Active Directory.pdf - Gattner

146 Kapitel 5: Entwerfen der Active Directory-Domänendienstestruktur
Wenn beispielsweise Kundendaten grundsätzlich nur von wenigen bestimmten Benutzern eingesehen
werden dürfen, könnten Sie die Kundendaten in einer separaten AD DS-Gesamtstruktur speichern
oder eine Instanz der Active Directory Lightweight Directory Services (AD LDS) mit strengen Einschränkungen
des Benutzerzugriffs einsetzen. Um zu verhindern, dass Benutzer vertrauliche Daten
aus dem Unternehmen heraus senden, könnten Sie eine AD RMS-Lösung (Active Directory Rights
Management Services) implementieren.
Technische Lösungen können selten sämtliche Rechtsanforderungen erfüllen. Wenn Sie vertrauliche
Daten beispielsweise über AD RMS schützen, kann ein Benutzer diese Daten noch immer mit einer
Digitalkamera ablichten und die Daten aus dem Unternehmen schleusen. Benutzer mit Zugriff auf
vertrauliche Kundendaten können diese Daten noch immer an unbefugte Benutzer weitergeben. Um
diese Probleme zu lösen, müssen Unternehmen die technischen Lösungen durch auf Unternehmensrichtlinien
basierende Lösungen ergänzen, in denen zulässige Aktionen und die bei unzulässigen
Aktionen zu befürchtenden Konsequenzen deutlich festgelegt sind.
Sicherheitsanforderungen
Alle IT-Bereitstellungen haben außerdem Sicherheitsanforderungen. Die Anforderungen erlangen
beim Einsatz von AD DS besondere Bedeutung, weil AD DS wahrscheinlich zum Sichern des
Zugriffs auf die meisten Daten, Dienste und Anwendungen im Netzwerk verwendet wird.
Stellen Sie sich die folgenden Fragen, um Ihre Sicherheitsanforderungen festzustellen:
• Wo liegen die Sicherheitsrisiken für das Unternehmen? Auf diese Frage gibt es viele mögliche
Antworten, zum Beispiel:
Mobile Benutzer, die viel reisen und sich mit dem internen Netzwerk verbinden müssen, um
auf ihre E-Mail, Anwendungen oder Daten zuzugreifen.
Benutzer außerhalb des Unternehmens, die auf in einem Umkreisnetzwerk befindliche Websites
zugreifen und sich über ihre internen AD DS-Benutzerkonten authentifizieren müssen.
Büros, die physisch nicht abgesichert sind und in denen böswillige Benutzer Zugriff auf das
Netzwerk erlangen können. Andere Büros besitzen möglicherweise keinen sicheren Standort
für Domänencontroller oder andere Server.
Eine Datenbank mit vertraulichen Kundendaten, die für Webanwendungen im Umkreisnetzwerk
zugänglich sein muss.
• Wie werden Sicherheitsanforderungen derzeit berücksichtigt? Fast alle Unternehmen berücksichtigen
wenigstens einige Sicherheitsanforderungen. Beispielsweise haben praktisch alle Unternehmen
Antiviruslösungen und Firewalls implementiert, um das interne Netzwerk vor Angriffen aus
dem Internet zu schützen.
• Welche Lücken bestehen zwischen Sicherheitsanforderungen und aktuellen Lösungen? Diese
Lücken sind je nach Unternehmen unterschiedlich groß. Einige Unternehmen setzen beispielsweise
Anwendungen ein, für die Benutzer sich über Anmeldeinformationen authentifizieren müssen,
die im Netzwerk nicht sicher übertragen werden. Um diesen Vorgang für den Benutzer zu
vereinfachen, weisen manche Unternehmen der Anwendung denselben Benutzernamen und dasselbe
Kennwort zu, der bzw. das auch für die Anmeldung an AD DS verwendet wird. Wenn daher
die Anmeldeinformationen für die Authentifizierung bei der Anwendung geknackt werden, sind
somit auch die AD DS-Anmeldeinformationen offengelegt.
• Welche allgemeinen Sicherheitsanforderungen oder -richtlinien muss das Projekt befolgen? Die
meisten Unternehmen verfügen über allgemeine Sicherheitsanforderungen, die für alle Projekte gelten.
Hierzu gehören beispielsweise folgende Anforderungen: