Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

42 Kapitel 2: Authentifizierung und Authentifizierungsprotokolle
durchführen, bevor er Erfolg hat. Es ist anzunehmen, dass er es woanders probiert, bevor er
dieses Kennwort erraten hat.
Es kann sinnvoll sein, leere Kennwörter zu verwenden
Wie bei allen Windows-Versionen seit Windows XP können sich Benutzerkonten mit leerem
Kennwort nicht aus dem Netzwerk an Windows Server 2008 anmelden. Das ist ein
geradezu genialer Entwurf, der sich für das lokale Administratorkonto sinnvoll nutzen
lässt.
In einem typischen Datencenter befinden sich die Server in verschlossenen Schränken,
den sogenannten Racks. In vielen Fällen haben nicht alle Personen Zugriff auf sämtliche
Schränke. Nur Mitarbeiter, die an bestimmten Servern arbeiten müssen, können diese
Schränke öffnen. Die Schränke selbst befinden sich in verschlossenen Räumen, in die nur
gelangt, wer einen Ausweis hat und die zugehörige Geheimnummer kennt. Datencenter
haben Wachpersonal (oft bewaffnet) an der Zufahrt und im Empfangsbereich. Um in den
Gang zu kommen, der zum Serverraum führt, müssen Sie an der grimmig blickenden und
sehr gelangweilten Wache vorbei, wobei Sie normalerweise durch eine Schleuse gehen, in
der Sie auf beim Hinein- und Hinausgehen gewogen werden. (Was passiert übrigens,
wenn Sie beim Verlassen weniger wiegen als beim Betreten?) Und um überhaupt an den
Empfang zu gelangen, passieren Sie eine weitere, wahrscheinlich bewaffnete Wache in
einem Häuschen an der Zufahrt zum Parkplatz. Sind Ihre Server in diesem Fall physisch
sicher? Wahrscheinlich antworten Sie mit »Ja«. Warum sollten Sie dann nicht das Kennwort
für das integrierte Konto Administrator leer lassen? Die einzigen Personen, die es
nutzen können, sind bereits an zwei Wachen, der Personenschleuse und dem Ausweislesegerät
vorbeigekommen, sie wissen den PIN-Code für den richtigen Raum und haben
den Schlüssel für den richtigen Serverschrank. Wenn jemand all das schafft, gehört er
wahrscheinlich zur Firma und muss dieses Konto im Rahmen seiner Arbeit benutzen.
Und er hätte dann sicherlich eine Möglichkeit, das Kennwort zu ermitteln, sollte er es
brauchen. Offensichtlich sollte er es nicht für die normale Arbeit nutzen, aber falls alles
schiefgeht und er sich als integrierter Administrator anmelden muss, weiß er, wie das
Kennwort lautet, und kann sich problemlos anmelden.
Wenn Sie das Kennwort leer lassen, lösen Sie eines der großen Probleme für die Netzwerksicherheit:
Wie verhindern Sie, dass das Administratorkonto auf allen Servern im
Netzwerk dasselbe Kennwort hat? Es lässt sich kaum begründen, dass ein leeres Kennwort
die Sicherheit auf irgendeine Weise gefährdet, solange die physische Sicherheit gewährleistet
ist. Leider ist es wahrscheinlich viel schwieriger, einen inkompetenten Sicherheitsauditor
zu überzeugen, dass ein leeres Kennwort sicherer ist als auf jedem einzelnen
Server dasselbe 8 Zeichen lange Kennwort einzurichten. Falls Sie versprechen, es
zu probieren, werde ich meinen Teil dazu beitragen. Ein Kennwort, das nur von jemand
innerhalb des Datencenters benutzt werden kann, ist viel, viel sicherer als eine monumentale
Sicherheitsabhängigkeit zwischen Tausenden von Servern, die alle mit der vom Auditor
bevorzugten, aber unsinnigen Lösung arbeiten.