BSI-Modell 3-tier-Admins
Das BSI empfiehlt, den globalen Administrator abzuschaffen und durch eine 3-Tier-Variante zu ersetzen.
Also Domänenadmin rechtemäßig von Client-Admin und Server-Admin zu trennen.
Das klingt erst mal recht nett und hilfreich. Ist es sicher auch, ich sehe da aber einige Probleme bei.
- Man muss das Konstrukt konsequent durchsetzen. Es kommen ja immer mal wieder Funktionen hinzu. Mal baut man Server auf, mal hat man mehr Systeme. Da gibt es immer mal ein System, dass genau dem Muster nicht folgt oder es einfach so granular nicht unterscheiden kann. Die haben wegen der ganzen Sicherheitslücken sicher kein LDAP-Zugriff, haben also wieder extra-Admins - außerhalb des Modells. Wie soll man auch einen admsrv auf eine Firewall ausweiten, die man nicht am LDAP hat, weil die REST-API die LDAP-Zugangsdaten ungefiltert an alle Anfragenden brüllt? (side-eye auf Watchguard)
Deswegen hat man sowas nicht am LDAP, dafür mit anderen Kennwörtern. Aber BSI-3-tier ist nun mal eben im LDAP, wenn nicht exakt so am Gerät dupliziert. - Einzelaccounts sammeln Berechtigungen. Das ist das gleiche wie mit Azubis, die im Laufe von drei Jahren durch ganze Firmen wandern. Wer hat die ausgeweiteten Rechte? Richtig – der Azubi, nicht der Sysadmin.
Dem Domänenadmin wird immer mehr hineingeworfen, weil er laut dem Modell ja auch für viel zuständig ist. So sammelt genau der Domänenadmin immer weitere Rechte, die dann wieder gegen das Modell stoßen. - Unbequemlichkeit macht faul:
Sicherheit ist unbequem, auch in dem Fall. Für lokale Admintasks auf dem PC erst einmal Client-Admin-Passwörter in die UAC einzutragen, nervt. So gibt es sicher einige Personen, deren erster Task mit dem Client-Admin ist erst mal dem eigenen Domänenaccount auf dem eigenen PC Adminrechte zu geben. - Einzelne Programme gehen von User-Adminrechten aus und kommen mit Domänengebundenen Admins, die zufällig auf die Maschine Zugriff haben, nicht immer klar. Ein großer Anwärter dafür sind zum Beispiel die Microsoft PowerToys, die für einige Funktionen Administrationszugriff benötigen und - einmal eingearbeitet in die Funktionen - für normale Nutzer und nicht nur für Admins irgendwann nicht mehr zu missen sind.
- Wer hat die Hoheit über den verbliebenen Global Admin? Richtig: Der IT-Dienstleister oder derjenige, der das Modell eingeführt hat. Der wird diesen Global Admin entweder gehäuft nutzen, oder eben nicht in seinen Berechtigungen beschnitten haben - also das Modell nicht in Gänze umgesetzt haben, sondern nur für alle anderen erweitert haben.
Im Endeffekt sollte man Dingen wie 2-Faktor-Authentifizierung deutlich mehr Beachtung schenken als diesem BSI-Modell. Klar, es trennt die Rechte und damit (hoffentlich) die Ebenen die eine Ransomware befällt, aber für sonderlich sicher halte ich es nicht, weil es mit der Zeit verwässert wird.
Warum nicht 20-Tier-Modell?
Das ganze Modell ist schön und gut, bis man sieht wie viel ein Domänenadmin macht. Damit muss man klarkommen, die IT ist ziemlich zentral.
Was also tun? die drei Ebenen sind nicht fix, man kann sicherlich Rechte zwischen dem einen zu dem anderen schieben. Zum Beispiel die Exchange Management Shell, wenn man sie denn per Remote-Shell irgendwo aufmacht als Serveradmin deklarieren, während die Mailverwaltung im adminportal von Microsoft (die zurückgebliebenen nennen das noch Exchange Control Panel) noch Domänenadmin bleibt...
Ist völlig frei. In meinen Augen.
Problematisch wirds, wenn man das in noch mehr Accounts unterteilt, weil die menschliche Psyche dann wieder die gleichen Kennwörter verwendet und ich habe noch nie ein System gesehen, dass Passwörter zwischen den Benutzern vergleicht.
Was also bei >3 Tier passieren wird, ist dass selbst admins gleiche Kennwörter setzen, was den ganzen Zweck von feiner unterteilten Rechten zunichte macht.
Ich sehe das Modell also recht statisch als 3-Tier an.