Grundlagen

Server-Sicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Isoliert lässt sich das Thema Server-Sicherheit kaum mehr betrachten, da die Server natürlich in ein Netzwerk eingebunden sind und zahlreiche Clients von innen und außen darauf zugreifen. Auch spielt die Virtualisierung eine zunehmenden Rolle in Fragen der Server-Sicherheit. Und was nützen Firewall und Co., wenn sich einfach User dank Admin-Rechten im Netzwerk schnell mal zum Domänen-Admin ernennen können?
Virtuelle Gefahren
In virtuellen Umgebungen verstärken sich Sicherheitsprobleme relativ leicht. Die Ursache dafür liegt im Bedienkomfort, der viele Vorgänge für den Admin vereinfacht. So erfordert es nur wenige Mausklicks, um eine virtuelle Maschine (VM) zu vervielfältigen. Auf diese Weise ist schnell ein neuer Server oder sind zusätzliche Clients eingerichtet, was früher Stunden oder Tage dauerte. Oft jedoch werden dadurch unbedacht auch Konfigurationen und Zugänge mitkopiert, die auf dem neuen System eigentlich gar nichts zu suchen haben. Das fängt bei Diensten und Komponenten an, die in der Vorlage nötig waren, anderswo aber nicht, und hört bei dem Administratorkonto noch lange nicht auf, das nun auf allen Klonen dasselbe Kennwort besitzt.

Ähnlich gefährlich ist die gängige Praxis, VM-Server mal eben durch das Kopieren der virtuellen Festplattendatei zu sichern. Ein solches Backup braucht natürlich Platz, und wenn dieser knapp ist, landet die Kopie schnell irgendwo im Netzwerk. Und dort bleibt sie dann – ohne Rücksicht, wer noch alles darauf zugreifen kann. Bei Sicherheits-Checks finden Consultants immer wieder vagabundierende VM-Images mit sensiblen Daten an ungeschützten Orten. Warum soll ein Angreifer sich da noch die Mühe machen, den Server zu hacken, wenn er ihn einfach mitnehmen kann?

Admin-Konten außer Kontrolle
Eng verwandt mit dem Problem des universalen Kennworts ist die so genannte "Königsfamilie". Immer noch gibt es in den meisten Netzwerken nur Herrscher, aber keine Anwender. Der Grund: Alle Benutzer verfügen über Administratorrechte auf ihren Computern. Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann. Ähnliches gilt übrigens auch für andere Betriebssysteme.

Übrigens sind die Windows-Hauptbenutzer, auf die viele Admins gern ausweichen, wenn sie ihre User nicht zu Admins machen wollen, nichts weiter als Administratoren im Wartestand. Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie bekannt. Immerhin hat Microsoft dem mit Windows 7 und Vista einen Riegel vorgeschoben, denn dort gibt es die Gruppe zwar noch, aber sie besitzt keine erweiterten Rechte mehr.

Noch einfacher machen es viele Administratoren den Angreifern, wenn sie das vordefinierte Administrator-Konto verwenden, das Windows immer vorhält – für Rechner unter Linux und Mac gilt dasselbe, nur heißt das Konto dort "root". Neben seinen Adminrechten hat es noch ein paar weitere attraktive Eigenschaften, die es sehr bequem machen – es wird in den meisten Umgebungen auch nach falscher Kennworteingabe nicht gesperrt, es unterliegt nicht der User Account Control (UAC) und es darf EFS-verschlüsselte Daten entziffern.

Immer noch finden sich in Unternehmen zahlreiche Dienste, die sich mit dem Administratorkonto anmelden, weil der Systemverwalter es versäumt hat, ein eigenes Dienstkonto zu erzeugen. Kennt ein Einbrecher Lücken in solchen Diensten, hält er den Generalschlüssel zum Netz praktisch schon in der Hand.

Sicherheit ganzheitlich denken
IT-Sicherheitsprobleme sind nur zu einem sehr geringen Anteil technischer Natur. Der Löwenanteil entfällt auf Nachlässigkeit und Bequemlichkeit im Betrieb der Systeme. Die Lücken, die auf diese Weise entstehen, sind oft so gravierend, dass technisches Aufrüsten an anderer Stelle sinnlos wird. Es gibt Berater, die daher Firewalls für tot erklären. Das ist natürlich nur als Provokation zu verstehen, doch es lohnt darüber nachzudenken, ob die klassische Fokussierung auf technische Lösungen nicht oft den Blick auf die Grundlagen verstellt und damit der Sicherheit einen Bärendienst erweist.

Das gilt umso mehr im aktuellen Cloud-Hype, in dem herkömmliche Sicherheitstechniken versagen und die Vorstellung von einem guten Inneren und dem bösen Äußeren zerstören. Solchen neuen Herausforderungen kann nur begegnen, werden Blick auf IT-Sicherheit ausbreitet und sich dem Thema ganzheitlich nähert. Und wie man es dreht oder wendet: Ohne große Sorgfalt lässt sich kein IT-System sicher betreiben. Die größte Gefahr besteht nicht in irgendwelchen Programmfehlern, sondern in der Art, wie wir unsere Netzwerke betreiben.

Mehr zum Thema "Server-Sicherheit" finden Sie in der Oktober-Ausgabe des IT-Administrator.
28.09.2012/dr/Nils Kaczenski

Nachrichten

Zugriffe zentral verwalten [12.08.2020]

Mit den erweiterten Funktionalitäten des Secret Server von Thycotic sollen Unternehmen von einer erhöhten Cloud-Transparenz und plattformübergreifenden Kontrollen sowie mehr Sicherheit für remote-arbeitende Teams profitieren. Laut Hersteller haben bereits über 75 Prozent der Unternehmen mehrere Cloudplattformen im Einsatz, weshalb plattformübergreifende Sicherheit vonnöten ist. Zusätzlich zu den bereits vorhandenen Erkennungsfunktionen für AWS ermöglicht die neueste Version des Secret Servers, auch Google Cloud und Azure mit konsistenten PAM-Richtlinien und -Verfahren zu managen und abzusichern. [mehr]

WLAN in Gefahr [10.08.2020]

ESET-Forscher haben Sicherheitslücken in Geräten mit WiFi-Chips der Hersteller Qualcomm und MediaTek entdeckt. Hacker können diese Schwachstellen (CVE-2020-3702) ausnutzen, um den eigentlich verschlüsselten WLAN-Verkehr mitzulesen oder eigene Datenpakete einzuschleusen. Nach aktuellen Erkenntnissen handelt es sich um Router der bekannten Firmen D-Link und Asus. Doch nicht nur Router sonder auch Microsoft Azure Sphere, eine spezielle IoT-Umgebung für Unternehmen, ist betroffen. Das Development Kit für Azure Sphere hat einen MediaTek-Chip verbaut, der auch diese Schwachstelle aufweist.  [mehr]

Tipps & Tools

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen