Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Falls Benutzer nur bestimmte Aufgaben wahrzunehmen brauchen, ist es oftmals nicht erforderlich, ihnen alle mit einem eigenen Login verbundenen Rechte (ggf. sogar Systemadministrator-Rechte) zu geben. Beispiele sind bestimmte Tätigkeiten der routinemäßigen Systemverwaltung (wie Erstellung von Backups, Einrichten eines neuen Benutzers), die mit einem Programm menügesteuert durchgeführt werden, oder Tätigkeiten, für die ein Benutzer nur ein einzelnes Anwendungsprogramm benötigt.
Für diese Benutzer sollte eine eingeschränkte Benutzerumgebung geschaffen werden. Sie kann z. B. unter Unix durch eine Restricted Shell ( rsh) und eine Beschränkung der Zugriffspfade mit dem Unix-Kommando chroot realisiert werden. Für einen Benutzer, der nur ein Anwendungsprogramm benötigt, kann dieses als Login-Shell eingetragen werden, so dass nach dem Einloggen dieses direkt gestartet und er bei Beendigung des Programms automatisch ausgeloggt wird.
Der verfügbare Funktionsumfang des IT-Systems kann für einzelne Benutzer oder Benutzergruppen eingeschränkt werden. Die Nutzung von Editorprogrammen oder Compilern sollte verhindert werden, wenn dies nicht für die Aufgabenerfüllung des Benutzers erforderlich ist. Dies kann bei Stand-alone-Systemen durch die Entfernung solcher Programme und bei vernetzten Systemen durch die Rechtevergabe geregelt werden.
Ergänzende Kontrollfragen:© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.