Einführung der Privilegienerweiterung in Jamf Connect

Erfahren Sie, wie Privilegienerweiterung, eine neue Funktion von Jamf Connect, Unternehmen dabei hilft, die Bedürfnisse des Endbenutzers mit der administrativen Aufsicht in Einklang zu bringen, ohne die Sicherheit von Geräten oder Anmeldeinformationen zu gefährden, und es IT- und Sicherheitsteams ermöglicht, „intelligenter und nichthärter zu arbeiten“.

March 18 2024 Von

Sean Rabbitt

Das macOS von Apple ist eines der fortschrittlichsten und sichersten Betriebssysteme auf dem Markt. Aber nichts kann den 10.000 Tonnen schweren Güterzug, der als „Benutzerfehler“ bekannt ist, aufhalten. Wenn Sie einem Benutzer/einer Benutzerin administrative Rechte gewähren, kann Ihre IT-Abteilung schnell einen schlechten Tag haben.

Jamf Connect bietet eine einfache Möglichkeit, dass ein Benutzer/eine Benutzerin seine täglichen Aufgaben als Standardbenutzer*innen erledigen kann, aber dennoch die Freiheit hat, bei Bedarf für gelegentliche Aufgaben zum Administrator/zur Administratorin zu werden. Im Gegensatz zu anderen Lösungen auf dem Markt ermöglicht Jamf Connect es Unternehmen, dies direkt über ihren Cloud Identitätsanbieter (IdP) zu verwalten, wobei die Leistungsfähigkeit der Identität von macOS zur Verwaltung von Berechtigungen genutzt wird. In Kombination mit anderen Lösungen wie Jamf Protect können Unternehmen im Falle eines Sicherheitsereignisses unerwartetes bösartiges Verhalten melden und Elevation Requests in ihrem SIEM protokollieren.

Warum ist Privilegieneskalation wichtig?

macOS legt die Berechtigungen für Benutzer seines UNIX-basierten Systems ziemlich breit an. Ein Benutzer/eine Benutzerin ist entweder:

  • Standard: Keine Berechtigung zum Installieren von Apps, Ändern von Systemeinstellungen oder Lesen/Schreiben/Ausführen von Apps, die nicht dem Benutzer/der Benutzerin gehören.
  • Administrator*in: Kann so gut wie jede Datei ändern, jede Einstellung ändern oder jede App ausführen/installieren - die einzige Ausnahme sind Dateien und Apps, die durch den Systemintegritätsschutz (SIP) geschützt sind.

Ein Administrator/eine Administratorin ist nicht der root Benutzer/die root Benutzerin auf einem traditionellen UNIX-System; dieses Recht ist eingeschränkt, da dieses Benutzerkonto standardmäßig deaktiviert ist. Die Fähigkeit, ein Administrator/eine Administratorin zu sein, ist jedoch manchmal eine Notwendigkeit, sei es für so einfache Dinge wie die Installation eines Gerätetreibers für einen neuen Drucker oder für so komplexe Dinge wie die Entwicklung neuer Software und die Ausführung von Builds in Xcode.

macOS macht die Dinge noch komplizierter, indem es den ersten Benutzer/die erste Benutzerin, der/die auf einem Gerät erstellt wird, standardmäßig zum Administrator/zur Administratorin macht, es sei denn, ein MDM-Profil weist ihn/sie an, seine Rechte auf ein Standardkonto zu beschränken. Ein Unternehmen mit einer MDM-Lösung kann schließlich Änderungen vornehmen und Apps im Namen des Benutzers/der Benutzerin installieren.

Diese „Standard-Administration“ verstößt gegen die Best Practices des CIS Benchmark Level 1 und die moderaten Richtlinien der NIST 800-53. In den Leitlinien wird stattdessen die komplexere Lösung eines separaten Administratorkontos empfohlen, um systemweite Einstellungen zu ändern.

Wie sind Organisationen in der Vergangenheit mit diesem Thema umgegangen?

Für das Sicherheitsteam gibt es nur wenige Möglichkeiten, die alle schlecht zu sein scheinen:

Geben Sie niemandem administrative Rechte

  • Die Benutzer*innen rufen den Helpdesk an, wenn sie einen Drucker oder einen Gerätetreiber installieren müssen. Dies ist besonders schwierig in entfernten Arbeitsumgebungen, in denen die IT-Abteilung möglicherweise nicht für jeden Treiber für alle Druckermodelle, die in Büro- oder Heimumgebungen verwendet werden, eine Richtlinie erstellt hat.
  • Blockieren Sie die Produktivität Ihres Teams, wenn es eine einmalige Besprechungssoftware für eine Videokonferenz mit einem Kunden/einer Kundin benötigt.
  • Sie hindern Entwickler*innen daran, ihre Aufgaben zu erfüllen und Apps für das Unternehmen zu entwickeln.

Jeder Person administrative Rechte geben

  • Der wilde Westen der Flottenverwaltung - alles geht!
  • Malware und Phishing-Apps fragen nach den Anmeldedaten des Benutzers/der Benutzerin und installieren alles, was der/ ahnungslose Benutzer*in anklickt.

Um ein Gleichgewicht zwischen diesen beiden Extremen zu schaffen - die Benutzer*innen zu befähigen, aber den versehentlichen Missbrauch von Administratorrechten zu verhindern - haben sich Unternehmen auf Lösungen von Drittanbietern verlassen, die die Benutzerrechte bei Bedarf erhöhen. Die auf dem Markt erhältlichen Lösungen reichen von einfachen Lösungen wie der Ausführung eines Skripts in Jamf Self Service bis hin zu hochgradig granularen und sehr teuren Lösungen wie Privileged Access Management (PAM) für eine Flotte.

Was führt Jamf Connect mit der Erhöhung der Berechtigungen ein?

Jamf Connect bietet eine einfache Möglichkeit, Standardbenutzer*innen in der Apple Computerflotte Ihres Unternehmens zu verwalten. Zusätzlich zur Verwaltung von Standard- und Admin-Rechten auf dem macOS Anmeldebildschirm ermöglicht die Privilegienerweiterung in der Jamf Connect Menüleistenanwendung einem Benutzer/einer Benutzerin, administrative Rechte anzufordern. Der Standardbenutzer/die Standardbenutzerin erhält dann das Recht für eine vom Administrator/von der Administratorin festgelegte Zeitspanne, bevor er nach Ablauf dieser Zeit zuverlässig zum Standardbenutzer zurückkehrt.

Jamf Connect können Administrator*innen

  • Die Dauer der Anhebung - bis zu einer Minute festlegen.
  • Die Erhöhung der Berechtigungen auf eine bestimmte Gruppe von Benutzer*innen beschränken, wie in Ihrem IdP festgelegt.
  • Die Anzahl, wie oft ein Benutzer/eine Benutzerin innerhalb eines Kalendermonats eine Berechtigungserhöhung beantragen kann begrenzen.
  • Von den Benutzer*innen verlangen sich bei Ihrem IdP zu authentifizieren, bevor dies erhöht wird.
  • Von den Benutzer*innen verlangen, dass sie einen in den Systemprotokollen festgehaltenen Grund für den Antrag auf Erhöhung angeben.
  • Einen Countdown-Timers in der Menüleiste für den Ablauf der Erhöhung anzeigen.
  • Benutzerprivilegien mit einer Befehlszeilenschnittstelle (für Skripting oder als Teil einer integrierten Jamf Pro Richtlinie) Erhöhen und Herabstufen.

Durch die Kombination von Identität und Berechtigungserweiterung werden erweiterte Sicherheitsfunktionen eingeführt, wie z. B. die Beschränkung des Zugriffs auf bestimmte Gruppen oder die Anforderung einer Authentifizierung, bevor eine Berechtigungserweiterung gewährt wird.

Wie stärkt Jamf Connect die Sicherheitsbefugnisse?

Einhaltung der rollenbasierten Zugriffskontrolle (RBAC)

Ein Benutzer/eine Benutzerin beantragt beim Helpdesk das Recht, einen Gerätetreiber zu installieren. Hinzufügen zu einer bestimmten Sicherheitsgruppe mit „erhöhten Rechten“ für einen Tag und anschließendes Entfernen aus der Gruppe, um ihnen das Recht zu entziehen, die Berechtigungen in Zukunft zu erhöhen.

Gewährung unterschiedlicher Laufzeitens an verschiedene Gruppen

Entwickler*innen benötigen möglicherweise eine längere Zeit mit erhöhten Berechtigungen, um komplexe Aufgaben wie die Erstellung von Produkten durchzuführen, während ein normaler Benutzer/eine normale Benutzerin vielleicht nur fünf Minuten braucht, um eine geschützte Einstellung zu ändern.

Verhindern, dass Benutzer*innen mit ungültigen Anmeldedaten höhere Berechtigungen erhalten

Wenn die lokalen Anmeldeinformationen eines Benutzers/einer Benutzerin kompromittiert werden, kann ein Administrator/eine Administratorin das Kennwort zurücksetzen oder das Konto vorübergehend deaktivieren, um zu verhindern, dass der böswillige Benutzer/die böswillige Benutzerin die Kompromittierung weiter ausnutzt.

Jamf Connect + Jamf Protect

Die Jamf Connect Berechtigungserweiterung wurde so konzipiert, dass die Ereignisse der Erweiterung und Herabstufung in den Unified Logs des macOS Geräts protokolliert werden. IT- und Sicherheitsteams können sich einen Überblick über Erhöhungsereignisse verschaffen, indem sie die Protokolle der Geräte in der einheitlichen Protokollfilterfunktion von Jamf Protect anzeigen und diese kritischen Ereignisse an ein SIEM ihrer Wahl senden. In Verbindung mit einer Jamf Protect Telemetriekonfiguration werden Benutzer*innen, die nachweislich in der Lage sind, mit administrativen Rechten umzugehen, die für ihre Arbeit erforderlichen Tools zur Verfügung gestellt, während sie gleichzeitig eine forensische Analyse durch IT- und Sicherheitsteams im Falle von... unglücklichen Ereignissen ermöglichen.

Kein Nutzer/keine Nutzerin ist perfekt.

Bewährte Praktiken raten dazu, Benutzer*innen, die nicht für ihre Handlungen zur Rechenschaft gezogen werden können, keinen Zugang zu den Werkzeugen und Diensten zu gewähren, die durch die Erhöhung der Berechtigungen geschützt sind.

In Kombination mit Jamf Protect wird das Melden von bösartigem Verhalten, das dem MITRE ATT&CK-Framework entspricht, zum Kinderspiel. Sogar das Verhindern bekannter Verhaltensweisen für den Fall, dass ein Benutzer/eine Benutzerin versehentlich auf den Malware-Installer klickt, ermöglicht es den Administrator*innen, die Risiken für die gesamte Apple Flotte zu minimieren.

Sind Sie neugierig, wie die Erhöhung von Berechtigungen die Arbeitsabläufe Ihrer Benutzerproduktivität optimieren kann?

Setzen Sie Jamf Connect risikofrei ein und beginnen Sie noch heute mit der Vereinfachung Ihrer Apple Flottenanfragen.