Fileserver Migration: Endlich Ordnung am Fileserver!

Wo eine IT-Abteilung ist, da ist Microsoft® Windows. Und wo Microsoft® Windows ist, da wird mit Berechtigungen im Active Directory, auf Fileservern und NTFS-Freigaben gearbeitet. Spätestens, wenn eine Compliance-Prüfung ins Haus steht, wird vielerorts aber deutlich: Es fehlt komplett der Überblick, wer im Unternehmen über welche effektiven Berechtigungen verfügt.

Eine Fileserver Migration scheint in dieser Situation eine gute Idee zu sein – aber nur, weil der Begriff “Migration” einen Umzug in aufgeräumte, saubere Strukturen suggeriert. Was Viele nicht wissen: Sie brauchen kein Fileserver Migration Tool, um Ordnung in Ihre Fileserver zu bringen. Wir schauen uns an, wie die Fileserver-Bereinigung mithilfe einer IAM-Software gelingt.

Fileserver Migration – was heißt das?

Wörtlich bedeutet Fileserver Migration einfach nur “Umzug“. Es werden also sämtliche freige­gebenen Ord­ner und Daten, sowie die jeweiligen Sicher­heits­ein­stellungen, vom alten File-Server an einen anderen Ort, z.B. einen neuen Server migriert. Es gibt viele Gründe, warum Unternehmen sich dazu entschließen, eine File Server Migration durchzuführen.

In manchen Fällen bietet der alte Server nicht mehr genug Platz, weil die Datenmenge exponentiell wächst. Andere IT-Abteilungen entschließen sich dazu, den physischen Server durch einen virtuellen abzulösen. Spätestens seit dem Microsoft-Schlachtruf “Cloud only!” kann ‘Fileserver Migration’ auch den Umzug nach Azure bzw. die Nutzung von Azure Files bedeuten.

Was ist ein File-Server Migration Tool?

‘File Server Migration Tool’ ist kein fix definierter Begriff. Normalerweise wird er verwendet, um Services zu beschreiben, die Unternehmen bei der Fileserver Migration unterstützen. Vor allem große Firmen und Organisationen nehmen solche Services gerne in Anspruch, weil die Anbieter die Fileserver nicht nur migrieren, sondern gleichzeitig auch bereinigen.

Denn egal, wie strukturiert die Dateiablage ursprünglich einmal eingerichtet war: Wird das AGDLP-Prinzip nicht diszipliniert und mit konsequent einheitlicher Terminologie umgesetzt, entstehen früher oder später Wildwüchse am File Server.

Anbieter von “Fileserver Migration Tools” entfernen also falsche Berechtigungsstrukturen und sorgen dafür, dass das Unternehmen nach der Migration in sauberen, sicheren Strukturen weiterarbeiten kann.

Woher kommt das Chaos am File Server?

Microsoft® empfiehlt für das Management der File Server das sog. AGDLP-Prinzip, um eine rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Das Problem ist aber, dass der Hersteller dem IT-Admin keine Tools an die Hand gibt, die es ihm ermöglichen, dieses Prinzip automatisch und damit fehlerfrei anzuwenden.

Dem Admin bleibt also nur die manuelle Umsetzung. In Unternehmen mit wenigen Mitarbeitern mag dies machbar sein, sofern der Administrator gewissenhaft arbeitet und konsequent eine einheitliche Terminologie verwendet.

Bild eines Artikels über Fileserver Migration. Büro mit vielen unordentlich herumliegenden Aktenordnern.
Chaos am Fileserver? Mit dem passenden Fileserver Migration Tool schaffen Sie Abhilfe! Foto: Maren Winter

Viele Admins verderben den Fileserver

Das Risiko für Fehler steigt mit der Anzahl der Administratoren, der zu verwaltenden Standorte und Abteilungen, sowie den Jahren, die seit der initialen Konfiguration ins Land gehen. Eine Problem, das durch manuelles Berechtigungsmanagement entsteht, sind z.B. falsch gesetzte NTFS-Berechtigungen. Zu den häufigsten Fehlern zählen:

  • Benutzer werden nicht über eine Gruppenmitgliedschaft, sondern direkt auf einem Verzeichnis berechtigt. Wird der Benutzer zu einem späteren Zeitpunkt aus dem AD gelöscht, bleibt eine verwaiste SID zurück.
  • Admin verwendet Organisationsgruppen als Berechtigungsgruppen, wodurch die Transparenz leidet und (wie oben) verwaiste SIDs entstehen können.
  • Berechtigungsgruppen werden mehrfach verwendet und/oder ineinander verschachtelt, wodurch Mitarbeiter mehr Rechte erhalten, als sie eigentlich haben sollten.
  • Die Verantwortlichen verwenden keine einheitlichen Benennungen. Falsche/missverständliche Benennungen der Berechtigungsgruppen erschweren die Zuordnung zwischen Ordner und Gruppe.
  • Die Listberechtigungen werden gar nicht oder falsch gesetzt, was dazu führt, dass Mitarbeiter entweder gar nicht bis zu allen freigegebenen Ordnern oder aber zu weit browsen können.

Falsche Strukturen führen zu Privilege Creep

Wildwüchse am File Server wie nicht eingehaltene Namenskonventionen und falsch verwendete und/oder ineinander verschachtelte Berechtigungsgruppen führen nicht nur zu mangelnder Transparenz, sondern sie können auch die Sicherheit Ihrer Daten gefährden. Dies ist z.B. dann der Fall, wenn Benutzer aufgrund solcher Fehler mehr Berechtigungen erhalten, als sie eigentlich haben sollten: man spricht auch von Privilege Creep.

Dieses Problem wird noch verstärkt, wenn in Unternehmen die Praxis des sog. Referenz Users herrscht: Anstatt einen neuen Mitarbeiter mit seinen benötigten Zugriffsberechtigungen im Active Directory und allen anderen Verzeichnissen anzulegen, kopieren viele Admins einfach einen bereits vorhandenen Benutzer mit dem gleichen oder einem ähnlichen Aufgabenbereich.

Verfügte der Referenz-User, z.B. aufgrund von mehrfach verwendeten und/oder ineinander verschachtelten Berechtigungsgruppen, bereits über zu viele Rechte, übertragen sich diese auch auf den neuen Mitarbeiter. Je länger die Praxis des Referenzbenutzers eingesetzt wird, desto gefährlicher wird die Berechtigungslage.

Überprivilegierte User sind einer der häufigsten Fehler, die es beim Thema der Active Directory Sicherheit zu vermeiden gilt.

Falsche Zugriffsrechte erschweren Datenschutz

Privilege Creep ist zunächst einmal natürlich ein Problem für den internen Datenschutz. Wenn nämlich niemand mehr nachvollziehen kann, welcher Mitarbeiter auf welche Ressourcen und Daten zugreifen kann, erhöht sich das Risiko für Datendiebstahl oder -missbrauch durch Mitarbeiter massiv.

Auch der Datenschutz nach außen ist in einer solchen Situation nicht mehr gewährsleitet. Je mehr Berechtigungen ein Benutzer hat, desto katastrophalere Folgen können externe Angriffe mit Mal- oder Ransomware bzw. Phishing-Mails haben.

WICHTIG! Unternehmen, an deren Fileservern pures Chaos herrscht, haben nicht einmal die Möglichkeit, sich mithilfe einer Cyberversicherung vor den Folgen einer Hacker-Attacke zu schützen.

Voraussetzung für eine Cyberversicherung ist nämlich, dass das Unternehmen ein Mindestmaß an IT-Security aufweist. Und dazu gehört ein Konzept, das die Zugriffe auf sämtliche Ressourcen im Unternehmen zuverlässig und nachvollziehbar regelt.

Fileserver bereinigen, Sicherheitslücken schließen

Wer die Strukturen am File Server bereinigen und gefährliche Sicherheitslücken schließen möchte, braucht keine Fileserver Migration, sondern eine Software, die das Management der Fileserver-Berechtigungen automatisiert und nach Best Practices aufbaut.

Natürlich können Sie Ihre Fileserver auch manuell bereinigen bzw. einen entsprechenden Service in Auftrag geben und die Strukturen korrekt aufbauen lassen. Dann gibt es allerdings keine Garantie, dass Sie nicht in zwei Jahren wieder vor dem gleichen Problem stehen.

Stattdessen sollten Sie sich ERST für eine Software entscheiden, die Ihr Berechtigungsmanagement automatisiert, und danach (bei Bedarf) die alten Strukturen nachziehen. Dadurch stellen Sie sicher, dass

  • neue Zugriffsberechtigungen ausschließlich nach tatsächlichem Bedarf und Compliance-gerecht vergeben werden.

  • keine weiteren Wildwüchse am Fileserver entstehen.

  • sie die bereinigten Strukturen nahtlos in die neue Software migrieren können.

  • keine (vermeintlich) wichtigeren Projekte und/oder Budgetfragen den Einsatz der neuen Software/des neuen Tools verzögern, wodurch der Übergang schwieriger wird und wieder neue Sicherheitslücken entstehen können.

Fileserver-Bereinigung mit tenfold

tenfold ist eine Software für Identity und Access Management, die eine automatisierte und policy-konforme Verwaltung sämtlicher Berechtigungen in Ihrem Unternehmensnetzwerk und in der Cloud garantiert. Dazu zählen nicht nur die Berechtigungen am Fileserver, sondern auch jene im Active Directory, Azure AD, Exchange (Online) und Sharepoint (Online).

Damit löst tenfold das Problem der manuellen Berechtigungsvergabe und bringt Ordnung in Ihre Fileserver. Zukünftig müssen der IT-Admin und die Benutzer aus den Geschäftsbereichen lediglich die gewünschte Berechtigungsstufe einstellen und tenfold realisiert die AGDLP-konforme Zugriffssteuerung in der Domain zu 100 Prozent automatisiert.

Reporting über Ist-Zustand und effektive Berechtigungen

Der aktuelle Zustand Ihrer File-Server hat keinen Einfluss auf die Installation von tenfold. Nach der Konfiguration baut die Software nicht nur alle neuen Strukturen nach Best Practices auf, sondern Sie erhalten auch übersichtliche Reports darüber, wie die Strukturen und effektiven Rechte am Fileserver aktuell aussehen.

Zusätzlich informiert Sie das tenfold Dashboard über bestehende Probleme auf Ihrem Fileserver und Active Directory, etwa leere AD Gruppen, aufgebrochene Vererbung oder Verzeichnisse mit direkt berechtigten Benutzern. tenfold kann die meisten dieser Fehler automatisch beheben.

Zwar kann tenfold die alten, historisch gewachsenen Strukturen ihrer Organisation selbständig nicht völlig bereinigen, aber es unterstützt Sie bei dem manuellen “glattziehen” dieser Altlasten. Das Problem der überflüssigen Berechtigungen erledigt tenfold etwa von selbst, da diese den jeweils verantwortlichen Data Ownern regelmäßig zur Rezertifizierung vorgelegt und spätestens dann entfernt werden.

Für den Fall, dass die alten Strukturen zu unübersichtlich sind und/oder Sie keine Zeit haben, das alte Chaos mithilfe der tenfold-Reports manuell zu beseitigen, gibt es ein Add-on, das Sie bei der Fileserver-Bereinigung bzw. der Fileserver Migration unterstützt.

tenfold als Fileserver Migration Tool

Die Funktion der Fileserver Bereinigung bzw. Fileserver Migration wird mittels eines Add-on realisiert, das zusätzlich zu tenfold lizenziert werden kann. tenfold kann für tausende User auf zahlreichen Verzeichnissen hunderte Berechtigungsgruppen und Listenberechtigungen im Active Directory erzeugen. Anschließend werden diese miteinander verknüpft und die ACLs dementsprechend neu aufgebaut.

Das Fileserver-Migration-Tool analysiert Ihre aktuelle Ordner- und Rechtestruktur und fertigt Reports über sämtliche Probleme (z.B. zu komplexe Verzeichnisstrukturen, falsche Berechtigungen, verwaiste AD-Objekte oder rekursive Gruppenmitgliedschaften) an. Anschließend beseitigt es diese Probleme und bereinigt die Strukturen zuverlässig.

Bild eines Artikels über Fileserver Migration. IT-Mitarbeiter, der Code auf dem Bildschirm beide Mittelfinger zeigt.
Mit einer IAM-Software sagen Sie unübersichtlichen Strukturen am Fileserver den Kampf an! Foto: (c) pressmaster

Fileserver migrieren

Durch die Installation von tenfold inklusive Add-on können Sie nicht nur neue Berechtigungsstrukturen implementieren. Im Bedarfsfall unterstützt die Software Sie auch bei der Fileserver Migration.

Wie läuft die Fileserver Migration/Bereinigung mit tenfold ab?

  1. tenfold inklusive Fileserver-Migration-Add-on lizensieren
  2. Installation und Konfiguration der Software
  3. Add-on analysiert alte Berechtigungsstrukturen, erstellt übersichtliche Reports und bereinigt die alten Strukturen.
  4. tenfold erzeugt eine Compliance-konforme Berechtigungsstruktur über alle Ebenen.
  5. Sie können Ihre Fileserver mit sauberen Strukturen und automatisierter Berechtigungsverwaltung migrieren.

Warum tenfold für die Fileserver Migration?

tenfold ist Access Management speziell für den Mittelstand. Wir verfolgen einen pragmatischen Ansatz, der Komplexität in Benutzerfreundlichkeit übersetzt. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.

Indem Sie Ihre Fileserver-Berechtigungen mit tenfold managen, erfüllen Sie gesetzliche und brancheninterne Compliance-Richtlinien wie die EU-DSGVO, den BSI-IT-Grundschutz, die BSI-Kritisverordnung, sowie TISAX (Automobilbranche) oder MaRisk/BAIT (Finanzbranche).

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.