Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
RBAC vs ABAC: Welches soll man wählen?

RBAC vs ABAC: Welches soll man wählen?

Feb 19, 2024

Die Kontrolle des Zugriffs auf Daten, Anwendungen und andere IT-Ressourcen einer Organisation ist eine lebenswichtige und komplexe Aufgabe. Es ist unerlässlich sicherzustellen, dass jeder Benutzer auf die Ressourcen zugreifen kann, die er für seine Arbeit benötigt, aber dass niemand auf Daten oder Systeme zugreifen kann, für die er keinen legitimen Bedarf hat.

Dieser Artikel untersucht zwei beliebte Modelle für Zugriffskontrolle, Role-Based Access Control (RBAC) und Attribute-Based Access Control (ABAC), und bietet Orientierungshilfe für die Auswahl der geeigneteren Option für Ihre Organisation.

Ausgewählte verwandte Inhalte:

Was ist Role-Based Access Control?

Im RBAC-Modell erhalten Mitarbeiter und andere Benutzer Zugriffsrechte basierend auf der Rolle oder den Rollen, die sie in der Organisation innehaben. Das heißt, Administratoren definieren einen Satz von Rollen, erteilen jeder dieser Rollen angemessene Zugriffsberechtigungen und weisen dann jedem Benutzer eine oder mehrere Rollen zu – die Rollen, die einer Person zugewiesen werden, bestimmen ihre Zugriffsrechte auf IT-Ressourcen.

Beispiele für RBAC

Hier sind einige Beispiele für Rollen und einige der Zugriffsrechte, die ihnen gewährt werden könnten:

  • Chief Technology Officer — Zugriff auf alle Server des Unternehmens
  • Softwareingenieur — Zugriff auf bestimmte Anwendungsserver
  • Helpdesk-Techniker — Benutzerpasswörter zurücksetzen und Benutzerkonten entsperren

Vorteile von RBAC

Die Implementierung von RBAC vereinfacht das Zugriffsmanagement. Wenn ein neuer Mitarbeiter der Organisation beitritt, müssen Administratoren ihm nicht eine Vielzahl von Berechtigungen einzeln gewähren; sie können dem neuen Mitarbeiter einfach die relevanten Rollen zuweisen und er hat sofort alle damit verbundenen Zugriffsrechte. Ebenso ist es, wenn ein Mitarbeiter das Team oder die Abteilung wechselt, ihm die entsprechenden neuen Zugriffsrechte zu erteilen (und, was wichtig ist, diejenigen zu entfernen, die er nicht mehr benötigt), so einfach wie das Ändern seiner Rollenzuweisungen.

Viele Unternehmenssysteme bieten rollenbasierte Zugriffskontrolle. Hier ist ein Überblick darüber, wie Microsoft Entra (ehemals Azure), Active Directory und SharePoint RBAC verwenden.

RBAC in Microsoft Entra

Die rollenbasierte Zugriffskontrolle in Microsoft Entra hilft Administratoren beim Verwalten des Zugriffs auf Cloud-Ressourcen. Zum Beispiel können Sie RBAC verwenden, um:

  • Ermöglichen Sie einer Gruppe von Benutzern die Verwaltung virtueller Netzwerke und einer anderen Gruppe die Verwaltung virtueller Maschinen.
  • Befähigen Sie Datenbankadministratoren zur Verwaltung von SQL-Datenbanken.
  • Erlauben Sie einer bestimmten Benutzergruppe, bestimmte Websites zu verwalten.
  • Erlauben Sie einer Anwendung den Zugriff auf alle Ressourcen in einer Ressourcengruppe.

RBAC in Active Directory

In Active Directory fungieren Sicherheitsgruppen als Rollen. Jeder Gruppe wird der Zugriff auf bestimmte Ressourcen gewährt, und alle Mitglieder der Gruppe erben diese Rechte. AD enthält eine Reihe von Standard-Sicherheitsgruppen und Administratoren können zusätzliche Gruppen erstellen.

Hier sind einige der integrierten Sicherheitsgruppen und ihre Berechtigungen:

  • Backup-Operatoren  Mitglieder können Dateien auf einem Computer wiederherstellen und ersetzen, unabhängig von den Berechtigungen, die für den Zugriff auf diese Dateien erforderlich sind.
  • Remote Desktop Users  Mitglieder können eine Verbindung zu einem RD Session Host-Server herstellen.
  • Domain Admins  Mitglieder haben umfangreiche Rechte in einer bestimmten AD-Domäne. Sie können beispielsweise die Mitgliedschaft aller Gruppen aktualisieren und den Zugriff auf Domänencontroller steuern.
  • Enterprise Admins  Mitglieder können Änderungen im gesamten Wald vornehmen, wie zum Beispiel das Hinzufügen von untergeordneten Domänen.
  • Schema Admins  Schema Admins können das Active Directory-Schema ändern.

Ausgewählte verwandte Inhalte:

RBAC in SharePoint

SharePoint verfügt auch über vordefinierte Rollen mit Berechtigungen, die Mitglieder erben. Diese Rollen umfassen:

  • Endbenutzer: Mitglieder können mit Inhalten in Listenpunkten und Dokumentbibliotheken arbeiten, aber keine Websites konfigurieren oder verwalten.
  • Power Users: Mitglieder können mit bestimmten Komponenten der Website interagieren, wie Listen, Webseiten, Bibliotheken usw.
  • Site Owners: Mitglieder haben die Kontrolle über die gesamte SharePoint-Website, einschließlich der Erstellung von Unterwebsites, Design und Berechtigungsmanagement.
  • Site Collection Admins: Mitglieder haben die Kontrolle über die Websites in einer Sammlung von Websites.
  • SharePoint Farm Admins: Diese Top-Level-Administratoren haben die vollständige Kontrolle über die SharePoint-Farm, wie Wartung, Speicherung, Webanwendungen und Websitesammlungen.

RBAC in Exchange

Microsoft Exchange folgt ebenfalls einem RBAC-Modell. Einige der integrierten Verwaltungsrollen sind wie folgt:

  • Empfängerverwaltung — Mitglieder können Empfänger im Exchange Server innerhalb der Exchange Server-Organisation erstellen oder aktualisieren.
  • Helpdesk — Mitglieder können Benutzerattribute wie Adressen, Telefonnummern und Anzeigenamen einsehen und aktualisieren.
  • Server-Management — Mitglieder können server-spezifische Funktionen konfigurieren, wie Zertifikate, Client-Zugriffsprotokolle und virtuelle Verzeichnisse.
  • Organisationsmanagement — Mitglieder haben Zugriff auf höchster Ebene auf den Exchange Server der Organisation, was bedeutet, dass sie fast alle Aufgaben für ein Exchange-Objekt ausführen können.
  • Hygiene Management — Mitglieder können Anti-Spam- und Anti-Malware-Funktionen in Exchange konfigurieren.

Was ist attributbasierte Zugriffskontrolle?

ABAC gewährt Zugriffsrechte entsprechend den Attributen eines Benutzers, entweder anstelle von oder zusätzlich zu seinen Rollen. Beispiele für Attribute sind:

  • Benutzerattribute: Jobbezeichnung, Senioritätsstufe, Abteilung, Berufsrolle
  • Ressourcenattribute: Dateityp, Eigentümer der Datei, Sensibilitätsstufe der Datei
  • Umwelt: Netzwerk, Geolokalisierung, Datum, Tageszeit

So funktioniert es:

  • Administratoren definieren Richtlinien, die festlegen, welche Kombination von Attributen erforderlich ist, um eine Aktion auf einer Ressource auszuführen.
  • Wenn ein Benutzer Zugriff auf eine Ressource anfordert, überprüft ABAC die Attribute des Benutzers. Wenn sie den definierten Richtlinien entsprechen, wird der Zugriff gewährt; andernfalls wird die Anfrage abgelehnt.

Beispiele für ABAC

Hier sind zwei Beispiele für ABAC-Richtlinien:

  • Um auf Gehaltsinformationen zugreifen zu können, muss der Benutzer Mitglied der Personalabteilung sein. Darüber hinaus muss die Zugriffsanfrage während der normalen Geschäftszeiten erfolgen, und der Benutzer kann nur auf Daten für seine eigene Niederlassung des Unternehmens zugreifen.
  • Um auf Verkaufsleads und damit verbundene sensible Daten zugreifen zu können, muss der Benutzer ein Verkaufsvertreter sein und sich in der Region der Vereinigten Staaten befinden.

Vorteile von ABAC

Die Verwendung von Attributen anstelle von Rollen ermöglicht einen feineren Ansatz für die Zugriffskontrolle. ABAC kann jedoch komplizierter sein als RBAC.

ABAC in Microsoft Entra

Wie wir gesehen haben, ermöglicht Microsoft Entra die Zuweisung von Berechtigungen basierend auf Rollen. Es ermöglicht Administratoren jedoch auch, Bedingungen für bestimmte Aktionen hinzuzufügen, was veranschaulicht, wie ABAC als Erweiterung zu RBAC betrachtet werden kann. Zum Beispiel können Sie eine Bedingung hinzufügen, dass ein Benutzer, um ein bestimmtes Objekt zu lesen, eine bestimmte Rolle haben muss und das Objekt ein spezifisches Metadaten-Tag aufweisen muss.

Attributbasierte Zugriffskontrolle vs Rollenbasierte Zugriffskontrolle: Ein Vergleich

Die folgenden Tabellen zeigen die Vor- und Nachteile von rollenbasierter Zugriffskontrolle (RBAC) und attributbasierter Zugriffskontrolle (ABAC):

Vorteile von RBAC

Nachteile von RBAC

RBAC eignet sich gut für kleine bis mittelgroße Organisationen.

Große Organisationen können so viele Rollen erfordern, dass deren Verwaltung unhandlich wird.

Sie können die Organisationshierarchie leicht abbilden. Zum Beispiel können Sie Managern automatisch alle Berechtigungen ihrer direkten Untergebenen erteilen.

Die Definition der Rechte einer großen Anzahl von Rollen kann zeitaufwändig und kompliziert sein.

Die Kosten für die Implementierung von RBAC sind relativ gering.

Es ist wichtig, dass jeder Benutzer alle benötigten Rechte hat, was häufig die Erstellung neuer Rollen erfordert.

Vorteile von ABAC

Nachteile von ABAC

ABAC kann für große Organisationen besser funktionieren.

Die Implementierung von RBAC kann komplex und zeitaufwändig sein.

Um Berechtigungen hinzuzufügen oder zu entfernen, können Administratoren einfach die Attribute eines Benutzers aktualisieren, was viel einfacher ist, als neue Rollen zu definieren.

Die Wiederherstellung von Fehlern während der Implementierung kann aufgrund der Komplexität von ABAC schwierig sein.

RBAC vs ABAC: Welches soll man wählen?

Die Wahl zwischen RBAC und ABAC erfordert ein Verständnis für die Struktur, das Budget, die Größe und die Sicherheitsanforderungen Ihrer Organisation. In einigen Szenarien erweist sich ABAC als die bessere Wahl und in anderen ist es besser, RBAC zu verwenden.

Wählen Sie RBAC, wenn Sie:

  • Haben Sie eine kleine oder mittelgroße Organisation
  • Erwarten Sie keinen riesigen Zustrom neuer Benutzer
  • Haben Sie gut definierte Benutzergruppen
  • Haben Sie ein knappes Budget, zu wenig Ressourcen oder zu wenig Zeit

Wählen Sie ABAC, wenn Sie:

  • Haben Sie eine große Organisation
  • Erwarten Sie, dass Ihre Benutzerbasis deutlich wächst
  • Haben Sie genügend Budget und Ressourcen
  • Möchten Sie eine hochgradig anpassbare und flexible Zugriffskontrollrichtlinie

Zugriffskontrolle über Netwrix Directory Manager

Netwrix Directory Manager ist eine robuste Identity- und Access-Management-Lösung (IAM), die dem RBAC-Modell folgt. Sie umfasst die folgenden vordefinierten Rollen:

  • Administrator — Kann alle Funktionen von Netwrix Directory Manager in einem Identitätsspeicher ausführen
  • Helpdesk — Kann Verzeichnisinformationen aktualisieren, Kontopasswörter zurücksetzen und Konten im Auftrag anderer Benutzer entsperren
  • Benutzer — Kann Gruppen erstellen, ihre Gruppen verwalten und ihr eigenes Directory-Profil sowie Passwörter verwalten

Sie können zusätzliche Rollen erstellen und ihnen die entsprechenden Berechtigungen zuweisen. Zum Beispiel können Sie Rollen erstellen, um Mitgliedern der Rolle zu ermöglichen:

  • Gruppen erstellen und verwalten
  • Benutzerprofile verwalten
  • Verwalten Sie geplante Aufträge

Richtlinien in Netwrix Directory Manager

Netwrix Directory Manager-Richtlinien verfeinern und stärken den rollenbasierten Zugriff. Für jede Rolle können Sie die folgenden Richtlinien definieren:

  • Richtlinie zur Durchsetzung von Gruppenbesitz — Verhindert die Erstellung einer Gruppe ohne Hauptbesitzer und beschränkt die Anzahl zusätzlicher Besitzer, die eine Gruppe haben kann
  • Richtlinie für Gruppennamen-Präfixe —Erfordert die Verwendung eines Präfixes im Gruppennamen bei der Gruppenerstellung
  • Neue Objektrichtlinie — Beschränkt die Erstellung neuer Objekte auf eine spezifische Organisationseinheit (OU) im Verzeichnis
  • Suchrichtlinie — Beschränkt die Objektsuche auf eine spezifische OU
  • Authentifizierungsrichtlinie — Erfordert die Verwendung spezifischer Authentifizierungsmethoden (wie SMS oder Windows Hello) für die Anmeldung bei Netwrix Directory Manager
  • Passwortrichtlinie — Legt Passwortregeln und Validierungsprüfungen fest
  • Helpdesk-Richtlinie — Setzt Einschränkungen für Helpdesk-Techniker um, wenn sie Benutzerpasswörter zurücksetzen und Benutzerkonten entsperren

Fazit

Zugriffskontrolle ist wesentlich für den Schutz von Daten und IT-Systemen. Die Wahl zwischen rollenbasierter Zugriffskontrolle und attributbasierter Zugriffskontrolle erfordert eine sorgfältige Bewertung der Struktur Ihrer Organisation, der Sicherheits- und Compliance-Anforderungen sowie der Wachstumsprognosen.

Netwrix Directory Manager erleichtert das Zugriffsmanagement, indem es anpassbare Rollenberechtigungen und Richtlinien bietet, die für Organisationen jeder Größe oder Branche geeignet sind.

FAQ

Was ist der Unterschied zwischen RBAC und ABAC?

RBAC weist Zugriff basierend auf den Rollen eines Benutzers zu, wie zum Beispiel deren Job und Abteilung. ABAC ermöglicht eine feinere Kontrolle, indem Zugriff auf Grundlage von Attributen wie der Senioritätsebene des Benutzers, dem Sensibilitätsgrad der Daten und dem Datum oder der Uhrzeit der Zugriffsanfrage gewährt wird.

Ist ABAC besser als RBAC?

Auf hoher Ebene dienen ABAC und RBAC demselben Ziel: sicherzustellen, dass der Zugriff auf Daten und andere IT-Ressourcen angemessen eingeschränkt ist. Welches besser ist, hängt von Faktoren wie der Größe, Struktur sowie den Sicherheits- und Compliance-Anforderungen der Organisation ab.

Im Allgemeinen wird ABAC als flexibler und feingranularer angesehen, was es für große Organisationen mit komplexen Zugriffskontrollanforderungen geeignet macht. RBAC hingegen ist einfacher und wird oft von kleinen bis mittelgroßen Organisationen mit klar definierten Gruppen und begrenzten Ressourcen bevorzugt.

Was ist der Unterschied zwischen Policy-Based Access Control (PBAC) und ABAC?

PBAC steuert den Zugriff anhand von Richtlinien, die auf Kriterien wie Bedingungen, Regeln oder Rollen basieren. ABAC gewährt Zugriff basierend auf Benutzer-, Ressourcen- und Umgebungsattributen.

Was ist der Unterschied zwischen kontextbasierter Zugriffskontrolle (CBAC) und ABAC?

ABAC gewährt Zugriff basierend auf Benutzer-, Ressourcen- und Umgebungsattributen. CBAC berücksichtigt den breiteren Kontext, in dem der Zugriff angefordert wird, wie den Zustand einer Sitzung oder das Risikoniveau einer Transaktion.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Jonathan Blackwell

Leiter der Softwareentwicklung

Seit 2012 hat Jonathan Blackwell, ein Ingenieur und Innovator, eine führende Rolle in der Ingenieurskunst übernommen, die Netwrix GroupID an die Spitze des Gruppen- und Benutzermanagements für Active Directory und Azure AD Umgebungen gebracht hat. Seine Erfahrung in Entwicklung, Marketing und Vertrieb ermöglicht es Jonathan, den Identity-Markt und die Denkweise der Käufer vollständig zu verstehen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen