WHITE PAPER Verhindern Sie drei Windows Server-Bedrohungsszenarien WWW.CENTRIFY.COM Verhindern Sie drei Windows Server-Bedrohungsszenarien Inhalt Einleitung3 Bedrohungsszenario 1: Zu viele lokale Administratoren 5 Bedrohungsszenario 2: Gemeinsam genutzte Konten ohne eindeutige Zuordnung der Identität 6 Bedrohungsszenario 3: Kein Schutz von PCI-Daten vor Domain-Administratoren7 Fazit 8 Weitere Materialien 9 Informationen in diesem Dokument, einschließlich URL und andere Referenzen zu Internetseiten können sich ohne vorherige Benachrichtigung ändern. Sofern nicht anders angegeben, sind die in den Beispielen dargestellten Unternehmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse rein fiktiv und es besteht weder eine Verbindung zu echten Unternehmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen, noch soll diese angedeutet werden oder beabsichtigt sein. Die Einhaltung aller entsprechenden Urheberrechtsgesetze liegt in der Verantwortung der Verwender. Ohne jegliche Einschränkung der Rechte unter dem Urheberrechtsschutz, darf dieses Dokument weder ganz noch in Auszügen reproduziert, gespeichert oder in ein Abfragesystem eingespeist werden, oder in irgendeiner Form oder auf irgendeinem Weg (elektronisch, mechanisch, in Fotokopie, als Aufzeichnung oder auf andere Art) übertragen werden, ohne zuvor die ausdrückliche Genehmigung der Centrify Corporation in Schriftform eingeholt zu haben. Centrify kann sich im Besitz von Patenten, Patentanmeldungen, Warenzeichen, Urheberrechten oder anderen Rechten zum Schutz geistigen Eigentums sein, die sich auf die Inhalte dieses Dokuments beziehen. Sofern nicht ausdrücklich von Centrify durch eine schriftliche Lizenzvereinbarung zur Verfügung gestellt, verleiht der Inhalt dieses Dokuments keine Lizenz für diese Patente, Warenzeichen, Urheberrechte oder anderes geistiges Eigentum. Centrify, DirectControl und DirectAudit sind eingetragene Warenzeichen und Centrify Suite, DirectAuthorize, DirectSecure und DirectManage sind Warenzeichen der Centrify Corporation in den Vereinigten Staaten und/oder anderen Ländern. Microsoft, Active Directory, Windows, Windows NT und Windows Server sind entweder eingetragene Warenzeichen oder Warenzeicher der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. Bei den Namen hier genannter echter Unternehmen und Produkte handelt es sich um die Marken und Warenzeichen der entsprechenden Eigentümer 2 ©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN WWW.CENTRIFY.COM WHITE PAPER Abstrakt Von Sicherheitslücken ist aktuell ständig in den Nachrichten zu hören, viele von ihnen sind entweder die Folge von Bedrohungen durch Insider oder durch APTs. Unternehmen und Regierungsbehörden suchen nach Lösungen, um die Risiken dieser Bedrohungen zu mindern. Dieses Whitepaper zeigt drei häufige Windows Server Bedrohungsszenarien auf und erläutert, wie diese neutralisiert werden können. Durch das Befolgen der Richtlinien in diesem Weißbuch können Unternehmen Bedrohungen von außen sowie aus dem internen Netzerk abwehren, ihre Windows Server-Infrastruktur und sensible Daten schützen, sowie die entsprechenden rechtlichen Anforderungen erfüllen. 3 ©2015 CENTRIFY CORPORATION ALL RIGHTS RESERVED WWW.CENTRIFY.COM Verhindern Sie drei Windows Server-Bedrohungsszenarien Einleitung 2013 war so etwas wie ein erfolgreiches Jahr für Sicherheitslücken, was Symantec dazu veranlasst hat, das Jahr als „Mega-Lücke“ zu bezeichnen.1 Anscheinend war keine Organisation davor geschützt und sowohl internationale Unternehmen als auch Regierungsbehörden haben gleichermaßen massive Verletzungen ihrer Systeme, Anwendungen und Daten erleben müssen. Diese Sicherheitslücken haben jedoch deutlich gemacht, dass jedes Unternehmen, dass sein Identitätsmanagement nicht ernst nimmt, sein Windows Server-Umfeld Risiken aussetzt. Die zwei tückischsten Gefährdungen im Windows Server-Bereich, Insiderbedrohungen und APT, basieren auf mangelnder Kontrolle von Identitäten durch das Unternehmen: • Insiderbedrohungen entstehen durch Personen innerhalb eines Unternehmens und treten auf, wenn eine mangelhafte Kontrolle der Identitäten existiert, die den Zugang zu sensiblen Servern und Informationen möglich macht. • Advanced Persistent Threats (APTs) sind Attacken von außen, die ungesicherte Identitäten als Angriffsfläche nutzen, um Zugang zu gesicherten Systemen, Anwendungen und Daten zu erhalten. Lassen Sie sich jedoch nicht täuschen: Ganz gleich, ob eine Bedrohung von innen oder außen kommt, können beide das gleiche Potenzial haben und sich verheerend auf Ihre Daten, Infrastruktur und Ihre Reputation auszuwirken. Im heutigen gesetzlich geregelten Umfeld sind diese Sicherheitslücken nicht einfach nur peinlich. Der Federal Information Security Management Act, der Payment Card Industry Data Security Standard, der Sarbanes-Oxley Act und der Health Insurance Portability and Accountability Act sind nur einige der Gesetze und Verfügungen, die die Art und Weise, in der Unternehmen, Regierungsbehörden und andere Gruppen den Zugang zu ihren Systemen und Anwendungen sichern, berechtigte Aktivitäten überprüfen und Nachweise darüber erbringen müssen, dass Sicherheitskontrollen eingerichtet sind und wie gefordert funktionieren. Viele Unternehmen, die ihre Audits im Jahr zuvor bestanden haben, fielen 2013 durch, da sie ihr Windows Server-Umfeld nicht ausreichend geschützt haben. Dieses Weißbuch zeigt drei häufige Bedrohungsszenarien auf, die das Windows Server-Umfeld einer Organisation beeinträchtigen können - und erläutert, wie Technologie wie die Centrify Server Suite erfolgreich dazu eingesetzt werden kann, um diese Gefahren zu neutralisieren und es Organisationen so möglich macht, sowohl betriebliche als auch gesetzliche Compliance-Ziele zu erfüllen. 1. Symantec Corporation Internet Security Threat 4 Report 2014: Band 19 ©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN WWW.CENTRIFY.COM WHITE PAPER Bedrohungsszenario 1: Zu viele lokale Administratoren In den heutigen heterogenen IT-Umgebungen entstehen administrative Identitäten in einer unkontrollierten Weise. Ohne ein skalierbares Modell zur Verwaltung der Identitäten Ihrer Mitarbeiter, damit verbundenen Berechtigungen und berechtigten Aktivitäten über verschiedenen Anwendungen, Plattformen und Geräte hinweg, entstehen tote Lücken in ihren Sichersheitsbemühungen, die zu nicht vorausgesehenen Risiken führen. Nehmen wir an, dass ein Nutzer einen oder mehrere WindowsDienste bei einer Gruppe von intern durch das Unternehmen genutzten Datenbankservern verwalten muss. Eine typische von IT genutzte Realitätscheck Mindestens drei der bekanntesten, global tätigen Finanzunternehmen bestanden 2013 die Audits nicht, von denen ausgegangen war, dass sie sie bestehen würden, da sie überprivilegierte und nicht ausreichende überwachte Konten an Windows-Administratoren vergaben, ohne dass ein entsprechender notwendiger Bedarf bestand. Methode ist dem Nutzer eine lokale Administratorengruppenzugehörigkeit auf den Datenbankservern zu verleihen. Vielleicht gelten diese Rechte nur eine bestimmte Zeit lang, vielleicht wird das Passwort geändert. Unabhängig davon „besitzt“ der Nutzer in der Zeit, in der er lokaler Administrator ist, den Computer und hat volle Zugangsberechtigungen zu all seinen Ressourcen. Es gibt keine Beschränkungen dazu, was der Nutzer auf den Datenbankservern tun kann. Schlimmer noch, da es ein lokales Administratorenkonto auf dem Windows Server gibt, hat eine APT jetzt die Möglichkeit zu einer „Land and expand“-Attacke: Sie könnte beispielsweise „Pass-the-Hash“ nutzen, um Kontrolle über einen Server zum Erhalt der Kontrolle über weitere Server und Ressourcen zu erhalten. Lösung: Gerade genug Berechtigungen anbieten Die beste Möglichkeit, diese Art von Insiderbedrohungen zu verhindern, erfolgt durch die Gewährung von gerade genug ausreichenden Berechtigungen an den Nutzer, um dessen geschäftliche Ziele erfüllen zu können. „Gerade genug Berechtigungen“ bedeutet, dass ein oder mehrere Windows-Dienste auf dem Zieldatenbankserver verwaltet werden können, ohne eine lokale Berechtigungen sicher erweitern Theresa erweitert reibungslos ihre Berechtigungen ohne lokaler Administrator zu sein oder das administrative Passwort zu kennen. Administratorengruppenzugehörigkeit zu gewähren. Durch die Wahl dieses Ansatzes Theresa StandardNutzer Services Snap-In schalten Organisationen das Problem von zu vielen Nutzern aus, die Mit Berechtigungen ausführen umfassende und nicht verwaltete administrative Macht haben, indem der berechtigte Zugang gesichert wird und genau geregelt wird, wer welche administrativen Funktionen 5 Server SRVX ©2015 CENTRIFY CORPORATION ALL RIGHTS RESERVED Aktualisierung von Theresas Zugangs-Token Centrify Server Suite WWW.CENTRIFY.COM Verhindern Sie drei Windows Server-Bedrohungsszenarien durchführen kann. Darüber hinaus erhalten Organisationen globale Kontrolle und Transparenz von Berechtigungen und die Möglichkeit, eine Überprüfbarkeit auf Nutzerebene über alle Server hinweg einzurichten, sowohl im Unternehmen als auch in der Cloud. Wenn eine Lösung wie Centrify Server Suite eingerichtet wurde, sind Organisationen dazu in der Lage, diese Art des Szenarios wahr werden zu lassen und Aktionen dem passenden Personen zuzuweisen. Diese Methode eines klaren Prüfpfads ist der erste Schritt zur sicheren Verwaltung von Windows-Diensten. Bedrohungsszenario 2: Gemeinsam genutzte Konten ohne eindeutige Zuordnung der Identität Falls es ein Lexikon gäbe, das den Ausdruck “ermöglichte Bedrohungen durch Insider” enthält, dann ständen gemeinsam genutzte Konten sicherlich ganz am Anfang der Definition. IT-Organisationen müssen Nutzerkonten im Active Directory erstellen und sowohl den Kontonamen als auch das Passwort verschiedenen Nutzern mitteilen. Diese gemeinsam genutzten Konten sind in vielen Situationen notwendig. Leider sind gemeinsam genutzte Konten schwer zu verwalten und kaum bis überhaupt nicht durch traditionelle PAM- (Privileged Account Management) Technologien zu sichern. Nutzer können leicht Passwörter für gemeinsam genutzte Konten weitergeben, Realitätscheck Wo ich denke, dass wir nachlässig waren ... ist, dass wir [Edward Snowden] eine Form der Anonymität ermöglicht haben, als er tat [was er tat]. Jemand hat all das nicht beachtet. Die Lektion, die wir daraus gelernt haben ist, dass man Anonymität in einem Netzwerk unmöglich machen muss.“ 2. 2. Lonny Anderson, NSA Director of Technology bei nur geringem Risiko dafür zur Rechenschaft gezogen zu werden, wenn IT nur native Windowskontrollen verwendet, da native Tools das gemeinsam genutzte Konto ohne Zuordnung zum tatsächlichen Nutzer überwachen. Lösung: Handlungen zum tatsächlichen Nutzer zurückverfolgen Natürlich brauchen gemeinsam genutzte Konten eine besondere Behandlung. Der richtige Weg zur gemeinsamen Nutzung von Konten ist, deren Berechtigungen, doch nicht die Passwörter zu teilen. Die ideale Lösung sollte es den Nutzern ermöglichen, mit den Berechtigungen eines gemeinsam genutzten Kontos zu agieren. Doch dazu sollte es nicht erforderlich sein, dass der Nutzer das Passwort kennt. Zusätzlich sollte der Nutzer immer durch sein eigenes Active Directory-Konto überprüfbar sein, damit alle Aktionen zu der Person zurückverfolgt werden können, die die Berechtigungen des gemeinsam genutzten Kontos nutzt. Centrify Server Suite ermöglicht es den Endnutzern, gemeinsam genutzte Konten im Active Directory zu nutzen, ohne dafür den Namen des geteilten Kontos oder das Passwort kennen zu müssen. Centrify Agent fügt die Identität und/oder die Berechtigungen des gemeinsam genutzten Kontos zum Security-Token des Nutzers hinzu, wenn der Nutzer eine privilegierte Anwendung startet, wie in der folgenden Darstellung mit unserer Nutzerin Theresa. 6 ©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN WWW.CENTRIFY.COM WHITE PAPER Anonyme Aktivitäten eliminieren Theresa meldet sich als sie selbst an und all ihre privilegierten Aktivitäten werden mit Theresas Active Directory-Konto (im Vergleich zu einem gemeinsam genutzten Konto) verbunden. Standard nutzer Services Snap-In Als anderes Konto ausführen Centrify Server Suite Aktualisierung von Theresas Zugangs-Token Suche nach Theresa Audit-Datenbank Aktion Theresa zuschreiben Server SRVX Video-Wiedergabe Das Endergebnis ist die Fähigkeit, gemeinsam genutzte Nutzerkonten sicher und mit garantierter Verantwortlichkeit zu erstellen und einzusetzen, damit Handlungen dem richtigen Mitarbeiter zugeordnet werden können. Denn es reicht nicht aus, nur Zugangskontrollen einzurichten. Man muss auch dazu in der Lage sein, alle Aktivitäten zu überwachen, die mit diesen Zugangskontrollen in Verbindung stehen. Bedrohungsszenario 3: Kein Schutz von PCI-Daten vor Domain-Administratoren Eine der Realitäten der Windows-Domänenverwaltung ist das praktisch jede Organisation ganz gleich welcher Größe mit dem Prinzip der Aufgabenverteilung (auch als Trennung von Aufgaben bezeichnet) in Konflikt geraten kann. Dieses Prinzip wird auf verschiedene Arten deutlich: Es könnte bedeuten, dass ein Mitarbeiter, der eine Rechnung in einem Abrechnungssystem erstellen kann, niemals die Möglichkeit haben sollte, die Erstellung der besagten Rechnung zu überprüfen. Oder, die heutzutage wohl häufigste Form der Verletzung der Prinzipien der Windows-Domänenverwaltung, könnte so aussehen, dass ein sehr hoher Prozentsatz der Domain-Administratoren eines 7 Realitätscheck 2013 gipfelte in einer Sicherheitslücke bei einem sehr großen und bekannten Handelunternehmen, durch die die Bank- und Kreditkartendaten von mehr als 70 Millionen Individuen gefährdet wurden. Untersuchungen dieser Sicherheitslücke ergaben, dass Diebe Zugang zu den Computersystemen des Händlers durch von einem Händler für Heiz- und Kühlgeräte gestohlene Zugangsdaten zum Netzwerk erhielten. Dieser Händler hatte eindeutig keinerlei geschäftliche Rechtfertigung für den Zugang zu den PCI-Servern. Falls diese Zugangsdaten nur Berechtigungen für den “geringstmöglichen Zugang” erlaubt hatten, wäre der Schaden begrenzt worden. ©2015 CENTRIFY CORPORATION ALL RIGHTS RESERVED WWW.CENTRIFY.COM Verhindern Sie drei Windows Server-Bedrohungsszenarien Unternehmens keinerlei geschäftliche Rechtfertigung für den Zugang zu sensiblen und geschützten Daten hat und ihn faktisch gesehen trotzdem besitzt. Lösung: Setzen Sie die Trennung von Aufgaben durch Die richtige Lösung sollte Sie dazu in die Lage versetzen, dem Nutzer zu einem DomainAdministrator für den Computer, auf dem er sich einloggt, zu machen, statt ihn zu einem lokalen Administrator auf jedem Computer in der Domäne zu machen. Mit anderen Worten werden ihm keine besonderen Berechtigungen auf anderen Computern eingeräumt. Diese Aktion schützt PCI-Daten die der Domain-Administrator keine administrativen Zugangsdaten zu den PCI-Servern hat. Ein weiterer Vorteil besteht in der Reduzierung der Angriffsfläche für APTs, da Nutzer sich nicht mehr über die Domain-Administratoren- oder lokalen AdministratorenKonten anmelden. Auf diese Weise setzt Centrify Server Suite die Trennung von Aufgaben durch, wie sie in der folgenden Darstellung mit einem Domain-Administrator namens Matt zu sehen ist: Diese Art der Einrichtung schützt PCI-Daten vor internen Mitarbeiten, die keine geschäftliche Rechtfertigung für den Zugang zu PCI-Servern haben, während sie es dem Domain-Administrations-Team ermöglicht, den Einsatz des Active Directory mit ihren Standard-Tools zu verwalten. Infolgedessen können Organisationen regulierte Daten vor Domain-Administratoren schützen, während die von gesetzlichen Vorschriften und Auditoren vorgegebene Aufgabentrennung durchgesetzt wird. Durchgesetzte Aufgabenteilung Matt hat Domain-Administrator-Berechtigungen auf dem Domain-Controller, doch keinerlei Zugang zu Servern mit geschützten Daten. Domänen-Nutzer Matt Kein Zugang Kein Zugang Kein Zugang Admin-Berechtigungen PCI Server HIPAA Server MAS Server Domain Controller Fazit Im heutigen IT-Umfeld sind böswillige Insider und Außentäter letztendlich hinter den „Schlüsseln zum Königreich“ her. Der Zugang zu privilegierten Konten bietet Hackern alles, was sie brauchen, um sensible Daten von erfolgskritischen Servern zu stehlen oder abzugreifen. Diese Art von böswilligem Zugang entsteht durch die mangelnde Kontrolle von Identitäten. Wie die drei vorherigen Szenarien gezeigt haben, bieten Lösungen wie Centrify Server Suite Organisationen die Kontrolle, die sie benötigen um diese Bedrohungen zu verhindern. Es schützt ihr Windows Server-Umfeld durch: • Gewährung von gerade genug Berechtigungen für Nutzer, damit sie ihre geschäftlichen Ziele erfüllen können. Dies ermöglicht eine sichere Verwaltung von Windows-Diensten 8 ©2015 CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN WWW.CENTRIFY.COM WHITE PAPER • Erzeugung von Verantwortlichkeit für gemeinsam genutzte Konten im Active Directory durch einen Bezug der Nutzung des geteilten Kontos zum tatsächlichen Nutzer • Schutz von PCI-Daten vor Domain-Administratoren durch die Durchsetzung einer Aufgabentrennung Durch diese Schritte können Unternehmen ihre identitätsbezogenen Risiken verringern und ihre Fähigkeit zur kosteneffizienten Umsetzug gesetzlicher Vorschriften signifikant verbessern, und so Compliance zu einem wiederholbaren und nachhaltigen Teil ihres Geschäftes machen. Laden Sie sich direkt eine Testversion von Centrify Server Suite herunter, um zu sehen, wie auch Ihr Unternehmen davon profitieren kann: http://info. centrify.com/centrifysuitetrialrequest.html. Weitere Materialien Informationen zu Lösungen • Centrify Server Suite: Windows Server Protection Lösungsübersichten • Sichere Verwaltung von Windows-Diensten • Gemeinsam genutzte Konten mit Verantwortlichkeit • Schutz von PCI-Daten vor Daten-Administratoren Webinare • Identitätsbezogene Risiken: Haben Sie Ihre Administratoren kennengelernt? • Gemeinsam genutzte Konten: Die Tür, die sich schlecht schließen lässt • Der Schutz kritischer Unternehmensdaten vor berechtigten Benutzern auf Windows Server Centrify bietet konsolidiertes Identitätsmanagement im Rahmen von S A N T A C L A R A , C A L I F OR N I A Rechenzentren, Clouds und mobilen Umgebungen, wodurch nutzerfreundliche EMEA Single Sign-Ons (SSO), sowie eine vereinfachte Identitätsinfrastruktur für ASIA PACIFIC +61 1300 795 789 IT-Abteilungen ermöglicht werden. Die konsolidierte Identitätsmanagement- BRAZIL +55 11-3958 4876 Software und Cloud-basierten Identity-as-a-Service (IDaaS)-Lösungen von Centrify nutzen die bereits in einer Organisation vorhandene Identitätsinfrastruktur, um so Single Sign-Ons, mehrstufige Autorisierungen, privilegiertes Identitätsmanagement, Konformität und unternehmerisches Mobilitätsmanagement zu implementieren. © 2015 C E NT R I F Y C O R PO R A T I O N . AL L R I G H T S R ES ER V ED . +1 (669) 444-5200 +44 (0) 1344 317950 L A T I N A MER I C A +1 305 900 5354 EMA I L [email protected] WEB www.centrify.com WWW.C EN T RIFY.C OM +1 (669) 444- 5200
© Copyright 2025 ExpyDoc