Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

20 Kapitel 2: Authentifizierung und Authentifizierungsprotokolle
einsatz können Smartcards und Kennwörter viel sicherer, flexibler und einfacher in die üblichen
Abläufe zu integrieren sein. Die restlichen Abschnitte dieses Kapitels beschäftigen
sich daher mit diesen zwei Technologien.
Speichern der Authentifizierer
Immer wenn Sie einen Authentifizierer einsetzen, müssen Sie ihn in irgendeiner Form speichern,
damit er mit den Daten verglichen werden kann, die der Prinzipal während der Authentifizierung
eingibt. Die Speichermethode hängt einerseits von der Art des Authentifizierers
und andererseits davon ab, wie der Entwickler das System entworfen hat. In diesem
Abschnitt sehen wir uns unterschiedliche Wege an, Authentifizierer in Windows zu speichern.
Dabei konzentrieren wir uns auf Kennwörter, weil sie häufiger und in mehr Variationen
eingesetzt werden als Smartcards.
Smartcards arbeiten mit Zertifikaten. (Weitere Informationen über Zertifikate finden Sie in
Kapitel 10, »Implementieren der Active Directory-Zertifikatdienste«.) Die Smartcard selbst
enthält den geheimen Teil des Zertifikats. Das Authentifizierungssystem, in diesem Fall eine
Active Directory-Domäne, enthält den öffentlichen Teil. Wenn Sie Smartcards verwenden,
müssen daher keine geheimen Daten zur Smartcard in Domänencontrollern (Domain Controller,
DC) gespeichert werden. Daher sind Smartcards in einigen Aspekten einfacher zu
verwalten als Kennwörter.
Hinweis Die meisten Systeme, die Smartcards nutzen, hinterlegen die geheimen Schlüssel an einer
zentralen Stelle. Windows bietet ebenfalls diese Möglichkeit. Wenn Sie dieses Verfahren nutzen, verschaffen
Sie sich die Möglichkeit, auf alle Geheimnisse zuzugreifen, die durch Smartcardanmeldeinformationen
geschützt werden, zum Beispiel für forensische Maßnahmen. Das bedeutet aber auch, dass Sie wichtige
Geheimnisse in Ihrem Netzwerk schützen müssen.
In praktisch allen heute verfügbaren Implementierungen sind Kennwörter Geheimnisse, die
mehreren Parteien bekannt sind. Das Geheimnis, mit dem sich der Benutzer anmeldet, ist
dasselbe, mit dem der authentifizierende Server den Zugriff dieses Benutzers authentifiziert.
Das bedeutet, dass Kennwörter wichtige Geheimnisse sind und geschützt werden müssen.
Bei den ersten Computersystemen, an denen mehrere Benutzer arbeiten konnten, wurden
Kennwörter einfach im Klartext in einer Textdatei gespeichert. Die Kennwörter in solchen
Systemen waren niemals dazu gedacht, Personen den Zugang zu verwehren, weil ohnehin
nur eine kleine Gruppe von Leuten Zugriff auf das System hatte. Sie sollten in erster Linie
steuern, welche Umgebung Sie angezeigt bekamen. Schließlich wurden die Kennwörter in
der Kennwortdatei aber verschlüsselt oder als Hashwerte gespeichert.
Verschlüsselung und Hashwerte
Das englische Wort für Verschlüsselung lautet »encryption«, und es ist vom Wort »cryptography«
(dt. Kryptografie) abgeleitet. Kryptografie bedeutet wörtlich »verborgene
Schrift«. Verschlüsselung ist der Vorgang, bei dem mithilfe von Kryptografie Text versteckt
oder etwas aus einer lesbaren Form (normalerweise als Klartext oder engl. plaintext
bezeichnet) in eine unverständliche Form (den sogenannten Ciphertext) konvertiert
wird. Entschlüsselung ist der umgekehrte Vorgang, etwas wird von Ciphertext in Klartext
konvertiert.