von Dan Riehl

Hier finden Sie Informationen über die Sonderberechtigungen, die OS/400 zur Verfügung stellt und über die Risiken, die mit ihrer Vergabe verbunden sind. Wenn Sie diese Einführung gelesen haben, wissen Sie, warum es so wichtig ist, Sonderberechtigungen nicht wahllos zu vergeben.

*SPLCTL

Beschreibung: Spoolkontrolle. Vielleicht die am häufigsten falsch verstandene Sonderberechtigung. *SPLCTL macht einen Benutzer zum Herren über alle Spool-Dateien auf Ihrem System. Wie der Name „Spool Control“ andeutet, hat ein Benutzer mit dieser Sonderberechtigung die volle Kontrolle über alle Spool-Funktionen des Systems. Diese Kontrolle umfasst nicht nur Ausgabewarteschlangen sondern auch Jobwarteschlangen. Der Benutzer kann Job- und Ausgabewarteschlangen anhalten, freigeben und leeren.

Risiken: Mit *SPLCTL kann ein Benutzer alle Spooldateien im System ansehen und bearbeiten, auch wenn sie in einer besonders abgesicherten Ausgabewarteschlange stehen. Auch die vertraulichsten Dokumente sind für einen Benutzer mit der Sonderberechtigung *SPLCTL zugänglich.

*ALLOBJ

Beschreibung: Alle Objekte. Die umfassendste Sonderberechtigung. Mit *ALLOBJ hat ein Benutzer die Berechtigung, jedes Objekt auf dem System zu bearbeiten. Ein Benutzer mit *ALLOBJ-Berechtigung kann auf Objektebene Berechtigungen vergeben, unabhängig davon, welche Berechtigung bereits für ein Objekt angegeben ist.

Risiken: Alle Dateien, Programme, Datenbereiche und alle anderen Objekte auf Ihrem System können von einem Benutzer mit *ALLOBJ-Berechtigung angesehen, verändert und sogar gelöscht werden. Die Bibliothek der Lohn- und Gehaltsabrechnung löschen? Kein Problem mit *ALLOBJ! Ein Benutzer mit der Sonderberechtigung *ALLOBJ kann auch einen Batchjob absetzen, der ein anderes, hochrangiges Benutzerprofil verwendet, um jede beliebige Systemfunktion auszuführen. Auch wenn Sie einem Benutzer, der über die Sonderberechtigung *ALLOBJ verfügt, nicht die Sonderberechtigung *SECADM geben, kann dieser Benutzer z.B. einen Batchjob für ein Benutzerprofil mit *SECADM-Berechtigung absetzen und damit andere Benutzerprofile erstellen oder verändern.

*SECADM

Beschreibung: Sicherheitsadministration. Die Sonderberechtigung *SECADM autorisiert einen Benutzer zum Warten von Benutzerprofilen. Beim Erstellen oder Ändern von Benutzerprofilen kann ein Benutzer mit *SECADM-Berechtigung nur die Sonderberechtigungen vergeben, über die er auch selbst verfügt. Es ist wie bei einem Schnupfen: Sie können ihn nicht weitergeben, wenn Sie selbst keinen haben. Es gibt eine Einschränkung: Nur ein Benutzer, der selbst die Sonderberechtigungen *ALLOBJ und *SECADM besitzt, kann einem anderen Profil die *SECADM-Berechtigung geben. *SECADM erlaubt es einem Benutzer nicht, ein anderes Benutzerprofil zu ändern, wenn er keine Objektberechtigung für dieses Profil besitzt. So kann z.B. ein Benutzer mit *SECADM-Berechtigung normalerweise das QSECOFR-Kennwort nicht ändern, sondern nur dann, wenn er auch die Sonderberechtigung *ALLOBJ besitzt.

Risiken: Ein Benutzer mit *SECADM-Berechtigung kann nach Belieben Benutzerprofile erstellen und ändern. Sie müssen sicher sein, dass ein solcher Benutzer Ihre Sicherheitsrichtlinien bezüglich Benutzerprofilen versteht und einhält. Zusätzlich sollten Sie das Erstellen und Ändern von Benutzerprofilen überwachen und protokollieren, um die Einhaltung der Richtlinien sicherzustellen.

 

*JOBCTL

Beschreibung: Jobsteuerung. Die Bezeichnung verleitet zu der Annahme, diese Sonderberechtigung hätte nur etwas mit der Steuerung von Jobs zu tun. Tatsächlich hat man mit *JOBCTL aber nicht nur die Kontrolle über Jobs, sondern auch über Spool-Dateien und Drucker und kann sogar Subsysteme starten und beenden oder das System komplett herunterfahren. In Bezug auf Spoolverwaltung ist *JOBCTL beinahe so mächtig wie *SPLCTL, aber nur beinahe. Mit *JOBCTL-Berechtigung kann ein Benutzer nur Ausgabewarteschlangen verwalten, die mit dem Parameter OPRCTL(*YES) erstellt wurden. Sie können also verhindern dass Benutzer mit *JOBCTL-Berechtigung bestimmte Ausgabewarteschlangen manipulieren, indem Sie diese mit OPRCTL(*NO) erstellen oder entsprechend ändern. Ein Benutzer mit *JOBCTL-Berechtigung kann die Attribute eines Jobs ändern und sogar einen aktiven Job abbrechen.

Risiken: Ein Benutzer mit *JOBCTL-Berechtigung kann das System herunterfahren oder Subsysteme oder einzelne Jobs auch während kritischer Verarbeitungsphasen beenden. In Ausgabewarteschlangen, die mit OPRCTL(*YES) erstellt wurden, hat ein Benutzer mit der Sonderberechtigung *JOBCTL Zugriff auf jede sicherheitskritische Spool-Datei.

*SAVSYS

Beschreibung: Sichern des Systems. Ein Benutzer mit dieser Berechtigung kann Objekte sichern und wiederherstellen. Der Benutzer muss nicht die Berechtigung zum Anzeigen der Objekte haben. *SAVSYS ist erforderlich, um tägliche oder wöchentliche Systemsicherungen durchführen zu können. Normalerweise wird die Sonderberechtigung *SAVSYS nur an den Sicherheitsbeauftragten und an den Operator vergeben.

Risiken: Ein Benutzer mit *SAVSYS-Berechtigung kann Objekte auf Band sichern, das Band auf einem anderen System einspielen und die Inhalte von sicherheitskritischen Dateien lesen. Der Benutzer kann auch Objekte auf Band sichern und sich die Daten mit dem Befehl DSPTAP (Display Tape) oder DMPTAP (Dump Tape) anzeigen lassen. Stellen Sie sicher, dass Sicherungs- und Wiederherstellungsaktionen vom System protokolliert werden und dass Ihre Sicherungsmedien vor unbefugtem Zugriff geschützt sind. Ein weiteres großes Risiko ist, dass ein Benutzer mit *SAVSYS-Berechtigung beim Sichern (versehentlich oder absichtlich) einen Parameter für den Sicherungsbefehl eingeben kann, der bewirkt, dass der Speicher für die gesicherten Objekte freigegeben werden soll, was nichts anderes bedeutet, als dass die Objekte nach dem Sichern gelöscht werden.

*SERVICE

Beschreibung: Serviceberechtigung. Mit der Sonderberechtigung *SERVICE hat ein Benutzer die Möglichkeit, die System Service Tools zu verwenden (d.h., den Befehl STRSST (Start System Service Tools) aufzurufen) und Programme zu debuggen, für die er nur die Berechtigung *USE hat. Die Service Tools bieten die Möglichkeit, verschiedene Systemfunktionen nachzuverfolgen und auf die Funktionen Anzeigen/Ändern/Dump zuzugreifen. Stellen Sie sicher, dass der Zugriff auf diese Tools unter strenger Kontrolle steht.

Risiken: Hier gibt es zahlreiche Risiken. Zwei der wichtigsten: Ein Benutzer kann die Kommunikations-Trace-Funktion der System Service Tools verwenden, um den Datenstrom zwischen PC-Clients und dem OS/400-Host einzusehen. Die ausgetauschten Daten enthalten oft Benutzer-IDs und unverschlüsselte Kennwörter. Und ein Benutzer kann die Funktionen Anzeigen/Ändern/Dump benutzen, um Objektcode und andere Daten anzuzeigen oder sogar zu verändern. Weitere Informationen über die System Service Tools finden Sie im IBM iSeries Information Center.

*IOSYSCFG

Beschreibung: Berechtigung für E/A-Systemkonfiguration. Die Sonderberechtigung *IOSYSCFG erlaubt das Konfigurieren der Systemkommunikation (z.B. Steuereinheiten, Einheiten und Leitungen) einschließlich der TCP/IP- und Internetverbindungs-Informationen.

Risiken: Die Systemkommunikation ist ein technisch anspruchsvoller Bereich der Systemverwaltung. Stellen Sie sicher, dass nur solche Benutzer diese Sonderberechtigung erhalten, die über die Fachkenntnisse verfügen, die zum richtigen und sicheren Konfigurieren der Systemkommunikation erforderlich sind. Ein mangelhaft konfigurierter Internetdienst wie z.B. HTTP kann große Lücken in Ihrer Systemsicherheit verursachen. Sogar in einer SNA-Umgebung kann ein Benutzer mit *IOSYSCFG-Berechtigung einen fernen Standort als SECURELOC(*YES) konfigurieren und damit das lokale System anweisen, Benutzer-IDs und Kennwörter aus bestimmten Verbindungen nicht zu prüfen. *IOSYSCFG kann enorme Sicherheitslücken eröffnen.

*AUDIT

Beschreibung: Protokollierungsberechtigung. Die Sonderberechtigung *AUDIT gibt einem Benutzer die Kontrolle über die Sicherheitsüberwachungsfunktionen des Systems. Der Benutzer kann die Systemwerte ändern, die die Sicherheitsüberwachung steuern und erhält die Kontrolle über die Benutzer- und Objektüberwachung.

Risiken: Zu einer verantwortungsvollen Sicherheitspolitik gehört die Verwendung der Sicherheitsprotokollierung. Wie könnten Sie sonst feststellen, wer eine Datei gelöscht oder ein Benutzerprofil angelegt hat? Die Sonderberechtigung *AUDIT sollte den Benutzern vorbehalten sein, die für die Integrität des Systems verantwortlich sind.