Privilegierte Benutzerkonten begrenzen und die Sicherheit erhöhen

Herausforderungen von privilegierten Accounts

Eine große Mehrheit der System-Administratoren, Netzwerkingenieure, Mitarbeiter des technischen Supports, Datenbank-Administratoren und Informationssicherheits-Verantwortlichen glaubt, dass sie angesichts der Natur ihres Jobs uneingeschränkten privilegierten Zugang zu allen Ressourcen benötigen. Die Herausforderung besteht darin, dass sie und auch das Unternehmen von privilegierten Benutzerkonten so abhängig geworden sind, dass es schwierig ist, diesen Zustand zu ändern. Die Gründe hierfür sind:

• Privilegierte Konten sind typischerweise über mehrere Plattformen und Komponenten hinweg identisch. Daher wirkt es sich auf die gesamte IT-Umgebung aus, wenn ein privilegiertes Konto auf einer Plattform geknackt wird.
• Da sich oft mehrere Administratoren privilegierte Benutzerkonten teilen, ist die Verantwortung beziehungsweise Rechenschaftspflicht nicht immer eindeutig zuzuordnen.
• In Anwendungssysteme eingebettete Service-Accounts machen es schwierig, die von den Sicherheitsrichtlinien vorgegebenen regelmäßigen Passwortänderungen zu erfüllen (Compliance).
• Privilegierte Benutzerkonten sind in der Regel nicht Teil der üblichen Passwort-Kontrollelemente im Unternehmen, da man befürchtet, sie könnten gesperrt und damit der Zugriff verweigert werden, wenn er dringend erforderlich ist.
• Unzureichende Änderungskontrollen, unwirksame Recovery-Systeme und wiederkehrende Notfalländerungen erfordern einen privilegierten Zugang, um die Verfügbarkeit und Leistung eines Systems aufrecht zu erhalten.
• Da meist zu wenig Personal zur Verfügung steht, muss ein Administrator oft widersprüchliche Jobs auf Netzwerk-, System-, Anwendungs-, Sicherheits- und Datenbank-Administrator-Ebene erfüllen.

Privilegierte Benutzerkonten einschränken

Administratoren müssen tiefer auf Systemressourcen zugreifen können als die allgemeinen Benutzer, um ihre Arbeit effizient zu erledigen. Da sich beispielsweise jede kleine Änderung an der Konfiguration eines Netzwerkgeräts auf das gesamte Unternehmen auswirken kann, wird die Beschränkung des privilegierten Zugangs möglicherweise den IT-Betrieb und die Systemverfügbarkeit beeinträchtigen. Grundlegende Kontrollelemente wie die Trennung der Aufgaben, Überwachungstätigkeiten (Monitoring), Anforderungen von Änderungskontrollen (Change Control), Rechenschaftspflicht und Least Privilege lassen sich aber immer noch umsetzen. Beim Least-Privilege-Prinzip erhält jeder Benutzer, jeder Dienst und jedes System nur die Rechte, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind.

Privilegierte Benutzerkonten lassen sich mit folgenden Kontrollmaßnahmen einschränken:

• Begrenzung der Anzahl von privilegierten Accounts.
• Nicht alle Administratoren benötigen Domänenkonten oder Superuser-Privilegien auf externen Sicherheits-Managern wie Mainframe IBMs RACF, CA-ACF2 oder CA-Top Secret.
• Einsatz von Active Directory Administrative Groups bei der Zuweisung von privilegierten Benutzerkonten.
• Alle privilegierten Benutzer sollten ausschließlich ihre eigenen Konten verwenden. Sie dürfen über privilegierte Konten verfügen, sollten aber auch ein allgemeines Benutzerkonto verwenden, solange das jeweilige privilegierte Benutzerkonto vom zugehörigen Administrator verwaltet wird.
• Dokumentation aller Aktivitäten, die über einen privilegierten Account erfolgen. Die Logs oder Protokolldaten sollten direkt an ein SIEM-System (Security Information and Event Management) weitergeleitet werden, damit die Protokolle nicht gelöscht oder geändert werden können.
• Administratoren sollten die mehrstufige Authentifizierung (Multifaktor-Authentifizierung) für alle Remote-Zugriff verwenden.
• Proxy-Server, Jump-Server und AAA TACACS/RADIUS-Server sollten grundsätzlich erforderlich sein, um auf alle Layer-3-Geräte wie Switches oder Router und unternehmenskritische Subnetze zugreifen zu können.
• Sensible Daten, die Administratoren offen stehen, sollten verschlüsselt sein, um das Risiko bei Datendiebstahl zu mindern.
• Administrator-Passwörter sollten Unternehmenskontrollen unterliegen und ohne Ausnahme von Gruppenrichtlinienobjekt-Regeln erzwungen werden.
• Periodische Kontozertifizierungen sollten durch technische Manager durchgeführt werden, um zu gewährleisten, dass der Zugriff auf privilegierte Konten nach wie vor erforderlich ist.
• Datenbank-Administratoren brauchen keine Domänenkonten. Sie benötigen Zugriff, um die Datenbanken und Schemata zu pflegen und Datenbank-Reorganisationen durchzuführen. Wenn sie Daten ändern müssen, sollten sie der Datenbanküberwachung unterliegen.
• Segmentieren Sie das Netzwerk mit Hilfe von Firewall VLAN, Proxies und ACLs, um den Zugriff von Administratoren auf die Systeme zu beschränken, für die sie verantwortlich sind.
• Benutzerkonten rund um Informationssicherheit müssen Sicherheitskonstrukte vorgeben, sie benötigen aber keinen Zugang und keine Berechtigung zum Lesen oder Modifizieren von Produktionsdaten. Diese Konten müssen Unternehmen über eine SIEM-Lösung überwachen. Für die Prüfung all dieser Aktivitäten sollte das Management verantwortlich sein.
• Technische Manager sollten keine Domänenkonten besitzen, es sei denn, es ist aufgrund eines Personalmangels erforderlich. Systembetreuer und für die Informationssicherheit zuständige Mitarbeiter sollten die Aktivitäten von privilegierten Konten überwachen.
• Einsatz von Data-Loss-Prevention-Tools zur Überwachung von verdächtigen Aktivitäten auf Netzwerk-, Server-, und Endpunkt-Ebene, die Daten abgreifen wollen.

Es gibt verschiedene Tools auf dem Markt, die privilegierte Konten zusätzlich einschränken. Diese Systeme für die Verwaltung privilegierter Benutzerkonten unterscheiden sich und lassen sich nutzen, um die oben beschriebenen Maßnahmen zur Kontrolle privilegierter Benutzerkonten zu erweitern. Abgesehen von diesen Systemen kann es aber bereits ausreichen, die Anzahl der privilegierten Konten zu begrenzen, die Aktivitäten derselben zu überwachen, die Rechenschaftspflicht zu gewährleisten, die Aufgaben zu trennen und sensible Daten zu schützen.

Drei Arten der Kontrolle

Einschränkungen für privilegierte Konten hängen oft von der Größe der IT-Organisation im Unternehmen ab. Je mehr Administratoren es gibt, desto einfacher ist es, den Zugang und die Rechte auf konkrete und notwendige Aufgaben (Least Privilege) zu begrenzen. Anders sieht es bei einer geringeren Personaldecke aus. Da hier jeder Administrator für verschiedene Aufgaben zuständig ist, fällt es schwerer, den die privilegierten Benutzerkonten einzuschränken. Dann besteht aber die Gefahr, dass privilegierte Benutzer ohne Rechenschaftspflicht oder Überwachung vom rechten Weg abkommen. Es gibt drei Arten von Kontrollmaßnahmen, um dies zu verhindern:

• Präventive Kontrollmaßnahmen: Beschränken Sie den privilegierten Zugang nur auf Systeme und Umgebungen, für die der Anwender verantwortlich ist.
• Entdeckende Kontrollmaßnahmen: Stellen Sie sicher, dass die Aktivitäten von privilegierten Konten abgeschlossen und sicher sind sowie von SIEM-Lösungen oder Syslog-Servern überwacht werden, auf die Administratoren keinen Zugriff haben.
• Korrektive Kontrollmaßnahmen: Überprüfen Sie, dass ausreichend Backup- und Recovery-Controls vorhanden sind, um Systeme wieder für den Normalbetrieb herzustellen (Restore), falls ein privilegierter Nutzer seine Rolle missbraucht.

Verwenden Sie diese oder eine Kombination dieser Maßnahmen, um bei der Einschränkung privilegierter Accounts die richtige Mischung zu finden. Grundsätzlich gilt: Sicherheit und die Kontrolle von privilegierten Benutzerkonten muss nicht lästig oder störend sein, sondern ergeben sich oft aus dem gesunden Menschenverstand. Durchdachte Netzwerk-Topologien, Zugriffskontrollen, Überwachung und Wiederherstellungsverfahren können die Risiken mindern, die durch privilegierte Benutzer entstehen, und behindern sie nicht bei der Erfüllung ihrer beruflichen Aufgaben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!