Planungshandbuch für sicheren Zugriff unter Verwendung von Smartcards

  • Artikel

Kapitel 3 – Verwendung von Smartcards zur Sicherung von Administratorkonten

Veröffentlicht: 30. Juni 2005 | Aktualisiert: 07. Mai 2007

Microsoft® Windows Server™ 2003 ermöglicht es Unternehmen, den Zugriff auf Administratorkonten durch eine Reihe von spezifischen Kontosicherheitsfunktionen zu sichern. Prinzipiell ist es erforderlich, dass Administratoren sich mit der Smartcard anmelden. Zusätzlich unterstützt Windows Server 2003 folgende sekundäre Verfahren für die Smartcardauthentifizierung:

  • Erstellen eines zugeordneten Laufwerks über den Befehl net use

  • Verwenden des Diensts „Sekundäre Anmeldung“ durch Eingabe des Befehls runas in der Eingabeaufforderung

  • Installation des Active Directory®-Verzeichnisdiensts durch Verwendung des Assistenten zum Installieren von Active Directory (der Zugriff erfolgt durch Eingabe des Befehls dcpromo in der Eingabeaufforderung)

  • Anmeldung über Windows Server 2003 Remotedesktopsitzungen

  • Anmeldung über Windows Server 2003 Terminalserversitzungen

Hinweis: Microsoft Windows® 2000 unterstützt zwar die Zugriffskontrolle über die Smartcardauthentifizierung, die hier aufgeführten zusätzlichen Funktionen werden jedoch nicht unterstützt. Diese sind nur in Windows Server 2003 verfügbar.

Auf dieser Seite

Möglichkeiten zum Sichern von Administratorkonten mithilfe von Smartcards
Probleme und Anforderungen
Lösungsentwurf

Möglichkeiten zum Sichern von Administratorkonten mithilfe von Smartcards

Durch die Unterstützung der Smartcardauthentifizierung mit sekundären Verfahren in Windows Server 2003 wird eine bessere Abgrenzung zwischen Benutzer- und Administratorkonten ermöglicht. Für alltägliche Aufgaben können sich Administratoren mit regulären Benutzerkonten an Arbeitsstationen anmelden. Wenn eine administrative Aufgabe ausgeführt werden soll, authentifizieren sich Administratoren für diese Aufgabe über ihre Smartcard und ein sekundäres Verfahren. Diese Vorgehensweise ist sicherer und bequemer, als wenn Administratoren einen Benutzernamen und ein Kennwort eingeben müssen oder sich abmelden und mit einem Administratorkonto wieder anmelden müssen.

Festlegung von Administratorkonten und Gruppen

Bei der Implementierung von Smartcards für Administratoren muss ein Unternehmen die Administratorkonten festlegen, für die eine 2-Faktoren-Authentifizierung erforderlich ist. Für die korrekte Ausführung dieses Schrittes ist es wichtig, die Eigenschaften der verschiedenen Administratorkonten und Gruppen in Windows XP und Windows Server 2003 zu kennen.

Gruppen ermöglichen es Administratoren, mehrere Benutzerkonten gleichzeitig zu verwalten. Microsoft Windows NT® und neuere Betriebssysteme verfügen über Sicherheitsgruppen mit vordefinierten Administratorrechten.

Bei den Sicherheitsgruppen kann es sich um lokale Gruppen (auf Computern innerhalb einer Domäne, wie Arbeitsstationen und Mitgliedsserver) oder Standardgruppen (auf Domänencontrollern) handeln. Administratorkonten erhalten ihre Berechtigungen dadurch, dass sie einer oder mehrerer dieser Sicherheitsgruppen zugeordnet sind.

Lokale Gruppen

Bei lokalen Gruppen auf Computern innerhalb einer Domäne gibt es verschiedene Ebenen von Administratorrechten. Dazu gehören:

  • Administratoren. Mitglieder dieser Gruppe verfügen über uneingeschränkte Rechte für den lokalen Computer. Das Administratorbenutzerkonto ist standardmäßig als Mitglied dieser Gruppe eingerichtet. Wenn der Computer zu einer Domäne gehört, ist die Gruppe der Domänen-Admins dieser Domäne ebenfalls Mitglied der Administratorengruppe.

  • Sicherungs-Operatoren (alle Computertypen). Mitglieder dieser Gruppe können die NTFS-Dateisystemberechtigungen umgehen, um Sicherungen von Dateien und Ordnern zu erstellen. Sicherungs-Operatoren können auch den Betrieb von Mitgliedsservern beenden.

  • Hauptbenutzer. Mitglieder dieser Gruppe verfügen über eingeschränkte Administratorrechte für die Ressourcen auf einer lokalen Arbeitsstation oder auf einem lokalen Mitgliedsserver. Sie können auch den Betrieb von Mitgliedsservern beenden.

  • Druck-Operatoren. Mitglieder dieser Gruppe können Druckerserver, Drucker und Druckaufträge verwalten. Sie können auch den Betrieb von Mitgliedsservern beenden.

Eine vollständige Beschreibung der Standardgruppen in Windows Server 2003 finden Sie unter dem Thema Default Local Groups (in englischer Sprache) unter www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/lsm\_local\_groups.asp.

In den Sicherheitsrichtlinien Ihres Unternehmens sollte festgelegt werden, welche Mitglieder aus den Gruppen der Administratoren, Server-Operatoren und Hauptbenutzer Smartcards für die Anmeldung und zur Ausführung von administrativen Aufgaben benötigen.

Standardgruppen

Jede Domäne verfügt über mehrere Standardgruppen, die Administratorfunktionen auf Domänencontrollern zur Verfügung stellen. Zu diesen Gruppen gehören:

  • Administratoren. Mitglieder dieser Gruppe besitzen vollständige Administratorrechte für Domänencontroller. Das Administratorkonto und die Gruppe der Domänen-Admins sind standardmäßig Mitglieder dieser Gruppe.

  • Sicherungs-Operatoren. Mitglieder dieser Gruppe können die NTFS-Dateisystemberechtigungen umgehen, um Sicherungen von Dateien und Ordnern zu erstellen. Sicherungs-Operatoren können sich auch lokal anmelden und den Betrieb von Domänencontrollern beenden.

  • Server-Operatoren. Diese Gruppe verfügt über eingeschränkte Administratorrechte auf Domänencontrollern, ähnlich wie Hauptbenutzer auf Arbeitsstationen. Server-Operatoren können sich lokal anmelden und den Betrieb von Domänencontrollern beenden.

  • Druck-Operatoren. Mitglieder dieser Gruppe verwalten Druckerserver, Drucker und Druckaufträge. Sie können sich auch lokal anmelden und den Betrieb von Domänencontrollern beenden.

  • Konten-Operatoren. Mitglieder dieser Gruppe verfügen über eingeschränkte Rechte zur Verwaltung von Benutzerkonten und Gruppen. Sie können sich interaktiv anmelden, jedoch nicht den Betrieb von Domänencontrollern beenden.

Weitere Informationen zu Standardgruppen finden Sie unter dem Thema Default groups (in englischer Sprache) unter https://go.microsoft.com/fwlink/?LinkId=81737.

In den Richtlinien Ihres Unternehmens sollte festgelegt sein, dass alle Mitglieder dieser Gruppen für Administrationsaufgaben Smartcards benötigen.

Standardgruppen in Domänen und Gesamtstrukturen

Zusätzlich zu den Standardgruppen werden durch das Einrichten einer Active Directory-Gesamtstruktur folgende Sicherheitsgruppen eingerichtet:

  • Domänen-Admins. Mitglieder dieser Gruppe besitzen die vollständige Kontrolle über alle Objekte in der Domäne. Jede untergeordnete Domäne innerhalb der Gesamtstruktur verfügt ebenfalls über eine Gruppe von Domänen-Admins.

  • Organisations-Admins (nur in der Stammdomäne der Gesamtstruktur).  Mitglieder dieser Gruppe besitzen die vollständige Kontrolle über alle Objekte in der Gesamtstruktur.

  • Schema-Admins (nur in der Stammdomäne der Gesamtstruktur). Mitglieder dieser Gruppe können Klassen und Attribute im Schema erstellen und den Schemabetriebsmaster verwalten.

    Hinweis: Halten Sie zur Erhöhung der Sicherheit die Anzahl der Mitglieder in diesen Gruppen möglichst gering.

Für alle Mitglieder dieser Gruppen sollten Smartcards für administrative Aufgaben erforderlich sein.

Interaktive Anmeldung mit Smartcards

Bei der interaktiven Anmeldung können Smartcards auf zwei Arten eingesetzt werden. Sie können Folgendes konfigurieren:

  • Benutzerkontoeigenschaften für Active Directory-Benutzer und -Computer

  • Gruppenrichtlinien für bestimmte Computer oder für Gruppen von bestimmten Computern

In den meisten Umgebungen ist die Einrichtung einer Gruppenrichtlinie am einfachsten umzusetzen.

Benutzerkontoeigenschaften    

Sie können jedes beliebige Benutzerkonto so einrichten, dass eine Smartcard für die interaktive Anmeldung erforderlich ist. Um diesen Schritt auszuführen, doppelklicken Sie unter „Active Directory-Benutzer und -Computer“ auf den Benutzer, klicken Sie dann auf die Registerkarte Konto, und aktivieren Sie unter Kontooptionen das Kontrollkästchen Benutzer muss sich mit einer Smartcard anmelden. Durch die Auswahl dieser Option wird das Kennwort des Benutzers in einen zufälligen komplexen Wert geändert und die Eigenschaft Kennwort läuft nie ab festgelegt. Wenn Sie später die Einstellung so ändern, dass keine Smartcard erforderlich ist, müssen Sie auch das Kennwort des Benutzers wieder zurücksetzen.

Da durch die Einstellung zur Verwendung der Smartcard das Kennwort des Benutzers auf einen unbekannten Wert gesetzt wird, kann sich der Benutzer nicht mehr über eine Kombination von Benutzername und Kennwort bei der Domäne anmelden. Das bedeutet, dass sich der Benutzer nicht mehr mit einem Benutzernamen und Kennwort bei Programmen wie Microsoft Outlook® Web Access für Microsoft Exchange Server 2003 anmelden kann.

Sie können diese Einstellung durch die Verwendung eines Skripts bei der Registrierung aktivieren. Bei dieser Methode ist es jedoch notwendig, dass Sie geeignete Skripts zur Aktivierung und Deaktivierung der Smartcardfunktion für bestimmte Personen entwickeln.

Wenn Sie für ein Benutzerkonto die Option zur Verwendung der Smartcard ausgewählt haben, benötigt der Administrator nicht nur für die geschützten Server, sondern für jeden Computer innerhalb der Domäne eine Smartcard, um sich interaktiv anzumelden. Dies kann unzweckmäßig sein, falls nicht alle Computer über ein Smartcardlesegerät verfügen.

Wenn Sie die Verwendung der Smartcard über die Benutzerkontoeigenschaften festlegen, ist für Administratoren die Remoteverwaltung von Computern, auf denen Windows 2000 Server ausgeführt wird, nicht möglich. Windows 2000 Server-Terminaldienstsitzungen unterstützen keine Smartcardumleitung. Daher muss sich der Administrator zur Verwaltung von Systemen, auf denen Windows 2000 ausgeführt wird, lokal anmelden. Dies kann sehr problematisch sein, wenn sich der Administrator an einem anderen Ort befindet als der Server.

Gruppenrichtlinie

Ein einfacher umsetzbarer Ansatz ist es, über Einstellungen für Gruppenrichtlinien festzulegen, dass bestimmte Computer Smartcards für eine interaktive Anmeldung benötigen, sowie festzulegen, was geschieht, wenn ein Benutzer eine Smartcard entfernt. Sie können Gruppenrichtlinienobjekte (GPOs) mit den entsprechenden Einstellungen erstellen und die GPOs mit der Organisationseinheit (OU) verknüpfen, die den Computer enthält, für den die Smartcardanmeldung erforderlich sein soll. Der Pfad zu den Smartcardoptionen in der Gruppenrichtlinie lautet Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen. Die Einstellungen lauten Interaktive Anmeldung: Smartcard erforderlich und Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards

Hinweis: Für diese Einstellung ist entweder Windows XP mit Service Pack 2 oder ein Update erforderlich. Weitere Informationen finden Sie im Knowledge Base-Artikel Update for the "interactive logon: require smart card" security setting in Windows XP (in englischer Sprache) unter https://support.microsoft.com/?id=834875.

Um die größtmögliche Sicherheit zu erzielen, sollten Sie Smartcards für die interaktive Anmeldung erforderlich machen und anschließend die Richtlinie für das Entfernen von Smartcards so einstellen, dass die Arbeitsstation gesperrt oder der Benutzer abgemeldet wird. Diese Einstellungen für die Gruppenrichtlinie sollten in eine benutzerdefinierte GPO integriert werden, die für Administratoren gilt. GPOs können für die Site-, Domänen- oder Organisationseinheitenebene gelten. In den meisten Fällen gelten GPOs mit Smartcardeinstellungen für eine Organisationseinheitenebene.

Hinweis: Microsoft empfiehlt, die Standard-Domänencontrollerrichtlinie oder die Standarddomänenrichtlinie NICHT zu ändern, um Smartcardeinstellungen oder andere Richtlinienänderungen zu integrieren. Erstellen Sie immer eine neue GPO oder verwenden Sie eine bereits vorhandene GPO, um Gruppenrichtlinieneinstellungen für die Smartcardanmeldung einzurichten.

Die Gruppenrichtlinieneinstellungen für Smartcards steuern die interaktive Anmeldung und wirken sich nicht auf den Zugriff auf Server im Netzwerk aus. Die interaktive Anmeldung schließt die Anmeldung über Remotedesktop- oder Terminaldienste ein.

Microsoft empfiehlt, Smartcards für Administratoren mit anderen Kontrollmechanismen wie IPsec oder Gruppenrichtlinieneinstellungen einzurichten, um die Serververwaltung über Remoteverwaltungstools wie Microsoft Management Console (MMC) zu vermeiden.

Verwaltung des Smartcardzugriffs in mehreren Domänen und Gesamtstrukturen

Für die Implementierung von Smartcards für Administratoren ist es wichtig, aus mehreren Domänen bestehende Strukturen und Gesamtstrukturen zu verstehen. Administratoren, die Mitglieder der Domänen-Admins-Gruppe in mehr als einer Gesamtstruktur sind, benötigen möglicherweise eine Smartcard für jede Gesamtstruktur, in der sie über Administratorrechte verfügen. Diese Administratoren müssten dann mehrere Smartcards mit sich führen.

Smartcards können zwar mehrere Zertifikate enthalten, Windows Server 2003 unterstützt derzeit jedoch nur ein Smartcardanmeldungszertifikat (das Zertifikat, das sich auf der Smartcard in Slot 0 befindet) pro Zertifizierungsstellen-Stammverzeichnis. Diese Einschränkung kann möglicherweise dazu führen, dass einige Netzwerkadministratoren mehrere Smartcards mit sich führen müssen, wenn in dem jeweiligen Unternehmen keine Vertrauensstellungen zwischen Gesamtstrukturen bestehen.

Sichern von Servern

Computer, auf denen Dienste wie Dateiablage, Druck, Datenbanken, E-Mail und Verzeichnisse ausgeführt werden, müssen umfassender gesichert werden als gewöhnliche Arbeitsstationen. Der Einsatz von Smartcardauthentifizierung empfiehlt sich insbesondere für alle Konten, über die folgende Arten von Computern verwaltet werden:

  • Domänencontroller

  • Datenbankserver

  • Zertifikatserver

  • Datei- und Druckserver

Sichern von Domänencontrollern

Bei Domänencontrollern ist die Verwendung einer 2-Faktoren-Authentifizierung am wichtigsten, denn diese Computer beinhalten und steuern die gesamten Domänenkonteninformationen und wenden Sicherheitsregeln auf die einzelnen Konten an. Bei einem unbefugten Zugriff auf einen Domänencontroller könnte ein Angreifer ein neues Konto erstellen, Berechtigungen vergeben oder auf alle Domänencontroller als Administrator zugreifen.

Sichern von Datenbankservern

Datenbankserver speichern Informationen, die für den Betrieb eines Unternehmens wichtig sind. Für diese gespeicherten Informationen sind möglicherweise strenge Verfahren zum Ein- und Auschecken erforderlich, bei denen die Anfragen auf Datenzugriff überwacht werden. Auf Datenbankservern kann beispielsweise der Quellcode eines Softwareunternehmens gespeichert sein oder die geheimen Herstellungsrezepte eines Getränkeherstellers oder Kundenkontoinformationen. Der Zugriff auf alle Datenbankserver sollte durch eine Smartcardauthentifizierung gesichert werden.

In einem Unternehmen sollten Server mit hohen Sicherheitsauflagen ermittelt werden. Gemeinsam mit den Eigentümern der Server sollte dann die Art des Kontos geändert werden, unter dem der Dienst oder die geplante Aufgabe ausgeführt wird; oder die Konten und Server sollten speziellen Sicherheitsgruppen zugeordnet werden, die umfassendere Beschränkungen für Zugriff und Benutzer beinhalten.

Sichern von Zertifikatsservern

Für Server, die Zertifizierungsstellen und Zertifikatsdienste hosten, gelten besonders hohe Sicherheitsanforderungen. Ein unbefugter Zugriff auf die Zertifizierungsstelle bedeutet eine Gefahr für die Integrität des gesamten Unternehmens, da alle ausgegebenen Zertifikate anschließend nicht mehr vertrauenswürdig sind. Für Server, die Zertifikatsdienste hosten, muss sowohl für den Netzwerkzugriff als auch für den physischen Zugang die höchste Sicherheitsstufe gelten.

Sichern von Datei- und Druckservern

Dateiserver können wichtige Unternehmensdokumente und vertrauliche Informationen hosten. Ein unbefugter Zugriff auf diese Daten kann sich schädlich auf den zukünftigen Umsatz auswirken oder eine rechtliche Verfolgung durch Aufsichtsbehörden nach sich ziehen. In jedem Fall ist eine Smartcardauthentifizierung für Druckserver erforderlich, über die Rechnungen oder Schecks gedruckt werden.

Weitere Informationen zu den Sicherheitsfunktionen in Windows Server 2003 finden Sie im Windows Server 2003-Sicherheitshandbuch unter https://go.microsoft.com/fwlink/?LinkId=14845.

Installieren von Smartcardlesegeräten auf Servern

Ein Smartcardlesegerät muss an alle Server, auf denen laut Gruppenrichtlinie eine Smartcard für die interaktive Anmeldung erforderlich ist, angeschlossen werden. Die meisten in einem Rack montierten Computer verfügen auf der Rückseite über einen USB-Port, über den sich ein Smartcardlesegerät anschließen lässt. Sie können das Smartcardlesegerät dann im vorderen Bereich des Racks platzieren, um den Zugriff für den Benutzer zu erleichtern. Achten Sie darauf, dass Sie die Smartcardlesegeräte deutlich beschriften, damit Administratoren wissen, welches Smartcardlesegerät zu welchem Server gehört.

Wenn sich ein Administrator bei einem anderen Server anmelden möchte, muss er seine Smartcard aus dem ersten Smartcardlesegerät entfernen und sie in das Lesegerät des anderen Computers einsetzen. Aus diesem Grund ist die Verwaltung von Servern mit Remotedesktop wesentlich einfacher.

Verteilung von Smartcards

Die Verteilung der Smartcards an Administratoren beinhaltet folgende Schritte:

  • Erstellen geeigneter Gruppen für die Verteilung von Smartcards

  • Ernennen von Security Officers, die die Funktion von Registrierungsagenten übernehmen können

  • Auswahl einer geeigneten Methode für den Transport der Smartcards

  • Durchführung strenger Identitätskontrollen

Sie sollten eine Stagingsicherheitsgruppe erstellen, die die ausgewählten Administratorkonten enthält. Sie benötigen auch eine Sicherheitsgruppe, die die aktivierten Konten enthält. Ein Teil des Registrierungsvorgangs besteht darin, die Administratorkonten von der Staginggruppe in die aktivierte Gruppe zu verschieben.

Für die Verteilung der Smartcards müssen Security Officers ernannt werden. Die Security Officers können folgende Aufgaben übernehmen:

  • Lieferung der Smartcards an die Registrierungsstation

  • Übernahme der Funktion von Registrierungsagenten

  • Durchführung von Identitätskontrollen

Die Identitätskontrollen müssen sehr streng sein. Die Identität der Administratoren sollte durch den Security Officer persönlich anhand eines geeigneten Identitätsdokuments überprüft (Personalausweis, Reisepass, Führerschein o. Ä.) und darüber hinaus durch den Vorgesetzten des Administrators bestätigt werden.

Unternehmen sollten außerdem die Vertrauenswürdigkeit ihrer Administratoren überprüfen. Diese Überprüfungen sind insbesondere im Finanzbereich von Bedeutung oder in Unternehmen, die bestimmten rechtlichen Vorgaben unterworfen ist. Weitere Informationen zur Prüfung der Vertrauenswürdigkeit von Administratoren finden Sie im Planungshandbuch für die Sicherheitsüberwachung und Angriffserkennung.

Aktivieren von Smartcards

Das Aktivieren von Smartcards sollte an einem sicheren Ort erfolgen, etwa in dem Büro, in dem auch die Zutrittsberechtigungen zu den Gebäuden und Einrichtungen ausgestellt werden. Der Security Officer richtet eine Registrierungsstation mit zwei Smartcardlesern ein und meldet sich mit seiner Smartcard an.

Nachdem der Security Officer die Identität des Administrators bestätigt hat, gibt er eine Zertifikatsanforderung für dieses Benutzerkonto aus. Er öffnet eine neue Smartcard und installiert das angefragte Zertifikat. Anschließend verschiebt der Security Officer das Administratorkonto von der Gruppe mit den ausstehenden Konten in die Gruppe mit den aktivierten Konten. Schließlich notiert er die Seriennummer der Karte und händigt die Karte anschließend dem Administrator aus.

Mit dem Tool zum Zurücksetzen der PIN setzt der Administrator dann die standardmäßige PIN zurück, oder er verwendet das Tool zum Entblocken der PIN in Verbindung mit dem Aktivierungswebserver, um eine neue PIN festzulegen. Die Smartcard des Administrators ist nun einsatzbereit.

Verwalten von Smartcards

Die Implementierung von Smartcards ist nicht durch einen einmaligen Vorgang abgeschlossen, denn die in den Karten eingebetteten Sicherheitszertifikate müssen verwaltet werden. Zudem wird es Fälle geben, in denen Administratoren ihre Smartcards vergessen oder verlieren oder in denen Karten gestohlen werden. Sie sollten Verfahren für solche Fälle vorbereiten und ein angemessenes Budget für die Verwaltung der Smartcards bereitstellen.

Ausnahmeverwaltung

Sie sollten für Ihr Unternehmen einen Plan entwickeln, wie im Falle von vergessenen, verlorenen oder gestohlenen Administratorsmartcards vorgegangen werden soll. Die Implementierung dieses Plans hängt davon ab, wie die jeweiligen Anforderungen für die Smartcardanmeldung innerhalb des Unternehmens umgesetzt werden.

Wenn eine Anforderung für die Smartcardanmeldung über Benutzerkonten in Active Directory durchgesetzt werden soll, können Sie problemlos eine Ausnahme für entsprechende Benutzer erteilen. Für eine solche Ausnahme muss die Anforderung für die Smartcardanmeldung für das jeweilige Konto gelöscht und anschließend des Kennwort zurückgesetzt werden. Dabei muss sichergestellt sein, dass die Einstellung Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktiviert wurde. Das Kennwort kann dann dem Kontoinhaber zur Verfügung gestellt und die Anforderung nach einer angemessenen Zeitspanne erneut aktiviert werden. Doppelklicken Sie zur Anwendung dieser Methode in „Active Directory-Benutzer und -Computer“ den entsprechenden Benutzernamen an, klicken Sie anschließend auf die Registerkarte Konto, und deaktivieren Sie unter Kontooptionen das Kontrollkästchen Benutzer muss sich mit einer Smartcard anmelden. Aktivieren Sie danach das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Klicken Sie auf OK und anschließend im Kontextmenü mit der rechten Maustaste auf den Benutzernamen. Wählen Sie zum Festlegen des Kennworts die Option Kennwort zurücksetzen, und erzwingen Sie diese Anforderungen für den Administrator.

Wenn zur Erzwingung der Anforderung für die Smartcardanmeldung in Ihrem Unternehmen Gruppenrichtlinien verwendet werden, kann keine Ausnahme für einen Benutzer erstellt werden. In einem solchen Fall müssen Sie eine Richtlinie für Ihr Unternehmen erstellen, die Administratoren anwenden können, falls diese ihre Smartcards vergessen oder verloren haben.

Bei vergessenen Smartcards können Sie eine Reihe von Maßnahmen implementieren. Beispielsweise könnten Administratoren durch eine Richtlinie angewiesen werden, nachhause zu fahren und die vergessenen Smartcards zu holen.

Wenn die Smartcardinfrastruktur Ihres Unternehmens ausgelagert ist, könnten Sie eine Richtlinie aufstellen, bei der Administratoren einige wenige generische Smartcards mit an entsprechende Benutzerkonten gebundenen Zertifikaten am jeweiligen Standort behalten. Verliert ein Benutzer eine Smartcard, könnte er vom Administrator vorübergehend eine dieser generischen Smartcards erhalten. Natürlich müsste eine Vereinbarung gelten, dass dieser Benutzer für jeglichen Zugriff auf Ressourcen über das generische Konto verantwortlich ist. Bei einer solchen Richtlinie empfehlen wir, dass der für die Aufbewahrung der generischen Smartcards zuständige Administrator die Kennwort-PIN auf der Smartcard stets zurücksetzt, bevor diese an einen Benutzer ausgegeben wird.

Wenn die Smartcardinfrastruktur innerhalb Ihres Unternehmen verwaltet wird, könnten Sie für ein generisches Benutzerkonto ein neues Zertifikat mit einer kurzen Gültigkeitsdauer ausstellen. Bei dieser Methode der Ausnahmenverwaltung bleibt der Administrator für den Zugriff auf Ressourcen unter Verwendung des generischen Kontos verantwortlich.

Und wenn ein Administrator eine Smartcard verliert, sollte in Ihrem Unternehmen eine Richtlinie implementiert werden, bei der dem Administrator eine neue Smartcard ausgestellt und das alte Zertifikat des Administrators gesperrt wird.

Zertifikatssperrungen

In einigen Fällen kann es nötig sein, ein Zertifikat zu sperren, etwa wenn der private Schlüssel in unbefugte Hände geraten ist, sich die Zuständigkeiten des Smartcardbenutzers ändern oder der Benutzer das Unternehmen verlässt. Wenn Sie ein Zertifikat sperren, werden Einzelheiten über das Zertifikat an die Zertifikatssperrliste (Certificate Revocation List, CRL) übertragen. Diese Liste ist normalerweise durch eine URL oder einen Netzwerk-UNC-Pfad adressiert.

Ein ausgegebenes Zertifikat beinhaltet eine Liste von Verteilungspunkten, an denen ein Authentifizierungsserver den Status eines Zertifikats mit der CRL vergleichen kann. Weitere Informationen zum Sperren von Zertifikaten finden Sie unter dem Thema Revoking certificates and publishing CRLs (in englischer Sprache) auf der Website www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_CS\_SrvAdCRL.asp.

Zertifikatserneuerungen

Das Ablaufdatum des digitalen Zertifikats auf einer Smartcard hängt von den Einstellungen der Zertifikatsvorlage ab, auf der das Smartcardzertifikat basiert. Zertifikate für die Smartcardverwendung sind normalerweise 6 Monate bis 2 Jahre gültig.

Wenn die Gültigkeit eines Zertifikats endet, muss das Zertifikat erneuert werden, damit der Eigentümer das Zertifikat weiterhin verwenden oder es ersetzen kann. Bei Zertifikatserneuerungen besitzt die Person, die eine Erneuerung anfordert, bereits ein Zertifikat. Bei der Erneuerung werden die Informationen des aktuellen Zertifikats zum Zeitpunkt der Übermittlung der Erneuerungsanfrage berücksichtigt. Sie können das Zertifikat dann mit einem neuen Schlüssel erneuern oder den aktuellen Schlüssel verwenden.

Automatische Zertifikatsregistrierung

Die automatische Zertifikatsregistrierung ist eine Funktion der Zertifikatsdienste von Windows Server 2003 Enterprise Edition. Eine Erneuerungsanfrage wird damit automatisch signiert, wobei das neue Zertifikat auf Grundlage des vorhandenen Zertifikats erstellt wird. Diese Funktion erleichtert die Verwaltung großer Mengen von Zertifikaten. Weitere Informationen zum automatischen Registrieren von Zertifikaten finden Sie unter Certificate Autoenrollment in Windows Server 2003 (in englischer Sprache) unter https://go.microsoft.com/fwlink/?LinkId=69027.

Überwachung der Smartcardverwendung

Administratoren verwenden Smartcard-fähige Konten, wenn sie Aufgaben ausführen, für die Administratorrechte auf einer hohen Ebene erforderlich sind wie Serverneustarts, die Verwaltung von Benutzerkonten und das Konfigurieren von Dateiberechtigungen. Böswillige oder schlecht ausgebildete Administratoren können Ihrer Netzwerkinfrastruktur beträchtlichen Schaden zufügen. Sie sollten daher Ihre Sicherheitsprotokolle überwachen und protokollieren, wann sich Administratoren mit Ihrer Smartcard an- und abmelden.

Tools für das Unternehmensmanagement wie Microsoft Operations Manager (MOM) 2005, die Sicherheitsereignisprotokolle überwachen und auswerten können, eignen sich für die Überwachung der Smartcardverwendung. Weitere Informationen zur Überwachung von Sicherheitsereignisprotokollen finden Sie im Planungshandbuch für die Sicherheitsüberwachung und Angriffserkennung unter https://www.microsoft.com/germany/technet/datenbank/articles/900370.mspx.

Probleme und Anforderungen

In diesem Abschnitt werden besondere Probleme und Anforderungen, mit denen die Woodgrove National Bank während des Entwurfs ihrer Lösung für die Sicherung von Administratorkonten mithilfe von Smartcards konfrontiert war.

Hintergrund

Die Woodgrove National Bank besitzt eine Reihe von wichtigen Servern, die eine strenge administrative Kontrolle und einen sicheren Zugriff erfordern. Administratoren werden für den Zugriff auf diese Server derzeit durch die Eingabe eines Benutzernamens und eines Kennworts authentifiziert. Unbefugte Benutzer haben bereits versucht, mit gestohlenen Anmeldedaten auf diese wichtigen Server zuzugreifen.

Geschäftliche Aspekte

Die Woodgrove National Bank hat die folgenden drei Probleme im Hinblick auf den kontinuierlichen Geschäftsverlaufs und die Administratorverantwortlichkeit ermittelt:

  • Verantwortlichkeit. Die IT-Abteilung hat nicht die Möglichkeit, kritische Veränderungen an Servern durch Administratoren zu überprüfen, die zur Authentifizierung Benutzernamen und Kennwörter verwenden, da die Administratoren oftmals Anmeldedaten gemeinsam verwenden.

  • Schutz der Anmeldedaten. Böswillige Benutzer, die Anmeldedaten von Benutzern stehlen, können den Ruf eines Unternehmens ernsthaft schädigen und durch Ausfallzeiten finanzielle Verluste verursachen. Durch die Smartcardauthentifizierung würde das Risiko des Diebstahls von Administratoranmeldedaten deutlich verringert.

  • Kontinuierlicher Geschäftsverlauf. Da für die Woodgrove National Bank durch Änderungen an der Netzwerkkonfiguration hervorgerufene Unterbrechungen der Geschäftsabläufe nicht akzeptabel sind, muss die Implementierungsphase der Smartcardlösung genau geplant werden.

Technische Aspekte

Die IT-Abteilung der Woodgrove National Bank hat folgende technische Probleme ermittelt, die für die Einführung der Smartcard gelöst werden müssen:

  • Unterstützung für Smartcardlesegeräte. Alle Server, auf die Administratoren mit einer Smartcard zugreifen, müssen Hardwareunterstützung für Smartcardlesegeräte bieten.

  • Implementierung von Best Practices. Um die Integrität einer Smartcardbereitstellung zu gewährleisten, ist eine effektive langfristige Verwaltung und Wartung erforderlich. Die IT-Abteilung der Woodgrove National Bank sollte die Best Practices implementieren, die im Microsoft Operations Framework (MOF) festgelegt sind.

  • Geplante Aufgaben, die über Administratorrechte auf einem Server mit Smartcardschutz ausgeführt werden. Die Woodgrove National Bank führt geplante Aufgaben über Konten aus, die über Administratorrechte verfügen. Die Woodgrove National Bank muss diese Konten überprüfen und, falls möglich, Konten verwenden, die keine Administratorrechte benötigen. Die Woodgrove National Bank muss außerdem eine Gruppe für dauerhaften Ausschluss erstellen, in die alle Konten aufgenommen werden, die geplante Aufgaben ausführen. Dadurch ist für diese Konten keine Smartcardanmeldung erforderlich.

  • Integration in UNIX. Die Woodgrove National Bank arbeitet in einer heterogenen Umgebung, d. h. die Computer, auf denen UNIX ausgeführt wird, müssen in das Smartcardsystem integriert werden. Die Woodgrove National Bank plant, Informationen über Produkte wie TrustBroker von CyberSafe Limited einzuholen, die eine integrierte Smartcardauthentifizierung für sowohl Windows als auch UNIX bieten.

Sicherheitsaspekte

Das Ziel der Verwendung von Smartcards zur Sicherung von Administratorkonten ist die allgemeine Verbesserung der Sicherheit und der Verantwortlichkeitskontrolle. Die IT-Abteilung der Woodgrove National Bank hat folgende Sicherheitsprobleme identifiziert, die vor der Einführung der Lösung behoben werden müssen:

  • Verteilung und Aktivierung. Eine korrekte Verteilung und Aktivierung der Smartcards ist für die Integrität der gesamten Lösung ausschlaggebend. Da die Woodgrove National Bank weltweit über Standorte verfügt, kann die IT-Abteilung von Woodgrove die Smartcards nicht von einem einzigen Standort aus verteilen. Die Überprüfung der Identität von Smartcardempfängern ist entscheidend für die Integrität des Projekts. Die Woodgrove National Bank plant den Einsatz von Sicherheitsteams, die Identifikationsdaten der Personalabteilung verwenden, um sicherzustellen, dass alle Smartcards an die richtige Person ausgegeben werden.

  • Vergabe von minimal erforderlichen Administratorrechten. Die Woodgrove National Bank sollte ihr derzeitiges Netzwerkverwaltungsmodell untersuchen und die Anzahl der Benutzer- und Dienstkonten überprüfen, die über vollständige Administratorrechte verfügen. Die Bank sollte nur die Rechte vergeben, die Administratoren zur Ausführung ihrer Aufgaben benötigen. Die Analyse und Verringerung der Anzahl an Administratorkonten kann bei der Bereitstellung, Überwachung und der langfristigen Verwaltung der Smartcardlösung von Nutzen sein.

  • Verwaltung von Dienstkonten. Die IT-Abteilung der Woodgrove Bank hat Programmdienstkonten überprüft und sichergestellt, dass so wenige Dienste wie möglich die Administratorsicherheitsstandards erfüllen müssen. Viele Programme sind entweder für Aktualisierungen oder für den Austausch durch ein Ersatzprogramm gekennzeichnet.

  • Eine Smartcard für jede Gesamtstruktur in einer Vertrauensstellung. Woodgrove National Bank verfügt über zwei Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung. Eine Smartcard kann zwar mehrere Zertifikate beinhalten, Windows Server 2003 verwendet jedoch nur das Zertifikat, das in Slot 0 der Smartcard für die interaktive Anmeldung gespeichert ist. Daher benötigen Netzwerkadministratoren, die in mehreren nicht miteinander verbundenen Gesamtstrukturen arbeiten, mehrere Smartcards. Besteht dagegen zwischen der Gesamtstruktur, in der der Administrator sich mit der Smartcard authentifiziert, und anderen Gesamtstrukturen eine Vertrauensstellung, hat der Administrator Zugriff auf die Ressourcen all dieser Gesamtstrukturen; es sei denn, eine Sicherheitsbeschränkung in der Gesamtstruktur mit Vertrauensstellung setzt dieses Zugriffsrecht außer Kraft.

  • PIN-Verwaltung. Die Sicherheit und Integrität der Smartcardlösung wird erhöht, wenn Benutzer ihre PINs auf einfache Art und Weise ändern können. Deshalb erwarb die IT-Abteilung der Woodgrove National Bank geeignete PIN-Verwaltungstools von ihrem Smartcardanbieter.

Anforderungen an die Lösung

Nach der Analyse des ersten Pilotprojekts entwickelte die Woodgrove Bank spezifische Lösungsanforderungen. Die von der Woodgrove National Bank eingesetzte Lösung zur Sicherung von Administratorkonten mithilfe von Smartcards musste folgende Anforderungen erfüllen:

  • Sicherstellen, dass Server mit besonderen Sicherheitsanforderungen eine gültige Smartcard für die interaktive, sekundäre oder Remotedesktopanmeldung benötigen

  • Sichere und pünktliche Verteilung und Aktivierung der Smartcards

  • Bereitstellen eines Überwachungsvorgangs für den Zugriff auf Server mit besonderen Sicherheitsanforderungen sowie Sammeln der generierten Sicherheitsdaten in einem zentralen Repository

  • Ermöglichen der Verwaltung und Überwachung der Smartcardverwendung

  • Bereitstellen einer Möglichkeit zur schnellen Sperrung von Zertifikaten, deren Sicherheit etwa durch verlorene oder gestohlene Smartcards nicht mehr gewährleistet ist

  • Bereitstellen einer Struktur für die langfristige Verwaltung

Auf Grundlage des ursprünglichen Projektplans identifizierte die Woodgrove National Bank mehrere zentrale Probleme im Hinblick auf Geschäftstätigkeit, technische Umsetzung und Sicherheit. Die IT-Abteilung der Woodgrove Bank hat diese Probleme untersucht und mögliche Lösungen getestet. Die Bereitstellungsphase wurde von der Woodgrove National Bank genau geplant.

Lösungsentwurf

Sobald Sie sich mit den unternehmerischen, technischen und sicherheitstechnischen Aspekten auseinandergesetzt haben, die für die Smartcardlösung relevant sind, können Sie eine Lösung entwerfen, die speziell auf Ihre Umgebung abgestimmt ist. Im Entwurfsvorgang werden alle zentralen Elemente erfasst und die Anforderungen für die Lösung logisch analysiert.

Die Woodgrove National Bank hat diesen Schritt durchgeführt. In diesem Abschnitt werden die Probleme beschrieben, mit der sich die Systemarchitekten der Woodgrove National Bank bei der Erarbeitung des ersten Projektplans konfrontiert sahen, sowie ihre Schlussfolgerungen und Entscheidungen für den Lösungsentwurf erläutert.

In diesem Abschnitt werden die Entscheidungen zum Systementwurf erläutert, die von der IT-Abteilung der Woodgrove National Bank zur Sicherung von Administratorkonten durch die Verwendung von Smartcards getroffen wurden. Dabei werden das Lösungskonzept und die Voraussetzungen detailliert beschrieben sowie die von der Woodgrove National Bank geplante Architektur vorgestellt.

Lösungskonzept

Die vorgeschlagene Lösung sieht vor, dass sich Administratoren für alle Serververwaltungsaufgaben über ein auf einer Smartcard gespeichertes Zertifikat und eine zugehörige PIN authentifizieren müssen. Bei der Lösung kommt eine Kombination von Gruppenrichtlinieneinstellungen, Benutzerzertifikaten vom Typ X.509, Version 3 (v3), Smartcards und Smartcardlesegeräten zum Einsatz. Die Lösung erfordert die Installation eines Zertifikats des Typs X.509, Version 3 auf der Smartcard.

Um sich bei einem Server anzumelden, setzt der Administrator die Smartcard in ein Smartcardlesegerät ein, das auf dem Computer installiert ist. Daraufhin zeigt das Betriebssystem ein Dialogfeld zur Eingabe der PIN an. Anschließend gibt der Administrator die PIN für die Smartcard ein. Wenn die PIN korrekt ist, kann der Administrator mit Administratorrechten auf den Server zugreifen.

Voraussetzungen für die Lösung

Bei der Umsetzung von Projekten dieser Art müssen eine Reihe von Voraussetzungen erfüllt werden. Dazu gehören die Zusammenstellung eines Projektteams, der gegenseitige Informationsaustausch mit den Benutzern, die Implementierung von Test- bzw. Pilotprojekten und die Durchführung der erforderlichen Hardware- und Softwareaktualisierungen.

Beratung mit Verwaltungsteams

Bei der Veränderung eines Benutzerdiensts ist es von grundlegender Bedeutung, sich mit den Benutzern und anderen betroffenen Gruppen zu beraten. Zudem ist es wichtig, dass die Benutzer erfahren, was sie von dem Dienst erwarten können und was nicht. Der gegenseitige Informationsaustausch und der Umgang mit den Erwartungen der Benutzer ist häufig der Schlüssel für die Akzeptanz des Systems durch die Benutzer. Es müssen messbare Zielwerte festgelegt werden, anhand derer sich der letztendliche Erfolg des Projekts objektiv beurteilen lässt. Ein solches Ziel kann beispielsweise sein, die Anzahl der Sicherheitsvorfälle zu verringern, die sich aufgrund gestohlener Anmeldedaten ereignen.

Die Woodgrove National Bank ist weltweit in mehreren Ländern und Regionen tätig und verfügt über regionale Supportcenter. Das für den Erstentwurf verantwortliche Team beauftragte Administratorenteams an allen Standorten, Server zu identifizieren, für die eine Smartcardlösung sinnvoll erschien. Außerdem erfasste das Team alle Server, die nicht innerhalb eines angemessenen Zeitraums aktualisiert werden konnten, um die Voraussetzungen für die Lösung zu erfüllen.

Zusammenstellung eines Projektteams

Stellen Sie sicher, dass sie über das geeignete Personal verfügen, um ein Projekt dieser Größenordnung zu implementieren. Das Projektteam ist wahrscheinlich auf die Zusammenarbeit folgender Personen angewiesen:

  • Programmmanager

  • Informationssystemarchitekt

  • Systemanalytiker oder -integrator

  • Systemtechniker

  • Produkteinführungsmanager

  • Produkttestmanager

  • Support- oder Helpdeskmanager

  • Benutzersupportspezialisten

  • Sicherheitsbeauftragte

Weitere Informationen zu repräsentativen Tätigkeitsbereichen und MOF-Rollenzuweisungen (Microsoft Operations Framework) finden Sie im Beitrag The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy auf der Website www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053

Wenn Sie bestimmte Personalvoraussetzungen nicht erfüllen können, müssen Sie zusätzliches Personal anstellen. Da für das Projekt normalerweise nicht in jeder Phase alle Arten von Personal erforderlich sind, müssen Sie für die gesamte Dauer des Projekts die Verfügbarkeit des Personals planen.

Lösungsarchitektur

Für die Implementierung einer Smartcardlösung zur Sicherung von Administratorkonten ist Folgendes erforderlich:

  • Active Directory

  • Gruppenrichtlinie

  • Windows Server 2003, Enterprise Edition, Public Key Infrastructure (PKI)

  • Smartcardlesegeräte für Server, auf denen Windows Server 2003 ausgeführt wird

  • Registrierungsstationen

  • Personalisierung von Smartcards

  • PIN-Verwaltungstools

Vor der Implementierung der Lösung führte die Woodgrove National Bank folgende Schritte aus:

  • Aktualisierung der Zertifikatsdienste auf Windows Server 2003, Enterprise Edition oder höher

  • Aktualisierung aller verwalteten Server auf Windows Server 2003, sodass eine interaktive Anmeldung über Terminaldienste unterstützt wird Diese Anforderung ist von der Anwendungskompatibilität abhängig.

  • Anpassung der Smartcardzertifikat-Benutzervorlagen und Festlegung geeigneter Berechtigungen

  • Erstellen und Testen von Gruppenrichtlinienobjekten (GPOs) für die Verwendung der Smartcard sowie temporäre und langfristige Ausnahmen

Daneben setzte die IT-Abteilung der Woodgrove National Bank Lösungen für folgende Herausforderungen um:

  • Verteilung der Smartcards

  • Aktivierung der Smartcards

  • Verwaltung und Support für die Smartcards

  • Ausnahmenverwaltung

Verteilung der Smartcards

Vor der Verteilung der Smartcards verschob die IT-Abteilung der Woodgrove National Bank ihre Administratoren in eine eigene Active Directory-Staginggruppe. Ein Team von Security Officers überprüfte die Identität der Administratoren und verteilte die Smartcards. Nach dem Erhalt der Karte wurde der entsprechende Administrator durch die IT-Abteilung von der Staginggruppe in die Smartcardbenutzergruppe verschoben. Somit verfügt der Administrator über Zugriff auf den Aktivierungswebserver und kann seine Smartcard aktivieren und die PIN ändern.

Aktivierung der Smartcards

Da die Smartcards zum Zeitpunkt der Übergabe an die Administratoren noch nicht vollständig aktiviert sind, müssen die Karten vor der Verwendung aktiviert werden. Der Administrator aktiviert seine Smartcard, indem er sie in ein Smartcardlesegerät einsetzt, eine Anfrage eingibt und anschließend das Kennwort ändert.

Verwaltung und Support für die Smartcards

Obwohl die Administratoren der Woodgrove National Bank technisch gut ausgebildet sind, musste das Team für die Smartcardbereitstellung eng mit dem Helpdesk zusammenarbeiten. Das Helpdeskpersonal benötigte genaue Anweisungen, um alle auftretenden Fragen beantworten zu können.

Ausnahmeverwaltung

Die Woodgrove National Bank setzte eine unternehmensinterne Richtlinie in Kraft, in der geregelt ist, wie vorgegangen werden soll, wenn eine Karte vergessen, verloren oder gestohlen wurde. Im Fall von Verlust oder Diebstahl der Karte werden alle zugewiesenen Zertifikate von der IT-Abteilung gesperrt, und innerhalb von 24 Stunden werden neue Karten ausgegeben. Administratoren, die ihre Smartcard zu Hause vergessen haben, erhalten von der IT-Abteilung temporär gültige Smartcards. Die Sperrung von Zertifikaten bedeutet nicht, dass die Smartcard während dieser Zeit deaktiviert ist. Die Woodgrove Bank muss hierzu die CRL-Richtlinien überprüfen und an die Sicherheitsrichtlinien anpassen.

Zertifikatssperrungen

Die Smartcardanmeldezertifikate für Administratoren der Woodgrove National Bank finden mithilfe von Intranet-URLs die CRL, die sie anschließend nach gesperrten Zertifikaten durchsuchen. Die IT-Abteilung implementierte Windows Network Load Balancing (NLB), um sicherzustellen, dass die Website, die die CRL hostet, möglichst ohne Ausfallzeiten verfügbar ist.

Zertifikatserneuerungen

Die Woodgrove National Bank entwickelte einen Prozess für Zertifikatserneuerungen, bei dem der Vorgesetzte des Administrators die Smartcarderneuerungsanfrage genehmigen muss. Sobald der Vorgesetzte der Anfrage zugestimmt hat, wird die Zertifikatsanfrage durch das aktuelle Zertifikat signiert, und das Smartcardzertifikat wird erneuert.

Überwachung der Lösung

Die Woodgrove National Bank verwendet Microsoft Operations Manager (MOM) 2005, um Sicherheitsereignisprotokolle zu erstellen und zu analysieren sowie die Verfügbarkeit und die Leistung der Lösung zu überwachen. Die Smartcardlösung ist in MOM integriert. Sie überwacht Sicherheitsereignisprotokolle, bietet Alarmfunktionen und erstellt Nutzungsberichte. Die Woodgrove National Bank plant, den Dienst vierteljährlich zu überprüfen und Berichte aus den MOM-Daten zu erstellen.

Funktionsweise der Lösung

In diesem Abschnitt wird erklärt, was im Einzelnen bei der Authentifizierung einer Anmeldung über Smartcards geschieht.

  1. Ein Administrator setzt eine Smartcard in das Smartcardlesegerät ein, das an den Computer angeschlossen ist. Die MSGINA-DLL (Microsoft Graphical Identification and Authentication) sorgt dafür, dass auf dem Computer ein Dialogfeld zur Eingabe einer PIN angezeigt wird.

  2. MSGINA gibt die PIN an die lokale Sicherheitsinstanz (LSA) weiter, und der Computer greift mithilfe der PIN auf die Smartcard zu.

  3. Das clientseitige Kerberos-Paket liest das Zertifikat des Typs X.509, Version 3 und den Privatschlüssel von der Smartcard des Administrators.

  4. Das Kerberos-Paket sendet eine Authentifizierungsdienstanfrage an den Schlüsselverteilungscenter-Dienst, der auf einem Domänencontroller ausgeführt wird, um die Authentifizierung und ein ticketgewährendes Ticket (Ticket Granting Ticket, TGT) anzufordern. Die Authentifizierungsdienstanfrage enthält ein Zertifikat mit Rechteattributen (Privilege Attribute Certificate, PAC), in der die Sicherheits-ID (SID) des Benutzers aufgeführt ist, die SID jeder Gruppe, bei der der Benutzer Mitglied ist, eine Anfrage für den Ticketerteilungsdienst (Ticket Granting Service, TGS) sowie Daten für die Vorbestätigung der Authentifizierung.

  5. Der KDC-Dienst überprüft den Zertifizierungspfad des Zertifikats des Benutzers, um sicherzustellen, dass das Zertifikat aus einer vertrauenswürdigen Quelle stammt. Der KDC-Dienst verwendet CryptoAPI, um einen Zertifizierungspfad vom Zertifikat des Administrators zu einem CA-Stammzertifikat zu erstellen, das sich im Stammverzeichnis auf dem Domänencontroller befindet. Anschließend überprüft der KDC-Dienst mithilfe von CryptoAPI die digitale Signatur der Authentifizierung, die in Form signierter Daten in den Datenfeldern der Vorbestätigung der Authentifizierung enthalten war. Der Domänencontroller überprüft die Signatur und stellt mithilfe des öffentlichen Schlüssels des Administratorzertifikats sicher, dass die Anfrage vom Eigentümer des öffentlichen Schlüssels stammt. Der KDC-Dienst überprüft auch, ob der Herausgeber vertrauenswürdig ist und im NTAUTH-Zertifikatsspeicher vorhanden ist.

  6. Der KDC-Dienst fragt basierend auf dem Benutzerprinzipalnamen (UPN), der im Feld Alternativer Antragstellername des Administratorzertifikats enthalten ist, Informationen zum Benutzerkonto von Active Directory ab. Der KDC-Dienst erstellt ein TGT aus den Benutzerkontoinformationen, die er von Active Directory abgerufen hat. Das TGT beinhaltet die Sicherheits-ID (SID) des Administrators, die SIDs für alle Domänengruppen, denen der Administrator angehört, sowie (in Umgebungen, die aus mehreren Domänen bestehen) die SIDs für alle universalen Gruppen, denen der Benutzer angehört. Die Autorisierungsdatenfelder des TGT beinhalten eine Liste der SIDs.

    Hinweis: Eine SID ist eine Sicherheitskennung, die für jeden Benutzer oder jede Gruppe erstellt wird, wenn in der lokalen Sicherheitskontendatenbank unter Windows NT (oder Computern mit neueren Betriebssystemen) oder in Active Directory ein Benutzerkonto oder ein Benutzergruppenkonto erstellt wird. Die SID ändert sich nie, selbst dann nicht, wenn das Benutzer- oder Gruppenkonto umbenannt wird.

  7. Der Domänencontroller gibt das TGT an den Client zurück. Der Client oder die Karte entschlüsseln das TGT und verwenden seinen Privatschlüssel, um den geheimen KDC-Schlüssel zu erhalten. Dies hängt vom verwendeten Karten- oder Zertifikatstyp ab.

  8. Der Client überprüft die Antwort des KDC. Zunächst überprüft er die Signatur des KDC, indem er einen Zertifizierungspfad vom Zertifikat des KDC zu einer vertrauenswürdigen Stamm-CA erstellt. Anschließend überprüft er mit dem öffentlichen Schlüssel des KDC die Antwortsignatur.

Die folgende Abbildung veranschaulicht diesen Vorgang:

Dd443739.pgfg0301(de-de,TechNet.10).gif

Abbildung 3.1: Authentifizierungsvorgang bei der Smartcardanmeldung
Bild in voller Größe anzeigen

Die IT-Abteilung der Woodgrove National Bank ordnete den Unternehmenseinheiten ein GPO zu, die Server beinhalten, für die eine Smartcardauthentifizierung erforderlich sein soll. Durch das GPO werden Änderungen an folgenden Computerkonfigurationseinstellungen vorgenommen:

  • Für die interaktive Anmeldung ist eine Smartcard erforderlich.

  • Bei Entfernen der Smartcard wird das Konto abgemeldet.

Dadurch wird verhindert, dass Administratoren Smartcards gemeinsam verwenden oder einen Server unbeaufsichtigt lassen, während sie angemeldet sind.

Erweiterung der Lösung

Die Woodgrove National Bank plant die Integration der Smartcardlösung in den Änderungsmanagementprozess für Server und Anwendungen. Dem Plan zufolge soll für jedes Stadium des Änderungsmanagementprozesses eine Authentifizierung erforderlich sein, und der Prozess soll in den Workflow integriert werden. So wäre etwa für Änderungen am Webserver der Woodgrove Bank eine Verifizierung durch mindestens zwei Webadministratoren erforderlich.

Zusammenfassung

Durch die Verwendung von Smartcards zur Authentifizierung von Administratorbenutzerkonten wird das Risiko unberechtigter Zugriffe auf wichtige Computer reduziert, die Integrität der Serververwaltung wird erhöht, und die Verantwortlichkeiten werden klar definiert. Durch die Implementierung von Smartcards für Administratoren kann die Gefahr von Sicherheitsvorfällen in Ihrem Unternehmen eingedämmt und die Qualität von Verwaltungsvorgängen verbessert werden.

In diesem Beitrag

Download

Planungshandbuch für sicheren Zugriff unter Verwendung von Smartcards herunterladen

Updatebenachrichtigungen

Melden Sie sich an, um über Updates und neue Versionen informiert zu werden

Feedback

Senden Sie uns Ihre Kommentare und Anregungen

 Dd443739.pageLeft(de-de,TechNet.10).gif 4 von 7 Dd443739.pageRight(de-de,TechNet.10).gif