Fileserver Migration: Endlich Ordnung am Fileserver!
Wo eine IT-Abteilung ist, da istย Microsoftยฎย Windows.ย Und wo Microsoftยฎ Windows ist, da wird mitย Berechtigungenย imย Active Directory, auf Fileservern und NTFS-Freigabenย gearbeitet. Spรคtestens, wenn eineย Compliance-Prรผfungย ins Haus steht, wird vielerorts aber deutlich: Esย fehlt komplett der รberblick, wer im Unternehmen รผber welche effektiven Berechtigungen verfรผgt.
Eineย Fileserver Migrationย scheint in dieser Situation eine gute Idee zu sein โ aber nur, weil der Begriff โMigrationโ einenย Umzug in aufgerรคumte, saubere Strukturenย suggeriert. Was Viele nicht wissen: Sie brauchen kein Fileserver Migration Tool, umย Ordnung in Ihre Fileserverย zu bringen. Wir schauen uns an, wie die Fileserver-Bereinigung mithilfe einerย IAM-Softwareย gelingt.
Fileserver Migration โ was heiรt das?
Wรถrtlich bedeutet Fileserver Migration einfach nur โUmzugโ. Es werden also sรคmtliche freigeยญgebenen Ordยญner und Daten, sowie die jeweiligen Sicherยญheitsยญeinยญstellungen, vom alten File-Server an einen anderen Ort, z.B. einen neuen Server migriert. Es gibt viele Grรผnde, warum Unternehmen sich dazu entschlieรen, eine File Server Migration durchzufรผhren.
In manchen Fรคllen bietet der alte Server nicht mehr genug Platz, weil die Datenmenge exponentiell wรคchst. Andere IT-Abteilungen entschlieรen sich dazu, den physischen Server durch einen virtuellen abzulรถsen. Spรคtestens seit dem Microsoft-Schlachtruf โCloud only!โ kann โFileserver Migrationโ auch den Umzug nach Azure bzw. die Nutzung von Azure Files bedeuten.
Was ist ein File-Server Migration Tool?
โFile Server Migration Toolโ ist kein fix definierter Begriff. Normalerweise wird er verwendet, um Services zu beschreiben, die Unternehmen bei der Fileserver Migration unterstรผtzen. Vor allem groรe Firmen und Organisationen nehmen solche Services gerne in Anspruch, weil die Anbieter die Fileserver nicht nur migrieren, sondern gleichzeitig auch bereinigen.
Denn egal, wie strukturiert die Dateiablage ursprรผnglich einmal eingerichtet war: Wird das AGDLP-Prinzip nicht diszipliniert und mit konsequent einheitlicher Terminologie umgesetzt, entstehen frรผher oder spรคter Wildwรผchse am File Server.
Anbieter von โFileserver Migration Toolsโ entfernen also falsche Berechtigungsstrukturen und sorgen dafรผr, dass das Unternehmen nach der Migration in sauberen, sicheren Strukturen weiterarbeiten kann.
Woher kommt das Chaos am File Server?
Microsoftยฎ empfiehlt fรผr das Management der File Server das sog. AGDLP-Prinzip, um eine rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Das Problem ist aber, dass der Hersteller dem IT-Admin keine Tools an die Hand gibt, die es ihm ermรถglichen, dieses Prinzip automatisch und damit fehlerfrei anzuwenden.
Dem Admin bleibt also nur die manuelle Umsetzung. In Unternehmen mit wenigen Mitarbeitern mag dies machbar sein, sofern der Administrator gewissenhaft arbeitet und konsequent eine einheitliche Terminologie verwendet.
Viele Admins verderben den Fileserver
Das Risiko fรผr Fehler steigt mit der Anzahl der Administratoren, der zu verwaltenden Standorte und Abteilungen, sowie den Jahren, die seit der initialen Konfiguration ins Land gehen. Eine Problem, das durch manuelles Berechtigungsmanagement entsteht, sind z.B. falsch gesetzte NTFS-Berechtigungen. Zu den hรคufigsten Fehlern zรคhlen:
- Benutzer werden nicht รผber eine Gruppenmitgliedschaft, sondern direkt auf einem Verzeichnis berechtigt. Wird der Benutzer zu einem spรคteren Zeitpunkt aus dem AD gelรถscht, bleibt eine verwaiste SID zurรผck.
- Admin verwendet Organisationsgruppen als Berechtigungsgruppen, wodurch die Transparenz leidet und (wie oben) verwaiste SIDs entstehen kรถnnen.
- Berechtigungsgruppen werden mehrfach verwendet und/oder ineinander verschachtelt, wodurch Mitarbeiter mehr Rechte erhalten, als sie eigentlich haben sollten.
- Die Verantwortlichen verwenden keine einheitlichen Benennungen. Falsche/missverstรคndliche Benennungen der Berechtigungsgruppen erschweren die Zuordnung zwischen Ordner und Gruppe.
- Die Listberechtigungen werden gar nicht oder falsch gesetzt, was dazu fรผhrt, dass Mitarbeiter entweder gar nicht bis zu allen freigegebenen Ordnern oder aber zu weit browsen kรถnnen.
Falsche Strukturen fรผhren zu Privilege Creep
Wildwรผchse am File Server wie nicht eingehaltene Namenskonventionen und falsch verwendete und/oder ineinander verschachtelte Berechtigungsgruppen fรผhren nicht nur zu mangelnder Transparenz, sondern sie kรถnnen auch die Sicherheit Ihrer Daten gefรคhrden. Dies ist z.B. dann der Fall, wenn Benutzer aufgrund solcher Fehler mehr Berechtigungen erhalten, als sie eigentlich haben sollten: man spricht auch von Privilege Creep.
Dieses Problem wird noch verstรคrkt, wenn in Unternehmen die Praxis des sog. Referenz Users herrscht: Anstatt einen neuen Mitarbeiter mit seinen benรถtigten Zugriffsberechtigungen im Active Directory und allen anderen Verzeichnissen anzulegen, kopieren viele Admins einfach einen bereits vorhandenen Benutzer mit dem gleichen oder einem รคhnlichen Aufgabenbereich.
Verfรผgte der Referenz-User, z.B. aufgrund von mehrfach verwendeten und/oder ineinander verschachtelten Berechtigungsgruppen, bereits รผber zu viele Rechte, รผbertragen sich diese auch auf den neuen Mitarbeiter. Je lรคnger die Praxis des Referenzbenutzers eingesetzt wird, desto gefรคhrlicher wird die Berechtigungslage.
รberprivilegierte User sind einer der hรคufigsten Fehler, die es beim Thema der Active Directory Sicherheit zu vermeiden gilt.
Falsche Zugriffsrechte erschweren Datenschutz
Privilege Creep ist zunรคchst einmal natรผrlich ein Problem fรผr den internen Datenschutz. Wenn nรคmlich niemand mehr nachvollziehen kann, welcher Mitarbeiter auf welche Ressourcen und Daten zugreifen kann, erhรถht sich das Risiko fรผr Datendiebstahl oder -missbrauch durch Mitarbeiter massiv.
Auch der Datenschutz nach auรen ist in einer solchen Situation nicht mehr gewรคhrsleitet. Je mehr Berechtigungen ein Benutzer hat, desto katastrophalere Folgen kรถnnen externe Angriffe mit Mal- oder Ransomware bzw. Phishing-Mails haben.
WICHTIG! Unternehmen, an deren Fileservern pures Chaos herrscht, haben nicht einmal die Mรถglichkeit, sich mithilfe einer Cyberversicherung vor den Folgen einer Hacker-Attacke zu schรผtzen.
Voraussetzung fรผr eine Cyberversicherung ist nรคmlich, dass das Unternehmen ein Mindestmaร an IT-Security aufweist. Und dazu gehรถrt ein Konzept, das die Zugriffe auf sรคmtliche Ressourcen im Unternehmen zuverlรคssig und nachvollziehbar regelt.
Fileserver bereinigen, Sicherheitslรผcken schlieรen
Wer die Strukturen am File Server bereinigen und gefรคhrliche Sicherheitslรผcken schlieรen mรถchte, braucht keine Fileserver Migration, sondern eine Software, die das Management der Fileserver-Berechtigungen automatisiert und nach Best Practices aufbaut.
Natรผrlich kรถnnen Sie Ihre Fileserver auch manuell bereinigen bzw. einen entsprechenden Service in Auftrag geben und die Strukturen korrekt aufbauen lassen. Dann gibt es allerdings keine Garantie, dass Sie nicht in zwei Jahren wieder vor dem gleichen Problem stehen.
Stattdessen sollten Sie sich ERST fรผr eine Software entscheiden, die Ihr Berechtigungsmanagement automatisiert, und danach (bei Bedarf) die alten Strukturen nachziehen. Dadurch stellen Sie sicher, dass
neue Zugriffsberechtigungen ausschlieรlichย nach tatsรคchlichem Bedarfย und Compliance-gerecht vergeben werden.
keine weiteren Wildwรผchseย am Fileserver entstehen.
sie die bereinigten Strukturenย nahtlosย in die neue Softwareย migrierenย kรถnnen.
keine (vermeintlich) wichtigeren Projekte und/oder Budgetfragen denย Einsatzย der neuen Software/des neuen Toolsย verzรถgern, wodurch derย รbergang schwierigerย wird und wiederย neue Sicherheitslรผckenย entstehen kรถnnen.
Fileserver-Bereinigung mitย tenfold
tenfold ist eine Software fรผr Identity und Access Management, die eine automatisierte und policy-konforme Verwaltung sรคmtlicher Berechtigungen in Ihrem Unternehmensnetzwerk und in der Cloud garantiert. Dazu zรคhlen nicht nur die Berechtigungen am Fileserver, sondern auch jene im Active Directory, Azure AD, Exchange (Online) und Sharepoint (Online).
Damit lรถst tenfold das Problem der manuellen Berechtigungsvergabe und bringt Ordnung in Ihre Fileserver. Zukรผnftig mรผssen der IT-Admin und die Benutzer aus den Geschรคftsbereichen lediglich die gewรผnschte Berechtigungsstufe einstellen und tenfold realisiert die AGDLP-konforme Zugriffssteuerung in der Domain zu 100 Prozent automatisiert.
Reporting รผber Ist-Zustand und effektive Berechtigungen
Der aktuelle Zustand Ihrer File-Server hat keinen Einfluss auf die Installation von tenfold. Nach der Konfiguration baut die Software nicht nur alle neuen Strukturen nach Best Practices auf, sondern Sie erhalten auch รผbersichtliche Reports darรผber, wie die Strukturen und effektiven Rechte am Fileserver aktuell aussehen.
Zusรคtzlich informiert Sie das tenfold Dashboard รผber bestehende Probleme auf Ihrem Fileserver und Active Directory, etwa leere AD Gruppen, aufgebrochene Vererbung oder Verzeichnisse mit direkt berechtigten Benutzern. tenfold kann die meisten dieser Fehler automatisch beheben.
Zwar kann tenfold die alten, historisch gewachsenen Strukturen ihrer Organisation selbstรคndig nicht vรถllig bereinigen, aber es unterstรผtzt Sie bei dem manuellen โglattziehenโ dieser Altlasten. Das Problem der รผberflรผssigen Berechtigungen erledigt tenfold etwa von selbst, da diese den jeweils verantwortlichen Data Ownern regelmรครig zur Rezertifizierung vorgelegt und spรคtestens dann entfernt werden.
Fรผr den Fall, dass die alten Strukturen zu unรผbersichtlich sind und/oder Sie keine Zeit haben, das alte Chaos mithilfe der tenfold-Reports manuell zu beseitigen, gibt es ein Add-on, das Sie bei der Fileserver-Bereinigung bzw. der Fileserver Migration unterstรผtzt.
tenfoldย als Fileserver Migration Tool
Die Funktion der Fileserver Bereinigung bzw. Fileserver Migration wird mittels eines Add-on realisiert, das zusรคtzlich zu tenfold lizenziert werden kann. tenfold kann fรผr tausende User auf zahlreichen Verzeichnissen hunderte Berechtigungsgruppen und Listenberechtigungen im Active Directory erzeugen. Anschlieรend werden diese miteinander verknรผpft und die ACLs dementsprechend neu aufgebaut.
Das Fileserver-Migration-Tool analysiert Ihre aktuelle Ordner- und Rechtestruktur und fertigt Reports รผber sรคmtliche Probleme (z.B. zu komplexe Verzeichnisstrukturen, falsche Berechtigungen, verwaiste AD-Objekte oder rekursive Gruppenmitgliedschaften) an. Anschlieรend beseitigt es diese Probleme und bereinigt die Strukturen zuverlรคssig.
Fileserver migrieren
Durch die Installation von tenfold inklusive Add-on kรถnnen Sie nicht nur neue Berechtigungsstrukturen implementieren. Im Bedarfsfall unterstรผtzt die Software Sie auch bei der Fileserver Migration.
Wie lรคuft die Fileserver Migration/Bereinigung mitย tenfoldย ab?
- tenfold inklusive Fileserver-Migration-Add-on lizensieren
- Installation und Konfiguration der Software
- Add-on analysiert alte Berechtigungsstrukturen, erstellt รผbersichtliche Reports und bereinigt die alten Strukturen.
- tenfold erzeugt eine Compliance-konforme Berechtigungsstruktur รผber alle Ebenen.
- Sie kรถnnen Ihre Fileserver mit sauberen Strukturen und automatisierter Berechtigungsverwaltung migrieren.
Warum tenfold fรผr die Fileserver Migration?
tenfold ist Access Management speziell fรผr den Mittelstand. Wir verfolgen einen pragmatischen Ansatz, der Komplexitรคt in Benutzerfreundlichkeit รผbersetzt. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten kรถnnen.
Indem Sie Ihre Fileserver-Berechtigungen mit tenfold managen, erfรผllen Sie gesetzliche und brancheninterne Compliance-Richtlinien wie die EU-DSGVO, den BSI-IT-Grundschutz, die BSI-Kritisverordnung, sowie TISAX (Automobilbranche) oder MaRisk/BAIT (Finanzbranche).
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.