Direkt zum Hauptinhalt

BSI-Modell 3-tier-Admins

Das BSI empfiehlt, den globalen Administrator abzuschaffen und durch eine 3-Tier-Variante zu ersetzen.
Also Domänenadmin rechtemäßig von Client-Admin und Server-Admin zu trennen.

Das klingt erst mal recht nett und hilfreich. Ist es sicher auch, ich sehe da aber einige Probleme bei.

  1. Man muss das Konstrukt konsequent durchsetzen. Es kommen ja immer mal wieder Funktionen hinzu. Mal baut man Server auf, mal hat man mehr Systeme. Da gibt es immer mal ein System, dass genau dem Muster nicht folgt oder es einfach so granular nicht unterscheiden kann.
  2. Einzelaccounts sammeln Berechtigungen. Das ist das gleiche wie mit Azubis, die im Laufe von drei Jahren durch ganze Firmen wandern. Wer hat die ausgeweiteten Rechte? Richtig – der Azubi, nicht der Sysadmin.
    Dem Domänenadmin wird immer mehr hineingeworfen, weil er laut dem Modell ja auch für viel zuständig ist. So sammelt genau der Domänenadmin immer weitere Rechte, die dann wieder gegen das Modell stoßen.
  3. Unbequemlichkeit macht faul:
    Sicherheit ist unbequem, auch in dem Fall. Für lokale Admintasks auf dem PC erst einmal Client-Admin-Passwörter in die UAC einzutragen, nervt. So gibt es sicher einige Personen, deren erster Task mit dem Client-Admin ist erst mal dem eigenen Domänenaccount auf dem eigenen PC Adminrechte zu geben.
  4. Einzelne Programme gehen von User-Adminrechten aus und kommen mit Domänengebundenen Admins, die zufällig auf die Maschine Zugriff haben, nicht immer klar.
  5. Wer hat die Hoheit über den verbliebenen Global Admin? Richtig: Der IT-Dienstleister oder derjenige, der das Modell eingeführt hat. Der wird diesen Global Admin entweder gehäuft nutzen, oder eben nicht in seinen Berechtigungen beschnitten haben - also das Modell nicht in Gänze umgesetzt haben, sondern nur für alle anderen erweitert haben.