Zurück zu den Grundregeln der Sicherheit

Die Untersuchung der Regierungsbehörde lieferte auffallend ähnliche Ergebnisse. Aus vorherigen Gesprächen mit dem Kunden wussten wir, dass seine Passwortrichtlinien Passwörter mit mindestens sechs Zeichen und einem Mix aus Buchstaben und Zahlen vorschrieben. Während eines kurzen Eindringversuchs luden wir LC3 mit einer Liste häufig vorkommender Passwörter und wiesen das Programm an, alle enthaltenen Passwörter um bis zu vier Zufallszahlen zu ergänzen.

Auf diese Weise könnten wir in kürzester Zeit 4 der 21 Benutzerkonten knacken. Besonders verheerend war dabei, dass sich darunter ein Test-Benutzerkonto mit dem Namen „Bubba“ befand, das einige Monate zuvor zur Fehlersuche eingerichtet worden war. (Uns war aufgefallen, dass die Administratoren von SMB-Netzen häufig temporäre Testkonten einrichten und dafür dasselbe Passwort verwenden wie bei ihren normalen Administratorkonten).

Zwar lieferte uns das Passwort keinen direkten administrativen Zugriff zu diesem Konto, sein Aufbau (Fußballteam + Kalenderjahr) ermöglichte es uns aber, das tatsächliche Passwort für das Administratorkonto (Baseballteam + Kalenderjahr) recht schnell herauszufinden. Die gleichen nachlässigen Sicherheitsmaßnahmen wie bei der Wohltätigkeitsorganisation hatten auch das Netz der Regierungsbehörde angreifbar gemacht.

Vermitteln der Grundlagen
Hier einige allgemeine Ratschläge für Kunden, die genauso unzureichend arbeiten:

• Raten Sie den Kunden, auf die Deaktivierung von Null-Sessions zu achten. Muss die Konfiguration für längere Zeit unverändert bleiben, sollte Restrict Anonymous Browsing (Null-Session) aktiviert werden. Bei Windows NT sollte der Registry-Schlüssel HKLM\SYSTEM\Current ControlSet\Control\LSA\ RestrictAnonymous auf 1 gesetzt werden. Bei Windows 2000 kann der gleiche Schlüssel auf 2 gesetzt werden; er kann auch über die Microsoft Management Console eingestellt werden.
• Betonen Sie, wie wichtig es ist, interne und externe Funktionalitäten voneinander zu trennen.
• Zeigen Sie auf, wie entscheidend die Einführung solider Passwortrichtlinien ist, da diese gewährleisten, dass Passwörter nicht ohne weiteres erraten werden können. Zumindest sollten Sie sicherstellen, dass die Richtlinien leere Passwörter, „Passwort“ und auf dem Benutzernamen beruhende Passwörter nicht zulassen.
• Stellen Sie die Bedeutung der Pflege der Benutzerkonten heraus. Bei einer der oben beschriebenen Organisationen waren in der Administrator-Gruppe drei „Schein“-Konten vorhanden (darunter „Bubba“ und „Test“). Benutzerkonten sollten regelmäßig überprüft und inaktive Konten entfernt werden. Besonders besorgniserregend sind temporäre Benutzerkonten, die für externe Mitarbeiter eingerichtet wurden und auch nach dem Ende von deren Tätigkeit aktiv bleiben.
• Betonen Sie, wie wichtig es ist, über die Grundlagen der Netzwerksicherheit Bescheid zu wissen.
• Stellen Sie sicher, dass der Kunde alle Möglichkeiten in Betracht gezogen hat. Die große Auswahl preisgünstiger Anbieter von Web- und E-Mail-Hosting-Diensten macht die Vergabe dieser Funktionen an externe Anbieter für kleinere Organisationen oft zur besten Wahl.