Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 30 Sicherheit im verteilten Active Directory
  gp 30.1 Sicherheitsrisiken
  gp 30.2 Sicherheitskonzepte
  gp 30.3 Sicherheitsmaßnahmen
  gp 30.4 Überwachungsrichtlinien (Auditing)
  gp 30.5 Maßnahmen zur Reduzierung und Auswirkungen von sicherheitsrelevanten Vorfällen
  gp 30.6 Erstellung eines Reaktionsplans für sicherheitsrelevante Zwischenfälle des Systems
  gp 30.7 Tools für die Sicherheitskonfiguration und Sicherheitsüberwachung


Galileo Computing

30.2 Sicherheitskonzepte  toptop

Authentifizierung und Autorisierung im Active Directory

Die Sicherheit von Windows Server basiert auf Authentifizierung und Autorisierung. Die Authentifizierung identifiziert den Benutzer bei der Anmeldung und beim Verbindungsaufbau zu Netzwerkdiensten. Einmal identifiziert, ist der Benutzer durch Berechtigungen für den Zugriff auf bestimmte Netzwerkressourcen autorisiert. Die Autorisierung findet durch die Zugriffskontrolle mit Hilfe der Zugriffskontrolllisten (ACLs) statt. Sie definieren, welche Benutzer bzw. Benutzergruppen welche Art von Berechtigungen für Dateien, Verzeichnisse, Drucker, Dienste etc. haben.

Domänen und Vertrauensstellungen

Eine Domäne besteht in Windows 2000/2003 aus einer Sammlung von Netzwerkobjekten (Benutzer, Computer, Gruppen von Benutzern oder Computern usw.), die unter Berücksichtigung der Sicherheit eine gemeinsame Verzeichnisdatenbank verwenden. Eine Domäne bildet mit konsistenten internen Richtlinien und expliziten Sicherheitsbeziehungen zu anderen Domänen eine Sicherheitsumgrenzung. In Windows 2000/2003 unterstützen Vertrauensstellungen die domänenübergreifende Authentifizierung durch die Verwendung des Kerberos-v5-Protokolls für Windows-2000/XP-Clients und NTLM-Authentifizierung für Nicht-Windows-2000/XP-Clients (NT-4.0-Clients, Windows-95-Clients etc.). Innerhalb einer Active-Directory-Gesamtstruktur vertrauen sich die Domänen automatisch. Vertrauensstellungen zwischen Domänen verschiedener Gesamtstrukturen müssen bei Bedarf manuell eingerichtet werden.

Sicherheitsrichtlinie

Die Einstellungen der Sicherheitsrichtlinie definieren das Sicherheitsverhalten des Systems. Durch die Verwendung von Gruppenrichtlinienobjekten können Administratoren auf verschiedenen Computerklassen explizite Sicherheitsprofile verwenden. Windows Server enthält z.B. ein Standard-Gruppenrichtlinienobjekt, das als Standardrichtlinie für Domänencontroller deren Sicherheitsverhalten bestimmt.

Sicherheitskonfiguration und analyse

Durch das Starten der Microsoft-Management-Konsole (MMC) und durch das Hinzufügen des Snap-Ins Sicherheitskonfiguration und –analyse können die Sicherheitseinstellungen eines Servers oder einer Workstation mit einer Standardvorlage verglichen und Sicherheitslücken festgestellt werden.

Sicherheitsvorlagen (Security Templates)

Durch Starten der MMC und durch das Hinzufügen des Snap-Ins Sicherheitsvorlagen können vorgefertigte Sicherheitsvorlagedateien (inf-Dateien des Verzeichnisses %systemroot%\security\templates) in ein Gruppenrichtlinienobjekt importiert und das Sicherheitsprofil nach Anpassung anschließend auf viele Computer verteilt werden.

Verschlüsselung mit symmetrischen (geheimen) Schlüsseln

Diese Verschlüsselungsart verwendet für die Ver- und Entschlüsselung von Daten denselben Schlüssel. Sie verarbeitet die Daten sehr schnell und wird in zahlreichen Datenverschlüsselungen für Netzwerke und Dateisysteme eingesetzt.

Verschlüsselung mit öffentlichen Schlüsseln

Diese Verschlüsselungsart verwendet einen öffentlichen und einen privaten Schlüssel. Zur Verwendung dieser Technologie muss eine Infrastruktur für öffentliche Schlüssel eingerichtet werden (PKI, Public Key Infrastructure).

Authentifizierung

Die Windows-2000/2003-Authentifizierung bestätigt die Identität des Benutzers durch Eingabe eines Kennworts, Verwendung einer Smartcard oder mit biometrischen Spezialgeräten (Erkennung der Stimme, des Fingerabdrucks, der Iris etc.) mit Hilfe des Kerberos v5-Protokolls.

Authentifizierung von Softwarecode

Diese Strategie erfordert es, dass Softwarecode, der aus dem Internet oder Intranet heruntergeladen wird, die digitale Signatur eines vertrauenswürdigen Softwareherstellers trägt. Webbrowser können so konfiguriert werden, dass die Ausführung von unsigniertem Softwarecode verhindert wird. Das Signieren von Software beweist, dass der Softwarecode authentisch ist, das heißt, dass er nach der Veröffentlichung nicht mehr manipuliert wurde.

Überwachungsprotokolle

Die Überwachung mittels definierter Sicherheitsrichtlinien legt fest, welche Netzwerkoperationen mitprotokolliert werden: erfolgreiche oder fehlgeschlagene Anmeldeversuche, erfolgreiche oder fehlgeschlagene Zugriffe auf Ressourcen, die Registrierdatenbank usw. Diese Protokolle ermöglichen die Erkennung von Eindringlingen und zeichnen die Versuche von Benutzern auf, sich unerlaubt Zugriff zu verschaffen, und können als Beweismittel herangezogen werden.

Physische Sicherheit

Wichtige Ressourcen wie Server oder RAS-Geräte müssen in verschlossenen Räumen untergebracht werden. Beträchtlicher Schaden kann nicht nur durch intelligente Hackerangriffe von außen, sondern auch durch verärgerte Mitarbeiter auf unintelligente Weise herbeigeführt werden, indem z.B. Geräte mit Gewalt beschädigt oder Datenträger entwendet werden.

Benutzerschulung

Der Trick beim Social Engineering ist, sich vom Türhüter mit einem Lächeln durchwinken zu lassen. Die beste Verteidigung gegen Übergriffe aus dem sozialen Umfeld ist die Schulung des IT-Personals und der Benutzer zum Thema »Geheimhaltung und Schutz von Kennwörtern«. Die Unternehmensrichtlinien zur Verteidigung kritischer Informationen müssen allen Mitarbeitern deutlich dargestellt werden, ebenso wie die Konsequenzen, die sich aus der Nichteinhaltung ergeben.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de