Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 30 Sicherheit im verteilten Active Directory
  gp 30.1 Sicherheitsrisiken
  gp 30.2 Sicherheitskonzepte
  gp 30.3 Sicherheitsmaßnahmen
  gp 30.4 Überwachungsrichtlinien (Auditing)
  gp 30.5 Maßnahmen zur Reduzierung und Auswirkungen von sicherheitsrelevanten Vorfällen
  gp 30.6 Erstellung eines Reaktionsplans für sicherheitsrelevante Zwischenfälle des Systems
  gp 30.7 Tools für die Sicherheitskonfiguration und Sicherheitsüberwachung

Kapitel 30 Sicherheit im verteilten Active Directory

Viele der nachfolgend aufgelisteten Hinweise und Empfehlungen wurden aus Microsoft Whitepapers zusammengestellt. An die endgültigen Sicherheitsrichtlinien eines Servers müssen Sie sich jedoch in einer Testumgebung herantasten.


Wichtiger Hinweis In einem komplexeren LAN oder WAN können die nachfolgend aufgeführten Maßnahmen unter Umständen mehr schaden als nützen, da Sie die Auswirkungen der Maßnahmen nicht sofort abschätzen können. Wenn Sie z.B. die im Abschnitt »Überwachungsrichtlinien (Auditing)« aufgelisteten Überwachungsrichtlinien zeitgleich aktivieren, könnte es sein, dass der Server im Produktivbetrieb stark überlastet wird, da er seine Dienste nicht nur vielen Benutzern zur Verfügung stellen muss, sondern gleichzeitig viele Zugriffe überprüft und mitprotokolliert. Ebenso kann es sein, dass Einstellungen, die in der Testumgebung nicht zu Problemen führen, in der Produktivumgebung zu Fehlern führen, da dort aufgrund der komplexen Netzstruktur (aktive Komponenten wie Router, Bridges, Switches, Firewalls) andere Verhältnisse herrschen.

Nehmen Sie nach Möglichkeit keine Änderungen an der Default Domain Policy vor. Testen Sie die wirklich gewünschten Einstellungen in einer Test-Gruppenrichtlinie aus, jedoch nicht gleichzeitig, sondern Richtlinie für Richtlinie. Nur so können Sie bei plötzlich oder auch erst nach Tagen auftretenden Problemen feststellen, welche Änderung die Ursache war. Verfahren Sie ebenso mit Änderungen an der Registrierdatenbank des Servers oder an den Standardberechtigungen von wichtigen Verzeichnissen auf den Servern.


Die Verzeichnisse Sicherheit Sicherung Disaster Recovery und Projektierung der Buch-DVD enthalten ein reichhaltiges Angebot an Anleitungen, Checklisten und Hinweisen auf weiterführende Literatur zum Thema Sicherheit. Microsoft bietet Tools wie den Microsoft Baseline Security Analyzer an, um Schwachstellen aufzuspüren.

Bei allen Netzwerksicherheitsproblemen kann man unter dem Strich folgendes Fazit ziehen: Hacken geschieht, weil man es zulässt. Wenn eine umfassende Sicherheitsarchitektur eingerichtet, gepflegt und befolgt wird, kann von außen nur sehr schwer in die Systeme eingedrungen werden. Die große Schwachstelle in der IT-Sicherheit ist der Mensch. Die meisten Betrugsfälle wären vermeidbar gewesen, wenn einfach sinnvolle Protokolle eingehalten und die verfügbaren Sicherheitslösungen ordnungsgemäß implementiert worden wären. Es ist sehr viel einfacher, wichtige Informationen von einer Person zu erschleichen, als sie aus einem gut organisierten und geschützten Computersystem zu holen.

Der Artikel »Social Engineering – Die größte Gefahr für die Internet-Sicherheit« im Verzeichnis Sicherheit der Buch-DVD führt drastisch vor Augen, welche Gefahren hier lauern.


Galileo Computing

30.1 Sicherheitsrisiken  toptop

In einer Organisation können folgende Arten von Sicherheitsrisiken auftreten:

Abfangen von Benutzeridentitäten Der Eindringling entdeckt mit sozialen oder technischen Mitteln den Benutzernamen und das Kennwort eines gültigen Benutzers.

Beispiele für soziale Mittel: Der Eindringling gibt sich am Telefon gegenüber einem Benutzer als Mitarbeiter des Supportteams aus und erbittet zwecks angeblicher Administrationsnotwendigkeit das Kennwort des Benutzers.

Der Eindringling verschafft sich über die Internetseiten oder über Gespräche mit Mitarbeitern Informationen über die Organisationsstruktur und die technische Infrastruktur.

Beispiele für technische Mittel: Der Eindringling wählt über eine Spezialsoftware alle potenziellen Telefonnummernkreise der Organisation ab, um herauszufinden, hinter welchen Telefonnummern sich technische Einwahlkomponenten (RAS-Zugänge) befinden. Anschließend fragt er zu bereits bekannten oder gängigen Anmeldenamen vorgefertigte Kennwortlisten ab, um Kennungen mit Kennwort zu erschleichen.

Maskierung

Ein nicht autorisierter Benutzer gibt vor, ein gültiger Benutzer zu sein. Er nimmt z.B. die IP-Adresse eines vertrauenswürdigen Systems an und verschafft sich mit ihrer Hilfe die Zugriffsrechte für das benutzte Gerät oder System.

Replay-Angriff

Der Eindringling zeichnet die Netzwerkkommunikation zwischen einem Benutzer und einem Server auf und spielt sie zu einem späteren Zeitpunkt ab, um sich als Benutzer auszugeben.

Abfangen von Daten

Wenn Daten als Klartext oder ungenügend verschlüsselt über das Netzwerk ausgetauscht werden, können unbefugte Personen die Daten überwachen und aufzeichnen.

Manipulation von Daten oder Programmen

Der Eindringling oder Viren verursachen die Änderung oder Beschädigung von Daten und Programmen.

Blockieren des Betriebs

Der Eindringling überschwemmt einen Server mit Anfragen, die Systemressourcen verbrauchen und entweder einen Zusammenbruch des Servers verursachen oder den normalen Betrieb erheblich stören.

Missbrauch von Privilegien

Ein Administrator oder Benutzer mit erhöhten Rechten benutzt wissentlich oder unwissentlich seine Privilegien, um auf vertrauliche Daten zuzugreifen. Ein Sicherungsoperator benutzt seine Zugangsberechtigung zum Serverraum für Handlungen, die außerhalb seines Aufgabenbereichs liegen, oder spielt Datenbänder auf private Geräte zurück, um die Daten zu missbrauchen.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de