Absichern von Unternehmensnetzwerken Teil 3 – Trennung von Admin und Userkonten

wie ich bereits in Teil 2 angekündigt habe widme ich mich in diesem Teil der Trennung von Administrator und Benutzerkonten. Diese Maßnahme wurde von meinen Mitarbeitern am Anfang gar nicht für gut befunden, sicher wird es noch andere Leser/Administratoren geben denen es genauso geht. Warum auch sollte man Administratoren 2 Konten geben, der weiß doch eigentlich immer wo man hinklicken darf, oder etwa nicht? Meiner Erfahrung nach leider nicht. machen Sie doch mal selbst den Test und fragen einen IT-Mitarbeiter mit Berufserfahrung (bei Anfängern funktioniert das leider nicht, die haben noch keinen “O.K.-click-Reflex”. ) was genau er da gerade bestätigt hat. Rote X im Popup, Warnhinweise etc. werden meist nur mit geringer Beachtung mehr oder weniger “wahrgenommen”. Und schließlich und endlich sind IT-Administratoren auch nur Menschen denen in der täglichen Arbeit Fehler unterlaufen können.

Die meisten kennen bestimmt die Sicherheitshinweise welche meist in monatlichen Abständen im Technet bekannt gegeben werden. Häufig sind Angriffe nur möglich wenn ein Konto mit vielen Rechten angemeldet ist, also ein Konto mit lokalen Administratorrechten beispielsweise. Häufig kommt ein Sicherheitsproblem in Form eines Virus oder anderer Schadsoftware aus dem Internet oder per USB-Stick in das Unternehmen. Wenn Sie wie ich in “Absichern von Unternehmensnetzwerken Teil 1” beschrieben habe das Unternehmensnetzwerk auch intern abgeschottet haben sollte sich der Schaden gering halten. Macht der Mitarbeiter als Administrator die Schadsoftware auf ist das Problem allerdings oft sehr groß. Administratoren haben oft Zugänge auf geschützte Systeme, die dann kompromittiert werden können. Nicht auszudenken wenn ein Benutzer mit Administratorrechten eine Schadsoftware unerkannt herunterlädt und das an dem einen Rechner ausführt der in der Firewall der Clients als Ausnahme eingetragen ist. Das Unternehmen wäre im Fall von Conficker oder Sasser in Sekunden lahmgelegt. Was kann man also tun damit dieser Fall nicht eintritt:

  • Das Arbeitskonto und das Administratorkonto der IT-Mitarbeiter trennen
  • Einen “IT-Terminalserver” einrichten. Hier dürfen sich nur die Administratorenkonten der Mitarbeiter anmelden
  • Den IT-Terminalserver als einzigen mit einem Zugang auf die Clients in der Domäne ausstatten (vgl. Absichern von Unternehmensnetzwerken Teil 1)
  • Das Administrator-Konto des IT-Mitarbeiters bekommt keine Mailkonto und keinen Zugang zum Internet, damit wird der Empfang bzw. das (versehentliche) herunterladen von Schadcode verhindert oder wenigstens erschwert.
  • Datenträger die im Unternehmen eingesetzt werden sollen werden nach jedem Kontakt mit einem Fremdsystem von der IT auf Schadsoftware untersucht
  • USB-Zugänge auf Rechnern für Mitarbeiter werden gesperrt.
  • Die Mitarbeiter werden natürlich geschult

Mit dieser Liste konfrontiert werden die meisten heute in der IT tätigen Mitarbeiter anfangs sehr ablehnend reagieren. Das hängt natürlich damit zusammen, das die oben genannten Maßnahmen als Behinderung bei der Arbeit angesehen werden. Die Frage die sich jetzt stellt ist natürlich ob die Gefühle des IT-Mitarbeiters oder die Sicherheit im Unternehmen wichtiger sind.

Ausblick: Im nächsten Beitrag werde ich darauf eingehen warum Administratoren in der IT eine Vertrauensstellung im Unternehmen haben.

Viele Grüße

 

Walter Steinsdorfer

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>