von Redaktion IT-A…
Lesezeit
3 Minuten
Missbrauch privilegierter Accounts verhindern (2)
IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im zweiten Teil des Workshops beschäftigen wir uns mit Verschlüsselung, der technischen Kontrolle administrativer Zugriffe und gezielter Protokollierung im Active Directory.
Verschlüsselung einsetzen
Neben dem Schutz für sensible und oder personenbezogene Daten bietet der Einsatz von Verschlüsselung auch einen hervorragenden Selbstschutz für die IT-Abteilung. Denn haben nachweislich ausschließlich die berechtigten Personen Zugang zu verschlüsselten Dateien, E-Mails und so weiter, steht die IT-Abteilung nicht mehr unter Generalverdacht, falls einmal Informationen offenbart werden. Damit wird also auch die "Nicht-Kenntnisnahme" beweisbar.
Gut geeignet sind beispielsweise Systeme für die File- und Folder-Verschlüsselung, mit denen sich die Dateien auf lokalen oder Netzlaufwerken sowie mobilen Datenträgern verschlüsseln lassen. Da hierbei lediglich der Inhalt der Dateien verschlüsselt wird, bleibt der Zugriff auf die Dateien selbst für die Administratoren weiterhin möglich. Die IT-Abteilung kann diese Files also weiterhin problemlos sichern und wiederherstellen, erhält aber keine Kenntnis von den Inhalten. Die Dateinamen bleiben dabei unverändert, sodass die Besitzer der Dateien lediglich darauf achten müssen, dass der Inhalt nicht schon anhand des Dateinamens erkennbar ist. Dateinamen wie "Abmahnung_Peter_Mueller_082017.docx" sind also keine gute Idee.
Für die Verschlüsselung von E-Mails stellt das S/MIME-Verfahren den Industriestandard dar. Dabei wird ein X.509-Zertifikat, bestehend aus Public- und-Private Key, im Windows-Zertifikatsspeicher abgelegt. Zugang zu den verschlüsselten E-Mails auf dem Mailserver ist dann nur noch möglich, wenn ein Zugriff auf das Zertifikat gewährleistet ist. Selbstverständlich müssen Sie beim Einsatz von Verschlüsselungstechnologien besonders auf eine Rollentrennung achten. So bietet es sich beispielsweise an, die Verwaltung des Schlüsselmaterials in die Hände eines von der IT-Abteilung unabhängigen IT-Sicherheitsbeauftragten zu legen.
Technische Kontrolle administrativer Zugriffe
Neben den oben beschriebenen organisatorischen Maßnahmen ist es sinnvoll, zusätzlich eine oder mehrere technische Überwachungsinstanzen zu etablieren. Für das Monitoring und Logging administrativer Zugriffe halten einerseits die gängigen Betriebssysteme diverse Werkzeuge bereit, andererseits gibt es aber auch spezialisierte Software, deren Funktionen deutlich über die Möglichkeiten der OS-integrierten Tools hinausgehen. Selbstverständlich muss die Einführung solcher Werkzeuge ebenfalls mit den Mitarbeitern der IT-Abteilung und gegebenenfalls auch mit der Mitarbeitervertretung und dem Datenschutzbeauftragten abgestimmt sein.
Die Konfiguration der Sicherheitssysteme ist nach dem Prinzip der Rollentrennung wieder außerhalb der IT-Abteilung, etwa beim IT-Sicherheitsbeauftragten, anzusiedeln. Entscheidend ist, dass alle Beteiligten den Sinn und die Mehrwerte einer Überwachungslösung verstehen und akzeptieren. Denn es geht ja weiterhin nicht um ein generelles Misstrauen gegenüber den IT-Administratoren, sondern um die Etablierung einer Sicherheits- und Qualitätssicherungsschicht, die beiden Seiten gleichermaßen Sicherheit bietet. Aus Sicht des Unternehmens geht es dabei vorrangig um den Schutz der Unternehmensreputation, des geistigen Eigentums und der Kundendaten. Die Systemadministratoren profitieren hingegen vor allem wieder von der Beweisbarkeit der "Nicht-Kenntnisnahme" vertraulicher Informationen.
Gezielte Protokollierung im Active Directory
Administrative Gruppen gehören im Active Directory zu den kritischen Informationsobjekten. Bestimmte Ereignisse wie fehlgeschlagene Logins sowie Änderungen an diesen Objekten sollten IT-Verantwortliche daher immer überwachen beziehungsweise protokollieren. Versuchen sich Unbefugte Zugang zu einem Administratorkonto zu verschaffen, spiegelt sich das etwa in Fehleingaben des Admin-Kennworts (Ausprobieren) oder dadurch wieder, dass auf einmal unbekannte Benutzer in privilegierten Gruppen auftauchen.
Um diese Ereignisse zu lückenlos überwachen, müssen Sie die Überwachungsfunktionen zunächst über eine Gruppenrichtlinie unter "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Erweiterte Überwachungsrichtlinienkonfiguration / Überwachungsrichtlinien DS-Zugriff / Verzeichnisdienständerungen überwachen / Kontenverwaltung / Benutzerkontenverwaltung überwachen" aktivieren.
Um nicht autorisierten Änderungen an diesen Objekten auf die Spur zu kommen genügt es, fehlgeschlagene Versuche aufzuzeichnen. Fehlgeschlagene Login-Versuche finden sich fortan im Security-Log auf dem Domänencontroller wieder. Sind in der Organisation mehrere DCs vorhanden, sollten Sie die Security-Logs auf einem Rechner konsolidieren, um später eine zentrale Auswertung der Logs zu ermöglichen.
Um die Aufzeichnung zu aktivieren, müssen Sie nun noch die System Access Control List (SACL) der überwachten Objekte über "Active Directory-Benutzer und -Computer" konfigurieren. Öffnen Sie die Eigenschaften des Containers "Users" und klicken Sie auf den Karteireiter "Sicherheit / Erweitert" und dort wählen Sie den Tab "Überwachung". Als Prinzipal wählen Sie "Domänen-Admins" aus und aktivieren dort "Fehlgeschlagen".
Zur Auswertung für Ereignisse bei den Benutzeraccounts legen Sie sich im Windows-Eventlog eine benutzerdefinierte Ansicht nach Event-IDs in der Range von 4720 bis 4797 an, AD-Änderungen finden sich im Bereich der Event-IDs von 5136 bis 5141. Für eine automatisierte Auswertung und Weiterverarbeitung der relevanten Events bietet sich der Einsatz der PowerShell an. Die Events filtern Sie dabei gezielt mit dem folgenden String aus dem Log:
jp/ln/Thomas Zeller
Neben dem Schutz für sensible und oder personenbezogene Daten bietet der Einsatz von Verschlüsselung auch einen hervorragenden Selbstschutz für die IT-Abteilung. Denn haben nachweislich ausschließlich die berechtigten Personen Zugang zu verschlüsselten Dateien, E-Mails und so weiter, steht die IT-Abteilung nicht mehr unter Generalverdacht, falls einmal Informationen offenbart werden. Damit wird also auch die "Nicht-Kenntnisnahme" beweisbar.
Gut geeignet sind beispielsweise Systeme für die File- und Folder-Verschlüsselung, mit denen sich die Dateien auf lokalen oder Netzlaufwerken sowie mobilen Datenträgern verschlüsseln lassen. Da hierbei lediglich der Inhalt der Dateien verschlüsselt wird, bleibt der Zugriff auf die Dateien selbst für die Administratoren weiterhin möglich. Die IT-Abteilung kann diese Files also weiterhin problemlos sichern und wiederherstellen, erhält aber keine Kenntnis von den Inhalten. Die Dateinamen bleiben dabei unverändert, sodass die Besitzer der Dateien lediglich darauf achten müssen, dass der Inhalt nicht schon anhand des Dateinamens erkennbar ist. Dateinamen wie "Abmahnung_Peter_Mueller_082017.docx" sind also keine gute Idee.
Für die Verschlüsselung von E-Mails stellt das S/MIME-Verfahren den Industriestandard dar. Dabei wird ein X.509-Zertifikat, bestehend aus Public- und-Private Key, im Windows-Zertifikatsspeicher abgelegt. Zugang zu den verschlüsselten E-Mails auf dem Mailserver ist dann nur noch möglich, wenn ein Zugriff auf das Zertifikat gewährleistet ist. Selbstverständlich müssen Sie beim Einsatz von Verschlüsselungstechnologien besonders auf eine Rollentrennung achten. So bietet es sich beispielsweise an, die Verwaltung des Schlüsselmaterials in die Hände eines von der IT-Abteilung unabhängigen IT-Sicherheitsbeauftragten zu legen.
Technische Kontrolle administrativer Zugriffe
Neben den oben beschriebenen organisatorischen Maßnahmen ist es sinnvoll, zusätzlich eine oder mehrere technische Überwachungsinstanzen zu etablieren. Für das Monitoring und Logging administrativer Zugriffe halten einerseits die gängigen Betriebssysteme diverse Werkzeuge bereit, andererseits gibt es aber auch spezialisierte Software, deren Funktionen deutlich über die Möglichkeiten der OS-integrierten Tools hinausgehen. Selbstverständlich muss die Einführung solcher Werkzeuge ebenfalls mit den Mitarbeitern der IT-Abteilung und gegebenenfalls auch mit der Mitarbeitervertretung und dem Datenschutzbeauftragten abgestimmt sein.
Die Konfiguration der Sicherheitssysteme ist nach dem Prinzip der Rollentrennung wieder außerhalb der IT-Abteilung, etwa beim IT-Sicherheitsbeauftragten, anzusiedeln. Entscheidend ist, dass alle Beteiligten den Sinn und die Mehrwerte einer Überwachungslösung verstehen und akzeptieren. Denn es geht ja weiterhin nicht um ein generelles Misstrauen gegenüber den IT-Administratoren, sondern um die Etablierung einer Sicherheits- und Qualitätssicherungsschicht, die beiden Seiten gleichermaßen Sicherheit bietet. Aus Sicht des Unternehmens geht es dabei vorrangig um den Schutz der Unternehmensreputation, des geistigen Eigentums und der Kundendaten. Die Systemadministratoren profitieren hingegen vor allem wieder von der Beweisbarkeit der "Nicht-Kenntnisnahme" vertraulicher Informationen.
Gezielte Protokollierung im Active Directory
Administrative Gruppen gehören im Active Directory zu den kritischen Informationsobjekten. Bestimmte Ereignisse wie fehlgeschlagene Logins sowie Änderungen an diesen Objekten sollten IT-Verantwortliche daher immer überwachen beziehungsweise protokollieren. Versuchen sich Unbefugte Zugang zu einem Administratorkonto zu verschaffen, spiegelt sich das etwa in Fehleingaben des Admin-Kennworts (Ausprobieren) oder dadurch wieder, dass auf einmal unbekannte Benutzer in privilegierten Gruppen auftauchen.
Um nicht autorisierten Änderungen an diesen Objekten auf die Spur zu kommen genügt es, fehlgeschlagene Versuche aufzuzeichnen. Fehlgeschlagene Login-Versuche finden sich fortan im Security-Log auf dem Domänencontroller wieder. Sind in der Organisation mehrere DCs vorhanden, sollten Sie die Security-Logs auf einem Rechner konsolidieren, um später eine zentrale Auswertung der Logs zu ermöglichen.
Um die Aufzeichnung zu aktivieren, müssen Sie nun noch die System Access Control List (SACL) der überwachten Objekte über "Active Directory-Benutzer und -Computer" konfigurieren. Öffnen Sie die Eigenschaften des Containers "Users" und klicken Sie auf den Karteireiter "Sicherheit / Erweitert" und dort wählen Sie den Tab "Überwachung". Als Prinzipal wählen Sie "Domänen-Admins" aus und aktivieren dort "Fehlgeschlagen".
Zur Auswertung für Ereignisse bei den Benutzeraccounts legen Sie sich im Windows-Eventlog eine benutzerdefinierte Ansicht nach Event-IDs in der Range von 4720 bis 4797 an, AD-Änderungen finden sich im Bereich der Event-IDs von 5136 bis 5141. Für eine automatisierte Auswertung und Weiterverarbeitung der relevanten Events bietet sich der Einsatz der PowerShell an. Die Events filtern Sie dabei gezielt mit dem folgenden String aus dem Log:
Get-EventLog -LogName Security -Source "*auditing*"Passen Sie die Parameter "ComputerName" und "InstanceID" dabei entsprechend Ihren Anforderungen an. Fällt der Output zu umfangreich aus, können Sie bei Bedarf auch nur die 30 neuesten Einträge ausgeben, indem Sie den Parameter "| Newest 30" anfügen. Eine seitenweise Ausgabe der Ergebnisse erreichen Sie dagegen mit "oh -Paging".
-ComputerName <DomainController> -InstanceId (<4720 … 4797>)
Im ersten Teil der Workshopserie erklärten wir, warum Admin-Accounts besonders schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen können. Im dritten Teil stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
jp/ln/Thomas Zeller
