Verwalten von Administrator-Anmeldedaten
Lernziele
Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Definieren von Managementsystemen für privilegierten Zugriff
- Erläutern des Prinzips der geringsten Rechte
Verwalten des privilegierten Zugriffs
Kennwort-Manager eignen sich hervorragend dafür, Ihre persönlichen Kennwörter zu generieren und zu schützen, doch für den Schutz der Anmeldedaten Ihrer privilegierten Benutzer (auch Administratoren genannt) benötigen Sie ein sichereres System. Privilegierte Anmeldeinformationen sind eine Untergruppe der Anmeldeinformationen (wie Kennwörter), die erweiterten Zugriff und Berechtigungen für Accounts, Anwendungen und Systeme bieten. Privilegierte Kennwörter können mit Menschen, Anwendungen, Service-Accounts und mehr verknüpft sein.
PAM-Lösungen für das Management von privilegiertem Zugriff (Privileged Access Management = PAM) bieten eine Möglichkeit zur Speicherung von Geheimnissen wie Kennwörtern und kryptografischen Schlüsseln (ein Wort, eine Zahl oder ein Satz, die in Kombination mit einem Algorithmus zur Verschlüsselung von Klartext dienen). PAM-Lösungen verwenden ein zentrales Tool, um privilegierten Zugriff zu verwalten, zu delegieren und zu überprüfen. PAM-Lösungen helfen Unternehmen dabei, das Prinzip der geringsten Rechte umzusetzen, laut dem Benutzer nur das für ihre Arbeit erforderliche Maß an Zugriff erhalten.
Richtlinie für Kennwörter für privilegierte Accounts
Zum Schutz Ihrer Systeme sollte Ihr Unternehmen eine klare Richtlinie für Kennwörter für privilegierte Accounts entwickeln, durchsetzen und allen relevanten Parteien mitteilen, die diese Accounts verwenden und verwalten.
Es empfiehlt sich, dass Unternehmen Kennwortrichtlinien für privilegierte Accounts entwickeln, und zwar sowohl für Accounts, auf die Personen zugreifen, als auch für Accounts, auf die andere Systeme zugreifen. Diese Richtlinien sollten die obligatorische Verwendung langer Passphrasen und der Multi-Faktor-Authentifizierung (MFA) für Personen-Accounts vorsehen.
Standards für die Kennwortrotation können den systematischen Wechsel von Kennwörtern für alle Accounts, Systeme, vernetzten Hardware-Geräte, Anwendungen und Services sicherstellen. Ihre Rotationsstandards sollten beinhalten, dass die Beteiligten automatisch benachrichtigt werden, wenn die Kennwörter wieder aktualisiert werden müssen.
Implementieren des Prinzips der geringsten Rechte
Für Sicherheit und Datenschutz genügt es nicht, den eigenen Perimeter zu verteidigen. Immer wieder kommt es zu Datenschutzverletzungen in staatlichen und privaten Systemen, weil Netzwerkzugangsdaten in die falschen Hände gelangen. Angreifer versuchen in diesen Fällen, sich Zugang zu privilegierten Accounts zu verschaffen, um auf sensible Daten und private Aufzeichnungen zugreifen zu können.
Überlegen Sie sich beim Einrichten von Administrator-Anmeldeinformationen, ob Sie das Prinzip der geringsten Rechte anwenden sollten. Bei Sicherheitsschulungen ist so oft vom Prinzip der geringsten Rechte die Rede, weil es eines der grundlegenden Mittel zum Schutz unsere Systeme ist. Zur Erinnerung: Das Prinzip der geringsten Rechte ist ein Prinzip der IT-Sicherheit, das die Zugriffsrechte und Programmberechtigungen auf das für die jeweilige Aufgabe erforderliche Maß beschränkt. Das ist vergleichbar mit einem Schlüssel, der zu jeder Tür passt, und einem, der nur bestimmte Räume öffnet.
Ein Aspekt der Implementierung des Prinzips der geringsten Rechte ist, dass dadurch der uneingeschränkte lokale Administratorzugriff auf Systemendpunkte entfällt. Ein Benutzer-Account, das nur Backups erstellen muss, benötigt beispielsweise keine Berechtigung zur Installation von Software, sondern nur zur Ausführung von Backup- und Backup-bezogenen Anwendungen. Alle anderen Berechtigungen, wie etwa die Berechtigung zum Installieren neuer Software, sollten für den Account gesperrt sein.
Um die Verwaltung des privilegierten Zugriffs zu vereinfachen, empfiehlt es sich, die geringsten Rechte automatisch zu gewähren, abhängig davon, wer der Benutzer ist, worauf er zugreifen möchte und in welchem Kontext die Anfrage gestellt wird. Benutzer sollten nur auf die Systeme zugreifen dürfen, die sie für ihre Arbeit benötigen, und sollten keinen allgemeinen Zugriff auf Informationen erhalten.
Sally aus der Personalabteilung sollte zum Beispiel keinen Zugriff auf die Datenbank von Bilal aus der Finanzabteilung haben, der mit globalen Geschäften zu tun hat. Bei einer guten Verwaltung des privilegierten Zugriffs hat Sally Zugriff auf alle Personaldaten, die sie für ihre Arbeit benötigt, und Bilal hat Zugriff auf alle Finanzdaten, die er für seine Arbeit benötigt, sie haben jedoch keinen Zugriff auf die Dateien des jeweils anderen.
Wahl einer PAM-Lösung für das Management von privilegiertem Zugriff
Es gibt zahlreiche PAM-Lösungen, die verschiedene Funktionen und Bereitstellungsmöglichkeiten bieten. Sie können einige davon ausprobieren, bevor Sie sich für die Lösung entscheiden, die Sie implementieren möchten. Ein wichtiger Faktor bei der PAM-Implementierung ist, dass Sie über genau definierte Anwendungsfälle und Benutzerprofile verfügen. Sie nutzen eine PAM-Lösung, um Zugriffsebenen für die Verwaltung von Service-Accounts, Erkennungsfunktionen, Objekt- und Schwachstellenmanagement, Analysen und vieles mehr zuzuweisen.
Wenn Ihr Unternehmen nicht über die Ressourcen für IT-Sicherheitsmitarbeiter verfügt, die für die Installation, Konfiguration und Verwaltung dieser Lösungen geschult sind, sollten Sie eventuell einen Managed Service Provider (MSP) hinzuziehen, der diese Aufgaben für Sie übernimmt.
Kontinuierliche Erkennung privilegierter Accounts
Einer der wichtigsten Schritte für sicheren privilegierten Zugriff besteht darin, jede zulässige Nutzung des privilegierten Zugriffs auf Server, Cloud-Services, Datenbanken und andere Systeme zu identifizieren. Dies stellt sicher, dass privilegierte Accounts gültig sind, identifiziert aber auch Accounts, die dies nicht sind. Es ist beispielsweise wichtig, nicht nur die Gewährung, sondern auch den Entzug von Berechtigungen zu verfolgen, wenn Mitarbeiter die Abteilung wechseln oder das Unternehmen verlassen.
Privilegierte Accounts sollten jederzeit mit automatischen Mechanismen überwacht werden, um böswillige oder versehentliche Aktivitäten zu erkennen. Durch die Analyse dieser Aktivitäten erhalten Sie Einblicke in das Benutzerverhalten, stellen sicher, dass Ihre Zugangssysteme auf dem neuesten Stand sind, und überprüfen, ob das Prinzip der geringsten Rechte korrekt angewandt wird.
Wissensabfrage
Sind Sie bereit, das Gelernte zu überprüfen? Die folgende Wissensabfrage wird nicht bewertet, sondern ist nur eine einfache Möglichkeit, sich selbst zu testen. Ziehen Sie als Erstes die Beschreibung aus der linken Spalte unter den zugehörigen Begriff auf der rechten Seite. Wenn Sie damit fertig sind, klicken Sie auf Senden, um das Ergebnis zu prüfen. Wenn Sie von vorne beginnen möchten, klicken Sie auf Zurücksetzen.
Gut gemacht!
Ressourcen
- Externer Link: National Institute of Standards and Technology (NIST): Privileged Account Management Guide
- Trailhead: Verwalten von Identitätsprüfungs- und Zugriffsinformationen