Beim Zugriff auf geschäftskritische Systeme gilt das eherne Prinzip, dass IT-Personal so viele administrative Rechte wie nötig, und nur so wenige wie möglich eingeräumt werden sollten. So weit zur Theorie, in der Praxis lassen jedoch native Server-Umgebungen nur eine wenig granulare Verwaltung der Administrationsrechte zu. Als Resultat werden häufig alle Administratoren mit sämtlichen Rechten ausgestattet.
"Dieser Ansatz ist in kritischen Umgebungen wie sie bei Finanzdienstleistern oder Gesundheitsorganisationen zu finden sind, nicht mehr zeitgemäß", erklärt Jim McGrath, Senior Director Product Management bei NetIQ. Abhilfe verspricht das von dem Unternehmen vorgestellte Tool "Change Administrator". Die Software ermöglicht es, den Zugriff auf einen Server nur für eine begrenzte Zeit und einen begrenzten Umfang zuzulassen, hinab bis auf einzelne Applikationen und Services. Die vollen Admin-Rechte werden lediglich in Ausnahmefällen erteilt - etwa, um zu verhindern, dass IT-Fachkräfte in der Ausübung ihrer Pflicht behindert werden. In diesem Fall werde jedoch sofort der Vorgesetzter alarmiert und jeder Schritt detailliert aufgezeichnet, führt McGrath aus.
Um strengen Compliance-Vorschriften Genüge zu tun, dokumentiert die Software kontinuierlich, wer zu welchem Zeitpunkt Zugriff auf welchen Server hat. Die gesammelten Informationen laufen in eine Web-basierende Management- und Reporting-Konsole. Anhand der jeweiligen Activity-Reports können Administratoren sofort Veränderungen an einzelnen Servern erkennen und diese auch Auditoren vorführen. Ein weiteres Feature ist die Möglichkeit, den Change Administrator an ein Helpdesk-System anzukoppeln. In diesem Fall werden mit der Erteilung eines speziellen Trouble-Tickets die entsprechenden Rechte freigegeben.
Die agentenfreie Software basiert auf Microsofts Terminal-Services-Technik und läuft auf einem SQL Server 2005. In der aktuellen Version werden nur Windows-Umgebungen und das Active Directory unterstützt. Eine Variante mit Support für Unix- und Linux-Server ist geplant. Der Change Administrator ist ab sofort verfügbar, der Preis beginnt bei 2000 Dollar je Server. (mb)