Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Abhängigkeitstypen 385
Abhängigkeitstypen
Sie müssen viele unterschiedliche Arten von Abhängigkeiten verwalten. Einige würden den
Rahmen dieses Buchs sprengen, zum Beispiel inhärente Abhängigkeiten aus der Softwareentwicklung.
Zum Beispiel hängt die Sicherheit des Codes auf einer Website davon ab, dass
in den Webbrowsern, die von allen Besuchern benutzt werden, eine geeignete Isolierung
erzwungen wird. Es gibt aber mehrere unterschiedliche Abhängigkeitstypen, die für ein
Netzwerk relevant sind. In diesem Abschnitt will ich sie vorstellen und beschreiben, wie Sie
diese Abhängigkeiten mithilfe von Standardanalysetechniken eindämmen können und wie
diese Techniken in Windows Server 2008 implementier t sind.
Nutzungsabhängigkeiten
Die erste und einfachste Art der Abhängigkeit ist die Nutzungsabhängigkeit (engl. usage
dependency). Eine Nutzungsabhängigkeit ergibt sich daraus, dass Computerressourcen und
-daten auf eine Weise benutzt werden, die nicht den Vertrauensstufen dieser Ressourcen
entspricht. Das erste Beispielszenario in diesem Kapitel, der Wechseldatenträger, ist ein
Beispiel für eine Nutzungsabhängigkeit. Ein Benutzer, der einen Wechseldatenträger verwendet,
erzeugt eine Nutzungsabhängigkeit auf diesem Gerät. Jedes Mal, wenn ein Benutzer
auf einer Vertrauensstufe eine Ressource verwendet, die sich auf einer anderen Vertrauensstufe
befindet, ergibt sich das Potenzial für Nutzungsabhängigkeiten.
Es gibt auch andere Arten von Nutzungsabhängigkeiten. Ein hervorragendes Beispiel ist die
Nutzung derselben Anmeldeinformationen an mehreren Stellen. Nehmen wir zum Beispiel
an, Ihr Netzwerk ist in eine Datencenter-Gesamtstruktur und eine Unternehmens-Gesamtstruktur
untergliedert. Alle Benutzer in der Datencenter-Gesamtstruktur haben auch Konten
in der Unternehmens-Gesamtstruktur. Die Wahrscheinlichkeit, dass zumindest ein Benutzer
für beide Konten denselben Benutzernamen und dasselbe Kennwort verwendet, ist sehr
hoch. Aber das macht den Zweck zunichte, weswegen überhaupt die zwei Gesamtstrukturen
eingeführt wurden: Es sollte sichergestellt werden, dass eine Kompromittierung in einer
Gesamtstruktur nicht dazu führt, dass die andere ebenfalls kompromittiert wird. Indem ein
Befehl dasselbe Kennwort an beiden Stellen verwendet, hat er eine mögliche Verbindung
zwischen den beiden geschaffen. Ein Angreifer, der in einen Computer in einer Gesamtstruktur
einbricht, die dieser Benutzer verwendet, kann den Kennworthashwert extrahieren
und sich damit an Ressourcen in der anderen Gesamtstruktur authentifizieren.
So funktioniert’s: Kennworthashwerte sind klartextäquivalent
Praktisch jedes moderne Computersystem akzeptiert in wenigstens einigen Fällen eine
Kennwortauthentifizierung. In Windows Server 2008 (wie schon in älteren Windows Server-Versionen)
können Sie eine Domäne so konfigurieren, dass Smartcards für die Authentifizierung
bestimmter Benutzer erforderlich sind. Aber aus Kapitel 2, »Authentifizierung
und Authentifizierungsprotokolle«, wissen Sie, dass es sogar in diesem Fall einen
Kennworthashwert für den Benutzer gibt. Dieser Hashwert wird jedes Mal, wenn sich der
Benutzer authentifiziert, an den Client übertragen, um einen automatischen Zugriff auf
NTLM-geschützte Ressourcen zu ermöglichen. Das bedeutet, dass ein Angreifer, der
Zugriff auf diesen Hashwert hat, als dieser Benutzer auf Netzwerkressourcen zugreifen
kann. Weitere Informationen dazu finden Sie in Kapitel 2.