M 2.38 Aufteilung der Administrationstätigkeiten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Viele Netzbetriebssysteme bieten die Möglichkeit, die Administratorrolle aufzuteilen und Administrationstätigkeiten an verschiedene Benutzer zu verteilen.

So können z. B. unter Novell Netware 3.11 die folgenden Administratorrollen eingerichtet werden: Workgroup Manager, User Account Manager, File Server Console Operator, Print Server Operator, Print Queue Operator.

Unter Windows NT können durch die gezielte Vergabe von Benutzerrechten an einzelne Benutzer oder besser an Gruppen definierte Administratorrollen geschaffen werden. Neben der Gruppe der Administratoren sind hier die Gruppen Hauptbenutzer (d.h. Administratoren mit eingeschränkten Rechten), Sicherungs-Operatoren, Druck-Operatoren, Server-Operatoren sowie Reproduktions-Operatoren zu nennen. Darüber hinaus können weitere Rollen durch explizite Zuweisung von Benutzerrechten definiert werden (siehe auch M 4.50 Strukturierte Systemverwaltung unter Windows NT ).

Wenn es Administratorrollen für Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden. Insbesondere wenn in großen Systemen mehrere Personen mit Administrationsaufgaben betraut werden müssen, kann das Risiko der übergroßen Machtbefugnis der Administratorrollen durch eine entsprechende Aufgabenteilung vermindert werden, so daß Administratoren nicht unkontrolliert unautorisierte oder unbeabsichtigte Veränderungen am System vornehmen können.

Trotz des Aufteilens von Administrationstätigkeiten legt das System meist noch automatisch einen Account für einen Administrator an, der keinen Beschränkungen unterliegt, den Supervisor. Das Supervisor-Paßwort sollte, wenn überhaupt, nur einem kleinen Personenkreis bekannt sein. Es darf keinem der Subadministratoren bekannt sein, damit diese nicht auf diese Weise ihre Rechte erweitern können. Das Paßwort ist gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des Paßwortes ). Das Supervisor-Login kann durch Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch organisatorische Maßnahmen wie ein geteiltes Paßwort. Dabei muß das Paßwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei muß darauf geachtet werden, daß das Paßwort in voller Mindestlänge vom System überprüft wird.

Ergänzende Kontrollfragen:

• Welchen Personen ist das Supervisor-Paßwort bekannt?
• Sind Administrator-Rollen getrennt worden?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .