Aktionen ohne Berechtigung in verinice.PRO ausführbar

Technische Grundlagen
#1

Hallo,
in verinice.PRO Version 1.20 (vmtl. auch in vorherigen Versionen) können Funktionen ausgeführt werden, obwohl diese im Berechtigungsprofil nicht zugelassen sind.

Beispiel (BSIMOD):

  • Herr Meier gehört zur Account-Gruppe „AG-Anwender“.
  • Für die Account-Gruppe „AG-Anwender“ ist nur das Berechtigungsprofil „BP-Anwender“ ausgewählt.
  • Im Berechtigungsprofil „BP-Anwender“ sind nur die folgenden Aktionen ausgewählt:
    ALL/F/Eigenes Passwort ändern
    ALL/V/Katalogansicht
    BSIMOD/V/Modernisiertes BSI Modell anzeigen.

Obwohl im Berechtigungsprofil „BP-Anwender“ die folgenden Aktionen nicht ausgewählt sind:
BSIMOD/F/BSI-Element hinzufügen
BSIMOD/F/BSI-Informationsverbund hinzufügen
kann der Benutzer Meier, „BSI-Informationsverbünde“ und „BSI-Element“ hinzufügen und auch löschen.

Es gibt noch weitere Aktionen die ohne Berechtigungsfreigabe ausgeführt werden können.
So ist ein Rechte-/Rollenkonzept nicht umsetzbar.

Liegt das Problem bei mir oder gibt es hier Handlungsbedarf in verinice.PRO?

Gruß
G. Winkler

#2

Guten Tag Herr Winkler,

kann es sein, dass der Account auch der Gruppe „user-default-group“ zugeordnet ist? Diese hat standardmäßig das Profil „user-default-profile“, über das eininge Standard-Features für alle Benutzer aktiviert werden.
Falls nicht, müssen wir wohl noch weiter schauen.

Viele Grüße
Jochen Kemnade

1 Like
#3

Hallo Herr Kemnade,
Danke für die Antwort.

Ja, die Zuordnung zur Gruppe „user-default-group“ war wohl vorhanden.
Dort habe ich nun, bis auf „Eigenes Kennwort ändern“ und „IT-Verbund anzeigen“ alle Berechtigungen entfernt.
Jetzt scheint es zu funktionieren.

Werden die Standardgruppen bei einem Versionsupdate wieder überschrieben oder bleiben meine Anpassungen erhalten?

Gruß
G. Winkler

#4

Hallo Herr Winkler,

die Änderungen bleiben nach einem Update bestehen.
Das funktioniert, weil es auf dem Server zwei Dateien gibt: verinice-auth-default.xml und verinice-auth.xml. Die verinice-auth.xml enthält das angepasste user-default-profile und wird beim Update nicht überschrieben. Nur verinice-auth-default.xml wird beim Update Überschrieben und enthält ggf. neue Action-IDs der neuen Version.
Wenn Anpassungen dieser Art gemacht werden, muss aber beim Update darauf geachtet werden, ob neue Action-IDs in der Applikation hinzugefügt wurden und diese ggf. in der bestehenden Konfiguration nachziehen. Informationen über geänderte Action-IDs stehen üblicherweise in den Release Notes.

Viele Grüße
Jochen Kemnade

1 Like

licensed by

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz

SerNet GmbH
Bahnhofsallee 1b
37081 Göttingen
www.sernet.de