Modul 01 Grundlagen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| Zeile 193: | Zeile 193: | ||
vordefinierte Gruppen | vordefinierte Gruppen | ||
| − | * | + | *Administratoren - besitzt alle rechte auf lokalem System |
*Benutzer - besitzt eingeschränkte rechte auf lokalem System | *Benutzer - besitzt eingeschränkte rechte auf lokalem System | ||
*Druck-Operator - Verwaltung von Druckern | *Druck-Operator - Verwaltung von Druckern | ||
Version vom 31. August 2016, 09:53 Uhr
Aktuelle Trends und Entwicklungen
Anforderungen an die IT Sicherheit
- Vetraulichkeit
- Intigrität
- Verfügbarkeit
Bedrohungspotential
- Kleine und mittelständische Unternehmen besonders gefährdet
- Häufige Gefahr durch eigene Mitarbeiter
- Malware wird im internet Verkauft
- Drive-by Download von bekannten infizierten Webseiten
Gefahren für Computersystem und Netzwerke
Befragte Unternehmen gaben folgendes an
- Informationsabfluss durch eigene Mitarbeiter
- Anwerben von Mitarbeitern
- Hackerangriff auf die EDV Systeme
- Nachgemachte Produkte
- Patentrechtsverletzung
- Abhören
- Geschicktes Aushorchen von Mitarbeitern auf Messen
- Belauschen von Telfonaten, Fax und Email
Beispiele
Unachtsamkeit
- Mitarbeiter nimmt USB-Stick mit Kundendaten mit nach Hause
- Er wird verloren
- Kundendaten sind im Netz
Truecrypt
- bekannte Verschlüsselungssoftware
kommerzielle Verkauf von Schadsoftware
- Bots
- Trojaner
- Spam
- Facebookhack
Whaling
- Vertrauen erarbeiten
- Ausspionieren durch Werbepräsente
Drive by Download
- Platzieren eines Frames auf einer bekannten Webseite
Drive by Spam
- Mail enthält virenverseuchter Code
Gründe für Netzwerkangriffe
- Öffentliche Aufmerksamkeit
- Rache
- Persönliche Genugtuung
- Spionage
- Kommerzielle Absichten
- Terrorismus
Arten von Angreifern
- Hacker
- Spion
- Script Kiddies
- Cracker
- Trader
- Consulter
- Spammer
- Phisher & Pharmer
Unterscheidung nach Gut und Böse
- White Hat - Grey Hat - Hacker
- Black Hat - Hacker
- Suicide - Hacker
Angriffziele und häufige Arten von Sicherheitslücken
Potentielle Angriffsziele
- Physikalische Sicherheit
- Computersysteme
- Benutzer oder auch Dienstkonten
- Autentifizierung
- Daten
- Datenübertragung
- DMZ/Perimeternetzwerk
Häufige Arten von Sicherheitslücken
- Software ohne Sicherheitspatches
- Unsichere Kennwörter
- Unverschlüsselte Datenübertragung
- Social Engineering
- Fehlerhafte Soft oder Hardware
- Geringe Sicherheit bei Internetverbindungen
Arten von Sicherheitsbedrohung
- Spoofing
- Tampering
- Repudiation
- Information Desclosure
- Denial of Service
- Elevation of Privilege
Schwachstellen
Benutzerdaten
- Leicht zu eratende Passwörter
- Keine zeitliche Begrenzung von Passwörtern
- Kein Mechanismus gegen Bruteforce
- Testbenutzer mit Privilegien
- Benutzer für Dienste ohne Kennwörter (SQL)
- Fehlende Dokumentation bei der Rechtervergabe auf Files
- Unkontrollierte Freigabe durch User
Server und Arbeitsstation
- Keine Service Patches
- Software mit Sicherheitslücken
- Zugang über USB,CDROM ....
- unzureichende Virussoftware
- unzureichender Sperrbildschirm
- Fehlerhafte Domänen und Sicherheitspolicys
- Dienste die nicht benötigt werden (FTP, DNS ...)
- Nameserver (Wildcardzonen)
- fehlende Protokollierung
- Datensicherung
- Dokumentationlücken
Webserver
- Konfigurationsfehler
- CGI/PHP/ASP Rechte
RAS
- Fehler in der Routingkonfiguration
- Remotezugriffe die Unsicher sind
- VPN
Firewalls
- Konfigurationsfehler
- Antivirus für Internetgateways
Angriffsklassifizierung
Aussen
- Internet
- Wlan
Innen
- Belegschaft
- Fremdpersonal
- Praktikanten
- Partner
Angriffstypen
- Eavesdropping
- Indentity-Spoofing
- Replay Attack
- Denial of Service
- Distributed Denial of Service
- Backdoor
- Man in the Middle
- Spoofing
- Password Guessing
Vorgehensweise der Hacker
- Ausspähen
- Eindringen
- Rechteerweiterung
- Angriff
- Verschleiern
Windowssicherheitsfeatures
Kernelmode und Usermode
- Bis Windows 2003 Ring0 bis Ring3
- Ring0 Kernel
- Ring3 Anwendungsprogramme
- Ab Vista Zusätzlicher Windowskernelschutz
- Schutz vor unerwünschten Zugriff in Verbindung mit UAC (User Account Control)
Local Security Authority (LSA)
- lokales LSA übernimmt die Authentifizierungsdaten
- kommuniziert mit dem Security Account Manager
Win32 Teilsystem
- Ermöglicht 32 Programme die Kommunikation mit dem Kernel
- kein direkter Hardwarezugriff mehr möglich
Secure boot (UEFI)
- Nur signierte Bootloader können booten
- Verhindern von von booten von Schadsystemen
Sicherheitsprinzipale
- Benutzer
- Gruppen
- Computer
Prinzip: Ein User ein Account
Benutzerkonten
Standart Konten
- Administrator
- Administator mit anderem Namen und anderer Security Identification)
- Benutzerkonto
- Gast
- Dienstkonto
Gruppen
vordefinierte Gruppen
- Administratoren - besitzt alle rechte auf lokalem System
- Benutzer - besitzt eingeschränkte rechte auf lokalem System
- Druck-Operator - Verwaltung von Druckern
- Gäste - Rechte vergleichbar mit Benutzer
- IIS_WPG - Internet Information Server läuft unter dieser Gruppen ID
- LeistungsProtokoll Benuter - Remotezugriff um Protokollierung von Leistenungs Indikatoren zu planen
- Remotedesktopbenutzer - Remotezugriff
- Replikations OP - Dateireplikation in der Domaine
- Server OP - ähnlich Gruppenadministrator
- Sicherungs OP - Datensicherung und Wiederherrstellung
- TelnetClients - Telnetzugriff
- Terminalserver-Lizenzserver - Ausgabe von Terminalizenzen
ADS Domaincontroller
- Domänen-Admins - Admins in der Domaine
- Domänen-Benutzer - Benutzer in der Domaine
- Domänen-Gäste - Gäste in der Domaine
- DNS-Admins - Verwalten der DNS Dienste
- DHCP-Admins - Verwalten der DHCP Dienste
- Organisations-Admins - Besitzen die meisten Rechte der Organisation
- Schema-Admins - Verwalten der ADS Schema (LDAP)
- Zertikatherausgeber - Verwaltung von Zertifikaten
Computerkonten
Computer Konten werden in Windows Domänen verwendet. Das Passwort des Kontos wird nach 30 Tagen + n neu ausgehandelt, dies erhöht die Sicherheit. Bei längerem Urlaub muss der Admin das Konto zurücksetzen.
Sam und AD
- Lokale Konten - Benutzernamen und Kennwörter(gehashed) werden in der SAM-DB gespeichtert - %systeroot%\system32\config\sam
- AD-Konten - Benutzernamen und Kennwörter(gehashed) werden in der AD-DB gespeichtert - %systeroot%\ntds\ntds.dit (SAM-DB wird dann deaktiviert)
Gruppenrichtlinien und Richlinien für Kennwörter
| Betriebssstem | Konfigurierbare Richtlinen |
| XP SP2 | 1284 |
| 2003 SP1 | 1676 |
| Vista | 2484 |
| 7 | 3025 |
| 2008 R2 | 3080 |
| 8 | 2573 |
Richtlinien für Kennwörter
- Ab 2008 Richtlinien für Kennwörter (FGPP) Kennwörter können für bestimmte Gruppen unterschiedlich sein.
- Password Seetings Objects (PSOs) werden in Password Seetings Container (PSC) abgespeichtert.
- Zuordnung der PSOs zu Benutzer oder Sicherheitsgruppen
- 2008 Verwaltung mit dem ADSI Editor
- 2012 Active Directory Verwaltungscenter
Ausführen als
- Ausführen als wurde mit Windows 2000 eingeführt
- erlaubt es Programme mit einem anderen Benutzerkonto auszuführen wie das gerade angemeldete Konto
- Wurde unter ab Windows 7 begreiflich angepasst erfüllt aber noch den gleichen Zweck
Benutzerkontensteuerung UAC (User Account Control)
- Eingeführt mir Windows Vista
- Überarbeitet für Windows 7,8,10
- im Zuge der Einführung der UAC Wurden Die Rechte des Standard Benutzers Erweitert
Zusätzliche Privilegien
- Anzeige Kalender Systemuhr,
- Ändern Zeitzone,
- Ändern Anzeigeeigenschaften,
- Ändern Energiesparoptionen,
- Installation von Schriftarten,
- Hinzufügen von Geräten für die die Installation von Treibern erforderlich ist,
- erstellen von VPN Verbindungen,
- installieren von Updates mit UAC kompatiblem Installer.
Patches & Service Packs
- Immer aktuelle Patches einspielen
- Gegen Zero Day Exploits gibt es keinen Schutz
- Windows Server Update Services (WSUS) (AB 2008 R2 - Automatischen Verteilen in der Domaine)
Windows-Firewall
- Die Windows Firewall wurde mit XP Service Pack 2 Eingeführt
- Grundschutz
- Unterstützt mehrer Profile
- Privat
- Öffentlich
- Domaine
Windows Defender
- Virenscanner
- gegen Spyware
- gegen Malware
Microsoft Sexurity Essentials
- Ergänzung zum Defender
- gegen Spyware
- gegen Malware
- Bis 10 Arbeitsstationen kostenlos
IPSEC
- Verschlüsselte Dateiübertragung
- Tunnel und Transportmodus
- DES, 3DES und AES
- MD5 und SHA1
Dateischutz mit NTFS und EFS (Encrypting File System
- ab Vista - AES mit SHA1
- Datenverlustschutz - Recovery über Data Recovery Agent Zertificat
- Kennwortlänge mindestens 10 Zeichen
=Sicherheitsprinzipien=?
- Mehrstufige Verteidigung
- Niedrige Berechtigung
- Kleine Angriffsfläche
Schutz durch mehrstufige Verteidigung
- Daten
- ACLs
- verschlüsselung
- Signatur
- Anwendung
- Antivirus-Software
- Anwendungshärtung
- Server-Clients
- Authentifizierung
- OS-Härtung
- Service-Patches-Pflege
- Bitlocker
- Internes Netzwerk
- IPSEC
- Netzwerksegmente
- Network Intrusion Detection
- Honeypot
- DMZ
- Firewall
- Network Intrusion Detection
- Honeypot
- Quarantäne
- Physikalische Sicherheit
- Zugangskontrolle
- Überwachung
- Smartcards
- Richtlinien und Verfahren
- Sicherheitsdokumente
- Notfallpläne
- Richtlinie
- Mitarbeiterschulung