Offene Freigaben in den Griff bekommen

von David Gibson

Vor kurzem sprach ich mit einem IT-Administrator, der ein Projekt zur Bereinigung offener Freigaben ins Leben gerufen hatte. Das heißt, sein Team suchte nach Ordnern und SharePoint-Sites, die für globale Zugriffsgruppen wie „Jeder“, „Domainbenutzer“ oder „Authentifizierte Benutzer“ zugänglich waren, und schränkte den Zugriff anschließend ein. Nachdem die Gruppe „Jeder“ aus den Berechtigungen einiger Ordner entfernt worden war, erhielt der Helpdesk zahlreiche Anrufe von Nutzern, die zuvor aktiv über diese globalen Gruppen auf die Dateien zugegriffen hatten und ihre Aufgaben nun nicht mehr erledigen konnten, weil ihnen die erforderliche Berechtigung fehlte. Dies ging etwas zwei Wochen lang so – jedes Mal, wenn jemand anrief, musste sich das Team für die Störung entschuldigen und den jeweiligen Nutzer rasch zur ACL des Ordners hinzufügen.

Laut dem Administrator dauerte der manuelle Prozess etwa sechs Stunden pro Ordner. Bei der gefundenen Anzahl von Ordnern mit globalen Zugriffsgruppen hätte die Bereinigung etwa drei Monate Arbeit für vier Mitarbeiter bedeutet – eine äußerst zeitaufwändige Aufgabe. Die manuelle Bereinigung bestand aus den folgenden Schritten:

1. Ordner identifizieren, die für globale Zugriffsgruppen wie „Jeder“, „Domainbenutzer“, „Authentifizierte Benutzer“ und „Benutzer“ zugänglich sind
2. Erfolgsüberwachung für Objektzugriffe bei diesen Ordnern aktivieren und so viele Daten sammeln, wie der Server gerade noch stemmen kann
3. Überwachungsdaten analysieren, um eine Liste von Nutzern zu erstellen, die auf diese Ordner zugreifen
4. Bestimmen, welche Nutzer nur über die globalen Gruppen zugreifen können, die entfernt werden sollen
5. Nutzer aus Schritt 4 zu einer Gruppe in der ACL des Ordners hinzufügen oder eine neue Gruppe erstellen und die Nutzer hinzufügen (vorausgesetzt, diese Nutzer sollen wirklich Zugriff auf die Daten erhalten)
6. Globale Zugriffsgruppe entfernen
7. Auf den ersten Anruf warten

Der Prozess war zwar sorgfältig geplant, doch die umfangreichen Auditprotokolle und die Komplexität der Berechtigungsstruktur machten es unmöglich, globale Zugriffsgruppen zu entfernen, ohne die Arbeitsabläufe der Nutzer zu stören. Der enorme Aufwand führte am Ende also doch zu unzufriedenen Nutzern. Dies ist nur ein Beispiel, doch IT-Abteilungen befinden sich häufig in diesem Dilemma, wenn sie versuchen, offene Freigaben zu entfernen: Entweder sie ändern die Berechtigungen nicht und setzen die Daten Risiken wie Verlust, Diebstahl und Missbrauch aus, oder sie schränken die Zugriffsrechte für die Ordner ein und setzen die Produktivität aufs Spiel, wenn Nutzer nicht mehr auf benötigte Informationen zugreifen können.

Im nächsten Post geht es darum, wie offene Freigaben mithilfe der Simulationsfunktionen eines Metadaten-Frameworks bereinigt werden können.

The post Offene Freigaben in den Griff bekommen appeared first on Varonis Deutsch.