Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SOx-Prüfer bemängelt weitreichende Admin-Rechte der IT-Service Mitarbeiter!

Mitglied: lupatz

lupatz (Level 1) - Jetzt verbinden

16.11.2006, aktualisiert 07.01.2009, 9249 Aufrufe, 1 Kommentar

STICHWORT: Missbrauch von Administratorrechten

Nach dem Audit des SOx-Prüfers müssen wir unser Berechtigungskonzept ändern/überdenken, da unsere IT-Service Mitarbeiter (Helpdesk & Operating) über Domänen-Admin Rechte verfügen.

Moin!

Wie realisieren das andere Firmen, die das gleiche Problem haben?

Ohne Admin-Rechte wäre das Arbeiten im IT-Service laut Aussage des Abteilungsleiters, sehr viel komplizierter. Klar, dass er das sagt, denn im normalen Benutzerkontext zu arbeiten und sich bei Bedarf immer umzumelden ist ja auch zugegeben unbequem und frisst unnötig Zeit.
Der Standard, nach dem wir uns zertifizieren lassen MÜSSEN (SOx-COBIT und später auch noch ISMS) sagt aber, dass das so nicht die Regel sein soll. Auch die IT-Mitarbeiter sollen nicht domänenweit mit vollen Rechten arbeiten, da ja versehentlich auch Schaden angerichtet werden kann. (Das ist jetzt eine vereinfachte Version)
Wie kann ich das unkompliziert umsetzen (lassen), ohne den IT-Service Bereich zu stark zu beschneiden. Wir wollen ja alle schließlich noch arbeiten können.

Wir fahren eine Windows 2000 Domäne mit ca. 400 Usern in der Hauptverwaltung und weiteren 800, die in mehreren Niederlassungen über Deutschland verteilt sitzen.

Wichtig ist, dass wir steuern können, dass der "normale" IT-Service Mitarbeiter nicht auf ALLE Server zugreifen kann.
Aus SOx-Sicht ist alles besonders schützenswert, was finanzgelagert ist, wie z.B. unser SQL-Cluster, auf dem einige DBs liegen, die jahresabschlussrelevant sind.
In der Praxis sieht es bei uns auch meistens so aus, dass gewisse Mitarbeiter auch nur gewisse Anwendungen/Dienste/Server betreuen, und nicht auf die ganze Welt zugreifen müssen. Aber andererseits ist es so, dass im Krankheitsfalle, in der Urlaubszeit oder wenn Kollegen in einer Schulung oder Besprechung sitzen schnelle Hilfe der verbleibenden Personen gefordert wird.

Gibt es da best practices oder irgendwelche Beispiele, wie man ein klassisches Berechtigungskonzept anpassen kann?
Wie schafft man den Spagat zwischen sinnvollen Sicherheitsmechanismen im Rahmen der compliance (speziell im Bereich der Admins) und übertriebenem Bürokratismus?

Gruß
Stefan
Mitglied: saerdna
16.11.2006 um 14:31 Uhr
Hallo, unser Ansatz ist das die zugriffe auf die "Finanzrelevanten" systeme stark eingeschränkt wurden und zwar nur die (da bleibt dann nur SAP bei uns als Finance system) Alles andere kann bleiben wie es ist da es nicht SOX relevant ist.
Im Finance system immer alles im 4 Augen prinzip machen mit Log und so.......
In SAP selbst für alle user die GWR´s unter die Lupe nehmen.
Und die Rechte sollte sich natürlich kein Admin selbst geben können um auf die Finance sys zuzugreifen. Komplett eigene Administration ist hier angesagt (ist aber meistens UNIX gruppe und damit eh nicht das selbe wie die NT Admins.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
IT-Admin Software zur Verwaltung
gelöst Frage von PharITNetzwerke6 Kommentare

Guten Morgen allerseits (ich hoffe, den lasst Ihr mir um viertel nach elf noch durchgehen ;-) ), Ich wollte ...

Off Topic
IT Admin kleines Unternehmen (40 MA)
gelöst Frage von Troll123Off Topic11 Kommentare

Hallo Leute, ich bin zur Zeit als Administrator in einem öffentlichen Amt zuständig. Meine Aufgaben dort sind die Serverbetreuung ...

Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Sicherheit

Der IT Admin als Innentäter - wenn der Admin die Firma zerstören will

Information von CriemoSicherheit15 Kommentare

Hallo Zusammen, habe einen sehr interessanten Artikel gelesen, der denke ich uns alle angeht. Der Administrator als Innentäter Sagt ...

Neue Wissensbeiträge
Internet

Verlag protestiert gegen Artikel 13 (jetzt Artikel 17) der geplanten EU-Verordnung

Information von Dilbert-MD vor 40 MinutenInternet

Leider etwas spät, aber immerhin hat auch der heise-Verlag eingesehen, dass die Umsetzung der Urheberrechtsreform - so wie sie ...

Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz4 Kommentare

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 4 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik12 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Windows 10
Windows 10 PC kein Ping möglich von anderen PCs
Frage von babylon05Windows 1010 Kommentare

Hallo, ich habe 2 neue PC's in einer Windows 2008 Domän. Diese haben Windows 10. Die anderen PC's sind ...