Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Rheinwerk Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 30 Sicherheit im verteilten Active Directory
  gp 30.1 Sicherheitsrisiken
  gp 30.2 Sicherheitskonzepte
  gp 30.3 Sicherheitsmaßnahmen
  gp 30.4 Überwachungsrichtlinien (Auditing)
  gp 30.5 Maßnahmen zur Reduzierung und Auswirkungen von sicherheitsrelevanten Vorfällen
  gp 30.6 Erstellung eines Reaktionsplans für sicherheitsrelevante Zwischenfälle des Systems
  gp 30.7 Tools für die Sicherheitskonfiguration und Sicherheitsüberwachung

Kapitel 30 Sicherheit im verteilten Active Directory

Viele der nachfolgend aufgelisteten Hinweise und Empfehlungen wurden aus Microsoft Whitepapers zusammengestellt. An die endgültigen Sicherheitsrichtlinien eines Servers müssen Sie sich jedoch in einer Testumgebung herantasten.


Wichtiger Hinweis In einem komplexeren LAN oder WAN können die nachfolgend aufgeführten Maßnahmen unter Umständen mehr schaden als nützen, da Sie die Auswirkungen der Maßnahmen nicht sofort abschätzen können. Wenn Sie z.B. die im Abschnitt »Überwachungsrichtlinien (Auditing)« aufgelisteten Überwachungsrichtlinien zeitgleich aktivieren, könnte es sein, dass der Server im Produktivbetrieb stark überlastet wird, da er seine Dienste nicht nur vielen Benutzern zur Verfügung stellen muss, sondern gleichzeitig viele Zugriffe überprüft und mitprotokolliert. Ebenso kann es sein, dass Einstellungen, die in der Testumgebung nicht zu Problemen führen, in der Produktivumgebung zu Fehlern führen, da dort aufgrund der komplexen Netzstruktur (aktive Komponenten wie Router, Bridges, Switches, Firewalls) andere Verhältnisse herrschen.

Nehmen Sie nach Möglichkeit keine Änderungen an der Default Domain Policy vor. Testen Sie die wirklich gewünschten Einstellungen in einer Test-Gruppenrichtlinie aus, jedoch nicht gleichzeitig, sondern Richtlinie für Richtlinie. Nur so können Sie bei plötzlich oder auch erst nach Tagen auftretenden Problemen feststellen, welche Änderung die Ursache war. Verfahren Sie ebenso mit Änderungen an der Registrierdatenbank des Servers oder an den Standardberechtigungen von wichtigen Verzeichnissen auf den Servern.


Die Verzeichnisse Sicherheit Sicherung Disaster Recovery und Projektierung der Buch-DVD enthalten ein reichhaltiges Angebot an Anleitungen, Checklisten und Hinweisen auf weiterführende Literatur zum Thema Sicherheit. Microsoft bietet Tools wie den Microsoft Baseline Security Analyzer an, um Schwachstellen aufzuspüren.

Bei allen Netzwerksicherheitsproblemen kann man unter dem Strich folgendes Fazit ziehen: Hacken geschieht, weil man es zulässt. Wenn eine umfassende Sicherheitsarchitektur eingerichtet, gepflegt und befolgt wird, kann von außen nur sehr schwer in die Systeme eingedrungen werden. Die große Schwachstelle in der IT-Sicherheit ist der Mensch. Die meisten Betrugsfälle wären vermeidbar gewesen, wenn einfach sinnvolle Protokolle eingehalten und die verfügbaren Sicherheitslösungen ordnungsgemäß implementiert worden wären. Es ist sehr viel einfacher, wichtige Informationen von einer Person zu erschleichen, als sie aus einem gut organisierten und geschützten Computersystem zu holen.

Der Artikel »Social Engineering – Die größte Gefahr für die Internet-Sicherheit« im Verzeichnis Sicherheit der Buch-DVD führt drastisch vor Augen, welche Gefahren hier lauern.


Rheinwerk Computing

30.1 Sicherheitsrisiken  toptop

In einer Organisation können folgende Arten von Sicherheitsrisiken auftreten:

Abfangen von Benutzeridentitäten Der Eindringling entdeckt mit sozialen oder technischen Mitteln den Benutzernamen und das Kennwort eines gültigen Benutzers.

Beispiele für soziale Mittel: Der Eindringling gibt sich am Telefon gegenüber einem Benutzer als Mitarbeiter des Supportteams aus und erbittet zwecks angeblicher Administrationsnotwendigkeit das Kennwort des Benutzers.

Der Eindringling verschafft sich über die Internetseiten oder über Gespräche mit Mitarbeitern Informationen über die Organisationsstruktur und die technische Infrastruktur.

Beispiele für technische Mittel: Der Eindringling wählt über eine Spezialsoftware alle potenziellen Telefonnummernkreise der Organisation ab, um herauszufinden, hinter welchen Telefonnummern sich technische Einwahlkomponenten (RAS-Zugänge) befinden. Anschließend fragt er zu bereits bekannten oder gängigen Anmeldenamen vorgefertigte Kennwortlisten ab, um Kennungen mit Kennwort zu erschleichen.

Maskierung

Ein nicht autorisierter Benutzer gibt vor, ein gültiger Benutzer zu sein. Er nimmt z.B. die IP-Adresse eines vertrauenswürdigen Systems an und verschafft sich mit ihrer Hilfe die Zugriffsrechte für das benutzte Gerät oder System.

Replay-Angriff

Der Eindringling zeichnet die Netzwerkkommunikation zwischen einem Benutzer und einem Server auf und spielt sie zu einem späteren Zeitpunkt ab, um sich als Benutzer auszugeben.

Abfangen von Daten

Wenn Daten als Klartext oder ungenügend verschlüsselt über das Netzwerk ausgetauscht werden, können unbefugte Personen die Daten überwachen und aufzeichnen.

Manipulation von Daten oder Programmen

Der Eindringling oder Viren verursachen die Änderung oder Beschädigung von Daten und Programmen.

Blockieren des Betriebs

Der Eindringling überschwemmt einen Server mit Anfragen, die Systemressourcen verbrauchen und entweder einen Zusammenbruch des Servers verursachen oder den normalen Betrieb erheblich stören.

Missbrauch von Privilegien

Ein Administrator oder Benutzer mit erhöhten Rechten benutzt wissentlich oder unwissentlich seine Privilegien, um auf vertrauliche Daten zuzugreifen. Ein Sicherungsoperator benutzt seine Zugangsberechtigung zum Serverraum für Handlungen, die außerhalb seines Aufgabenbereichs liegen, oder spielt Datenbänder auf private Geräte zurück, um die Daten zu missbrauchen.

 << zurück
  
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Windows Server 2012 R2






 Windows Server
 2012 R2


Zum Katalog: Office 365






 Office 365


Zum Katalog: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


Zum Katalog: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Rheinwerk Verlag GmbH 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de