Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

388 Kapitel 14: Schützen des Netzwerks
Server und eine zweite vom Server zum Client. Dies wird als Reflektionsangriff (engl. reflection
attack) bezeichnet. In Windows Vista und Windows Server 2008 wird dieser Angriff
durch die statusbehaftete Frage-Antwort-Verwaltung unwirksam gemacht. Das bedeutet,
dass der Computer keine eingehende Frage annimmt, die einer ausstehenden Frage entspricht,
die er selbst gesendet hat. In älteren Versionen lässt sich der Angriff mithilfe verschiedener
Sicherheitseinstellungen abwehren.
Dieser Angriff funktioniert aufgrund einer Zugriffsabhängigkeit. Es gibt andere Formen
dieser Abhängigkeit. Ein Benutzer könnte an einem öffentlichen Kioskcomputer über Microsoft
Office Outlook-Webzugriff seine E-Mail abrufen. Öffentliche Kioskcomputer sind oft
die am meisten mit Malware verseuchten, am wenigsten vertrauenswürdigen, gefährlichsten
Computer überhaupt. Sie sollten davon ausgehen, dass auf jede Ressource, die Sie in einem
öffentlichen Kioskcomputer verwenden, jeder Benutzer zugreifen kann, der jemals auf diesen
Computer zugegriffen hat oder das in Zukunft tut. Hier entsteht eine Zugriffsabhängigkeit
zwischen der Sicherheit des öffentlichen Kioskcomputers (auf die Sie keinen Einfluss
haben) und jeder Ressource, auf die Sie mithilfe von Anmeldeinformationen zugreifen, die
Sie an diesem öffentlichen Computer eingeben.
Administrative Abhängigkeiten
Einer der häufigsten Abhängigkeitstypen ist eine administrative Abhängigkeit (engl. administrative
dependency), die auftritt, wenn dasselbe Konto benutzt wird, um zwei unterschiedliche
Ressourcen zu verwalten. Wenn Sie zum Beispiel ein administratives Domänenkonto
benutzen, um Mitgliedserver zu verwalten (wie in Abbildung 14.2 weiter oben), erzeugen
Sie eine administrative Abhängigkeit. Das mag ganz ähnlich wie eine Nutzungsabhängigkeit
aussehen, und das ist es auch. Aber es gibt einen wichtigen Unterschied: Administrative
Abhängigkeiten müssen nicht nutzungsbasiert sein. Nehmen wir an, dass die
Gruppe Administratoren auf Server A die Benutzer Teddy, Maggie und Alex umfasst, und die
Gruppe Administratoren auf Server B die Benutzer Maggie, Jesper und Jennifer. Nehmen
wir außerdem an, dass Maggie sich noch nie an Server A angemeldet hat. Aber nun wird
Server B kompromittiert. Wenn Maggie sich an Server B anmeldet, hat der Angreifer, der
Server B kompromittiert hat, Zugriff auf die Anmeldeinformationen von Maggie. Er kann
damit nun auch auf Server A zugreifen.
Dienstkontoabhängigkeiten
Dienstkontoabhängigkeiten (engl. service account dependency) treten auf, wenn dieselbe
Identität benutzt wird, um einen Dienst an mehreren Orten auszuführen. Nehmen wir an, Sie
setzen eine netzwerkweite EMS (Enterprise Management Solution) ein. Das EMS-Paket
enthält einen Agenten, der auf allen Computern läuft, um die Remotebereitstellung von
Software, Remoteverwaltung und etliche weitere praktische Features zu ermöglichen. Der
Agent läuft unter dem Konto _DomainTools. Das Konto _DomainTools muss offensichtlich
erhöhte Privilegien auf allen Mitgliedcomputern haben, damit diese Art der Remoteverwaltung
möglich ist. Das erzeugt eine Dienstkontoabhängigkeit zwischen allen Computern, auf
denen das Konto _DomainTools hohe Privilegien hat. Falls irgendeiner dieser Computer
kompromittiert wird, werden möglicherweise alle kompromittiert, weil der Angreifer jetzt
Zugriff auf ein Konto mit hohen Privilegien hat.