Sicherheit bei Microsoft Technisches Whitepaper Originaltitel: Security at Microsoft November 2003 INHALTSVERZEICHNIS Kurzfassung ............................................................................................................................... 1 Einführung: OTG-Mission und Prioritäten .............................................................................. 2 Die IT-Umgebung von Microsoft ........................................................................................... 3 Sicherheitsumgebung .......................................................................................................... 3 Sicherheitsprinzipien ............................................................................................................ 4 Vertraulichkeitszusagen ....................................................................................................... 5 Wie die OTG Risiken verwaltet ................................................................................................. 7 Risikoverwaltung .................................................................................................................. 7 Das Microsoft Corporate Security Group-Risikoverwaltungs-Framework ............................ 8 Komponenten der Risikobewertung ..................................................................................... 9 Datenklassifizierung ............................................................................................................. 9 Risiken und Kontrollen ......................................................................................................... 10 Sicherheits-Ökosystem ........................................................................................................ 11 Sicherheitsvektoren .............................................................................................................. 11 Ein Beispiel zum Risikomanagement ................................................................................... 12 Unternehmensrollen im Risikomanagement .......................................................................... 15 Organisation der Corporate Security Group ......................................................................... 16 Bedrohungs- und Risikoanalyse und Richtlinie ................................................................. 16 Bewertung und Einhaltung ................................................................................................. 17 Überwachung, Einbruchserkennung und Notfall-Reaktion ................................................ 17 Betrieb ............................................................................................................................... 17 Verwendung des Risikomanagements zur Erstellung von Sicherheitslösungen ............... 19 Absicherung der Netzwerkgrenzen ...................................................................................... 19 Smartcards für einen Remotezugriff ................................................................................ 19 Absicherung von Remotebenutzern ................................................................................ 20 Absicherung von drahtlosen Verbindungen..................................................................... 20 Messaging Firewall .......................................................................................................... 20 E-Mail-Virenscanner ........................................................................................................ 21 Absicherung von Extranet und Partner-Verbindungen .................................................... 21 Absicherung des inneren Netzwerkes .................................................................................. 22 Sicherheitslücken durch Dienstkonten reduzieren .......................................................... 22 Konsolidierung der lokalen Administratorkonten ............................................................. 22 Schwache Passwörter eliminieren ................................................................................... 23 Windows NT 4.0 Domains nach Windows 2000 Active Directory migrieren ................... 23 Smartcards für Administratoren ....................................................................................... 23 Das Netzwerk über IPSec segmentieren ......................................................................... 24 Absicherung von Schlüsselressourcen ................................................................................ 24 Verwalteter Quellcode ..................................................................................................... 24 Segmentierung der Quellcode-Server ............................................................................. 25 Sichere Domänencontroller ............................................................................................. 25 Überwachung und Prüfung ................................................................................................... 25 Netzwerk-Einbruchserkennung ....................................................................................... 26 Sicherheitslücken-Management ...................................................................................... 26 Sicherheitspatch-Verwaltung ........................................................................................... 26 Zusammenfassung .................................................................................................................... 28 Zusätzliche Informationen ........................................................................................................ 30 KURZFASSUNG Um seinen Kunden bei der erfolgreichen Absicherung ihrer Umgebungen zu helfen, engagiert sich Microsoft durch die Veröffentlichung seiner internen Sicherheitsverfahren. Dieses Whitepaper beschreibt die Maßnahmen, die verhindern sollen, dass die digitalen Ressourcen von Microsoft beschädigt oder unautorisiert verwendet werden. Dieser Ressourcenschutz wird über ein formales Riskomanagement-Framework, Risikomanagement-Prozesse und exakt definierte Rollen und Verantwortungen umgesetzt. Sicherheit beginnt mit der Erkenntnis, dass Risiken unvermeidlicher Bestandteil einer jeden Umgebung sind, und dass diese Risiken pro-aktiv gehandhabt werden sollten. Jede Organisation kann die Prinzipien und Techniken dieses Whitepapers zur Handhabung dieser Risiken nutzen. Die unabhängigen Sicherheitsinitiativen, -strategien und -technologien bei Microsoft sind über mehrere Phasen umgesetzt worden. Für die in diesem Whitepaper verwendeten Technologien wird Microsoft® Windows Server™ 2003 genutzt. Die meisten von Ihnen wurden allerdings entwickelt, als die Infrastruktur noch auf Windows 2000 Server basierte. Alle Technologien und Verfahren werden, basierend auf steigenden Sicherheitsanforderungen, Produkttests und Gültigkeitsprüfungen, ständig weiterentwickelt. Dieses Whitepaper wendet sich and technische Entscheider, Sicherheitsverantwortliche und Infrastrukturverantwortliche in Unternehmen. Es ist nicht als praktische Arbeitsanweisung konzipiert. Jede Unternehmensumgebung ist einzigartig. Daher sollte jede Organisation die Ansätze, Designs, Prozesse und besten Verfahrensweisen so umsetzen, wie sie für die eigene Umgebung sinnvoll sind. Die in den Abbildungen angegebenen Namen sind nur zur Illustration gedacht. Sie entsprechen aus Sicherheitsgründen nicht den tatsächlich verwendeten Namen. Sicherheit bei Microsoft – technisches Whitepaper 1 EINFÜHRUNG: OTG-MISSION UND PRIORITÄTEN Microsoft Mission: To enable people and businesses throughout the world to realize their full potential. OTG Mission: IT-Infrastrukturen und Anwendungen zur Verfügung stellen, um die Erwartungen unserer Anwender, Kunden und Partner zu übertreffen – Arbeiten zu jeder Zeit und an jedem Ort ermöglichen. Microsoft Corporate Security Group Mission: Die böswillige oder unautorisierte Nutzung digitaler Ressourcen durch systematische Prüfung, Kommunikation und Risikominimierung verhindern, da eine solche Nutzung zum Verlust geistigen Eigentums oder der Produktivität Microsofts führen würde. Die Corporate Security Group berichtet an die Operations and Technology Group (OTG). Bevor wir uns die Corporate Security Group näher anschauen, ist es sinnvoll einen Blick auf die Microsoft und OTG-Mission, die Prioritäten der OTG und die IT-Umgebung zu werfen. Die Microsoft Unternehmensmission ist, es Personen und Unternehmen auf der ganzen Welt die Entfaltung ihres gesamten Potentials zu ermöglichen. Die OTG ist eine kundenorientierte Organisation. Ihre Mission lautet: IT-Infrastrukturen und Anwendungen zur Verfügung stellen, um die Erwartungen unserer Anwender, Kunden und Partner zu übertreffen –Arbeiten zu jeder Zeit und an jedem Ort ermöglichen. Die Formulierung „die Erwartungen übertreffen“ der OTG Mission zeigt, dass ein Schwerpunkt auf einer Beurteilung und Analyse liegt. Dies basiert auf dem Grundsatz „was man nicht einschätzen kann, kann man auch nicht handhaben“. Für den Bereich IT-Betrieb werden Erwartungen zum Beispiel über Servicelevel-Vereinbarungen dokumentiert. Diese werden über ein CIO-„Bewertungsformular“ überprüft. Die OTG hat die folgenden Prioritäten: 1. Erster und bester Kunde von Microsoft sein 2. Intellektuelle Anleitung bieten 3. Eine koordinierte IT-Strategie bieten 4. Eine Spitzenversorgung bieten Erster und bester Kunde von Microsoft sein Das Kerngeschäft von Microsoft ist die Softwareentwicklung. Konsequenterweise ist eine der OTG-Missionen einzigartig unter den globalen Unternehmen. Zusätzlich zum Betrieb der Unternehmens-IT spielt die OTG zum Beispiel als frühzeitiger Anwender eine strategische Rolle im Testen und Bereitstellen von Microsoft Software vor deren Veröffentlichung. Zusätzlich zu den Vorteilen des Feedbacks durch die Tests in einer echten Produktionsumgebung müssen diese Evaluierungsbemühungen einen spürbaren geschäftlichen Vorteil für Microsoft bringen. Seit Oktober 2003 stellt die OTG die Unternehmens-Infrastruktur zum Beispiel über Windows Server 2003 zur Verfügung. Es wurden ungefähr 4.200 Server bereitgestellt (unter anderem 800 Infrastrukturserver und Schlüssel-Branchenanwendungen). Außerdem wird die Unternehmenswebseite www.microsoft.com über mehr als 600 Windows Server 2003 Rechner bereitgestellt. Die internen Evaluierungsaktivitäten in einer echten Umgebung führen zu einer hohen Änderungsrate für die Umgebung. Es gibt sehr viel mehr Bereitstellungen auf Servern und Clients als in einem typischen Unternehmen vergleichbarer Größe. Intellektuelle Anleitung bieten Die frühzeitige Umsetzung von Technologien unterstützt die Definition der Microsoft-Vision des leading-edge IT-Experten, Entwicklers und Informationsarbeiter. Außerdem gibt die OTG den Produkt-Entwicklungsgruppen ein Feedback zu den Produkten. Eine koordinierte IT-Strategie bieten Die OTG lenkt das Verfahren, das hochwertige IT-Lösungen für einzelne Geschäftseinheiten und auf Unternehmensebene definiert und zur Verfügung stellt. Die Entwicklung einer Strategie ist eine kritische Funktion der OTG, da die IT-Infrastruktur zentralisiert ist – im Sicherheit bei Microsoft – technisches Whitepaper 2 Gegensatz zur dezentralisierten Entwicklung von Branchenanwendungen. Auch wenn die Anwendungsentwicklung in jeder Geschäftseinheit eigenständig durchgeführt wird, bietet die OTG doch eine zentralisierte Unterstützung für Anwendungen, ein Hosting im Datacenter und architektonische Beratung und Standards (inklusive Sicherheitsstandards). Eine Spitzenversorgung bieten Die vorgestellten Prioritäten umzusetzen, und gleichzeitig eine Verfügbarkeit, Zuverlässigkeit und Kosteneffektivität von Weltklasse in einer globalen Umgebung mit hohen Erwartungen und technisch erfahrenen Benutzer zu bieten, ist eine einzigartige Herausforderung für die OTG. Die Missionen der Corporate Security Group, der OTG und von Microsoft sind auf mehrere Wege abgestimmt. Bewertung und Erfolgsüberwachung ist zum Beispiel ein Schlüssel zur erfolgreichen Umsetzung der Missionen der Corporate Security Group und der OTG. Außerdem ist die Konzentration der Corporate Security Group auf Produktivität und geistiges Eigentum für eine Unterstützung der Unternehmensmission von Microsoft notwendig. Die IT-Umgebung von Microsoft Wenn Sie die Aktivitäten der Corporate Security Group im Bereich Sicherheit verstehen möchten, sollten Sie die IT-Umgebung kennen. Die OTG betreibt eine große und dynamische IT-Umgebung, die für den Erfolg von Microsoft eine kritische Rolle spielt. Die OTG ist rund um die Uhr für die Verwaltung von IT-Diensten für mehr als 55.000 Mitarbeiter auf mehr als 300.000 Computern und an mehr als 400 Standorten weltweit verantwortlich. Mehr als 300 dieser Standorte sind Marketing- und Verkaufs-Büros, die weltweit verteilt sind. Die frühzeitige Umsetzung neuer Technologien und das kontinuierliche Wachstum von Microsoft führt zu einer hoch-dynamischen Umgebung. In dieser Umgebung gibt es mehr als 1.600 branchenspezifische Anwendungen – von einer einzelnen global verwendeten SAP R/3-Version bis zu spezialisierten Abteilungs- oder sogar Arbeitsgruppen-Anwendungen (zum Beispiel für Arbeitsgruppen aus den Bereichen Forschung, Produkt-Support und Produktentwicklung). Die OTG ist für den Support und die Zuordnung aller Branchenanwendungen zuständig. Außerdem ist die E-Mail-Nutzung eine geschäftskritische Anwendung für Microsoft. Ungefähr acht Millionen E-Mail Nachrichten werden täglich in das Internet geschickt und von dort empfangen. Circa vier Millionen E-Mails werden täglich intern verschickt. Das Microsoft-Unternehmens-Netzwerk ist das größte experimentelle Computernetzwerk der Welt. Auch wenn für Entwicklungs- und Testzwecke eine Vielzahl von Netzwerkprotokollen verwendet werden, basiert die Umgebung jedoch prima auf dem TCP/IP-Protokoll (Transmission Control Protocol/Internet Protocol). Sie verwendet einen Hochgeschwindigkeits-ATM-Backbone (Asynchronous Transfer Mode) mit 170 Gigabit pro Sekunde über ein Synchronous Optical Network (SONET), um das massive Aufkommen von digitalen Daten und Sprachnachrichten zu übertragen. Sicherheitsumgebung Microsoft arbeitet in einer extrem aktiven und herausfordernden Sicherheitsumgebung. Zu diesen Herausforderungen gehören zum Beispiel die folgenden: Es kommt jeden Monat zu circa 100.000 Einbruchsversuchen. Sicherheit bei Microsoft – technisches Whitepaper 3 Jeden Monat sondiert, prüft und isoliert Microsoft mehr 125.000 virenverseuchte EMails. Die jeweiligen IT-Umgebungen für Produktentwicklung, Tests und Support. Diese erfordern eine spezielle Sicherheit. Die meisten Beschäftigten bei Microsoft sind sehr erfahren in der Nutzung neuer Technologien und testen die Grenzen der für sie verfügbaren Werkzeuge regelmäßig aus, um die Produktqualität zu verbessern. Diese Kombination von Faktoren – einer entstehenden Sicherheitslandschaft voll von potentiellen Sicherheitslücken in einer großen und dynamischen IT-Umgebung – führt zu einer großen Zahl von Variablen, die eine Sicherheitsorganisation verstehen, organisieren und bedenken muss. Um eine effektive Einscheidungsfindung zu ermöglichen, hat die Corporate Security Group Mechanismen entwickelt, um Sicherheitsprobleme vollständig zu verstehen, kommunizieren und priorisieren zu können. Um Zusicherungen zur Sicherheit der IT-Umgebung geben zu können, sind diese Mechanismen an Sicherheitsprinzipien ausgerichtet. Sicherheitsprinzipien Sicherheitsprinzipien sind fundamentale Konzepte, die zum Design, zur Entwicklung und zum Betrieb von sicheren Systemen verwendet werden. In Tabelle 1 sehen Sie die Kategorisierung von Sicherheitsprinzipien durch die Corporate Security Group. Jede Kategorie stellt einen Schlüsselbereich für eine Sicherheitsbeurteilung dar. Tabelle 1 - Sicherheitsprinzipien Kategorie Sicherheitsprinzip Risiken im Bezug auf geschäftliche Ziele verwalten Organisatorisch: Gesteuert durch das Engagement des Managements in Risikomanagement und Sicherheitsbewusstsein Organisatorische Rollen und Verantwortungen definieren In sicheres Design investieren Engagement in einen sicheren Betrieb Verwaltung über die Praxis der geringst möglichen Berechtigung Basisentscheidung zur Datenklassifizierung Benutzer und Daten: Umfasst Authentifizierung, Schutz von Benutzerdaten und Datenautorisierung Schutz von privaten und persönlichen Daten durchsetzen Datenintegrität sicherstellen Identitätsüberwachung Verfügbarkeit schaffen Anwendungs- und Systementwicklung: Tiefgreifendes Verteidigungsdesign Bezieht sich auf das Design und die Entwicklung von sicheren Systemen Angriffsfläche reduzieren Betrieb und Wartung: Planung der Systempflege Sicherheit bei Microsoft – technisches Whitepaper „Keep it simple“ 4 Umfasst Menschen, Verfahren und Technologien zur Erstellung, Wartung und zum Betrieb von sicheren Systemen. Sichere Konfiguration und Absicherung durchsetzen Überwachung und Prüfung Notfallreaktion üben Disaster-Recovery prüfen Die Corporate Security Group verwendet Sicherheitsprinzipien, um Partnern und Kunden ein Verständnis und die Umsetzung der UnternehmensSicherheitskonzepte im eigenen Design, der Entwicklung und dem Betrieb von sicheren Systemen zu ermöglichen. Sicherheitsrichtlinien, -anforderungen und –anleitungen innerhalb von Microsoft zu organisieren und zu kommunizieren. Die Kommunikation von Sicherheitsproblemen sowohl intern als auch extern zu verbessern. Diese Sicherheitsprinzipien beeinflussen die Entscheidungsfindung und liefern Unterstützung bei der Erstellung von Zusagen zum Status der Sicherheit der IT-Umgebung im Unternehmensnetzwerk. Vertraulichkeitszusagen Die Corporate Security Group hat die “Fünf Vertraulichkeitszusagen“ entwickelt, um den Erwartungen zu entgegnen, die jedes Mitglied der IT-Umgebung an Sicherheit hat. Diese Zusicherungen werden verwendet, um klar zu machen, in welchen Bereichen die OTG sich zum Schutz von digitalen Werten verpflichten kann, und in welchen Bereichen nicht. Sie ermöglichen der Organisation außerdem eine holistische Bewertung der eigenen Erfolge im Schutz der Vertraulichkeit der digitalen Werten der Benutzer. Die Vertraulichkeitszusagen sind eine Komponente der Entscheidungsfindung. Die fünf Zusagen beziehen sich auf fundamentale Elemente der Risikoanalyse auf Verfügbarkeit, Datenschutz und Sicherheit. Die folgenden fünf Vertraulichkeitszusagen bietet die OTG für die IT-Umgebung: 1. Meine Identität ist nicht kompromittiert. 2. Die von mir benötigten Ressourcen sind sicher und verfügbar – dieses ist folgendermaßen definiert: o Sicher: Keine Veränderung der Daten, kein nicht autorisierter Zugriff. o Verfügbar: Keine Sicherheitslücken, Verfügbarkeit wie in der ServicelevelVereinbarung beschrieben. 3. Meine Daten und meine Kommunikation sind geschützt. 4. Ich verstehe meine Rolle und hafte für meine Verantwortungen in der Sicherstellung einer sicheren Umgebung. 5. Ich werde über mich betreffende Risiken rechtzeitig informiert. Um diese Zusicherungen anzubieten, verwendet die Corporate Security Group einen bestimmten Risikomanagement-Ansatz. Risikomanagement ist ein Verfahren zur Identifizierung, Bewertung und Vermeidung von Risiken auf einer permanenten Basis. Ein Risikomanagement-Ansatz zur Sicherheit berücksichtigt, dass die Kosten für Sicherheit und Sicherheit bei Microsoft – technisches Whitepaper 5 die geschäftlichen Anforderungen ausgewogen sein müssen. Microsoft verwendet einen Risikomanagement-Ansatz, um Sicherheitsrisiken systematisch zu Bewerten und zu Priorisieren. Sicherheit bei Microsoft – technisches Whitepaper 6 WIE DIE OTG RISIKEN VERWALTET Der Rest dieses Whitepapers konzentriert sich auf die Verwaltung von Risiken durch die Corporate Security Group, darauf, wie die IT-Umgebung in verwaltbare Komponenten aufgeteilt ist und auf das, was Microsoft intern unternimmt, um einen bösartigen oder nicht autorisierten Zugriff auf digitale Ressourcen zu verhindern. Wenn möglich, erhalten Sie außerdem Links zu detaillierteren Informationen. Risikoverwaltung Das Risikomanagement bietet Organisationen einen einheitlichen, klaren Weg, die beschränkten Ressourcen zur Risikoverwaltung eines Unternehmens zu organisieren und zu priorisieren. Vorteile entstehen hierbei durch die Entwicklung einer kosteneffektiven Kontrollumgebung, die die Risiken auf ein akzeptables Maß senkt. In Abbildung 1 sehen Sie die Gesamt-Risikoreduzierung durch die Anwendung des Risikomanagement-Frameworks. Abbildung 1: Risikomanagement Die Definition der akzeptablen Risiken und der Risikomanagement-Ansatz sind für jedes Unternehmen unterschiedlich. Es gibt keinen richtigen oder falschen Weg – und heute werden viele unterschiedliche Risikomanagement-Modelle verwendet. Jedes Modell geht Kompromisse in den Bereichen Genauigkeit, Ressourcen, Zeit, Komplexität und Subjektivität ein. Das Risikomanagementmodell der Corporate Security Group ist eine Kombination aus verschiedenen Ansätzen, wie zum Beispiel einer quantitativen Analyse, einer Analyse der Sicherheitsrendite, qualitativer Analysen und bestmöglicher Vorgehensweisen. Um die Bemühungen zur Risikosenkung für die digitalen Ressourcen von Microsoft und zur Umsetzung von Sicherheitskontrollen zu organisieren und zu priorisieren, entwickelte die Corporate Security Group ein auf einem traditionellen Risikomanagementmodell basierendes Framework. Sicherheit bei Microsoft – technisches Whitepaper 7 Das Microsoft Corporate Security Group-RisikoverwaltungsFramework Die Investition in ein Risikomanagementverfahren – mit einem soliden Framework und definierten Rollen und Verantwortlichkeiten – bereitet die Organisation darauf vor, Prioritäten zu definieren und Bedrohungen zu verringern, und sich um die zukünftigen Bedrohungen und Sicherheitslücken zu kümmern. Zur besseren Verwaltung von Sicherheitsrisiken geht die Corporate Security Group nach einem traditionellen Risikomanagement-Ansatz vor. Dieser setzt sich aus einem schrittweisen Vier-Phasen-Prozess zusammen: 1. Risiken bewerten: Ein Verfahren zur Risikobewertung durchführen. 2. Richtlinien definieren: Eine Sicherheitsrichtlinie zur Risikoverringerung entwickeln. 3. Kontrollen implementieren: Menschen, Prozesse und Technologien organisieren, um Risken zu verringern. Diese sollten sich an einer Kosten/Nutzen-Analyse orientieren. 4. Überwachen und kontrollieren: Umgebungen auf Effektivität überwachen, prüfen, messen und kontrollieren. Abbildung 2 zeigt Ihnen die Schritte des Corporate Security Group RisikomanagementFrameworks. Abbildung 2: Risikomanagement-Framework Die erste Phase des Frameworks ist die Risikobewertung. Um diese durchzuführen, verwendete die Corporate Security Group die Sicherheitsprinzipien jeder Kategorie. Die zweite und dritte Phase definieren und implementieren Sicherheitskontrollen. Sicherheitskontrollen können technologische Implementierungen (Smartcards oder Netzwerk-Segmentierungen über IPSec) sein oder Verhaltensrichtlinien (zum Beispiel das Verbot einer Verwendung von nicht autorisierten Modems). Die vierte und letzte Phase bewertet die Risiken nach der Implementierung der Sicherheitskontrollen um deren Effektivität zu messen. Diese Messung wird verwendet, um nach der Implementierung der Sicherheitskontrollen das erwartete Sicherheitslevel mit dem Sicherheit bei Microsoft – technisches Whitepaper 8 aktuell erhaltenen Sicherheitslevel zu vergleichen. Dieses Risikolevel wird als Input für den nächsten Durchlauf der Risikobewertung verwendet. Komponenten der Risikobewertung Die erste Phase des Risikomanagementprozesses, die Risikobewertung, ist ein wichtiger Schritt in der Feststellung der Sicherheitsprobleme des Unternehmens und der Priorisierung der für die Risikoreduzierung verfügbaren Ressourcen. Abbildung 3: Komponenten der Risikobewertung Durch die Kommunizierung einer konsistenten Struktur zur Bewertung einzelnen Risikokomponenten entsteht eine allgemeine Klassifizierung. Diese ermöglicht der OTG und dem Eigentümer der Ressource eine Verfolgung des Bewertungsprozesses. Sie sollten bedenken, dass für die korrekte Berücksichtigung einer Komponente viele Interessengruppen bedacht werden müssen. Dies trifft besonders für die subjektiven Bereiche, zum Beispiel den geschäftlichen Auswirkungen, der Wahrscheinlichkeit eines Auftretens weitere Sicherheitslücken und der Kosten/Nutzen-Analyse bei der Bewertung neue Kontrolllösungen zu. Interessengruppen können zum Beispiel sein: Experten für das Risikomanagement, die mit in die Risikoeinschätzung eingebunden sind, Daten-Eigentümer, die den Wert digitaler Ressourcen bewerten können und Sicherheitsplaner, die potentielle Sicherheitskontrollen zur Risikominimierung finden. Um die Auswirkungen besser verstehen zu können, und um weitere Sicherheitskontrollen umzusetzen, hat die Corporate Security Group ein Klassifizierungssystem entwickelt. Datenklassifizierung Nicht alle digitalen Ressourcen sind für den Geschäftsbetrieb gleich wichtig. Viele Ressourcen sind nur von geringem Wert, und rechtfertigen die Kosten für eine Umsetzung der fünf Vertraulichkeitszusagen nicht. Andere Ressourcen sind so wertvoll, dass sogar zusätzliche Kontrollen gerechtfertig sind. Der größte Teil der digitalen Ressourcen bei Microsoft erfordert eine Risikoreduzierung. Sicherheit bei Microsoft – technisches Whitepaper 9 Um die Risikoreduzierung auf ein akzeptables Maß kosteneffizient zur organisieren, kategorisiert die Corporate Security Group digitale Ressourcen in Datenklassen. Datenklassen stellen sicher, dass die Pläne zum Schutz einer digitalen Ressource kosteneffektiv und richtig priorisiert sind. Außerdem geben sie eine Einsicht in die Ressourcenauswirkungen, welche ein Schlüsselkriterium in der Bewertung des Gesamtrisikos sind. Die von der Corporate Security Group verwendeten Klassen lassen sich in die folgenden drei Bereiche einteilen: Klasse mit höchstmöglichem Wert: Die wertvollsten digitalen Ressourcen von Microsoft. Die Corporate Security Group verpflichtet sich zu diversen umfangreichen Maßnahmen um die fünf Vertraulichkeitszusagen einzuhalten. In dieser Klasse rechfertigen die geschäftlichen Anforderungen zusätzliche Kontrollen für eine Gesamtreduzierung der Risiken auf ein sehr geringes Maß. Die WindowsQuellcodeserver enthalten zum Beispiel wertvolles geistiges Eigentum. Ein kompromittierter Quellcode kann zu deutlichen negativen Auswirkungen für das Unternehmen führen. Erhöhte Sicherheitskontrollen und -kosten sind daher gerechtfertigt. Klasse mit hohem Wert: Setzt sich aus der großen Mehrheit der Clientcomputer, Server und den meisten von der OTG angebotenen Dienste zusammen. So gehören in diese Klasse zum Beispiel Dateiserver, die E-Mail-Infrastruktur und die Betriebs- und Planungsdaten von Microsoft. Die Corporate Security Group verpflichtet sich dazu, die fünf Vertraulichkeitszusagen ohne besondere Mitwirkung von Seiten des RessourcenEigentümers zu sichern. Klasse mit geringem Wert: Setzt sich aus den Ressourcen mit relativ geringen Risiken zusammen, die keine kostenintensive Sicherheitskontrollen rechtfertigen. Einige Testlabors enthalten zum Beispiel Daten von geringem Wert. Dort ist das Risiko eines potentiellen Datenverlusts akzeptabel. In diesem Fall kann ein entsprechendes Level der Risikoreduzierung durch grundlegende Netzwerkkontrollen, Scans nach Sicherheitslücken und Antiviren-Software gewährleistet werden. Für Ressourcen dieser Klasse verpflichtet sich die Corporate Security Group nicht zur Sicherstellung der fünf Vertraulichkeitszusagen. Sie bietet jedoch eine geringe Unterstützung zur Risikominimierung, und zwar um sicherzustellen, dass Ressourcen dieser Klasse nicht zu einem Risiko für höherwertige Ressourcen werden. Risiken und Kontrollen Ein Grundsatz im Risikomanagement ist die Ausrichtung der Richtlinien und Kontrollen am für die Ressourcen akzeptablen Risiko. Tabelle 2 zeigt, wie Kontrollen, basierend auf den Datenklassen, angewandt werden. Wenn die Datenklasse kleiner wird, sinken auch Zahl und Kosten der Kontrollen. Tabelle 2: Beispiel zu Datenklassen und Sicherheitskontrollen Datenklasse OTG-Dienst Sicherheitskontrolle Höchster Wert Die wichtigsten durch die OTG verwaltete Dienste Benutzer: Zwei-Faktoren Authentifizierung, explizite Benutzerauthentifizierung erforderlich. Zugriff auf Quellcode Sicherheit bei Microsoft – technisches Whitepaper 10 HR Data-Management Dateiserver Benutzer: Einfache Authentifizierung, autorisierte benutzerdefinierte Gruppen. Mail Hardware: IPSec erforderlich Durch die OTG verwaltete Dienste Hoher Wert Hardware: IPsec mit expliziter Benutzer- und Computerautorisierung erforderlich OTG-basis-Netzwerkdienste Netzwerkkonnektivität für das Browsen im Intranet oder VPNs (Virtual Private Network) Eingeschränkte Netzwerkkonnektivität Geringer Wert Authentifizierung: Einfache Authentifizierung, eingeschränkte Dienste (zum Beispiel nur Outlook Web Access) Keine Kontrolle kann Risiken vollkommen beseitigen. Einige Risiken werden “by design” akzeptiert. Der Schlüssel zu einer sicheren IT-Umgebung ist das Verständnis darüber, wo Kontrollen für eine Risikoreduzierung implementiert werden müssen. Sicherheits-Ökosystem Als Ganzes betrachtet kann die IT-Umgebung eines Unternehmens sehr unhandlich sein. Ihre permanenten Änderungen sind für eine “one size fits all”-Sicherheitslösung nicht gerade förderlich. Der Ansatz der Corporate Security Group für dieses Problem ist, das Unternehmen Microsoft in verwaltbare Sicherheitskomponenten aufzuteilen. Diese bilden das Sicherheits-Ökosystem. Das Ökosystem besteht aus eindeutigen Komponenten, die miteinander und extern kommunizieren. Bei Microsoft besteht das Ökosystem aus fünf Umgebungen: Datacenter, verwaltete Clients, nicht verwaltete Clients, Remotezugriff-Clients und Extranets. Die Elemente einer individuellen Umgebung sind die Daten, Computer, Personen und Funktion, die ein gemeinsames geschäftliches Ziel verfolgen. Indem die ITUmgebung des Unternehmens in diese fünf Komponenten aufgeteilt wird, ist es Microsoft möglich, Sicherheitsrisiken in kleinere und zielgerichtetere Bereiche zu unterteilen. Sicherheitsvektoren Nachdem die individuellen Komponenten des Ökosystems identifiziert sind, wird ein Framework benötigt. Dieses Framework zerlegt die Komponenten in Gruppen. Es hilft der Corporate Security Group so bei der Erkennung von Sicherheitslücken und der Umsetzung von Sicherheitskontrollen für die Komponenten. Das von der Corporate Security Group verwendete Framework besteht aus den folgenden fünf Vektoren: Netzwerk: Datentransport und Infrastruktur-Hardware. Host: Betriebssystem und Kerndienste (zum Beispiel Datenbank-Server, Web-Server, Mail-Server und Dateiserver). Anwendung: Intern und extern entwickelte Anwendungen. Konto: Hardware- oder Benutzerkonto in Verbindung mit einer Identität. Vertrauen: Auf den Active Directory® Verzeichnisdienst umgesetzte Administrationsmodelle und zertifikatsbasierte Vertrauensstellungen. Eine individuelle Komponente eines Ökosystems und die fünf Vektoren sehen Sie in Sicherheit bei Microsoft – technisches Whitepaper 11 Abbildung 4. Abbildung 4: Ökosystem-Komponente und fünf Vektoren Das Ökosystem und die fünf Vektoren ermöglichen es der Corporate Security Group Sicherheitsprobleme zu organisieren. Mit einem Risikomanagement-Framework können Ökosystem-Komponenten unabhängig voneinander auf Risiken bewertet werden, und die entsprechenden Sicherheitskontrollen können getrennt umgesetzt werden. Das Ökosystem, die fünf Vektoren und ein Risikomanagement-Ansatz verbinden sich zu einer erfolgreichen Risikobewertung, die für die geschäftlichen Anforderungen der einzelnen Komponenten passend ist. Bei einer Risikobewertung für Remotebenutzer, die sich mit dem Unternehmensnetzwerk verbinden, wurden als Ergebnis der Bewertung der fünf Vektoren mehrere Kontrollen eingerichtet. In vier der fünf Vektoren wurden Bedrohungen identifiziert. Dies waren unter anderem folgende: Host: Nicht autorisierter Zugriff auf Daten eines anderen Computers. Anwendung: Nicht autorisierter Zugriff auf interne Anwendungen über den Remotecomputer. Konto: Nicht autorisierter Zugriff auf Kontoinformationen, die zur Erweiterung oder Erhöhung von Rechten genutzt werden können. Netzwerk: Fehlende Verfügbarkeit durch eine Blockierung des Netzwerkes von einem Remotecomputer aus. Ein Beispiel zum Risikomanagement In diesem Abschnitt wird das OTG-Projekt “Netzwerk-Segmentierung über IPSec” als Beispiel dafür verwendet, wie die Corporate Security Group das RisikomanagementVerfahren nutzt - von der Identifizierung der einzelnen Risiken bis zur Bereitstellung Sicherheit bei Microsoft – technisches Whitepaper 12 technischer Gegenmaßnahmen zu deren Minimierung. Diese Initiative wird im folgenden als IPSec-Projekt bezeichnet. Das Ziel des IPSec-Projekts ist es, die Hosts des Unternehmens-Netzwerkes grob in zwei Kategorien zu teilen: verwaltete Computer und nicht verwaltete Computer. In dem sichergestellt wird, dass ein Netzwerkzugriff nur von solchen Geräten gestattet wird, die den OTG-Sicherheitsanforderungen entsprechen, werden durch diese logische Segmentierung die Risiken, denen die OTG-verwaltenen Computer ausgesetzt sind, verringert. Der Zugriff von nicht verwalteten Geräten aus ist standardmäßig nicht gestattet. Die OTG definiert verwaltete Computer als solche Computer, die einer Windows Active Directory Domäne angehören, die von der OTG verwaltet und von deren Überwachungs- und PatchMechanismen kontrolliert wird. Viele der nicht verwalteten Geräte im Microsoft-Netzwerk werden primär für Produkttests, Fehlersuche und/oder private Tests verwendet. Sie sind oftmals kein Mitglied einer OTG-verwalteten Domäne. Die IPSec-Richtlinie des Unternehmens definiert Kerberos als bevorzugten Authentifizierungsmechanismus und die Verwendung von computerbasierten digitalen Zertifikaten als sekundären Authentifizierungsmechanismus. Im IPSec-Beispielprojekt stellte die Corporate Security Group fest, dass die OTGverwalteten Computer unnötigen Bedrohungen ausgesetzt waren. Diese resultierten aus Angriffen aus der Netzwerkschicht, die von nicht verwalteten Computern des Unternehmensnetzwerkes von Microsoft aus gestartet wurden. Die Bedrohung und deren mögliche Auswirkungen wurden durch eine Risikobeurteilung bewertet. Als nächstes wurden für diese Risiken detaillierte Sicherheitsanforderungen entwickelt. Dann wurden die möglichen Kontrollalternativen von Infrastrukturexperten und Netzwerkplanern ermittelt und verglichen. So wurde festgestellt, dass eine logische Segmentierung mittels IPSec die bestmögliche technische Lösung darstellt. Es wurde ein Projekt-Implementierungsteam zusammengestellt und mit der IPSec-Bereitstellung begonnen. Die effektive Risikominimierung der Lösung wurde während der Implementierung und nach Abschluss der Bereitstellung bewertet. Die Risikobewertung für das IPSec-Projekt umfasst die folgenden Punkte: Ressource: Schutz digitaler Ressourcen in den Datenklassen „höchster Wert“ und „hoher Wert“. Bedrohung: Nicht autorisierter Zugriff, Kompromittierung der Datenintegrität während der Übertragung und das Erlangen von Informationen, die für einen schwereren Angriff missbraucht werden könnten. Auswirkung: Microsoft erleidet durch gestohlene oder beschädigte Daten und geistigem Eigentum Einnahme- und Reputationsverluste. Mitarbeiter von Microsoft verlieren Produktivität. Sicherheitslücke: Angriffe können durch Bedrohungen auf Netzwerkebene (zum Beispiel Pufferüberläufe, Ausnutzen nicht beseitigter Sicherheitslücken und falscher Systemkonfigurationen) entstehen. Außerdem könnten Hacker nicht verwaltete Computer kompromittieren. Diese könnten dann für Angriffe auf verwaltete Computer verwendet werden. Momentane Kontrollen: Antiviren-Software, Abschirmung durch Router und Firewalls, Patch-Management, zentral verwaltete Sicherheitskonfigurationen und andere Maßnahmen. Sicherheit bei Microsoft – technisches Whitepaper 13 Wahrscheinlichkeit: Hoch. Auch mit den aktuellen Kontrollen sind Angriffe vorgekommen – und werden wahrscheinlich auch wieder vorkommen. Aktuelles Risikolevel: Die Wahrscheinlichkeit für einen erfolgreichen Angriff mit einer Kompromittierung von Ressourcen der Datenklassen „höchster Wert“ und „hoher Wert“ innerhalb des nächsten Jahres wird mit mittel bis hoch bewertet. Sicherheit bei Microsoft – technisches Whitepaper 14 UNTERNEHMENSROLLEN IM RISIKOMANAGEMENT Die Corporate Security Group spielt in der Risiko-Priorisierung und der Überwachung eine Schlüsselrolle. Es ist jedoch wichtig, auch die Mitarbeit anderer Arbeits- und Interessensgruppen zu berücksichtigen. Um die Unabhängigkeit von Corporate Security Group und Betriebsfunktionen zu erhalten, hat die OTG Rollen definiert. Tabelle 3 zeigt die Rollen und Verantwortlichkeiten der OTG in der Risikoverwaltung. Die Ergebnisse der Tabelle basieren auf dem IPSec-Projektbeispiel. Tabelle 3: Risikomanagement-Rollen Aufgabe Rolle IPSec-Projekt-Ergebnis 1. IT-Risiken der Organisation identifizieren und priorisieren. Primärer Rolleninhaber ist die Corporate Security Group. Die Corporate Security Group erstellt eine Liste der identifizierten und priorisierten Risiken für die verwalteten Computer durch die unverwalteten Computer. 2. Eine Sicherheitsrichtlinie für die Reduzierung des Risikos auf ein akzeptables Level definieren. Primärer Rolleninhaber ist die Corporate Security Group. Sie leitet den Prozess der Zusammenarbeit zwischen OTG und den einzelnen Zuständigen für eine Definition der entsprechenden Richtlinie. Die Corporate Security Group erstellt ein SicherheitsAnforderungsdokument, das die Segmentierung von verwalteten und unverwalteten Computern zur Minimierung identifizierter Risiken definiert. 3. Lösung zur Risikoreduzierung entwickeln. Engineering und OTG-Operations ist für die Rolle zuständig. Corporate Security Group unterstützt. Infrastukturplaner und NetzwerkEngineers entwickelt eine Lösung auf Basis der IPSec-Technologie. Operations ist für Implementierung, Bereitstellung und Überwachung des IPSecProjekts zuständig. 4. Die Lösung effektiv umsetzen. OTG-Operations ist zuständig. Auf allen Supportebenen finden Trainings statt, und der Supportprozess wird umgesetzt. 5. Einhaltung prüfen und überwachen. Die Corporate Security Group setzt die Richtlinie durch. Während und nach der Bereitstellungsphase überwacht und bewertet die Corporate Security Group die Effektivität der Lösung. Abbildung 5 zeigt für jeden Schritt des Management-Prozesses die organisatorische Zuordnung jeder Rolle zu den Ergebnissen. Sicherheit bei Microsoft – technisches Whitepaper 15 Abbildung 5: Aufgaben und Organisationsrollen im Risikomanagement-Prozess Das Risikomanagement profitiert von klar definierten Rollen und Verantwortlichkeiten, da eine Umsetzung der Sicherheitsrisiken in die entsprechenden Kontrolllösungen sehr komplex ist. Viele Organisationen und Gruppen sind involviert. Um eine effektive Sicherheitskontrolle zu erhalten und zu pflegen, ist es wichtig, dass alle Beteiligten ihre Aufgabe kennen und verstehen. Oft werden Sicherheitsspeziallisten benötigt, um Risiken zu bewerten und zu kommunizieren. Letztendlich bleibt die Verantwortung für den Schutz und die Pflege von digitalen Ressourcen jedoch beim Besitzer. Organisation der Corporate Security Group Die Mission der Corporate Security Group ist die Verhinderung böswilliger oder nicht autorisierter Nutzung, die zu einem Verlust von geistigem Eigentum von Microsoft oder von Produktivität führt, durch eine systematische Bewertung, Kommunikation und Minimierung von Risiken. Für die Betreuung der IT-Sicherheitsrisiken des Unternehmens ist ein Team von gut geschulten Experten notwendig. In Abbildung 8 sehen Sie die Definition der organisatorischen Rollen der Corporate Security Group. Abbildung 6: Microsoft Corporate Security Group Teams und Rollen Bedrohungs- und Risikoanalyse und Richtlinie Dieses Team ist die zentrale Instanz für die Sicherheitsrichtlinie, die Risikobewertung und die Kontrolle über das Risikomanagement-Framework. Es bewertet und priorisiert ITRessourcen, Risiken und Maßnahmen in der bestehenden Umgebung. Außerdem ist es für Sicherheit bei Microsoft – technisches Whitepaper 16 die Analyse zukünftiger Risken und Maßnahmen zuständig. Zu den primären Verantwortlichkeiten gehören: Die Entwicklung einer zentralen autoritativen Quelle für Sicherheitsrichtline und anforderungen. Sicherstellen, dass alle Richtlinien auf die Minimierung der identifizierten Risiken angewandt werden können. Frühzeitige Umsetzung von Microsoft- und Drittanbieter-Produkten. Einen konsistenten, skalierbaren Prozess zur Bedrohungsbewertung zur Verfügung stellen. Sicherheitsstandards für Bereiche mit hohem Risiko steuern. Bewertung und Einhaltung Dieses Team besteht aus Experten aus allen Gebieten der Sicherheitsüberwachung und Bedrohungsbewertung. Seine primären Verantwortlichkeiten umfassen: Sicherheits-Dienstverwaltung: Verbesserung der Sicherheit von Schlüsselumgebungen durch die Definition von Sicherheitsanforderungen, Entwicklungsrichtlinien und dem Vorrantreiben von Überwachung und Prüfung. Sicherheits-Bewertungsdienste: Unterstützung bei der Sicherung kritischer ITRessourcen unter Einhaltung von Sicherheitsrichtlinien und Standards durch das Anbieten von Sicherheits-Bewertungsdiensten. Durchsetzung und Umsetzung: Sicherstellen, das Konten, Vertrauensstellungen, Hosts und Netzwerk in der verwalteten Umgebung den Corporate Security Group Richtlinien entsprechen. Dies wird durch systematisches Identifizieren von Sicherheitslücken und deren Behebung zusammen mit dem Verantwortlichen erreicht. Überwachung, Einbruchserkennung und Notfall-Reaktion Die primären Verantwortlichkeiten dieses Teams umfassen: Einbruchserkennung: Aktivitäten und Ereignisse der Umgebungen überwachen. Reaktion in kritischen Notfällen: Reaktion auf Eindringlinge im Netzwerk und deren Beseitigung. Stufe 1 Sicherheitssupport: Angebot einer schnellen Reaktion/Lösung von kleineren Problemen mit Viren/Netzwerk-Angriffen. Beweissicherung: Wiederherstellungsdienste für digitale Beweise anbieten. IT-Nachforschung und Einhaltungsüberwachung wie folgt: o Ermitteln aller nicht autorisierten Netzwerkzugriffe. o Ermitteln aller nicht autorisierten Fälle von Peer To Peer File-Sharing. Betrieb Dieses Team ist für den Support der Sicherheitsinfrastruktur und die Zugriffsverwaltung zuständig. Seine primären Verantwortlichkeiten umfassen: Entwicklung und Verwaltung des „U.S. Physical Access and Global Remote Security Access“ Programms. Sicherheit bei Microsoft – technisches Whitepaper 17 Verwaltung der Public Key Infrastruktur mit einem zentralen Client-Support. Dies umfasst: o Ausstellen von Smartcard. o Stufe 2 und 3 Support und Fehlersuche. o Vergabe von Kartenzugriff. o Entwickeln von Lösungen mit Focus auf Verschlüsselung. o Support und Fehlersuche für Public-Key-Infrastruktur (PKI) Zertifikate. Verwaltung von Sicherheitstools. Sicherheit bei Microsoft – technisches Whitepaper 18 VERWENDUNG DES RISIKOMANAGEMENTS ZUR ERSTELLUNG VON SICHERHEITSLÖSUNGEN Bei der Einführung eines Risikomanagement-Programms mit Hilfe des vorhin beschriebenen Frameworks, sah sich Microsoft (wie jedes andere Unternehmen auch) unzähligen Sicherheitsrisiken ausgesetzt. Die OTG bewertete Risiken für die fünf ÖkosystemUmgebungen und die fünf Vektoren und organisierte die Taktiken zur Risikominimierung in die folgenden vier Umsetzungsgruppen: Absicherung der Netzwerkgrenzen: Löcher in den Netzwerkgrenzen schließen, so dass Eindringlinge und bösartiger Programmcode nicht so einfach in das Netzwerk gelangen. Absicherung des inneren Netzwerkes: Verwaltung von Benutzerkonten, Richtlinien und Client-Sicherheitskonfigurationen innerhalb des Netzwerkes. Absicherung der Schlüsselressourcen: Sicherstellung der Sicherheit und der regelmäßigen Prüfung auf Sicherheitslöcher für Schlüsselressourcen. Überwachung und Prüfung: Die permanente Durchsetzung der Einhaltung. Die Zusammensetzung der Umsetzungsgruppen ergibt sich aus der Festlegung und Umsetzung mehrerer Projekte und Taktiken, zum Beispiel dem Projekt NetzwerkSegmentierung über IPSec. Im Jahr 2000 richtete die Corporate Security Group eine PKI ein, die eine Grundlage für viele dieser Projekte darstellt. Die von der OTG eingerichtete PKI-Hierarchie besteht aus drei Ebenen: Einer Offline-Stammzertifizierungsstelle des Unternehmens, untergeordneten Offline-Zertifizierungsstellen und mehreren Online-Zertifizierungsstellen, die Zertifikate für das Unternehmen ausstellen. Die Offline-Stammzertifizierungstelle ist selbstzertifiziert und der Startpunkt des gesamten PKI-Vertrauens. Sie wird ausschließlich zur Erstellung weiterer, untergeordneter Zertifizierungsstellen verwendet. Diese ZwischenZertifizierungsstellen werden dann für die Erstellung von untergeordneten Zertifizierungsstellen in den einzelnen Netzwerk- und Active Directory-Umgebungen von Microsoft verwenden. Diese arbeiten mit Active Directory zusammen, und stellen dann die Zertifikate für Benutzer und Systeme aus. Absicherung der Netzwerkgrenzen Ziel einer Absicherung der Netzwerkgrenzen ist es, so viele Angriffe wie möglich vor deren Zugriff auf das Netzwerk abzublocken. Dies erreichte die OTG über unterschiedliche Taktiken und Initiativen, die in den folgenden Absätzen beschrieben werden. Weitere Informationen hierzu finden Sie im Artikel Network Perimeter Security at Microsoft unter http://www.microsoft.com/technet/itsolutions/msit/security/twcomp.asp (englischsprachig). Smartcards für einen Remotezugriff Weltweit greifen mehr als 65.000 Microsoft-Angestellte über einen Remotezugriff auf E-MailKonten, Dateien und Netzwerkressourcen von Microsoft zu, zum Beispiel über Einwählverbindungen oder VPNs. Die OTG verwaltet jede Woche mehr als 250.000 Remotezugriffe. Um die Bedrohung durch böswillige Benutzer zu minimieren, hat die OTG eine Zwei-Faktoren-Authentifizierung über Smartcards implementiert. Durch diese ZweiFaktoren-Authentifizierung wird die Beschränkung eines Verbindungsaufbaus auf gültige Benutzer deutlich verbessert. Mehr als 65.000 Smartcards wurden weltweit verteilt. Weitere Sicherheit bei Microsoft – technisches Whitepaper 19 Informationen zur Implementierung eines Remotezugriffs über Smartcards finden Sie unter http://www.microsoft.com/technet/itsolutions/msit/security/smtcrdcs.asp (englischsprachig) und http://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.asp (englischsprachig). Absicherung von Remotebenutzern Nicht verwaltete Computer, die sich von einem Remotestandort mit dem Netzwerk verbinden, können die Sicherheit des gesamten Netzwerkes kompromittieren. Bei nicht verwalteten Computern handelt es sich um solche, bei denen die IT-Experten keine Kontrolle über die Sicherheitseinstellungen des Betriebssystems, die Installation von Sicherheitspatches oder spezieller Sicherheitssoftware haben. Die Gruppenrichtlinien der Organisation wirken sich auf solche Computer nicht aus. Als Konsequenz fehlen ihnen häufig kritische Sicherheitspatches, oder sie sind nicht nach den IT-Sicherheitsrichtlinien und -standards des Unternehmens konfiguriert. Nach der Secure Remote User (SRU) Initiative sind Remoteverbindungen zum Unternehmensnetzwerk nur noch dann erlaubt, wenn das entsprechende Gerät als den Sicherheitsanforderungen genügend bestätigt ist. Gruppenrichtlinien erfordern, dass sich Remotebenutzer über den Verbindungsmanager verbinden. So werden angepasste Profile, Scripts für System-Konfigurationstests, aktuelle Viren- und Signaturdateien, eine aktivierte Internetverbindungsfirewall, eine deaktivierte Internet-Verbindungsfreigabe und eine minimale Windows-Version ( im Moment Microsoft Windows XP Professional Servicepack 1) durchgesetzt. Absicherung von drahtlosen Verbindungen Die OTG hat weltweit mehr als 4.000 Access Points (APs) eingerichtet. Diese ermöglichen mehr als 30.000 Beschäftigten einen drahtlosen Zugriff. Bevor ein Benutzer auf das drahtlose Netzwerk zugreifen kann, muss er durch das 802.1X ClientAuthentifizierungsprotokoll eindeutig authentifiziert sein. Dieses Protokoll ist Bestandteil von Windows XP Professional und der Windows Server 2003 Familie. Außerdem ist Pocket PC 2002 zusammen mit bestimmter WLAN-Hardware 802.1X-fähig. Im Moment verwendet die Implementierung EAP/TLS (Extensible Authentication Protocol/Transport Layer Security) mit Zertifikaten als Authentifizierungsmethode. Es werden Zertifikate für Computerkonten und/oder Benutzerkonten verwendet. Jede drahtlose Sitzung zwischen einem User und/oder Gerät und dem drahtlosen Netzwerk, muss eindeutig verschlüsselt sein. Benutzer und Geräte müssen während der Sitzung beide eine regelmäßige Re-Authentifizierung durchführen. Die Richtlinie verbietet Wireless Access Points, die nicht von der OTG verwaltet werden, im Unternehmens-Netzwerk. Wie viele andere Unternehmen auch, scannt die OTG nach solchen APs. Weitere Informationen zur Absicherung des Microsoft-WLAN finden Sie in der technischen Fallstudie Mobility: Empowering People through Wireless Networks unter http://www.microsoft.com/technet/itshowcase (englischsprachig). Messaging Firewall Der E-Mail-Zugriff über das Internet, zum Beispiel über Outlook Web Access (OWA) und Outlook Mobile Access (OMA), erfordert Server, die von beiden Seiten - dem Internet und dem Unternehmens-Netzwerk - aus erreichbar sind. Um das Risiko zu verringern, dass Eindringlinge einen nicht autorisierten Zugriff erlangen, setzt die OTG Microsoft Internet Security and Acceleration (ISA) Server 2003 Feature Pack 1 vor diesen Servern ein. Die Messaging-Server befinden sich im Unternehmens-Netzwerk und sind nicht mit dem Internet verbunden. Stattdessen sind die ISA Server mit dem Internet und dem Unternehmens- Sicherheit bei Microsoft – technisches Whitepaper 20 Netzwerk verbunden. Die Benutzer sind mit der externen Schnittstelle des ISA-Servers verbunden. Indem das Risiko eines direkten Angriffs aus dem Internet durch eine Platzierung hinter einer Firewall entfernt wird, bietet dieser Ansatz eine hervorragende Verteidigung. Die Konfiguration umfasste die Härtung der Firewall-Sicherheitseinstellungen, Netzwerkisolation und die Anwendungsfilterung. Weitere Informationen zum ISA Server finden Sie unter http://www.microsoft.com/firewall (englischsprachig). E-Mail-Virenscanner Der OTG-Ansatz zur Handhabung von Viren geht über die reine Filtersoftware hinaus. Die schichtweise Verteidigung umfasst die Bereitstellung von Virenscannern auf allen Clientcomputern, E-Mail-Gateways, Internet-Gateways und PDAs (Personal Digital Assistants). Die Anwendung eTrust von Computer Associates wird auf allen Clientcomputern und vollständig verwalteten Servern verwendet. Eine Ausnahme bilden die Gateways. Diese verwenden Trend Micro InterScan Viruswall und Brightmail Software. Jeden Tag werden mehr als 5 Millionen eingehende E-Mail-Nachrichten geprüft. Im Durchschnitt werden pro Tag ca. 800 Viren erkannt und ca. 2,4 Millionen Junk-E-Mails gefiltert. Absicherung von Extranet und Partner-Verbindungen Die OTG pflegt Extranet-Umgebungen, die mit einer Vielzahl von geschäftlichen Partnern verbunden sind. Für die von diesen geschäftlichen Partnern verwendeten Geräte kann Microsoft nicht die gleichen Sicherheitsstandards durchsetzen, die intern verwendet werden. Dies führt dazu, dass diese Geräte – die normalerweise zum Austausch von Informationen mit Microsoft verwendet werden – zur Ausnutzung von Sicherheitslücken verwendet werden. So können Angriffe gegen Microsoft und Risiken für Ressourcen von Microsoft und intellektuellem Eigentum entstehen. Daher hat die OTG das Extranet durch die folgenden vier Initiativen abgesichert: Smartcards für Administratoren: Der Diebstahl der Anmeldeinformationen eines Domänenadministrators kann die Integrität der gesamten Domäne gefährden. Risiken durch solche Bedrohungen können minimiert werden, indem auf Domänencontrollern und ausgewählten „hochsichern“ Mitgliedservern des Extranets eine SmartcardAnmeldung notwendig ist („hochsichere“ Server werden als solche Server definiert, die zusätzliche Kontrollen erfordern, da entweder ihre Daten oder die möglichen Schäden durch ihre Kompromittierung substantiell sind). Auf diesen Servern und Domänencontrollern sind Smartcard-Lesegeräte installiert. Administratorkonten sind so konfiguriert, dass für eine interaktive Anmeldung eine Smartcard erforderlich ist. Stilllegung/Migration/Erneuerung von Partner-Netzwerken: Die Netzwerk- und Serversicherheit in Partnernetzwerken war nicht mit den internen Sicherheitsstandards kompatibel und aufgrund der Zahl der Umgebungen und Architekturen der Partnernetzwerke schwer zu verwalten. Daher wurden die Dienste dieser Netzwerke überwacht und die Dienstbetreiber identifiziert. Als Resultat dessen werden die meisten geschäftlichen Partneranwendungen nur im Extranet gehostet. Netzwerk- und Partnerverbindungen wurden stillgelegt, da nun alle Partnerverbindungen von der OTG betrieben und verwaltet werden. Dies versetzt die OTG nun die Lage, Verbindungen zu jeder Partnerumgebung jederzeit und umgehend zu beenden. Sicherheit von Partnerkonten: Die Ressourcen von Microsoft sind, aufgrund der delegierten Benutzerverwaltung, im Extranet größeren Risiken ausgesetzt. Daher müssen alle Partnerkonten von der OTG verwaltet werden und allen Konto- und Sicherheit bei Microsoft – technisches Whitepaper 21 Passwortrichtlinien des Unternehmens-Netzwerks entsprechen. Außerdem können in Partner-Umgebungen keine lokalen Mitgliedsserver-Konten mehr erstellt werden. Alle lokalen Administratorkonten von Partner auf allen von der OTG verwalteten Servern werden konsolidiert. Ungenutzte neue Konten werden nach 30 Tagen gelöscht. Inaktive Konten werden deaktiviert. Deaktivierte Konten werden für die interaktive Anmeldung, für die Anmeldung als Batchauftrag und für die Anmeldung über das Netzwerk deaktiviert. Anmeldeinformationen sind auf Ihre vorgesehenen Anmelderechte beschränkt, und inaktive Partnerkonten werden eliminiert. Direkte Verbindungen mit Partner eliminieren: Partner müssen sich nur für einen Zugriff auf das Microsoft-Unternehmens-Netzwerk an einem Kontrollpunkt authentifizieren. Der Zugriff wird auf solche Systeme beschränkt, die für die Geschäftstätigkeit des Partners mit Microsoft notwendig sind. Die Kontrollpunkte sind über ISA-Server Firewalls in Kombination mit Remote-Access-RichtlinienBeschränkungen des Internet Authentication Service (IAS) implementiert. Absicherung des inneren Netzwerkes Das Ziel der Absicherung des inneren Netzwerkes ist die Sicherstellung einer starken Authentifizierung und Autorisierung der Benutzer und Computer des UnternehmensNetzwerkes. Hierzu hat die OTG die Lösungen verwendet, die in den folgenden Absätzen beschrieben werden. Sicherheitslücken durch Dienstkonten reduzieren Anwendungen verwenden für ihre Arbeit oder für die Informationsabfrage von Servern Dienste. Vor Windows 2000 mussten Dienste, die auf Ressourcen des Netzwerks zugreifen wollen, ein Domänen-Benutzerkonto für ihre Authentifizierung verwenden. Es gibt Werkzeuge, die es Administratoren eines Computers erlauben, diese Kontonamen und deren Passwörter abzufragen. Die OTG führte ein Projekt durch, um die meisten Dienste zur Verwendung des Betriebssystem-Kontos LokalesSystem von Windows 2000 zu konfigurieren. Anwendungen, die Dienste nutzen, die administrative Privilegien auf Domänenebene erfordern oder die keine Computerkonto-Authentifizierung unterstützen, verwenden alternative Konfigurationen. Diese Konfigurationen umfasst unter anderem das Verwenden eindeutiger Konten und Passwörter für jeden Computer, die Behandlung der Computer, auf denen diese Dienste ausgeführt werden als „hochsichere“ Computer oder die Konfiguration von Anwendungen zur Verwendung von Diensten auf mehreren Computern, um den Verwaltungsaufwand zu minimieren. Konsolidierung der lokalen Administratorkonten Wenn die Domänenmitgliedschaft eines OTG-verwalteten Servers beschädigt oder nicht nachweisbar ist, müssen alle administrativen Aktionen direkt auf dem Server über ein lokales Administratorkonto durchgeführt werden. Die OTG pflegte zu diesem Zweck mindestens vier solcher Konten auf jedem OTG-verwalteten Server. Diese Situation führte zu einer Sicherheitslücke, da die Kompromittierung eines einzelnen lokalen Administratorkontos zu Problemen mit vielen anderen OTG-verwalteten Servern führen könnte. Um dieses Risiko zu minimieren, wurde eine Passwortanforderung für alle lokalen Administratorkonten definiert und die Verwendung eines einzelnen lokalen Kontos zu administrativen Zwecken für jeden Server verpflichtend. Alle weiteren administrativen Konten Sicherheit bei Microsoft – technisches Whitepaper 22 wurden von den Servern entfernt. Schwache Passwörter eliminieren Eindringlinge können über schwache Passwörter (zum Beispiel „administrator“, „admin“, „passwort“, dem Computernamen oder einem leeren Passwort) einen nicht autorisierten Zugriff erlangen. Nachdem der Eindringling einen Zugriff über ein Benutzer- oder Systemkonto erlangt hat, kann er auch einen unbeschränkten Zugriff auf Netzwerkressourcen erhalten. Eine Suche nach diesen Konten und eine Benachrichtigung der entsprechenden Benutzer war langsam (36 Stunden pro Scan) und ineffizient (das Problem wurde nur bei der Hälfte der Konten behoben). Um die Ergebnisse zu verbessern, stellte die Corporate Security Group ein intern entwickeltes Tool bereit, das regelmäßig und automatisch Konten mit schwachen oder leeren Passwörtern sucht und diese Passwörter dann durch neue und stärkere Passwörter ersetzt. Außerdem erstellte die Corporate Security Group eine Serverkonfigurationsanforderung, nach der eine Verwendung von starken Passwörtern verpflichtend ist. Die großflächige Bereitstellung von Windows XP unterstützt die Behebung dieser Sicherheitslücke zusätzlich, da eine Remoteverbindung über das Administratorkonto nicht möglich ist, wenn das Passwort dieses Kontos leer ist. Zusätzlich verwendet die OTG für alle Benutzerkonten einen angepassten Passwortfilter – passfilt.dll – auf Domänenebene. Weitere Informationen zu passfilt.dll finden Sie im Artikel Installing and Registering a Password Filter DLL unter http://msdn.microsoft.com/library/default.asp?url=/library/enus/security/security/installing_and_registering_a_password_filter_dll.asp (englischsprachig). Unter Windows 2000 Server, Windows Server 2003 und Windows XP Professional kann über die Werkzeuge zur Systemadministration eine Verwendung von sicheren Passwörtern durchgesetzt werden. Windows NT 4.0 Domains nach Windows 2000 Active Directory migrieren Auch wenn eine große Zahl der Unternehmens-Domänen bereits auf Windows 2000 migriert waren, gab es trotzdem noch Microsoft Windows NT® Version 4.0 Domänen mit Vertrauensstellungen zum Unternehmens-Netzwerk. Die Computer- und Benutzerkonten dieser Domänen konnten durch die OTG nicht effektiv verwaltet werden, da Windows NT 4.0 Active Directory nicht unterstützt. Die OTG hat ein Projekt gestartet, um die Windows NT 4.0 Domänen nach Windows 2000 zu migrieren und die Windows NT 4.0 Domänen oder die Vertrauensstellungen zum Unternehmens-Netzwerk zu entfernen. Durch diesen Schritt wird die Infrastruktur gestärkt. Der OTG wird es ermöglicht, OTG-Sicherheitsrichtlinien, Einstellungen, Konfigurationen und Software auf alle Computer unter Windows 2000 oder höher und für alle Benutzerkonten zu verteilen und diese zu unterstützen. So wird die konsistente Anwendung von Sicherheitsdirektiven über alle Computer und Benutzerkonten sichergestellt, und jeder Benutzer und Computer und jede Gruppe von Benutzern und Computern wird eindeutig identifizierbar Smartcards für Administratoren Es läuft ein Projekt, um die Sicherheitsbedrohungen für Konten mit umfangreichen Rechten und wichtige Infrastrukturserver zu beseitigen. Dies sind zum Beispiel DomänenAdministratoren, Domänencontroller und Server, die Quellcode speichern. Das Projekt Sicherheit bei Microsoft – technisches Whitepaper 23 implementiert eine Zwei-Faktoren Authentifizierung über Smartcards. Hierbei gibt es zwei große Herausforderungen: erstens müssen alle Zielserver in die Lage versetzt werden, eine interaktive Anmeldung über Smartcards durchzuführen (dies umfasst unter anderem die Bereitstellung der notwendigen Hardware und der Zertifikate). Zweitens müssen die Administratoren identifiziert werden, die über ein solches Smartcard-Konto verfügen müssen. Außerdem müssen diese Konten dann erstellt und verteilt werden. Hierzu ist eine tiefgreifende Analyse und Verfeinerung des Administrativen Modells notwendig. So wird die Zahl der Administratorkonten - ohne Auswirkungen auf den Betrieb - auf ein Minimum reduziert. Dann wird festgelegt, welches Konto eine Smartcard erfordert. Das Netzwerk über IPSec segmentieren Das Ziel des IPSec-Projekts ist es, die Hosts des Unternehmens-Netzwerkes grob in zwei Kategorien zu teilen: verwaltete Computer und nicht verwaltete Computer. Indem sichergestellt wird, dass ein Netzwerkzugriff nur von solchen Geräten gestattet wird, die den OTG-Sicherheitsanforderungen entsprechen, werden durch diese logische Segmentierung die Risiken, denen die OTG-verwalteten Computer ausgesetzt sind, verringert. Der Zugriff von nicht verwalteten Geräten aus ist standardmäßig nicht gestattet. Die OTG definiert verwaltete Computer als solche Computer, die einer Windows Active Directory Domäne angehören, die von der OTG verwaltet und von deren Überwachungs- und PatchMechanismen kontrolliert wird. Viele der nicht verwalteten Geräte im Microsoft-Netzwerk werden primär für Produkttests, Fehlersuche und/oder private Tests verwendet. Das Projekt setzte sich aus zwei Phasen zusammen. In der ersten Phase wurden ca. 150.000 verwaltete Clients und Server für die Verwendung von IPSec konfiguriert – und zwar ohne dass irgendeine Kommunikation mit nicht verwalteten Computern blockiert wurde. Durch die Aufteilung der Bereitstellung in Phasen wurde es möglich, sich in der ersten Phase auf Probleme mit der IPSec-Technologie zu konzentrieren. Die Bereitstellung der zweiten Phase läuft im Moment. Die OTG ändert die IPSec-Richtlinien allmählich, um die Segmentierung zu implementieren und eingehende Verbindungen von nicht verwalteten Computern zu blockieren. Die IPSec-Richtlinie definiert Kerberos als primären Authentifizierungsmechanismus. Als zweite Authentifizierungsform akzeptiert sie außerdem die Verwendung von computerbasierten digitalen Zertifikaten. Absicherung von Schlüsselressourcen Um sicherzustellen, dass Schüsselressourcen gesichert sind, und sie regelmäßig auf Sicherheitslücken geprüft werden, verwendet die OTG die Lösungen und Anforderungen, die in den folgenden Absätzen beschrieben werden. Verwalteter Quellcode Der Quellcode von Microsoft ist eine digitale Ressource von hohem Wert. Es gab jedoch auf Unternehmensebene keinen formalen Dienst zur Sicherheitsverwaltung von Quellcode. Es gab, zusätzlich zu inkonsistenten Prozessen, eine redundante Infrastruktur und Personalstruktur. Die OTG hat ein Projekt implementiert, das sich auf die Schaffung eines professionellen, verwalteten Dienstes zur sicheren Verwaltung von Quellcode auf Unternehmensebene konzentriert. Ziel des Projektes ist es, die Risiken einer Kompromittierung der Quellcode-Integrität und -vertraulichkeit durch nicht autorisierte Benutzer zu reduzieren. Komponenten dieses Projektes sind: Erstellung einer separaten, sicheren Struktur. Sicherheit bei Microsoft – technisches Whitepaper 24 Beschränkung der Privilegien der lokalen Administratorenkonten auf den QuellcodeServern. Eliminierung der Dienste und Batchaufträge, die von autorisierten Konten auf diesen Server ausgeführt werden. Patchverwaltung und Antivirus-Prozesse zur Beseitigung und Überwachung von offenen Sicherheitslücken. Verwendung einer Software zur Ereignisüberwachung und Einbruchserkennung auf den Quellcode-Servern Platzierung der Quellcode-Server an einem sicheren Datacenter-Standort. Segmentierung der Quellcode-Server Letztendlich kann jeder Computer des Unternehmens-Netzwerkes auf Netzwerkschicht auf die Quellcode-Server zugreifen. Hierdurch kommt es zu einer Sicherheitslücke, da die Kompromittierung eines einzelnen Computers des Unternehmens-Netzwerkes zu einem Einbruch in einen oder mehrere der Quellcode-Server führen könnte. Die OTG schränkte über ein Projekt den Zugriff auf die Quellcode-Server auf die Computer ein, die diesen Zugriff auch benötigen. Die IPSec-Technologie wird verwendet, um den Zugriff auf die Quellcode-Server zu authentifizieren und zu autorisieren. Die Computerkonten der Entwickler, die Zugriff auf die Quellcode-Server benötigen, werden zu Sicherheitsgruppen hinzugefügt. So erhalten die Entwickler (in Verbindung mit IPSec, Kerberos und der lokalen Richtlinie „Zugriff auf diesen Computer vom Netzwerk aus“) einen kontrollierten Zugriff auf die erforderlichen Quellcode-Server. Sichere Domänencontroller In der Unternehmensumgebung gab es viele Server, die Infrastruktur-, Endbenutzer- und Tool-Dienste auf einem einzigen Server zur Verfügung stellten. Die OTG startete ein Projekt, über das Server mit Domänencontroller-Rolle regelmäßig überwacht werden und deren Konfiguration überprüft wird. Es ist gestattet, auf Domänencontrollern Dienste zur Überwachung (zum Beispiel SeNTry and Microsoft Operations Manager) und zur Sicherung von Statusinformationen auszuführen. Jeder Remoteserver, der zur Sicherung von Domänencontroller-Statusinformationen verwendet wird, erfordert einen höheren Grad an Sicherheit. Unter Einhaltung des Sicherheitsprinzips der minimalen Dienstkonfiguration sind Dienste auf Domänencontrollern verboten, die es Benutzern ermöglichen, Dateien auf den Domänencontrollern abzulegen. Außerdem sind die Domänencontroller ohne die Internetinformationsdienste (IIS) konfiguriert. Überwachung und Prüfung Angreifer bedrohen Computernetzwerke auch weiterhin. Viele Organisationen konzentrieren Ihre Ressourcen allerdings auf die Reaktion auf Angriffe, nachdem diese stattgefunden haben, statt Angriffe zu vermeiden. Der anhaltende Erfolg von Sicherheitsrichtlinien, Diensten und Initiativen hängt von der Fähigkeit ab, ihre Einhaltung durchzusetzen. Die Überwachungs- und Prüftaktik der OTG konzentriert sich auf die Verbesserung der Werkzeuge zur Überwachung und Prüfung. Hierzu verwendet sie die Lösungen und Anforderungen, die in den nächsten Absätzen beschrieben werden. Sicherheit bei Microsoft – technisches Whitepaper 25 Netzwerk-Einbruchserkennung Durch ein stetiges Ansteigen der Einbruchsversuche von Hackern ist eine Konzentration auf die Verbesserung und Erweiterung des Corporate Security Group’s Network Intrusion Detection System (NIDS) zur Überwachung von Einbruchsversuchen in das UnternehmensNetzwerk notwendig. Diese Initiative verwendet eine zweischichtige Strategie zur Einbruchserkennung. Die äußere Schicht (NIDS) ermöglicht es der Corporate Security Group Angriffe und Verbindungsversuche von außerhalb zu verfolgen und zu erkennen. Die innere Schicht – das Host Intrusion Detection System (HIDS) – ermöglicht die Erkennung eines Bruchs der äußeren Schicht. Durch dieses zweischichtige System wird die Identifizierung, Verfolgung, Isolierung und Verhinderung von Netzwerkeinbrüchen deutlich verbessert. Ein 1999 implementiertes NIDSSystem konnte jedoch mit der Erweiterung des Unternehmens-Netzwerkes nicht schritt halten. Die NDIS-Leistungsfähigkeit der OTG wurde mit einer späteren Initiative wie folgt verbessert: Die Möglichkeit, alle externen Netzwerkangriffe in Echtzeit zu sehen, wurde verbessert. So können alle Information zu Netzwerkangriffen gespeichert und Angriffsmuster und -trends identifiziert werden. Außerdem kann eine Beweissicherung vorgenommen werden. Die Fähigkeit zur Definition von angepassten Signaturen für Netzwerkeinbrüche wurde verbessert. Eine zentralisierte Steuerung und Kontrolle von Einbruchssensoren wurde implementiert. Die OTG verwaltet die Einbruchserkennung über einige Drittanbieter-Programme und intern entwickelte Werkzeuge. Hierbei handelt es sich unter anderem um das Microsoft Audit Collections System (MACS), BlackICE und RealSecure von Internet Security Systems und eine Proxy-Überwachungs- und Antiviren-Software. Sicherheitslücken-Management Der Ansatz zur Verwaltung von Sicherheitslücken beginnt mit einer regelmäßigen aktiven Überwachung und Prüfung von Sicherheitslücken. Es wurde eine systematische Lösung zur Verwaltung von Sicherheitslücken entwickelt. Sie überwacht alle Microsoft-Umgebungen, und deckt unter anderem Netzwerkgeräte, Hosts, Anwendungen, Vertrauensstellungen und Konten ab. Diese Werkzeuge und der entsprechend Prozesse ist intern als Secure Environmental Remediation (SER) bekannt. Die Lösung der OTG überwacht Umgebungen und bringt diese auf eine akzeptable Risikotoleranzebene. Diese Toleranzgrenzen werden mit dem Verantwortlichen für die Umgebung vor einem Beitritt zum Netzwerk entwickelt. Sicherheitspatch-Verwaltung Microsoft veröffentlicht regelmäßig Patches um Sicherheitslücken in Betriebssystemen und Anwendungen zu korrigieren. Die OTG-Geräteverwaltung umfasst auch die Verwaltung von Sicherheitspatches. Alle Computer müssen das Sicherheitspatch-Level einhalten, das von der Corporate Security Group als kritisch angesehen wird. Um dieses sicherzustellen, überwacht Corporate Security Group die konsistente und rechtzeitige Installation von Betriebssystem- und Anwendungspatches, setzt die Anwendung von Sicherheitspatches ohne Interaktion des Endbenutzers durch und verhindert, dass Endbenutzer die Sicherheit bei Microsoft – technisches Whitepaper 26 Sicherheitspatch-Verwaltung deaktiviert. Für die Verfolgung und Durchsetzung aller Richtlinien und Verfahren ist die OTG primär von Microsoft SMS 2003 abhängig. Sie verwendet SMS 2003 zur stillen Installation von Patches auf Clients und Server. Weitere Werkzeuge sind zum Beispiel Windows Update, E-Mails mit Patch-Installationslinks und Anweisungen, um Benutzer bei der manuellen Installation von Patches zu helfen. Außerdem werden Anmeldescripts zur schnellen Verteilung von Notfall-Patches verwendet. Weitere Informationen zu SMS 2003 finden Sie unter http://www.microsoft.com/downloads/details.aspx?FamilyId=959EE7D6-7DDF-409A-95227D270BDCF12A&displaylang=en (englischsprachig) und http://www.microsoft.com/germany/ms/smsmgmt/ . Sicherheit bei Microsoft – technisches Whitepaper 27 ZUSAMMENFASSUNG Der Erfolg der Microsoft Corporate Security Group begründet sich auf einer Strategie, die auf einem formalen Risikomanagement-Framework, Prozessen und klaren Rollen und Verantwortlichkeiten basiert. Das Framework ist wichtig für ein grundsätzliches Verständnis der Aktionen der OTG. Die Beispiele für die Arbeit der OTG in der Risikominimierung sollen die von Microsoft verwendeten Kernkontrollen verdeutlichen. Die Corporate Security Group hat im Laufe der Zeit ein effektives Framework zur Sicherung einer Windows-Umgebung entwickelt. Es handelt sich hierbei natürlich nur um einen Ansatz von vielen. Durch eigene Erfahrungen stellte die Corporate Security Group fest, dass ein formales Framework für das Risikomanagement und ein entsprechender Prozess für eine kosteneffektive Risikominimierung notwendig sind. Statt eine Bewertung von Sicherheitslücken nach einem Vorfall durchzuführen, verwendet die Corporate Security Group ein formales Risikomanagement-Framework zur kontinuierlichen Bewertung des aktuellen Risikoprofils. Das heißt Risiken identifizieren, priorisieren und erneut bewerten. Entscheidungsträger erhalten durch die kontinuierliche Bewertung von Risiken jene Daten, die sie für geschäftliche Entscheidungen und eine Balance zwischen Risiken und Kosten benötigen. Mit dem formalen Risikomanagement-Framework strebt die Corporate Security Group die Entwicklung einer kosteneffizienten Kontrollumgebung an. So wird ein akzeptables Risikolevel erreicht. Bei einem akzeptablen Risiko handelt es sich um eine organisationsspezifische Einschätzung. Basierend auf der Charakteristik einer Organisation kann das akzeptable Risiko anderer Organisationen von der Microsoft-Einschätzung abweichen. Als Teil der Bemühungen in der Organisation und Priorisierung von Risiken verwendet die Corporate Security Group ein System zur Datenklassifizierung. Dies hilft dabei, sich als erstes auf die höchsten Risiken zu konzentrieren und erst dann auf die geringern Risiken. Systeme zur Datenklassifizierung unterscheiden sich je nach Organisation. Sie sind jedoch ein grundlegender Teil der Risiko-Priorisierung. Um kommunizieren zu können, in welchen Bereichen sie sich zum Schutz von digitalen Ressourcen verpflichtet und wo nicht (oder wo dies nicht möglich ist), hat die Corporate Security Group die „fünf Vertraulichkeitszusagen“ entwickelt. Diese fünf Zusagen sind für die Risikoanalyse in jeder Datenklassifizierung grundlegend. Die Definition von Zusagen und eine Festlegung, wem diese Zusagen gemacht werden, ist ein Schlüsselbereich des Risikomanagement-Programms einer jeden Organisation. Die traditionellen Sicherheitsbereiche – Sicherung der Netzwerkgrenzen, Sicherung des internen Netzwerkes, Sicherung der Schlüsselressourcen und Überwachung und Prüfung – werden seit einigen Jahren durch veränderte Technologien stärker belastet. Diese vier Bereiche wurden jedoch weniger wichtig, nachdem technologische Fortschritte und geschäftliche Beziehungen die Grenze zwischen „innerhalb“ und „außerhalb“ des Netzwerkes immer weiter verwischt haben. Dies hat dazu geführt, dass sich die Corporate Security Group durch die Verwendung des Microsoft-Risikomanagement-Prozesses von dieser Eingruppierung wegbewegt. Der Risikomanagementansatz der Corporate Security Group baut auf windows-basierten Sicherheitskontrollen auf, die durch entsprechende netzwerkbasierte Sicherheitskontrollen ergänzt werden. Die Schaffung einer „virtuellen Sicherheitsgrenze“ über Technologien wie IPSec und die Internetverbindungsfirewall unterstützt die Sicherung der Unternehmensressourcen – unabhängig von deren Standort. Sicherheit bei Microsoft – technisches Whitepaper 28 Außerdem führt die Corporate Security Group die Authentifizierungsinfrastruktur weg von der schwachen passwortbasierten Authentifizierung und hin zu einer starken Zwei-Faktoren Authentifizierung über Smartcards. Die Smartcard-Authentifizierung wurde zum Beispiel bereits für den VPN-Zugriff und den administrativen Zugriff auf „hochsichere“ Server realisiert. Computer-Ressourcen können nicht komplett unverwundbar gemacht werden. Risiken sind ein essentieller Teil von Netzwerken. Es ist daher wichtig, einen Risikomanagement-Prozess zu implementieren, der kosteneffektive Sicherheitskontrollen zur Minimierung dieser Risiken findet. Risikomanagement bietet Organisationen einen konsistenten, klaren Weg zur Organisation und Priorisierung beschränkter Ressourcen im Bezug auf die Verwaltung von geschäftlichen Risiken. Das von der Microsoft Corporate Security Group verwendete Risikomanagement kann von jeder Organisation verwendet werden. Das Endresultat eines effektiven Risikomanagementprogramms ist ein Satz von Sicherheitskontrollen, der das Gesamtrisiko für eine Organisation auf ein akzeptables Maß senkt. Sicherheit bei Microsoft – technisches Whitepaper 29 ZUSÄTZLICHE INFORMATIONEN Zusätzliches IT Showcase Material finden Sie unter http://www.microsoft.com/technet/showcase (englischsprachig). Weiter Informationen zur Sicherheit in Unternehmen finden Sie unter http://www.microsoft.com/germany/ms/security/bestpractise.mspx. Der Microsoft Security Notification Service ist ein kostenloser Dienst der seine Abonnementen über eine E-Mail bei der Veröffentlichung von neuen Security Bulletins informiert. Dieser Dienste stellt Ihnen Informationen zur Verfügung, die Ihnen dabei helfen Ihr System gegen bösartige Angriffe zu schützen. Sie können sich unter der folgenden Adresse registrieren: http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=430926 . Bei Fragen, Kommentaren oder Vorschlägen zu diesem Dokument, oder für weitere Informationen zu Microsoft IT Showcase schicken Sie bitte eine E-Mail an [email protected] (englischsprachig). Sicherheit bei Microsoft – technisches Whitepaper 30