto kompromittiert wurde – viele Software-Exploits benötigen Berechtigungen, um Systeme anzugreifen
Least-Privilege wird manchmal als eine Möglichkeit interpretiert, normale Windows-Benutzern davon abzuhalten, etwas Dummes oder Riskantes zu tun. Die Regel gilt aber auch für IT-Personal, wenn sie Tätigkeiten erledigen, für sie keine Administratorrechte benötigen: Least-Privilege sollte der Standard-Status für alle Netzwerkbenutzer sein, unabhängig davon, wer sie sind.
Das scheint eine Selbstverständlichkeit zu sein, aber leider gibt es auch einige Nachteile.
In jedem Unternehmen ist es manchmal notwendig, die Berechtigungen der Benutzer auf Administrator-Ebene zu erhöhen, und es muss eine Möglichkeit geben, das zu tun. Beispiele für die Notwendigkeit erhöhter Berechtigungen sind unter anderem der Zugang zu Netzwerk-Ressourcen, das Ausführen von Altsoftware, die programmiert wurde, um Administratorrechte anzunehmen, und gelegentlich (ja!) die Installation von nützlichen oder neuen Software-Anwendungen, die die Produktivität steigern könnten.
Bei der Beschränkung von Benutzern geht es also nicht nur darum, bestimmte Vorgänge auf einem Computer zu verhindern, es ist vielmehr auch eine organisatorische und wirtschaftliche Frage über den Umgang der Mitarbeiter mit den Ressourcen des Unternehmens.
Das ist ein Thema, mit dem sich Windows traditionell schwer getan hat. Das 2001 auf den Markt gebracht Windows XP verfügte über Administratoren- und Standardnutzerkonten (Least Privilege-Konten), aber unglaublicherweise waren erstere die Standardeinstellung, weil das vieles leichter machte. Im Jahr 2007 überarbeitete Windows Vista diesen Wahnsinn mit der sogenannten User Account Control (UAC) (Benutzerkontensteuerung), die es eigentlich ermöglichen sollte, die Berechtigungen für ein Standardnutzerkonto (das jetzt Standard war) nur bei Bedarf zu erhöhen. Auf wundersame Art und Weise konnten Benutzer in beiden Welten gleichzeitig existieren.
Die Probleme tauchten bald auf. Ständig wurden Benutzer von den Anwendungen aufgefordert, für die Ausführung einfacher Tätigkeiten die Berechtigungen erhöhen zu lassen. Das führte dazu, dass die Benutzer ausgebremst und die Administratoren mit Berechtigungsabfragen bombardiert wurden. Welche waren legitim und welche nicht? Wer konnte das schon wissen. Helpdesks fingen an, mehr Aktionen standardmäßig zuzulassen, was den Sinn und Zweck von Least-Privilege unterwanderte.
Seitdem haben sich Windows und UAC enorm verbessert, aber es war klar, dass Unternehmen die Vorteile von Least-Privilege maximieren und gleichzeitig die Angriffsfläche minimieren mussten. Windows musste produktiv bleiben, aber auch sicher, ohne dass sich beides gegenseitig ausschließt.
Nachrüstung von Least-Privilege
In den Jahren seit Vista und Windows 7 ist eine neue Generation von Privilege-Management-Plattformen entstanden, die umfassender regulieren, wie Desktop-Benutzer (einschließlich der Benutzer anderer Programme als Windows) erhöhte Berechtigungen abfragen, um sich zwischen Standard- und Administrator-Status zu bewegen.
Während die meisten Plattformen ursprünglich als eine Möglichkeit gedacht waren, Abfragen zur Berechtigungserhöhung zu vermitteln und zu optimieren, haben sie sich zu komplexen Anwendungssteuerungs- und Endpunktsicherheitssystemen entwickelt, die auch nicht autorisierte Software blockieren, während sie gleichzeitig versuchen, Ramsomware, Phishing-Angriffe und sogar Zero-Day-Angriffe abzuschotten.
Die Plattformen (die in der Regel mit Active Directory integrieren, so dass Gruppenrichtlinien angewendet werden können) bieten eine Reihe von Funktionen in einem mehrschichtigen Ansatz an:
Das Anwendungs-/Kontoverzeichnis erlaubt es dem Privilege-Management, sich in einen Suchmodus zu begeben, um Anwendungen, die auf Endgeräten ausgeführt werden und die Art, wie diese von den verschiedenen Kontotypen benutzt werden, zu überprüfen. Dies ist notwendig, um eine Berechtigungspolitik zu konzipieren, die nicht zu restriktiv ist.
Bei Whitelisting handelt es sich um die Unterteilung von Anwendungen in diejenigen, die ausgeführt werden dürfen (die weiße Liste), diejenigen, die nicht ausgeführt werden dürfen (die schwarze Liste), und diejenigen, die anhand der Richtlinien überprüft werden müssen (die graue Liste). Die Anwendungen und Skripte werden stets standardmäßig im Standard-Modus ausgeführt; Administratorrechte werden zur Erledigung von spezifischen Aufgaben vergeben nicht einzelnen Personen anvertraut.
Die Gemeinkosten von Helpdesks können durch optimierte Anwendungen und Berechtigungsrichtlinien sowie gegebenenfalls durch maßgeschneiderte (d.h. benutzerfreundliche) UAC-Prompts reduziert werden.
Automatische Programme zur Regelgenerierung ermöglichen Benutzern, die Berechtigungen für gängige Anwendungsschnittstellen wie Adobe oder WebEx (Java) für bestimmte Zeiträume erhöhen zu lassen, ohne dass ein UAC-Ereignis ausgelöst wird. Dies kann auf granulare Art und Weise erfolgen, z.B. für bestimmte Gruppen innerhalb des AD.
Die schwachstellenbasierte Bewertung (von BeyondTrust in seinem PowerBroker-System angeboten) ermöglicht das Blockieren von Anwendungen aufgrund von Software-Schwachstellen, die in Echtzeit von einer separaten Datenbank zur Verfügung gestellt werden.
Bei der Endpunktsicherheit, die durch Agenten auf dem Rechner implementiert wird, handelt es sich um eine neuere Funktionalität, die konzipiert wurde, um die Integration von Anti-Malware-Funktionen wie Sandboxing (Abschottung) im Privilege-Management zu ermöglichen. Nun stellt sich die offensichtliche Frage, warum sich die Unternehmen mit dieser Schicht beschäftigen sollten, wenn sie bereits Antivirensoftware verwenden. Vielleicht liegt die Antwort darin, dass AV reaktiv ist, während Sandboxing kein Vertrauen voraussetzt.
Analytik und Reporting sind wichtig, um ein Protokoll der Erhöhung von Berechtigungen und Anwendungsereignissen zu erstellen, das möglicherweise in ein SIEM-System einfließt. Dies könnte als eine weitere Stufe der Benutzer- und Konto-Überwachung betrachtet werden, die die Unternehmen bei der Erfüllung von regulatorischen Anforderungen wie PCI DSS und SOX unterstützt.
Aus all dem wird deutlich, dass das simple Konzept des Least-Privilege ein grundlegendes Umdenken der Unternehmen im Hinblick auf die Anwendungssicherheit in Gang gesetzt hat. Beim alten benutzerorientierten Modell wurden den Leuten Berechtigungen einfach ausgehändigt. Jetzt werden diese auf der Basis von Anwendungsrisiken erteilt anstatt auf der Basis von Annahmen darüber, welchen Benutzern man vertrauen kann.
Kurz gesagt, Desktop-PCs lassen sich abriegeln. Dies ist sowohl klug als auch notwendig – sämtliche Statistiken über Cyberangriffe unterstreichen, wie anfällig sie sind. Zahlreiche Angriffe beginnen in dieser Netzwerk-Schicht.
Gleichermaßen deutet es auf eine komplexere Welt hin. Die Erweiterung durch Privilege-Management kann ein teures und komplexes Unterfangen sein, das sich für viele Unternehmen als übertrieben herausstellen könnte. Auf jeden Fall aber bleibt die Herausforderung bestehen, Least-Privilege auf irgendeine Weise zu implementieren.
