Sonntag, 22. Oktober 2017
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Kennwörter professionell absichern

Zettel mit den Kennwörtern der Mitarbeiter kleben unter den Tastaturen, Post-its mit wichtigen Zugangsdaten sind am Monitor befestigt, die Mitarbeiter teilen ihre Passwörter gerne per Email an vermeintliche „Administratoren“ mit, und die Kennwörter wurden seit fünf Jahren nicht mehr gewechselt? Dann wird es höchste Zeit für eine effektive und restriktive Passwort-Policy! Vor allem sollten die IT-Verantwortlichen diese auch durchsetzen, ansonsten drohen fiese Sicherheitslücken im gesamten IT-Verbund.

In der letzten Zeit häufen sich die „Security-Hiobsbotschaften“ in den Medien. Immer wieder werden größere „Hacks“ bekannt, bei denen Dritte auf die Zugangsdaten und Kundendaten Zugriff erlangen konnten. Dagegen sind weder Internet-Provider, Kreditkartenunternehmen, Email-Anbieter noch Spiele-Firmen gefeit. In der Regel konnten die Angreifer Sicherheitslücken im IT-System ausnutzen, teilweise gelangen die Hacker aber auch durch „Social-Engineering“ an Kennwörter, und erlangen (zunächst) einmal „nur“ Zugriff auf die Clients.

Dort angekommen können Spezial-Tools oder auch ganz normale Windows-Bordmittel eingesetzt werden, um sich im System beziehungsweise im Netzwerk weiter auszubreiten. Diese Seitwärtsbewegung lässt sich nicht immer von der IT-Sicherheit erkennen, somit gelangen die Angreifer früher oder später auf alle (wichtigen) Systeme.

Gegen bestimmte Angriffsszenarien ist (oftmals) kein „Kraut gewachsen“ – schließlich ist es nicht möglich, alle Sicherheitslücken zu schließen. Allerdings helfen in der Regel bestimmte Voraussetzungen, die IT-Sicherheit sowie wie möglich zu erhöhen. Neben den typischen Methoden, etwa das zeitige Installieren aller verfügbaren Betriebssystem- und Software-Updates, können auch ausgefeilte Berechtigungskonzepte eingesetzt werden.

Aber beim Thema „Kennwortsicherheit“ müssen die IT-Verantwortlichen entsprechenden Vorgaben machen, und diese auch durchsetzen. Dabei werden zunächst unterschiedliche Vorgaben zur Beschaffenheit der Kennwörter zu beachten:

  • Minimale Kennwortlänge,
  • keine Zeichenkombinationen die im Wörterbuch vorkommen,
  • eine Mischung aus Sonderzeichen, Zahlen und Buchstaben (in Groß- und Kleinschreibung),
  • regelmäßige Kennwortwechsel, bei denen ein Großteil des Kennworts im Vergleich zu den Vorangegangen signifikant abweichen muss.

Aber Kennwörter alleine sind kein Garant für die Sicherheit in den Unternehmen. Denn auch weitere Faktoren müssen berücksichtigt werden. Beispielsweise der sichere Umgang mit den Passwörtern, oder Einschränkungen bei den Berechtigungen. Etwa wenn lokale Admin-Rechte nicht an die „normalen“ Benutzer vergeben werden – auch nicht wenn die Mitarbeiter „meine“, sie müssten selbstständig Anwendungssoftware auf den Clients installieren.

Aber auch die „vollwertigen“ Administratoren im Active Directory sollten nur mit den Berechtigungen ausgestattet werden, die unbedingt benötigt werden. Falls möglich, sollte den Admins auch nur eine gewisse Zeitspanne mit erhöhten Berechtigungen eingeräumt werden (vergleiche Just in Time Administration bei Windows Server 2016). Und ganz wichtig: Kennwörter dürfen nicht auf Spickzetteln, unter der Tastatur oder in einem (Text-) Dokument auf den Systemen notiert werden. Über nichts freuen sich Hacker so sehr, wie unverschlüsselte Informationen. Ob die nun direkt zu Geld gemacht werden können, oder die sie nutzen um Zugriff auf die Systeme zu erlangen ist dabei (meist) nebensächlich.

Weitere Sicherheitsmerkmale sind etwa eine Mehrfaktor-Authentifizierung, entsprechende Zertifikate oder das Prüfen der Logon-Systeme. Denn falls die Systeme sich nicht im internen Netz befinden (und das sollten) weist dies auf einen unautorisierten Fremdzugriff hin. Über Zertifikate und Vertrauensstellungen lässt sich die „Identität“ der Clients prüfen. Aber auch der Komfort beim Anmelden sollte im Fokus der IT-Systembetreuer liegen. Denn wer sich zunächst einen viertelstündigen Anmeldevorgang unterziehen muss, um seine E-Mails zu checken, wird nicht in der Lage sein effektiv zu arbeiten. Zur Vereinfachung des Anmeldevorgangs können beispielsweise biometrische Anmeldeoptionen eingesetzt werden, oder ein Single-Sign-On genutzt werden.

Florian Huttenloher

Diesen Artikel bewerten
  
 4.83 (6 Bewertungen)
Kommentare
Anmelden
Anmelden