Categories: Workspace

Interne und externe Security-Audits

Interne Sicherheit
Das Auffinden kritischer Sicherheitslücken mithilfe der genannten Tools ist bereits ein entscheidender Schritt einer Beurteilung der Security-Systeme. Doch damit nicht genug. Zusätzlich zur Feststellung der offensichtlichen Gefahren müssen Sie auch weniger eindeutige Risiken berücksichtigen, vor allem hinsichtlich der internen Sicherheit ihres Netzwerks.

Ein Beispiel: Joe Johnson, der Buchhaltungsangestellte, der vor einigen Wochen entlassen wurde – haben Sie daran gedacht, seinen Zugang zu entfernen oder zu deaktivieren? Und was ist mit Sally Smith? Sie ist vom Marketing in den operativen Bereich gewechselt. Haben Sie ihre Gruppenmitgliedschaften geändert? Dies sind natürlich zwei stark vereinfachte Beispiele, die problemlos überprüft werden könnten. In jedem Fall sollten die Daten der Benutzer-Accounts regelmäßig geprüft werden, um deren Richtigkeit zu gewährleisten.

Außerdem sollten Sie die Zugriffsrechte für die Dateien im Auge behalten. Es mag zwar am unkompliziertesten erscheinen, allen Benutzern Administratorrechte für alle Dateien auf dem Server zu erteilen (lachen Sie nicht, ich hatte leider tatsächlich mit solchen Fällen zu tun), doch ist das natürlich völlig indiskutabel und birgt enorme Risiken. Ich bin bei der Vergabe von Rechten für Dateien und Verzeichnisse äußerst knauserig und räume den Benutzern nur das absolute Minimum ein, das sie für ihren jeweiligen Job brauchen. Sollten sie dann weiteren Zugriff benötigen, können sie diesen jederzeit anfordern.

Sie können die Vergabe der Rechte in Windows NT oder 2000 mithilfe von Cacls oder Xcacls überprüfen. In Listing B sehen Sie als Beispiel die Ausgabe, die ich durch Ausführung von Cacls auf meiner Windows XP-Workstation erhielt.

Mit diesem Dienstprogramm kann ich erkennen, wer Rechte für alle Dateien und Verzeichnisse im System hat. Natürlich wäre dieser Vorgang in umfangreichen Installationen erheblich aufwendiger, weshalb sich für diese eine gewisse Automatisierung empfiehlt.

Auf UNIX und Linux kann durch den Befehl ls -al eine Verzeichnisliste aufgerufen werden, die Informationen zu den Rechten von Benutzern und Gruppen enthält, wie in Listing C dargestellt.

Zusammenfassung
Sie haben hier eine erste Einführung zur Durchführung eines Audits in Ihrem Unternehmen erhalten, und es wurden verschiedene Dienstprogramme vorgestellt, mit denen Sie die Schwachpunkte Ihres Systems auffinden können. In meinem nächsten Artikel werde ich erläutern, wie Sie einige häufig auftretende Sicherheitsprobleme beheben können, die Ihnen eventuell bei Ihrem Audit begegnen werden.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Adobe stopft kritische Löcher in Reader und Acrobat

Sie ermöglichen eine Remotecodeausführung. Angreifbar sind Acrobat DC, 2024 und 2020 sowie Reader DC und…

1 Woche ago

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

1 Woche ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

1 Woche ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

1 Woche ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

1 Woche ago

Studie: Mitarbeiterverhalten verursacht IT-Sicherheitsrisiken

Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…

2 Wochen ago