Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

380 Kapitel 14: Schützen des Netzwerks
ren die Einstellungen, die solche Leitfäden empfehlen, nicht wirklich bei der Software,
für die der Leitfaden geschrieben wurde.
Die besten dieser Leitfäden machen ganz deutlich, was die Einstellungen tun, welche
Auswirkungen auf die Anwendungskompatibilität Sie davon erwarten können und welche
konkreten Bedrohungen sie eindämmen. Aber sogar die besten Leitfäden lassen das Problem
der Netzwerksicherheit als Gesamtes weitgehend außen vor. Die Leitfäden konzentrieren
sich fast ausschließlich darauf, einen einzelnen Computer gegen Angriffe zu
schützen, ohne wirklich zu berücksichtigen, in welcher Umgebung dieser Computer bereitgestellt
wird. Der wichtigste Punkt ist: Sobald ein Angreifer erst einmal in einem
Netzwerk Fuß gefasst hat, sind sämtliche Einstellungen im Sicherheitsleitfaden völlig
egal. Darüber, dass die Kontosperrung nach drei Falscheingaben unbegrenzt aktiviert
wird (was jeden Benutzer in den Wahnsinn treibt), kann ein Angreifer, der über administrative
Privilegien verfügt, nur lachen.
Statt Ihre Anstrengungen darauf zu konzentrieren, welche Optimierungen Sie an Ihren
Computern vornehmen sollten, ist es sinnvoller, wenn Sie einfach annehmen, dass ein
Teil Ihres Netzwerks nicht vertrauenswürdig ist und das auch immer so bleiben wird. Die
Realität sieht so aus, dass heutige Unternehmensnetzwerke irgendwo zwischen feindlich
und vertrauenswürdig einzuordnen sind, sagen wir mal halb-feindlich. Akzeptieren wir
das als bedauerliche, aber unvermeidliche Tatsache und finden wir uns damit ab. Wir
kümmern uns um dieses Problem, indem wir das Netzwerk als Ganzes gegen die wenigen
böswilligen Elemente schützen. Sie können eine Gesellschaft nicht dadurch sicher machen,
dass Sie Regeln formulieren und eine feste Mauer um die Gesellschaft bauen. Sie
brauchen auch eine Polizei. Das Vorhandensein von Polizisten beweist im Grunde, dass
die Gesellschaft akzeptiert, dass ein Teil ihrer Mitglieder sich weigert, die festgelegten
Grenzen zu respektieren. In Ihrem Netzwerk ist das nicht anders.
Einführung in Sicherheitsabhängigkeiten
Eine Sicherheitsabhängigkeit (engl. security dependency) tritt auf, wenn die Sicherheit eines
Computers von der Sicherheit eines anderen abhängt. Das ist nichts Ungewöhnliches und in
vielen Fällen sogar erwünscht. Zum Beispiel ist Ihnen wahrscheinlich bekannt, dass Ihr gesamtes
Netzwerk gehackt wurde, falls ein Angreifer es schafft, Ihren Domänencontroller
(Domain Controller, DC) zu hacken. Das bedeutet schlicht, dass die Sicherheit aller Domänenmitglieder
von den DCs abhängt. Falls der Domänencontroller nicht geschützt wird,
können die Mitgliedscomputer unmöglich sicher sein. Ein Angreifer, der die Sicherheitskonfiguration
der Domäne ändern kann, kann jeden Computer in der Domäne übernehmen. Er
kann zum Beispiel neue Konten zur Gruppe Administratoren auf einem Mitgliedscomputer
hinzufügen. Das erklärt, warum jede sogenannte Verwundbarkeit, die es einem Administrator
erlaubt, ein System oder Netzwerk zu kompromittieren, nicht wirklich eine Sicherheitslücke
ist. Ein Administrator soll schließlich definitionsgemäß vollständigen Zugriff auf das
System oder Netzwerk haben, das er verwaltet.
Abhängigkeiten in Computersystemen lassen sich offensichtlich nicht vermeiden. Das heißt
aber nicht, dass sie grundsätzlich akzeptabel sind: Manche sind akzeptabel und sogar erwünscht,
andere dagegen inakzeptabel. Bevor wird die unterschiedlichen Arten von Abhängigkeiten
untersuchen und uns ansehen, wie sie sich eindämmen lassen, müssen wir erst
einmal wissen, welche Arten von Abhängigkeiten akzeptabel sind und welche nicht.