Verhindern Sie drei Windows Server-Bedrohungsszenarien

WHITE PAPER
Verhindern Sie drei Windows
Server-Bedrohungsszenarien
WWW.CENTRIFY.COM
Verhindern Sie drei Windows Server-Bedrohungsszenarien
Inhalt
Einleitung3
Bedrohungsszenario 1:
Zu viele lokale Administratoren
5
Bedrohungsszenario 2:
Gemeinsam genutzte Konten ohne
eindeutige Zuordnung der Identität
6
Bedrohungsszenario 3:
Kein Schutz von PCI-Daten vor
Domain-Administratoren7
Fazit 8
Weitere Materialien 9
Informationen in diesem Dokument, einschließlich URL und andere Referenzen zu Internetseiten können sich ohne vorherige
Benachrichtigung ändern.
Sofern nicht anders angegeben, sind die in den Beispielen dargestellten Unternehmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse rein fiktiv und es besteht weder eine Verbindung zu echten
Unternehmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen, noch
soll diese angedeutet werden oder beabsichtigt sein. Die Einhaltung aller entsprechenden Urheberrechtsgesetze liegt in der Verantwortung der Verwender. Ohne jegliche Einschränkung der Rechte unter dem Urheberrechtsschutz, darf dieses Dokument
weder ganz noch in Auszügen reproduziert, gespeichert oder in ein Abfragesystem eingespeist werden, oder in irgendeiner
Form oder auf irgendeinem Weg (elektronisch, mechanisch, in Fotokopie, als Aufzeichnung oder auf andere Art) übertragen
werden, ohne zuvor die ausdrückliche Genehmigung der Centrify Corporation in Schriftform eingeholt zu haben.
Centrify kann sich im Besitz von Patenten, Patentanmeldungen, Warenzeichen, Urheberrechten oder anderen Rechten zum
Schutz geistigen Eigentums sein, die sich auf die Inhalte dieses Dokuments beziehen. Sofern nicht ausdrücklich von Centrify
durch eine schriftliche Lizenzvereinbarung zur Verfügung gestellt, verleiht der Inhalt dieses Dokuments keine Lizenz für diese
Patente, Warenzeichen, Urheberrechte oder anderes geistiges Eigentum.
Centrify, DirectControl und DirectAudit sind eingetragene Warenzeichen und Centrify Suite, DirectAuthorize, DirectSecure und
DirectManage sind Warenzeichen der Centrify Corporation in den Vereinigten Staaten und/oder anderen Ländern. Microsoft,
Active Directory, Windows, Windows NT und Windows Server sind entweder eingetragene Warenzeichen oder Warenzeicher
der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. Bei den Namen hier genannter echter Unternehmen und Produkte handelt es sich um die Marken und Warenzeichen der entsprechenden Eigentümer
2
©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN
WWW.CENTRIFY.COM
WHITE PAPER
Abstrakt
Von Sicherheitslücken ist aktuell ständig in den Nachrichten zu hören, viele von ihnen sind
entweder die Folge von Bedrohungen durch Insider oder durch APTs. Unternehmen und
Regierungsbehörden suchen nach Lösungen, um die Risiken dieser Bedrohungen zu mindern.
Dieses Whitepaper zeigt drei häufige Windows Server Bedrohungsszenarien auf und erläutert,
wie diese neutralisiert werden können. Durch das Befolgen der Richtlinien in diesem Weißbuch
können Unternehmen Bedrohungen von außen sowie aus dem internen Netzerk abwehren,
ihre Windows Server-Infrastruktur und sensible Daten schützen, sowie die entsprechenden
rechtlichen Anforderungen erfüllen.
3
©2015 CENTRIFY CORPORATION ALL RIGHTS RESERVED
WWW.CENTRIFY.COM
Verhindern Sie drei Windows Server-Bedrohungsszenarien
Einleitung
2013 war so etwas wie ein erfolgreiches Jahr für Sicherheitslücken, was Symantec dazu
veranlasst hat, das Jahr als „Mega-Lücke“ zu bezeichnen.1 Anscheinend war keine Organisation
davor geschützt und sowohl internationale Unternehmen als auch Regierungsbehörden
haben gleichermaßen massive Verletzungen ihrer Systeme, Anwendungen und Daten erleben
müssen. Diese Sicherheitslücken haben jedoch deutlich gemacht, dass jedes Unternehmen,
dass sein Identitätsmanagement nicht ernst nimmt, sein Windows Server-Umfeld Risiken
aussetzt. Die zwei tückischsten Gefährdungen im Windows Server-Bereich, Insiderbedrohungen
und APT, basieren auf mangelnder Kontrolle von Identitäten durch das Unternehmen:
• Insiderbedrohungen entstehen durch Personen innerhalb eines Unternehmens und
treten auf, wenn eine mangelhafte Kontrolle der Identitäten existiert, die den Zugang zu
sensiblen Servern und Informationen möglich macht.
• Advanced Persistent Threats (APTs) sind Attacken von außen, die ungesicherte
Identitäten als Angriffsfläche nutzen, um Zugang zu gesicherten Systemen, Anwendungen
und Daten zu erhalten.
Lassen Sie sich jedoch nicht täuschen: Ganz gleich, ob eine Bedrohung von innen oder außen
kommt, können beide das gleiche Potenzial haben und sich verheerend auf Ihre Daten,
Infrastruktur und Ihre Reputation auszuwirken. Im heutigen gesetzlich geregelten Umfeld
sind diese Sicherheitslücken nicht einfach nur peinlich. Der Federal Information Security
Management Act, der Payment Card Industry Data Security Standard, der Sarbanes-Oxley Act
und der Health Insurance Portability and Accountability Act sind nur einige der Gesetze und
Verfügungen, die die Art und Weise, in der Unternehmen, Regierungsbehörden und andere
Gruppen den Zugang zu ihren Systemen und Anwendungen sichern, berechtigte Aktivitäten
überprüfen und Nachweise darüber erbringen müssen, dass Sicherheitskontrollen eingerichtet
sind und wie gefordert funktionieren. Viele Unternehmen, die ihre Audits im Jahr zuvor
bestanden haben, fielen 2013 durch, da sie ihr Windows Server-Umfeld nicht ausreichend
geschützt haben.
Dieses Weißbuch zeigt drei häufige Bedrohungsszenarien auf, die das Windows Server-Umfeld
einer Organisation beeinträchtigen können - und erläutert, wie Technologie wie die Centrify
Server Suite erfolgreich dazu eingesetzt werden kann, um diese Gefahren zu neutralisieren und
es Organisationen so möglich macht, sowohl betriebliche als auch gesetzliche Compliance-Ziele
zu erfüllen.
1. Symantec Corporation Internet Security Threat
4
Report 2014: Band 19
©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN
WWW.CENTRIFY.COM
WHITE PAPER
Bedrohungsszenario 1:
Zu viele lokale Administratoren
In den heutigen heterogenen IT-Umgebungen entstehen administrative Identitäten in
einer unkontrollierten Weise. Ohne ein skalierbares Modell zur Verwaltung der Identitäten
Ihrer Mitarbeiter, damit verbundenen Berechtigungen und berechtigten Aktivitäten über
verschiedenen Anwendungen, Plattformen und Geräte hinweg, entstehen tote Lücken in ihren
Sichersheitsbemühungen, die zu
nicht vorausgesehenen Risiken
führen.
Nehmen wir an, dass ein Nutzer
einen oder mehrere WindowsDienste bei einer Gruppe von intern
durch das Unternehmen genutzten
Datenbankservern verwalten muss.
Eine typische von IT genutzte
Realitätscheck
Mindestens drei der bekanntesten, global
tätigen Finanzunternehmen bestanden 2013 die
Audits nicht, von denen ausgegangen war, dass
sie sie bestehen würden, da sie überprivilegierte
und nicht ausreichende überwachte Konten an
Windows-Administratoren vergaben, ohne dass ein
entsprechender notwendiger Bedarf bestand.
Methode ist dem Nutzer eine lokale
Administratorengruppenzugehörigkeit auf den Datenbankservern zu verleihen. Vielleicht gelten
diese Rechte nur eine bestimmte Zeit lang, vielleicht wird das Passwort geändert. Unabhängig
davon „besitzt“ der Nutzer in der Zeit, in der er lokaler Administrator ist, den Computer und
hat volle Zugangsberechtigungen zu all seinen Ressourcen. Es gibt keine Beschränkungen
dazu, was der Nutzer auf den Datenbankservern tun kann. Schlimmer noch, da es ein lokales
Administratorenkonto auf dem Windows Server gibt, hat eine APT jetzt die Möglichkeit zu einer
„Land and expand“-Attacke: Sie könnte beispielsweise „Pass-the-Hash“ nutzen, um Kontrolle
über einen Server zum Erhalt der Kontrolle über weitere Server und Ressourcen zu erhalten.
Lösung: Gerade genug Berechtigungen anbieten
Die beste Möglichkeit, diese Art von Insiderbedrohungen zu verhindern, erfolgt durch die
Gewährung von gerade genug ausreichenden Berechtigungen an den Nutzer, um dessen
geschäftliche Ziele erfüllen zu können.
„Gerade genug Berechtigungen“
bedeutet, dass ein oder mehrere
Windows-Dienste auf dem
Zieldatenbankserver verwaltet
werden können, ohne eine lokale
Berechtigungen sicher erweitern
Theresa erweitert reibungslos ihre Berechtigungen
ohne lokaler Administrator zu sein oder das
administrative Passwort zu kennen.
Administratorengruppenzugehörigkeit
zu gewähren.
Durch die Wahl dieses Ansatzes
Theresa
StandardNutzer
Services Snap-In
schalten Organisationen das Problem
von zu vielen Nutzern aus, die
Mit
Berechtigungen
ausführen
umfassende und nicht verwaltete
administrative Macht haben, indem
der berechtigte Zugang gesichert
wird und genau geregelt wird, wer
welche administrativen Funktionen
5
Server SRVX
©2015 CENTRIFY CORPORATION ALL RIGHTS RESERVED
Aktualisierung von
Theresas
Zugangs-Token
Centrify Server Suite
WWW.CENTRIFY.COM
Verhindern Sie drei Windows Server-Bedrohungsszenarien
durchführen kann. Darüber hinaus erhalten Organisationen globale Kontrolle und Transparenz
von Berechtigungen und die Möglichkeit, eine Überprüfbarkeit auf Nutzerebene über alle
Server hinweg einzurichten, sowohl im Unternehmen als auch in der Cloud. Wenn eine Lösung
wie Centrify Server Suite eingerichtet wurde, sind Organisationen dazu in der Lage, diese Art
des Szenarios wahr werden zu lassen und Aktionen dem passenden Personen zuzuweisen.
Diese Methode eines klaren Prüfpfads ist der erste Schritt zur sicheren Verwaltung von
Windows-Diensten.
Bedrohungsszenario 2:
Gemeinsam genutzte Konten
ohne eindeutige Zuordnung der
Identität
Falls es ein Lexikon gäbe, das den Ausdruck “ermöglichte Bedrohungen durch Insider”
enthält, dann ständen gemeinsam genutzte Konten sicherlich ganz am Anfang der Definition.
IT-Organisationen müssen Nutzerkonten im Active Directory erstellen und sowohl den
Kontonamen als auch das Passwort verschiedenen Nutzern mitteilen. Diese gemeinsam
genutzten Konten sind in vielen
Situationen notwendig. Leider
sind gemeinsam genutzte Konten
schwer zu verwalten und kaum bis
überhaupt nicht durch traditionelle
PAM- (Privileged Account
Management) Technologien zu
sichern. Nutzer können leicht
Passwörter für gemeinsam
genutzte Konten weitergeben,
Realitätscheck
Wo ich denke, dass wir nachlässig waren ... ist, dass
wir [Edward Snowden] eine Form der Anonymität
ermöglicht haben, als er tat [was er tat]. Jemand
hat all das nicht beachtet. Die Lektion, die wir
daraus gelernt haben ist, dass man Anonymität in
einem Netzwerk unmöglich machen muss.“ 2.
2. Lonny Anderson, NSA Director of Technology
bei nur geringem Risiko dafür zur
Rechenschaft gezogen zu werden,
wenn IT nur native Windowskontrollen verwendet, da native Tools das gemeinsam genutzte
Konto ohne Zuordnung zum tatsächlichen Nutzer überwachen.
Lösung: Handlungen zum tatsächlichen Nutzer zurückverfolgen
Natürlich brauchen gemeinsam genutzte Konten eine besondere Behandlung. Der richtige Weg
zur gemeinsamen Nutzung von Konten ist, deren Berechtigungen, doch nicht die Passwörter
zu teilen. Die ideale Lösung sollte es den Nutzern ermöglichen, mit den Berechtigungen eines
gemeinsam genutzten Kontos zu agieren. Doch dazu sollte es nicht erforderlich sein, dass
der Nutzer das Passwort kennt. Zusätzlich sollte der Nutzer immer durch sein eigenes Active
Directory-Konto überprüfbar sein, damit alle Aktionen zu der Person zurückverfolgt werden
können, die die Berechtigungen des gemeinsam genutzten Kontos nutzt.
Centrify Server Suite ermöglicht es den Endnutzern, gemeinsam genutzte Konten im Active
Directory zu nutzen, ohne dafür den Namen des geteilten Kontos oder das Passwort kennen
zu müssen. Centrify Agent fügt die Identität und/oder die Berechtigungen des gemeinsam
genutzten Kontos zum Security-Token des Nutzers hinzu, wenn der Nutzer eine privilegierte
Anwendung startet, wie in der folgenden Darstellung mit unserer Nutzerin Theresa.
6
©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN
WWW.CENTRIFY.COM
WHITE PAPER
Anonyme Aktivitäten eliminieren
Theresa meldet sich als sie selbst an und all ihre privilegierten Aktivitäten werden mit
Theresas Active Directory-Konto (im Vergleich zu einem gemeinsam genutzten Konto)
verbunden.
Standard
nutzer
Services Snap-In
Als anderes Konto
ausführen
Centrify Server Suite
Aktualisierung von Theresas
Zugangs-Token
Suche nach Theresa
Audit-Datenbank
Aktion Theresa
zuschreiben
Server SRVX
Video-Wiedergabe
Das Endergebnis ist die Fähigkeit, gemeinsam genutzte Nutzerkonten sicher und mit
garantierter Verantwortlichkeit zu erstellen und einzusetzen, damit Handlungen dem richtigen
Mitarbeiter zugeordnet werden können. Denn es reicht nicht aus, nur Zugangskontrollen
einzurichten. Man muss auch dazu in der Lage sein, alle Aktivitäten zu überwachen, die mit
diesen Zugangskontrollen in Verbindung stehen.
Bedrohungsszenario 3: Kein
Schutz von PCI-Daten vor
Domain-Administratoren
Eine der Realitäten der Windows-Domänenverwaltung ist das praktisch jede Organisation
ganz gleich welcher Größe mit dem Prinzip der Aufgabenverteilung (auch als Trennung von
Aufgaben bezeichnet) in Konflikt
geraten kann. Dieses Prinzip wird
auf verschiedene Arten deutlich:
Es könnte bedeuten, dass ein
Mitarbeiter, der eine Rechnung in
einem Abrechnungssystem erstellen
kann, niemals die Möglichkeit haben
sollte, die Erstellung der besagten
Rechnung zu überprüfen. Oder, die
heutzutage wohl häufigste Form
der Verletzung der Prinzipien der
Windows-Domänenverwaltung,
könnte so aussehen, dass ein
sehr hoher Prozentsatz der
Domain-Administratoren eines
7
Realitätscheck
2013 gipfelte in einer Sicherheitslücke bei einem
sehr großen und bekannten Handelunternehmen, durch die die Bank- und Kreditkartendaten
von mehr als 70 Millionen Individuen gefährdet
wurden. Untersuchungen dieser Sicherheitslücke
ergaben, dass Diebe Zugang zu den Computersystemen des Händlers durch von einem Händler für
Heiz- und Kühlgeräte gestohlene Zugangsdaten
zum Netzwerk erhielten. Dieser Händler hatte
eindeutig keinerlei geschäftliche Rechtfertigung
für den Zugang zu den PCI-Servern. Falls diese
Zugangsdaten nur Berechtigungen für den “geringstmöglichen Zugang” erlaubt hatten, wäre der
Schaden begrenzt worden.
©2015 CENTRIFY CORPORATION ALL RIGHTS RESERVED
WWW.CENTRIFY.COM
Verhindern Sie drei Windows Server-Bedrohungsszenarien
Unternehmens keinerlei geschäftliche Rechtfertigung für den Zugang zu sensiblen und
geschützten Daten hat und ihn faktisch gesehen trotzdem besitzt.
Lösung: Setzen Sie die Trennung von Aufgaben durch
Die richtige Lösung sollte Sie dazu in die Lage versetzen, dem Nutzer zu einem DomainAdministrator für den Computer, auf dem er sich einloggt, zu machen, statt ihn zu einem
lokalen Administrator auf jedem Computer in der Domäne zu machen. Mit anderen Worten
werden ihm keine besonderen Berechtigungen auf anderen Computern eingeräumt. Diese
Aktion schützt PCI-Daten die der Domain-Administrator keine administrativen Zugangsdaten zu
den PCI-Servern hat. Ein weiterer Vorteil besteht in der Reduzierung der Angriffsfläche für APTs,
da Nutzer sich nicht mehr über die Domain-Administratoren- oder lokalen AdministratorenKonten anmelden. Auf diese Weise setzt Centrify Server Suite die Trennung von Aufgaben
durch, wie sie in der folgenden Darstellung mit einem Domain-Administrator namens Matt
zu sehen ist: Diese Art der Einrichtung schützt PCI-Daten vor internen Mitarbeiten, die
keine geschäftliche Rechtfertigung für den Zugang zu PCI-Servern haben, während sie es
dem Domain-Administrations-Team ermöglicht, den Einsatz des Active Directory mit ihren
Standard-Tools zu verwalten. Infolgedessen können Organisationen regulierte Daten vor
Domain-Administratoren schützen, während die von gesetzlichen Vorschriften und Auditoren
vorgegebene Aufgabentrennung durchgesetzt wird.
Durchgesetzte Aufgabenteilung
Matt hat Domain-Administrator-Berechtigungen
auf dem Domain-Controller, doch keinerlei
Zugang zu Servern mit geschützten Daten.
Domänen-Nutzer
Matt
Kein Zugang
Kein Zugang
Kein Zugang
Admin-Berechtigungen
PCI Server
HIPAA Server
MAS Server
Domain Controller
Fazit
Im heutigen IT-Umfeld sind böswillige Insider und Außentäter letztendlich hinter den
„Schlüsseln zum Königreich“ her. Der Zugang zu privilegierten Konten bietet Hackern alles, was
sie brauchen, um sensible Daten von erfolgskritischen Servern zu stehlen oder abzugreifen.
Diese Art von böswilligem Zugang entsteht durch die mangelnde Kontrolle von Identitäten.
Wie die drei vorherigen Szenarien gezeigt haben, bieten Lösungen wie Centrify Server Suite
Organisationen die Kontrolle, die sie benötigen um diese Bedrohungen zu verhindern. Es
schützt ihr Windows Server-Umfeld durch:
• Gewährung von gerade genug Berechtigungen für Nutzer, damit sie ihre geschäftlichen
Ziele erfüllen können. Dies ermöglicht eine sichere Verwaltung von Windows-Diensten
8
©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN
WWW.CENTRIFY.COM
WHITE PAPER
• Erzeugung von Verantwortlichkeit für gemeinsam genutzte Konten im Active Directory
durch einen Bezug der Nutzung des geteilten Kontos zum tatsächlichen Nutzer
• Schutz von PCI-Daten vor Domain-Administratoren durch die Durchsetzung einer
Aufgabentrennung
Durch diese Schritte können Unternehmen ihre identitätsbezogenen Risiken verringern und
ihre Fähigkeit zur kosteneffizienten Umsetzug gesetzlicher Vorschriften signifikant verbessern,
und so Compliance zu einem wiederholbaren und nachhaltigen Teil ihres Geschäftes machen.
Laden Sie sich direkt eine Testversion von Centrify Server Suite herunter,
um zu sehen, wie auch Ihr Unternehmen davon profitieren kann: http://info.
centrify.com/centrifysuitetrialrequest.html.
Weitere Materialien
Informationen zu Lösungen
• Centrify Server Suite: Windows Server Protection
Lösungsübersichten
• Sichere Verwaltung von Windows-Diensten
• Gemeinsam genutzte Konten mit Verantwortlichkeit
• Schutz von PCI-Daten vor Daten-Administratoren
Webinare
• Identitätsbezogene Risiken: Haben Sie Ihre Administratoren kennengelernt?
• Gemeinsam genutzte Konten: Die Tür, die sich schlecht schließen lässt
• Der Schutz kritischer Unternehmensdaten vor berechtigten Benutzern auf Windows Server
Centrify bietet konsolidiertes Identitätsmanagement im Rahmen von
S A N T A C L A R A , C A L I F OR N I A Rechenzentren, Clouds und mobilen Umgebungen, wodurch nutzerfreundliche
EMEA Single Sign-Ons (SSO), sowie eine vereinfachte Identitätsinfrastruktur für
ASIA PACIFIC
+61 1300 795 789
IT-Abteilungen ermöglicht werden. Die konsolidierte Identitätsmanagement-
BRAZIL
+55 11-3958 4876
Software und Cloud-basierten Identity-as-a-Service (IDaaS)-Lösungen von Centrify
nutzen die bereits in einer Organisation vorhandene Identitätsinfrastruktur, um so
Single Sign-Ons, mehrstufige Autorisierungen, privilegiertes Identitätsmanagement,
Konformität und unternehmerisches Mobilitätsmanagement zu implementieren.
© 2015 C E NT R I F Y C O R PO R A T I O N . AL L R I G H T S R ES ER V ED . +1 (669) 444-5200
+44 (0) 1344 317950
L A T I N A MER I C A +1 305 900 5354
EMA I L [email protected]
WEB www.centrify.com
WWW.C EN T RIFY.C OM
+1 (669) 444- 5200

Download Report