Best Practices für die Benutzerrechte-Verwaltung und Applikationskontrolle

Admins dürfen in vielen Unternehmen alles, sie verfügen häufig über uneingeschränkte Privilegien. Das ist zwar bequem, aber nicht ohne Risiko. Denn einige Administratoren besitzen weitaus mehr Privilegien, als sie für ihre tatsächliche Arbeit benötigen. Solche "Superuser-Accounts" sind allein schon deshalb problematisch, da sie zu den interessantesten Hacker-Zielen gehören. Wer erst einmal einen privilegierten Account erobert hat, kann beliebigen Schaden im Unternehmen anrichten.

Doch auch normale Anwender erhalten in vielen Unternehmen Admin-Privilegien oder zumindest zusätzliche Benutzerrechte, oft nur aus einem Grund: um die IT-Teams zu entlasten. Auch hier ist die Gefahr groß, dass solche Konten missbräuchlich genutzt werden – oft nicht bewusst vom autorisierten Anwender, sondern im Rahmen einer Cyber-Attacke von außen. Zudem stellen Applikationen, die nicht ausreichend überwacht werden, eine Gefahr für die IT-Sicherheit dar. So ist es zum Beispiel möglich, dass eine schädliche Anwendung mit Malware auch ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert.

CyberArk empfiehlt Unternehmen angesichts dieser Herausforderungen die Umsetzung eines mehrstufigen Sicherheitsmodells. Voraussetzung dafür ist eine anpassbare Lösung, mit der die Verwaltung von Administratorrechten und die Kontrolle von Anwendungen automatisiert werden können. Im Einzelnen empfiehlt CyberArk, bei der Lösungsauswahl die folgenden Best Practices zu beachten:

• Automatische Richtlinienerstellung zur Privilegien- und Anwendungskontrolle,
• Bedarfsorientierte Erweiterung von Benutzerrechten,
• Festlegung granularer Least-Privilege-Richtlinien für Windows-Administratoren,
• Überwachte Ausführung von Anwendungen,
• Zentrales Repository für Zugangsdaten der Administratoren,
• Automatische Änderung von Passwörtern nach jeder Nutzung sowie
• Überwachung aller Administratorkonten. (rhh)

Hier geht es zum E-Book von Cyberark