Wie kann ich den Zugriff privilegierter Benutzer im gesamten Unternehmen steuern?

Größe: px
Ab Seite anzeigen:

Download "Wie kann ich den Zugriff privilegierter Benutzer im gesamten Unternehmen steuern?"

Transkript

1 LÖSUNG IM ÜBERBLICK CA ControlMinder Wie kann ich den Zugriff privilegierter Benutzer im gesamten Unternehmen steuern? agility made possible

2 ist eine umfassende Lösung für das Management privilegierter Identitäten. Sie ermöglicht es Ihnen, die Passwörter privilegierter Benutzer zu verwalten, Berichte zu Benutzeraktivitäten zu generieren sowie unternehmensweit eine spezifische Aufgabentrennung einzurichten. 2

3 Kurzdarstellung Ausgangssituation Viele Unternehmen machen sich Sorgen um die wachsenden Herausforderungen, die der Schutz der vertraulichen Daten und Anwendungen auf ihren Servern bedeutet. Der steigende Wert von Daten, immer strengere Vorschriften und die hohe Anzahl privilegierter Benutzer, die auf wichtige Server, Geräte und Anwendungen zugreifen müssen, erschweren den Schutz vertraulicher Informationen und geistigen Eigentums. Die Herausforderung beim Management privilegierter Benutzer liegt unter anderem in der Verwaltung des sicheren Zugriffs auf wichtige Daten und Passwörter der einzelnen privilegierten Benutzer. Um privilegierte Benutzer in großen, komplexen und heterogenen Umgebungen zu steuern, ist somit viel mehr Arbeit erforderlich. Zugleich muss Ihre IT-Abteilung stets auf geschäftliche Anforderungen reagieren. Dies erfordert manchmal lokale Ausnahmen, ohne dass jedoch die Sicherheit und die Zurechenbarkeit leiden dürfen. Außerdem müssen Unternehmen heute immer schwierigere und strengere Auditing-Anforderungen und Vorschriften erfüllen. Möglicherweise nutzen Sie die systemeigenen Sicherheitsfunktionen Ihrer Betriebssysteme. Dies bedeutet jedoch Sicherheitsprobleme hinsichtlich der Aufgabentrennung sowie unzureichende Verwaltbarkeit und Einhaltung von Vorschriften. Neben der Implementierung von Sicherheitsrichtlinien müssen Sie auch Identitäten unter UNIX pflegen und verwalten. Dies bedeutet eine weitere Herausforderung. UNIX wird im Allgemeinen in Silos verwaltet. Dies erhöht die Verwaltungskosten und den Zusatzaufwand. Chancen Sie benötigen ein einzelnes, zentrales und unabhängiges Sicherheitssystem, um Server-, Geräte- und Anwendungsressourcen im gesamten Unternehmen zu schützen. Dabei müssen Sie eine flexible und zurechenbare Möglichkeit schaffen, die Verwendung von Superuser-Konten einzuschränken, indem Sie erforderliche Berechtigungen an autorisierte Administratoren delegieren. Dieses Sicherheitssystem sollte außerdem robuste Steuerungsmechanismen bieten, mit denen Sie privilegierte Benutzer verwalten, die Authentifizierung zentralisieren sowie eine solide Auditing- und Reporting-Infrastruktur bereitstellen können. CA ControlMinder arbeitet auf Systemebene, um eine effiziente und konsistente Erzwingung der Vorgaben auf unterschiedlichen Systemen unter Windows, UNIX, Linux sowie in virtuellen Umgebungen zu ermöglichen. Indem Sie Server-Sicherheitsrichtlinien über eine fortschrittliche Richtlinienmanagement-Funktion an Endpunktgeräte, Server und Anwendungen verteilen, können Sie privilegierte Benutzer unter Kontrolle halten. Außerdem können Sie das Auditing der einzelnen Richtlinienänderungen und Erzwingungsaktionen auf sichere Weise unterstützen, um globale Vorschriften einzuhalten. CA ControlMinder bietet einen ganzheitlichen Ansatz für das Zugriffsmanagement. Die Lösung umfasst wichtige Funktionen für den Schutz und das Lock-Down wichtiger Daten und Anwendungen, das Management privilegierter Identitäten, die Zentralisierung der UNIX-Authentifizierung mit Microsoft Active Directory (AD) und die Bereitstellung einer sicheren Auditing- und Reporting-Infrastruktur. 3

4 Nutzen Mit CA ControlMinder können Sie komplexe, spezifische Zugriffssteuerungsrichtlinien erstellen, bereitstellen und verwalten, damit nur autorisierte, privilegierte Benutzer auf Ihre hoch vertraulichen Daten und Anwendungen zugreifen können. CA ControlMinder unterstützt mehrere Plattformen (einschließlich virtueller) und kann in die übrigen Lösungen der CA Identity and Access Management-Produktfamilie integriert werden. CA ControlMinder bietet folgenden Nutzen: Konsistente, plattformübergreifende Steuerung und Überprüfung des Zugriffs auf Ihre wichtigen Server, Geräte und Anwendungen Management der Passwörter privilegierter Benutzer Ermöglichen einer proaktiven Darlegung der spezifischen Kontrolle über privilegierte Benutzer Erzwingung der Einhaltung von internen Vorgaben und gesetzlichen Vorschriften durch Erstellung von Server- Zugriffsrichtlinien und entsprechendes Reporting Senkung der Verwaltungskosten durch zentrales Sicherheitsmanagement für das gesamte verteilte Unternehmen Authentifizierung privilegierter Benutzer unter UNIX und Linux über einen einzelnen Active Directory- Benutzerdatenspeicher Absicherung des Betriebssystems zur Senkung externer Sicherheitsrisiken und Erhöhung der Zuverlässigkeit der Betriebsumgebung Sofort einsatzfähige Integration in eine Auditing-Infrastruktur, die detaillierte Berichte im Hinblick auf einzelne Vorschriften generiert Abschnitt 1: Ausgangssituation Server: eine Ursache für die Komplexität heutiger Rechenzentren Das Management von Sicherheitsrichtlinien in großen Umgebungen ist stets eine Herausforderung, insbesondere, weil es so wichtig ist, flexibel auf Unternehmensanforderungen zu reagieren und dabei nötigenfalls auch lokale Ausnahmen zuzulassen. In Rechenzentren ist heute eine umfassende Transparenz für immer mehr Server-, Geräte- und Anwendungsressourcen erforderlich. Zugleich müssen Änderungen zurechenbar sein, und die vertraulichen Daten im Rechenzentrum müssen geschützt werden. Ein unzureichendes Management privilegierter Benutzer ist häufig die direkte Ursache von Kompromittierungen wichtiger Daten. Die Wahrung der Datenintegrität ist eine der wichtigsten Aufgaben von IT-Spezialisten. Ein schwerwiegender Fehler besteht darin, neue Skalierbarkeits- und Flexibilitätstechnologien für Rechenzentren einzuführen, ohne die Anforderungen an die Sicherheit und den Schutz der Daten zu berücksichtigen, die durch diese neuen Technologien entstehen. 4

5 Die Aufsichtsbehörden sehen genau hin Laut dem Privacy Rights Clearinghouse waren in den USA seit 2005 über 340 Millionen Datensätze mit vertraulichen persönlichen Daten von Datenkompromittierungen betroffen. Für die Unternehmen bedeutet dies hohe Kosten für Strafgebühren, für die Überwachung der Guthaben von Opfern, die erneute Ausstellung von Kredit- und Bankkarten sowie den Versuch, den beschädigten Ruf der Marke wieder zu verbessern. 1 Diese zahlreichen Kompromittierungen haben dazu geführt, dass Behörden weltweit bessere Verfahren für den Schutz von Daten und die Informationssicherheit vorschreiben. Beispielsweise wurden HIPAA, GLBA, Sarbanes-Oxley, die EU-Richtlinie zum Schutz personenbezogener Daten, ISO27001, PIPEDA und Basel II verabschiedet, um diesen Problemen beizukommen. PCI DSS (Payment Card Industry Data Security Standard) ist in vielen Hinsichten eine noch stärkere Variante derartiger gesetzlicher Rahmenwerke. Durch Aufstellung von 12 Anforderungen, die erfüllt sein müssen, um die Daten von Karteninhabern zu schützen, erzwingt PCI DSS die Zurechenbarkeit in der IT auf einem ganz neuen Niveau. Außerdem stellt Sarbanes-Oxley strikte Anforderungen hinsichtlich der Aufgabentrennung, um sicherzustellen, dass die Verantwortung für komplexe Geschäftsprozesse auf viele Mitarbeiter verteilt wird, die einander bei diesen Tätigkeiten überprüfen und in ihre Grenzen verweisen können. Um diese Anforderungen zu erfüllen, müssen ausgefeilte Schutzmechanismen im Hinblick auf die Mitarbeiter implementiert werden. Außerdem müssen Sie bei jedem Audit differenzierte Unterlagen und Berichte bereitstellen, um Steuerungsmechanismen, Richtlinienstatus und Protokolle für den sicheren Serverzugriff nachzuweisen. In diesen Vorschriften werden spezifische Steuerungsmechanismen und plattformunabhängige Konsistenz vorgeschrieben, um die Aufgabentrennung, vor allem auch in Umgebungen mit mehreren unterschiedlichen Betriebssystemen, sicherzustellen. Außerdem sind Vorkehrungen vorgeschrieben, mit denen bei einer Kompromittierung forensische Untersuchungen des Vorfalls möglich sind. Daher müssen Auditdaten in einem zentralen Protokoll-Repository erfasst und konsolidiert werden. Da die Vorschriften immer strengere Anforderungen stellen, ist nicht zuletzt auch das Compliance Reporting inzwischen ein wichtiger Aspekt jeder Lösung für die Serversicherheit. Die Berichte sollten präzise sein, sich speziell auf die jeweilige Anforderung beziehen und Ausgaben leicht verständlich darstellen. Vertrauliche Daten befinden sich auf Ihren Servern Die Gegner, denen wir uns gegenübersehen, entwickeln sich weiter. Wir können nicht mehr davon ausgehen, dass Angreifer als Hacker ohne Namen und ohne Gesicht irgendwo da draußen sitzen. Der Angreifer kann heute mit ebenso hoher Wahrscheinlichkeit ein verärgerter Mitarbeiter, ein Saboteur oder ein gewissenloser, wenig loyaler Geschäftspartner sein. Daher müssen Sie Ihre Serverressourcen sowohl gegen externe Angreifer als auch gegen interne Mitarbeiter schützen, vor allem gegen privilegierte Benutzer, die über Zugriffsrechte für alle vertraulichen Daten auf den Servern, Geräten und Anwendungen in ihrem Zuständigkeitsbereich verfügen. Server vor diesen privilegierten Benutzern zu schützen und die Zurechenbarkeit für sie zu erzwingen, ist eine sehr komplexe Aufgabe. In vielen Unternehmen verwenden Serveradministratoren privilegierte Benutzerkonten mit generischen Anmeldenamen wie Administrator oder Root gemeinsam. Dies ist aus mehreren Gründen problematisch: Schwierigkeiten beim Auditing. Wenn Benutzerkonten gemeinsam verwendet werden, kann in Audit-Protokollen nicht wirklich identifiziert werden, welcher Administrator welche Änderungen auf den Servern vorgenommen hat. Dies unterminiert die Zurechenbarkeit, die für die Erfüllung von Vorschriften jedoch unabdingbar ist. Zugriff auf Daten. Diese gemeinsam genutzten Konten bedeuten im Allgemeinen, dass privilegierte Benutzer den Zugriff auf wichtige Systeme und Daten erhalten, vor allem, weil es zu schwierig ist, eine Richtlinie für Tausende von Servern mit differenzierten Zugriffsregeln zu verwalten. 1 Quelle: Privacy Rights Clearinghouse, Januar

6 Die Kombination aus privilegiertem Benutzerzugriff und achtlosem Verhalten von Administratoren kann der Business Continuity schaden. Zugleich bedeutet die fehlende Zurechenbarkeit, dass es fast unmöglich ist, zurückzuverfolgen, welcher Administrator die Fehler gemacht hat. Somit sind Sicherheit und Verantwortlichkeiten gefährdet. Komplexität des Portfoliomanagements für privilegierte Benutzer Nicht nur die Zurechenbarkeit für Zugriffe privilegierter Benutzer muss gewahrt bleiben, sondern diese gemeinsam genutzten Passwörter müssen auch rechtzeitig und sicher gespeichert, geändert und verteilt werden, um Sicherheitsrichtlinien des Unternehmens einzuhalten. Bei vielen Anwendungen werden außerdem fest codierte Passwörter in Shell-Scripts und Batchdateien verwendet, was das Problem noch verschlimmert. Diese Passwörter sind statisch und stehen jeder Person zur Verfügung, die auf die Scriptdatei zugreifen kann auch böswilligen Eindringlingen. Laut einem Bericht von Verizon für das Jahr 2010 wurden 48 % der Datenkompromittierungen von Personen innerhalb des Unternehmens verursacht. Das waren 26 % mehr als im Vorjahr. Zusätzlicher Verwaltungsaufwand für das Management von UNIX-Identitäten Der UNIX-Zugriff wird heute in Silos mit mehreren verteilten Kontospeichern verwaltet. Dabei verfügen Benutzer über zahlreiche Konten auf unterschiedlichen Systemen. Dies erhöht die Verwaltungskosten und den Zusatzaufwand sowie die Gesamtkomplexität der Umgebung, da die Betriebsfähigkeit und die Verfügbarkeit zahlreicher unternehmenskritischer Anwendungen von UNIX abhängig sind. Herausforderungen der Virtualisierung Angesichts der starken Heterogenität ist es unerlässlich, konsistente Richtlinien zu erzwingen und eine konsolidierte Protokollierung für alle Server zu ermöglichen. Dies ist umso wichtiger, da die Anzahl der zu verwaltenden Server und Geräte praktisch explosionsartig zunimmt. Ausufernde virtuelle Umgebungen (Virtual Sprawl) bedeuten, dass viel mehr Server verwaltet werden müssen, und da Hypervisoren unabhängig von den Betriebssystemen der Gastcomputer arbeiten, verstärkt dies die durch Heterogenität bedingten Probleme noch. Dennoch kümmern sich die meisten Unternehmen kaum um die Sicherheit dieses umfassenden, virtualisierten Rechenzentrums. Aufgrund der Virtualisierung gibt es außerdem eine neue Art privilegierter Hypervisor-Benutzer, die diese Gastbetriebssysteme erstellen, kopieren, verschieben oder anderweitig verwalten können. Dies macht es noch einmal deutlich, wie wichtig eine angemessene Aufgabentrennung ist, um zu verhindern, dass die Daten und Anwendungen auf den Gastsystemen kompromittiert werden, und um Auditing-Anforderungen zu erfüllen. Abschnitt 2: Chancen Verwalten und Steuern des Zugriffs privilegierter Benutzer im gesamten Unternehmen Das alte Modell, bei dem ein Systemadministrator für eine gewisse Anzahl von Servern mit einer bestimmten Anwendung verantwortlich ist, ist heute kein geeigneter Managementansatz mehr. Administratoren sind immer stärker spezialisiert, um die zunehmende Komplexität stärker verteilter und komplizierterer Anwendungen zu bewältigen. Die Entkopplung von Server-Hardware, Betriebssystemen und Anwendungen mit Hilfe von Virtualisierungstechnologien macht diese Spezialisierung komplizierter. Ein -Server und ein Datenbanksystem können heute auf demselben physischen Server ausgeführt werden. Dies erhöht die Komplexität der Umgebung erheblich. 6

7 Daher müssen diese Administratoren sich mit privilegierten Passwörtern sicher anmelden und über unterschiedliche Zugriffsebenen für ihre Anwendungen, Betriebssysteme und Hypervisoren sowie für Geräte wie Router verfügen. Allen diesen Administratoren uneingeschränkte Rechte einzuräumen, stellt ein schwerwiegendes Sicherheitsrisiko dar. Mit privilegierten Konten ( Administrator unter Windows, Root unter UNIX) können jegliche Programme ausgeführt, Dateien geändert und/oder Prozesse beendet werden. Es ist nicht möglich, diese privilegierten Benutzer so einzuschränken, dass sie nur Aufgaben ausführen können, die zu ihrer tatsächlichen Arbeit gehören, und bestimmte Verwaltungsaktionen an eine bestimmte Person zu binden. Dies führt offensichtlich zu einer Sicherheits- und Zurechenbarkeitslücke und verstößt gegen wichtige Anforderungen geltender Sicherheitsvorschriften. Privilegierte Benutzer können Fehler machen, aus Versehen oder mit Absicht. Ein effektives Management privilegierter Benutzer ermöglicht Folgendes: Automatisiertes Sichern, Verwalten und Verteilen von Anmeldeinformationen für privilegierte Benutzer Einschränken der Rechte dieser Benutzer, indem nur erforderliche Berechtigungen bei Bedarf an geeignete Mitarbeiter delegiert werden. Wahren der Zurechenbarkeit für diese Benutzer und Reporting-Möglichkeiten für ihre Aktionen Diese Administratoren können ihre Aufgaben erledigen, ohne dass sensible Daten oder unternehmenskritische Ressourcen offengelegt werden. Außerdem bietet ein solcher Ansatz ein Prüfprotokoll und erzwingt die Zurechenbarkeit für Administratoren und ihre Aktionen. Aufgrund des zunehmenden Drucks, Kosten zu senken, überwinden IT-Organisationen interne Hindernisse und vereinheitlichen die Benutzerauthentifizierung für UNIXund Windows-Umgebungen. CA ControlMinder CA ControlMinder ermöglicht die Einhaltung interner Richtlinien und externer Vorschriften durch eine zentrale Kontrolle und Verwaltung des Zugriffs privilegierter Benutzer auf unterschiedliche Server, Geräte und Anwendungen. CA ControlMinder ermöglicht die plattformunabhängige Erstellung, Bereitstellung und Verwaltung komplexer, spezifischer Zugriffsrichtlinien über eine einzelne Management-Konsole. Dies bietet weit mehr als die grundlegenden Steuerungsmechanismen, die von Betriebssystemen bereitgestellt werden, und erfüllt auch die striktesten Unternehmensrichtlinien und Vorschriften. Die gesamte Lösung heißt CA ControlMinder; sie besteht aus den folgenden Komponenten: CA ControlMinder Shared Account Management bietet sichere Speicherung und Zugriff auf Passwörter für privilegierte Benutzer. Endpunktschutz und Serverabsicherung, die Kernelemente von CA ControlMinder, sichern das Betriebssystem und stellen eine differenzierte rollenbasierte Zugriffssteuerung bereit. UNIX Authentication Bridge (UNAB) ermöglicht die Authentifizierung von UNIX- und Linux-Benutzern mit Hilfe ihrer Active Directory-Anmeldeinformationen. Integration in CA User Activity Reporting ermöglicht die zentrale Erfassung und Konsolidierung aller Auditprotokolle von CA ControlMinder in einem zentralen Repository, das für erweitertes Reporting, Ereigniskorrelation und Generierung von Warnungen verwendet werden kann. 7

8 CA ControlMinder Shared Account Management Abbildung A CA ControlMinder Shared Account Management. > Schützen Sie gemeinsam genutzte Passwörter > Stellen Sie Verantwortlichkeit bei Zugriff auf gemeinsam genutzte Konten sicher CA ControlMinder Passwort zurücksetzen Passwort auschecken Passwort validieren > Verwalten Sie Passwortrichtlinien für gemeinsam genutzte Konten > Entfernen Sie Passwörter in Klartext aus Scripts Passwort einchecken IT-Administrator Reporting zu Benutzeraktivitäten Beziehung zwischen privilegierter Aktivität und Benutzer Anmelden Web- Router/ APP- Datenbank Server Switch Speicher Switch Anwendung Desktop Virtualisierung Windows Linux Unix Shared Account Management bietet sicheren Zugriff auf privilegierte Konten, indem Kennwörter temporär zum einmaligen Nutzen oder nach Bedarf vergeben werden, und unterstützt durch sichere Überprüfungen die Verantwortlichkeit des jeweiligen Benutzers für seine Aktionen. Dies wird auch als Auschecken von Administratorkonten bezeichnet. Außerdem gewährt CA ControlMinder Anwendungen den programmgesteuerten Zugriff auf Systempasswörter und macht somit fest codierte Passwörter in Scripts, Batchdateien, ODBC- und JDBC-Wrappern überflüssig. Dies wird als Auschecken von Anwendungsberechtigungen bezeichnet. Shared Account Management wird von vielen Servern, Anwendungen (einschließlich Datenbanksystemen) und Netzwerkgeräten in einer physischen oder virtuellen Umgebung unterstützt. Funktionen von CA ControlMinder Shared Account Management Sichere Storage gemeinsam genutzter Passwörter. Shared Account Management ist ein sicherer und geschützter Datenspeicher für wichtige Anwendungs- und Systempasswörter. Benutzer, die Zugriff auf diese sensiblen Passwörter benötigen, können sie über eine intuitive verständliche Web-Benutzeroberfläche auschecken und einchecken. Shared Account Management erzwingt Richtlinien für privilegierte Zugriffe, mit denen bestimmt wird, welche Benutzer welche gemeinsam genutzten Konten verwenden können. Passwortrichtlinie für gemeinsam genutzte Konten. Jedem über Shared Account Management verwalteten Passwort kann eine Passwortrichtlinie zugeordnet werden, die seine individuellen Eigenschaften definiert. So wird sichergestellt, dass die von Shared Account Management generierten Passwörter von dem System, der Anwendung oder der Datenbank am Endpunkt akzeptiert werden. Mit Passwortrichtlinien wird außerdem ein Intervall festgelegt, in dem Password Vault automatisch ein neues Passwort für das Konto erstellt. Automatische Kontoerkennung. Shared Account Management erkennt automatisch alle Konten auf einem verwalteten Endpunkt, der mit dem Shared Account Management Enterprise Management-Server verbunden ist. Der Shared Account Management-Administrator kann dann entscheiden, welche Konten von Shared Account Management verwendet werden sollen. Diese Konten werden einer Rolle für den privilegierten Zugriff zugewiesen, in die End User im Rahmen der Shared Account Management-Richtlinie aufgenommen werden können. 8

9 Architektur ohne Agenten. CA ControlMinder Shared Account Management bietet eine Architektur ohne Agenten, um Arbeitsaufwand und Risiko der Bereitstellung zu minimieren. Auf den von CA ControlMinder Shared Account Management verwalteten Endpunkten sind keine Agenten erforderlich. Alle Verbindungen werden vom CA ControlMinder Enterprise Management-Server mit Hilfe systemeigener Leistungsmerkmale verarbeitet. Beispielsweise verwenden Datenbanksysteme JDBC, UNIX und Linux verwenden SSH, und Windows verwendet WMI. Integration in Ticketing- und Help-Desk-Systeme. Die Integration in CA Service Desk Manager ermöglicht das Hinzufügen eines Service Desk-Tickets bei Anforderungs- und Notfalltasks, das Bestätigen des Service Desk- Tickets sowie das Anzeigen des Tickets durch einen Benutzer, der es genehmigen soll und der dazu weitere Informationen wünscht. Auditing und Reporting für privilegierte Zugriffe. Alle privilegierten Zugriffe werden in CA ControlMinder Shared Account Management überprüft und protokolliert. CA User Activity Reporting bietet erweiterte Protokollierungs- und Korrelationsfunktionen, darunter die Möglichkeit, die systemeigenen Protokolle, die von Systemen, Anwendungen oder Datenbanksystemen generiert werden, mit Shared Account Management- Protokollen zu korrelieren. Wenn CA ControlMinder auf Server-Endpunkten (unter UNIX, Linux und Windows) installiert wird, werden außerdem die Aktivitäten aller privilegierten Benutzer verfolgt und überprüft. Diese Protokolle können auch in CA User Activity Reporting zentralisiert und mit den von CA ControlMinder Shared Account Management generierten Auscheck-Ereignissen korreliert werden. Wiederherstellung und Rollback von Passwörtern. Nach einem Ausfall eines mit CA ControlMinder Shared Account Management verwalteten Endpunkts wird dieser Endpunkt von einem Backup wiederhergestellt, der möglicherweise nicht aktuell ist. In diesem Fall stimmen in Shared Account Management gespeicherte Passwörter nicht mit den wiederhergestellten Passwörtern auf dem Endpunkt überein. Der CA ControlMinder Enterprise Management-Server zeigt eine Liste zuvor verwendeter Passwörter an und bietet die Option, auf dem Endpunkt die aktuelle Password Vault-Konfiguration wiederherzustellen. Auschecken von Administratorkonten über Shared Account Management Zurechenbarkeit bei Zugriff auf gemeinsam genutzte Konten. CA ControlMinder Shared Account Management bietet eine Funktion für das exklusive Auschecken, mit der ein Konto zu jedem Zeitpunkt nur von einer einzelnen, namentlich bekannten Person ausgecheckt sein kann. Außerdem kann Shared Account Management die Aktionen des ursprünglichen Benutzers verfolgen, indem Zugriffsereignisse auf den Systemen mit dem von Shared Account Management generierten Auscheck-Ereignis korreliert werden. Automatische Anmeldung über Shared Account Management. Dieses Leistungsmerkmal optimiert und sichert den Prozess, indem es einem Benutzer ermöglicht, mit einem Mausklick ein Passwort anzufordern und zu verwenden. Dazu meldet Password Vault den Benutzer automatisch als den privilegierten Benutzer am Zielsystem an, ohne dass das Passwort dabei für den Benutzer sichtbar wird. Somit kann niemand dem Benutzer über die Schulter sehen und dabei das Passwort stehlen, und das Verfahren wird beschleunigt. Erweiterte Integration von Shared Account Management in CA ControlMinder. Dank der erweiterten Integration von Shared Account Management in CA ControlMinder können Sie die Aktivitäten von Benutzern, die privilegierte Konten auschecken, auf den Endpunkten verfolgen. Diese Funktion wird nur unterstützt, wenn sie zusammen mit der oben beschriebenen Funktion von Shared Account Management für die automatische Anmeldung verwendet wird. Dabei können Sie angeben, dass ein Benutzer ein privilegiertes Konto über den Enterprise Management-Server auschecken muss, um sich an einem CA ControlMinder-Endpunkt anmelden zu können. Aufzeichnung und Wiedergabe privilegierter Sitzungen. Mit Hilfe einer Integration in Drittanbietersoftware wird jetzt die Aufzeichnung und Wiedergabe privilegierter Sitzungen über CA ControlMinder Shared Account Management bereitgestellt. Über Funktionalität, die einem digitalen Videorecorder (DVR) ähnelt, können Sitzungen privilegierter Benutzer aufgezeichnet und wiedergegeben werden, um Audits zu erleichtern. 9

10 Vollständige Workflow-Funktionalität. CA ControlMinder Shared Account Management stellt Workflow- Funktionen mit vollständiger dualer Kontrolle für gewöhnlichen und notfallmäßigen Zugriff auf privilegierte Konten bereit. Optional können Workflows für bestimmte End User und/oder bestimmte privilegierte Konten aktiviert werden. Notfallzugriff. Benutzer führen ein notfallmäßiges Auschecken durch, wenn sie sofortigen Zugriff auf ein Konto benötigen, für dessen Verwaltung sie nicht autorisiert sind. Notfallkonten sind privilegierte Konten, die dem Benutzer anhand seiner gewöhnlichen Rolle nicht zugewiesen werden, deren Passwort der Benutzer jedoch ohne Eingriffe oder Verzögerungen erhalten kann, wenn dies notwendig wird. Bei einem Notfall- Auscheckvorgang wird eine Benachrichtigung an den Administrator gesendet. Der Administrator kann den Vorgang jedoch weder genehmigen noch stoppen. Auschecken von Anwendungsberechtigungen über Shared Account Management Shared Account Management zwischen Anwendung und Anwendung. CA ControlMinder Shared Account Management automatisiert das Management von Servicekonto-Passwörtern, das andernfalls manuell durchgeführt werden müsste (Windows Services), verwaltet von geplanten Windows-Tasks verwendete Passwörter zur Anmeldung am System (Windows Scheduled Tasks) und kann in den Ausführen als - Mechanismus von Windows integriert werden, um die Passwörter der relevanten privilegierten Benutzer von Shared Account Management abzurufen. Shared Account Management zwischen Anwendung und Datenbank. CA ControlMinder Shared Account Management kann Passwörter von Anwendungs-IDs automatische zurücksetzen. Shared Account Management kann Servicekonten verwalten, die von einem IIS- oder J2EE-Anwendungsserver und den darauf gehosteten Anwendungen verwendet werden. Dazu fängt Password Vault ODBC- und JDBC-Verbindungen ab und nimmt eine Ersetzung durch die aktuellen Anmeldeinformationen privilegierter Konten vor. In den meisten Fällen stellt CA ControlMinder Shared Account Management diese Funktionalität bereit, ohne dass Änderungen an den Anwendungen erforderlich sind. Für diese Funktionalität muss der Shared Account Management-Agent auf dem Endpunkt installiert werden, auf dem die Anwendung ausgeführt wird, oder im Fall einer Webanwendung auf dem J2EE-Server. Programmgesteuertes Auschecken durch Shell-Scripts und Batchdateien. Sie können den Shared Account Management-Agenten in einem Script verwenden, um fest codierte Passwörter durch Passwörter zu ersetzen, die aus CA ControlMinder Shared Account Management Enterprise Management ausgecheckt werden können. Somit müssen Sie keine fest codierten Passwörter in Scripts einschließen. Technische Details zu Shared Account Management finden Sie im Artikel Technik im Überblick zu CA ControlMinder Shared Account Management. 10

11 Endpunktschutz und Serverabsicherung mit CA ControlMinder Abbildung B CA ControlMinder erzwingt Sicherheitsrichtlinien anhand von Rollen. Die wichtigsten Elemente von CA ControlMinder sind die sicheren, abgesicherten Agenten, die von Haus aus in das Betriebssystem integriert sind, um die differenzierten Richtlinien zu erzwingen und zu überprüfen, die für die Einhaltung von Vorschriften erforderlich sind. Endpunkt-Agenten sind für alle wichtigen Betriebssysteme verfügbar, einschließlich aller führenden Linux-, UNIX- und Windows-Versionen. Die aktuelle Liste unterstützter Systeme finden Sie auf der CA Support-Website. Für die Installation und Verwaltung von CA ControlMinder auf unterstützten Betriebssystemen stehen Pakete in systemeigenen Formaten zur Verfügung. So können in einer globalen Unternehmensumgebung leicht zahlreiche verwaltete Server bereitgestellt werden. Außerdem stellt CA ControlMinder eine benutzerfreundliche und konsistente webgestützte Benutzeroberfläche für das Management von Endpunktrichtlinien, Anwendungen und Geräten bereit. CA ControlMinder unterstützt von Haus aus die meisten Virtualisierungsplattformen, einschließlich VMware ESX, Solaris 10 Zones und LDOMs, Microsoft Hyper-V, IBM VIO und AIX LPAR, HP-UX VPAR, Linux Xen und Mainframe x/vm. Dabei werden sowohl die Hypervisor-Ebene als auch die darauf ausgeführten Gastbetriebssysteme geschützt. In Unternehmensumgebungen ist es inzwischen üblich, ein Verzeichnis für das Benutzermanagement und die Bereitstellung verzeichnisfähiger Anwendungen zu verwenden. CA ControlMinder unterstützt Benutzerdatenspeicher für Unternehmen. Dabei handelt es sich um Speicher für Benutzer- und Gruppendaten, die Teil des Betriebssystems sind. Dank dieser Integration in systemeigene Funktionen können Sie Zugriffsregeln für Ihre Unternehmensbenutzer und -gruppen definieren, ohne die Benutzer und Gruppen mit der CA ControlMinder- Datenbank synchronisieren oder in sie importieren zu müssen. 11

12 Plattformunabhängiger Schutz von Servern In vielen Unternehmen wird eine heterogene Serverinfrastruktur mit Windows-, Linux- und UNIX-Systemen bereitgestellt. CA ControlMinder ermöglicht eine konsistente, integrierte Verwaltung und Erzwingung von Zugriffs-Sicherheitsrichtlinien in allen diesen Umgebungen. Die fortschrittliche Richtlinienarchitektur stellt eine einzelne Benutzeroberfläche bereit, über die Richtlinien verwaltet und gleichzeitig an Abonnenten unter Windows und unter UNIX verteilt werden können. Ein konsolidiertes Management von Servern unter Linux, UNIX und Windows verringert den Umfang der erforderlichen Verwaltungsarbeit und erhöht die Effizienz der Systemadministration. Somit können Kosten eingespart werden. Spezifische Zugriffssteuerung CA ControlMinder ist eine unabhängige Sicherheitslösung. Dies bedeutet, dass sie nicht auf das zugrunde liegende Betriebssystem angewiesen ist, um Zugriffssteuerungs-Richtlinien für Server zu erzwingen. Da CA ControlMinder auf Systemebene arbeitet, können alle Zugriffe auf Systemressourcen überwacht und gesteuert werden, einschließlich derjenigen, die von Administratoren der Domäne oder des lokalen Systems stammen. Diese spezifischen Zugriffssicherheitsfunktionen ermöglichen die Steuerung, Delegierung und Einschränkung von Domänenadministratorkonten sowie allen anderen Konten in der IT-Umgebung. Außerdem bieten sie Folgendes: Steuerung des Identitätswechsels. CA ControlMinder steuert Funktionen für die Delegierung an Ersatzbenutzer, um zu vermeiden, dass nicht autorisierte Benutzer Anwendungen mit erhöhten Rechten ausführen und um die Zurechenbarkeit von Aktivitäten mit gemeinsam genutzten Konten zu erreichen. Andernfalls könnte beispielsweise ein Administrator das Identitätsprofil einer anderen Person verwenden, um Attribute in der Zugriffssteuerungsliste (Access Control List, ACL) für eine Datei zu ändern, ohne dass diese Aktionen diesem Administrator zurechenbar sind. CA ControlMinder bietet Schutz auf mehreren Ebenen. Zuerst werden Einschränkungen für Benutzer eingerichtet, die den Befehl Ausführen als unter Windows bzw. su unter UNIX verwenden, und die ursprüngliche Benutzer-ID wird auch dann in Audit-Protokollen aufgezeichnet, wenn für den Zugriff ein Ersatzbenutzer verwendet wird. Somit können Benutzer sich mit ihrer eigenen ID anmelden und dann ihr Profil auf das eines privilegierten Kontos ändern, ohne dass die Sicherheit oder die Zurechenbarkeit darunter leiden. Einschränkung der Verwendung von Superuser-Konten (Administrator/Root). Das Root-Konto stellt eine wesentliche Schwachstelle dar, weil es Anwendungen oder Benutzern ermöglicht, mit höheren Rechten zu arbeiten als notwendig. CA ControlMinder untersucht alle relevanten eingehenden Anforderungen auf Systemebene und erzwingt die Autorisierung anhand der definierten Regeln und Richtlinien. Nicht einmal das privilegierte Root-Konto kann diese Kontrolle umgehen. Somit werden alle privilegierten Benutzer zu verwalteten Benutzern, und ihre Aktivitäten im System sind ihnen stets zurechenbar. Rollenbasierte Zugriffssteuerung. Eine Best Practice besteht darin, jedem Administrator genug Rechte für seine Aufgaben zuzuweisen aber nicht mehr. In einer ausgereiften Umgebung mit rollenbasierter Zugriffssteuerung können Administratoren ein Administrator-Passwort nicht gemeinsam nutzen und somit zugehörige Rechte nicht in unangemessener Weise nutzen. CA ControlMinder stellt standardmäßig häufig verwendete Rollen für Administration und Auditing bereit, die angepasst und erweitert werden können, um die Anforderungen Ihrer IT-Organisation zu erfüllen. Spezifische Erzwingung. Die Betriebssysteme selbst (Linux, UNIX und Windows) bieten nur begrenzte Möglichkeiten, bestimmte Systemadministratorrechte differenziert und effektiv an Benutzerkonten mit geringeren Rechten zu delegieren. CA ControlMinder stellt eine spezifische Erzwingung bereit und steuert den Zugriff anhand zahlreicher Kriterien, wie Netzwerkattribute, Tageszeit, Kalender oder zugreifendes Programm. Folgende Leistungsmerkmale werden bereitgestellt: 12

13 Zusätzliche differenzierte Steuerungsmechanismen. Steuerungsmechanismen, die spezielle Privilegien für Dateifunktionen, Services und andere Funktionen auf Betriebssystemebene (Umbenennen, Kopieren, Stoppen, Starten) bieten, können einem bestimmten Administrator oder einer Administratorgruppe zugeordnet werden. Unterschiedliche Erzwingungs-Levels. CA ControlMinder Warning Mode wird im Allgemeinen von Unternehmen verwendet, um zu bestimmen, ob vorgeschlagene Sicherheitsrichtlinien zu strikt oder zu großzügig sind, damit sie entsprechend geändert werden können. Außerdem bietet CA ControlMinder die Möglichkeit, die Auswirkungen einer Sicherheitsrichtlinie sofort zu überprüfen, ohne die Einschränkung über die Einstellung für den Überprüfungsmodus zu erzwingen. Erweiterte ACLs. CA ControlMinder stellt zahlreiche erweiterte ACL-Funktionen bereit, damit der Sicherheitsadministrator bessere Möglichkeiten hat, autorisierten Benutzern ordnungsgemäß Zugriffsrechte zuzuweisen. Dazu gehören Zugriffssteuerungslisten für Programme (Program Access Control Lists, PACLs), die den Ressourcenzugriff ausschließlich über ein bestimmtes Programm oder eine bestimmte Binärdatei gestatten. Netzwerkbasierte Zugriffssteuerung. In den heutigen offenen Umgebungen müssen Benutzerzugriffe und Informationsfluss über das Netzwerk strikt kontrolliert werden. Die netzwerkbasierte Zugriffssteuerung bietet eine zusätzliche Schutzebene, um den Zugriff auf das Netzwerk unter Kontrolle zu halten. CA ControlMinder kann den Zugriff auf Netzwerkports oder Netzwerkzugriffs-Programme verwalten. Mit Netzwerk-Sicherheitsrichtlinien kann der bidirektionale Zugriff nach Terminal-ID, Hostnamen, Netzwerkadresse, Segmenten oder anderen Attributen verwaltet werden. Steuerung von Anmeldungen. CA ControlMinder kann die Anmeldungssicherheit erhöhen, indem Benutzeranmeldungen nach IP-Adresse des Benutzers, Terminal-ID, Art des für die Anmeldung verwendeten Programms oder Tageszeit beschränkt werden. CA ControlMinder kann außerdem die gleichzeitigen Anmeldungssitzungen eines Benutzers begrenzen, um den Zugriff eines Benutzers auf einen Server strikt zu kontrollieren. Benutzer können nach zu vielen fehlgeschlagenen Anmeldeversuchen automatisch gesperrt werden, um das System gegen Brute Force-Angriffe zu schützen. Außerdem bietet CA ControlMinder eine sichere Deaktivierung und Stilllegung von Benutzerkonten in verteilten Umgebungen. Management und Steuerung des Zugriffs auf virtuelle Umgebungen Bei der Virtualisierung werden mehrere Serverinstanzen auf einem einzelnen physischen Computer konsolidiert. Dies verringert die Gesamtbetriebskosten und verbessert die Auslastung der Computer. Durch die Virtualisierung entsteht eine neue Art von Benutzern, die über Rechte für Hypervisoren verfügen und die diese Gastbetriebssysteme erstellen, kopieren, verschieben oder anderweitig verwalten können. Dies bedeutet zusätzliche Erfordernisse an eine angemessene Aufgabentrennung und an den Schutz konsolidierter Serverressourcen, um sicherzustellen, dass alle Daten und Anwendungen auf den Gastsystemen überprüft und gegen Kompromittierungen geschützt werden. Mit CA ControlMinder können diese Hypervisor-Administratoren kontrolliert werden, und eine geeignete Aufgabentrennung kann implementiert werden. Dieses Leistungsmerkmal bietet eine kritische Schutzebene, mit der Risiken der Virtualisierung gemindert werden können. Die Endpunkt-Agenten unterstützen eine lange Liste von Betriebssystemversionen als Gastsystemen sowie die Virtualisierungs-Hosts aller verbreiteten Betriebssysteme, einschließlich VMware ESX, Solaris 10 Zones und LDOMs, Microsoft Hyper-V, IBM VIO und AIX LPAR, HP-UX VPAR, Linux Xen und Mainframe x/vm. Absicherung des Betriebssystems Eine wichtige Ebene der mehrschichtigen Verteidigungsstrategie ( Defense in Depth ) ist der Schutz des Betriebssystems gegen unbefugte externe Zugriffe oder Eindringversuche. CA ControlMinder bietet mehrere Maßnahmen für die externe Sicherheit, um Ihre Server zusätzlich zu schützen. 13

14 Steuerungsmechanismen für Dateien und Verzeichnisse. Dateien und Verzeichnisse bilden das Rückgrat von Betriebssystemen, und jede Kompromittierung kann zu Denial-of-Service-Zuständen sowie zu unerwarteten Ausfallzeiten führen. CA ControlMinder bietet leistungsstarke Zugriffsoptionen, die Platzhalter oder Programmnamen enthalten, um das Richtlinienmanagement auf Dateiebene zu vereinfachen. CA ControlMinder kann eine Steuerung von Änderungen an wichtigen Datei- und Verzeichnissystemen erzwingen. Dies verbessert die Datenintegrität und den Schutz vertraulicher Daten. Der Schutz auf Dateiebene steht für alle Arten von Dateien zur Verfügung, einschließlich Textdateien, Verzeichnissen, Programmdateien, Gerätedateien, symbolischer Links, auf NFS gemounteter Dateien und Windows-Freigaben. Ausführung vertrauenswürdiger Programme. Um zu verhindern, dass die Betriebsumgebung mit Malware (insbesondere Trojanern) infiziert wird, stellt CA ControlMinder einen ersten Schutz vertrauenswürdiger Programme bereit. Sensible Ressourcen können als vertrauenswürdig markiert werden. Diese Dateien und Programme werden dann überwacht, und CA ControlMinder blockiert ihre Ausführung, wenn das Programm von Malware geändert wird. Änderungen an vertrauenswürdigen Ressourcen können bestimmten Benutzern oder Benutzergruppen vorbehalten werden, um die Wahrscheinlichkeit unerwarteter Änderungen weiter zu reduzieren. Schutz der Windows-Registry. Die Windows-Registry ist ein attraktives Ziel für Hacker und böswillige Benutzer, da sie als zentrale Datenbank Betriebssystemparameter enthält, mit denen unter anderem Gerätetreiber, Konfigurationsdetails sowie Hardware-, Umgebungs- und Sicherheitseinstellungen gesteuert werden. CA ControlMinder schützt die Registry mit Hilfe von Regeln, mit denen Administratoren am Ändern oder Manipulieren der Registry-Einstellungen gehindert werden können. CA ControlMinder kann verhindern, dass Registry-Schlüssel gelöscht oder ihre Werte geändert werden. Schutz von Windows-Services. CA ControlMinder bietet einen erweiterten Schutz, mit dem sichergestellt wird, dass nur autorisierte Administratoren kritische Windows-Services starten, ändern oder stoppen können. Auch dies schützt gegen Denial-of-Service-Zustände bei Produktionsanwendungen, wie Datenbank-, Web-, Datei- und Druckanwendungen, die als Services unter Windows gesteuert werden. Diese Services müssen unbedingt gegen unbefugte Zugriffe geschützt werden. Anwendungs-Jailing. Mit CA ControlMinder kann definiert werden, welche Aktionen für risikoträchtige Anwendungen akzeptabel sind. Jedes Verhalten, das diese Grenzen überschreitet, wird durch eine Jailing- Funktion für die jeweilige Anwendung eingeschränkt. Beispielsweise kann eine ACL basierend auf einer logischen ID erstellt werden, die Besitzer von Oracle-Prozessen und -Services ist. Mit Jailing kann dann verhindert werden, dass diese ID andere Aktionen ausführt als das Starten von Services des Oracle-DBMS. Keyboard Logger (KBL) für UNIX/Linux CA ControlMinder kann Aktionen gewöhnlicher und sensibler Benutzer einschränken und kann sogar Sitzungen ausgewählter Benutzer verfolgen. Was ist jedoch, wenn Sie alle Aktionen aufzeichnen möchten, die in der Sitzung eines sensiblen Benutzers ausgeführt werden? Diese Möglichkeit haben Sie mit der Funktion CA ControlMinder KBL. KBL befindet sich zwischen der Shell und dem Terminal bzw. der Tastatur und erfasst alles, was auf der Tastatur eingegeben wird (Eingabe) und was auf dem Terminal angezeigt wird (Ausgabe). Sie können KBL aktivieren, indem Sie einfach den Audit-Modus des Administrators/Benutzers ändern, für den Sie die Tastaturaktivitäten erfassen möchten. 14

15 CA ControlMinder Abbildung C Auswahl des interaktiven KBL-Modus für UNIX/Linux in CA ControlMinder Endpoint Management. Leistungsmerkmale von KBL Wiedergabe der Sitzung (ausschließlich im lokalen Modus auf dem CA ControlMinder-Endpunkt) Drucken der Sitzungseingabe/-ausgabe Drucken von Sitzungsbefehlen Korrelation mit der CA ControlMinder-Nachverfolgung für den Benutzer Zentraler Speicher mit Berichten von CA User Activity Reporting Abbildung D KBL-Sitzungsausgabe in CA ControlMinder. KBL-Berichte in CA User Activity Reporting bieten jetzt Drilldown-Ansichten mit allen Befehlen, die an der Eingabeaufforderung eingegeben wurden, und der jeweils zugehörigen Ausgabe. 15

16 Abbildung E Beispiel für einen KBL-Bericht, der über CA User Activity Reporting zur Verfügung steht. Zentrales Management von UNIX-Identitäten über Active Directory UNAB Mit der Funktion UNIX Authentication Broker (UNAB) in CA ControlMinder können Sie UNIX-Benutzer über Microsoft AD verwalten. Dies ermöglicht die Konsolidierung von Authentifizierungs- und Kontoinformationen in AD statt einer lokalen Verwaltung der UNIX-Anmeldeinformationen auf jedem System. Leistungsmerkmale von UNAB Zentrales Management der UNIX-Authentifizierung. UNAB vereinfacht das Management lokaler UNIX-Benutzer durch Überprüfung ihrer Anmeldeinformationen anhand von AD. Benutzer und Gruppen müssen weder in NIS noch lokal in der Datei /etc/passwd definiert werden. Benutzerattribute wie Stammverzeichnis, Shell, UID, GECOS und Passwortrichtlinien werden aus AD abgerufen. Schlankes PAM-Modul. UNAB stellt ein kleines, schlankes PAM-Modul unter UNIX bereit, das dem PAM-Stack des Endpunkts hinzugefügt wird. Erstellung systemeigener Pakete. UNAB bietet eine Erstellung systemeigener Pakete zur leichten Installation und Bereitstellung. Integration in das systemeigene Windows-Ereignisprotokoll. Alle UNAB-Protokolle werden an systemeigene Windows-Ereignisprotokolle geroutet. Dies konsolidiert und vereinfacht das Auditing und ermöglicht eine Integration in SIM-Tools von Drittanbietern. Flexible Betriebsmodi. UNAB kann im Modus für die teilweise oder vollständige Integration konfiguriert werden. Dies erleichtert den Migrationsvorgang. Modus für die teilweise Integration. In diesem Modus wird das Benutzerpasswort in AD gespeichert. Bei der Authentifizierung wird nur das Passwort anhand von AD überprüft. Benutzerattribute wie UID, Stammverzeichnis und primäre Gruppe werden vom lokalen UNIX-Host oder aus NIS abgerufen, nicht jedoch aus AD. Beim Hinzufügen eines neuen Benutzers zum Unternehmen sollte der Administrator den Benutzer sowohl in AD als auch in der lokalen Datei /etc/passwd oder in NIS erstellen. Es sind keine Schemaänderungen an AD erforderlich, damit UNAB im Modus für die teilweise Integration verwendet werden kann. 16

17 Modus für die vollständige Integration. Hier werden Benutzerinformationen ausschließlich in AD gespeichert. In der lokalen Datei /etc/passwd oder in NIS befindet sich kein Benutzereintrag. Benutzerattribute wie UID, Stammverzeichnis und primäre Gruppe werden in Active Directory gespeichert, nicht jedoch auf dem lokalen UNIX-Host oder in NIS. Beim Hinzufügen eines neuen Benutzers zum Unternehmen erstellt der Administrator den Benutzer ausschließlich in AD und stellt die erforderlichen UNIX-Attribute bereit. Für den Modus für die vollständige Integration ist Windows 2003 R2 erforderlich, da diese Version UNIX-Attribute unterstützt. Dynamische Zuordnung von LDAP-Attributen. Für den Fall, dass Ihr Unternehmen Windows 2003 R2 nicht unterstützt (wie für den Modus für die vollständige Integration erforderlich), stellt UNAB eine Funktion bereit, mit der Sie UNIX-Attribute dynamisch zu nicht standardmäßigen AD-Attributen zuordnen können. So müssen Sie nicht das AD-Schema erweitern oder verändern, was eine komplexe Aufgabe wäre. Erweiterte Cache-Funktionen und Offline-Unterstützung. UNAB speichert jede erfolgreiche Anmeldung in der als Cache verwendeten SQLite-Datenbank. Dabei werden Benutzername, Benutzerattribute, Gruppenmitgliedschaft und der Hashwert des Passworts im Cache gespeichert. Falls UNAB keine Verbindung zu AD herstellen kann, werden die Anmeldeinformationen von Benutzern anhand des lokalen Caches überprüft. Dies wird als Offline-Unterstützung für Anmeldungen bezeichnet. Für wie viele Tage Benutzer-Datensätze im lokalen Cache verbleiben, kann konfiguriert werden. Lokale Benutzer wie Root und andere System- und Anwendungskonten können sich unabhängig von der AD-Konnektivität anmelden. UNAB SSO. Ermöglicht die Verwendung von Single Sign-On (SSO) für alle mit Kerberos geschützten UNAB-Hosts in der Umgebung. Wenn Sie sich bei einem mit Kerberos geschützten UNAB-Host anmelden, können Sie danach mit Ihren Kerberos-Anmeldeinformationen automatisch bei jedem anderen UNAB-Host angemeldet werden. Dies bietet effektiv eine Single Sign-On-Lösung innerhalb der Umgebung. Zentralisierte Anmelderichtlinien. Nach der Aktivierung von UNAB auf einem UNIX-Endpunkt wird mit zentralen Anmelderichtlinien gesteuert, welche Benutzer sich an welchen UNIX-Host oder an welche Gruppe von UNIX-Hosts anmelden können. Diese Anmelderichtlinien werden über die Benutzeroberfläche von CA ControlMinder Enterprise Management verwaltet und verteilt und werden lokal auf jedem Endpunkt in der SQLite-Datenbank gespeichert. Anmelderichtlinien können entweder auf einen einzelnen UNIX-Host oder auf eine logische Hostgruppe von Servern angewendet werden. Bereichsdefinitionsregeln können auf AD-Benutzern und -Gruppen basieren. Dies verringert den Verwaltungsaufwand. Abbildung F UNIX Authentication Broker. 17

18 Auditing und Reporting des Zugriffs privilegierter Benutzer mit CA User Activity Reporting Um Vorschriften einzuhalten, müssen Sie die richtigen Richtlinien einrichten und bereitstellen. Am wichtigsten ist es jedoch, nachweisen zu können, dass Sie sowohl Unternehmensrichtlinien als auch gesetzliche Vorschriften einhalten, und jegliche Abweichungen begründen zu können. Um die Einhaltung von Vorschriften nachzuweisen, müssen Schutzlösungen für Serverressourcen Berichte generieren, in denen Passwortrichtlinien, Berechtigungsebenen und die Aufgabentrennung dargelegt werden. CA ControlMinder umfasst eine CA User Activity Reporting-Lizenz, mit der Sie den Sicherheitsstatus von Benutzern, Gruppen und Ressourcen anzeigen können, indem Sie Daten von allen Endpunkten im Unternehmen erfassen, sie an einem zentralen Ort aggregieren, die Ergebnisse anhand der Unternehmensrichtlinien analysieren und dann abschließend einen Bericht generieren. Diese CA User Activity Reporting-Lizenz dient ausschließlich für die Erfassung und das Reporting von CA ControlMinder-Ereignissen. Wenn umfassendere Reporting-Funktionen gewünscht sind, muss eine Lizenz für die Vollversion des User Activity Reporting-Moduls erworben werden. Der Reporting-Service arbeitet unabhängig, um anhand eines Zeitplans die auf jedem Endpunkt geltenden Richtlinien zu erfassen. Das System ist von Haus aus robust, da zum Berichten des Endpunktstatus keine manuellen Eingriffe erforderlich sind und es nicht relevant ist, ob der Erfassungsserver aktiv oder inaktiv ist. Außerdem sind die Reporting-Service-Komponenten nicht Teil des CA ControlMinder-Erzwingungssystems und erfordern beim Neukonfigurieren oder Anpassen von Berichten keine Unterbrechungen der Erzwingungsfunktionen auf den Endpunkten. Der Reporting-Service ist so strukturiert, dass der Status der Richtlinien berichtet werden kann, die von jedem Endpunkt erzwungen werden. Sie können benutzerdefinierte Berichte für viele unterschiedliche Zwecke erstellen oder die mehr als 60 vorhandenen Berichte verwenden, die sofort einsatzfähig mit CA ControlMinder mitgeliefert werden. Berichte zur Einhaltung von Richtlinien und zu Berechtigungen Für das Compliance Reporting reicht es nicht mehr aus, ereignisbasierte Berichte zu erstellen, die sich auf vergangene Aktionen beziehen. Vielmehr sind für die Einhaltung von Vorschriften heute auch proaktive Berichte erforderlich, mit denen der Richtlinienstatus zu jedem beliebigen Zeitpunkt sichtbar gemacht werden kann. Deshalb stellt CA ControlMinder ein proaktives Reporting zu Benutzerzugriffsrechten sowie Nachweise der vorhandenen Zugriffssteuerung bereit. Der Reporting-Service von CA ControlMinder wird mit über 60 sofort einsatzfähigen Standardberichten installiert, die detaillierte Informationen zu Berechtigungen, zum aktuellen Status bereitgestellter Richtlinien und zu Abweichungen von diesen Richtlinien bereitstellen. Sie bieten sofortigen Nutzen, indem sie das vorhandene ereignisbasierte Auditing ergänzen, um Compliance-Anforderungen zu überwachen und vorhandene Abweichungen kenntlich zu machen. Standardberichte beziehen sich auf folgende Bereiche: Berichte zum Richtlinienmanagement ermöglichen es Ihnen, den Status der Richtlinienbereitstellung sowie Abweichungen von den Standardrichtlinien anzuzeigen. Berichte zu Berechtigungen ermöglichen es Ihnen, die Berechtigungen anzuzeigen, die Benutzer und Gruppen für Systemressourcen besitzen, oder zu zeigen, wer auf bestimmte Ressourcen zugreifen kann. Diese Berichte werden häufig verwendet, um zu erkennen, wer über Root-Zugriff auf die Systeme verfügt. Berichte zum Benutzermanagement ermöglichen es Ihnen, inaktive Konten, Benutzer und Gruppenmitgliedschaften sowie Administratorkonten anzuzeigen und die Aufgabentrennung zu verwalten. 18

19 Berichte zum Passwortmanagement enthalten Informationen zum Alter von Passwörtern, zur Einhaltung von Passwortrichtlinien usw. Berichte zu Zugriffen privilegierter Benutzer enthalten detaillierte Informationen zu allen Aktivitäten privilegierter Benutzer, einschließlich Einchecken, Auschecken, Workflow-Genehmigungen und anderer Aktionen. Abbildung G Bericht von CA ControlMinder Shared Account Management, in dem privilegierte Konten nach Endpunkttyp gezeigt werden. Berichte zur UNIX-Authentifizierung enthalten alle Berechtigungs- und Berichtsdaten zur UNAB-Komponente von CA ControlMinder. Abbildung H Detaillierter UNAB- Bericht, in dem globale AD-Benutzer mit UNIX-Attributen gezeigt werden. Erkennungs-Assistent für privilegierte Benutzer (für Benutzer ausgeführter Assistent) sucht unternehmensweit nach privilegierten Benutzern und erstellt automatisch einen Bericht. 19

20 Das von CA ControlMinder bereitgestellte offene Richtlinien-Reporting basiert auf einem standardmäßigen RDBMS. Die Interoperabilität mit externen Systemen ermöglicht Administratoren das Erstellen von Richtlinienberichten mit ihrem bevorzugten Reporting-Tool sowie das Anpassen von Berichtslayouts, um interne Standards oder Anforderungen von Auditoren zu erfüllen. Scorecard für die Richtlinienbereitstellung Abbildung I Beispielbericht, in dem ein Zeitpunkt-Snapshot der Hosts gezeigt wird, die eine bestimmte Richtlinie einhalten. CA ControlMinder Enterprise Management Angesichts der Komplexität und der Skalierbarkeit, die heute von Serverressourcen gefordert werden, ist es unerlässlich, dass Sie eine zentrale Zugriffssteuerungsrichtlinie für das gesamte, globale Unternehmen implementieren und erzwingen, zugleich aber auch lokale Ausnahmen und Unternehmensanforderungen berücksichtigen können. CA ControlMinder umfasst eine Reihe ausgereifter Funktionen, mit denen das Zugriffsmanagement erleichtert und optimiert werden kann, während Ausnahmen auf zurechenbare und transparente Weise einbezogen werden können. Logische Gruppierung von Hosts Sie können Ihre Endpunkte in logische Hostgruppen einteilen und dann Richtlinien anhand dieser Hostgruppenmitgliedschaft zuweisen, unabhängig davon, wie Ihre Endpunkte physisch angeordnet sind. Hosts können mehreren logischen Hostgruppen angehören. Dies ist von ihren Eigenschaften und den Anforderungen der Richtlinien abhängig. Wenn Sie beispielsweise über Hosts verfügen, auf denen ein Red Hat-Betriebssystem und Oracle ausgeführt werden, können diese einer logischen Hostgruppe für Red Hat angehören, um die Zugriffssteuerungsrichtlinien für das Red Hat-Grundverhalten zu bekommen, und zugleich der logischen Hostgruppe für Oracle, um die Zugriffssteuerungsrichtlinien für Oracle zu bekommen. Logische Hostgruppen können in den CA ControlMinder-Komponenten Shared Account Management und UNAB verwendet werden. In Shared Account Management können logische Gruppen von Hosts, wie etwa Datenbankservern, über eine gemeinsame Richtlinie verfügen, die den Zugriff auf privilegierte Konten auf diesen Servern ermöglicht. In UNAB kann ein gemeinsamer Satz von Anmelderichtlinien auf eine logische Hostgruppe angewendet werden, mit der Benutzer sich anhand ihrer Active Directory-Anmeldeinformationen selektiv anmelden können. 20

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

CA Access Control for Virtual Environments

CA Access Control for Virtual Environments HÄUFIG GESTELLTE FRAGEN for Virtual Environments Oktober 2011 Die zehn häufigsten Fragen 1. Was ist for Virtual Environments?... 2 2. Welche Vorteile bietet for Virtual Environments?... 2 3. Welche zentralen

Mehr

Millenux und PowerBroker Identity Services

Millenux und PowerBroker Identity Services Millenux und PowerBroker Identity Services Active Directory-Integration für Linux-, UNIX- and Mac OS X-Systeme Eckhard Voigt Sales & Account Manager Millenux GmbH Freitag, 23. März 2012 PRODUKTÜBERBLICK

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Tableau Online Sicherheit in der Cloud

Tableau Online Sicherheit in der Cloud Tableau Online Sicherheit in der Cloud Autor: Ellie Fields Senior Director Product Marketing, Tableau Software Juni 2013 S. 2 Tableau Software ist sich bewusst, dass Daten zum strategischsten und wichtigsten

Mehr

Sicherheits- Anwendungsprogramm. Benutzerhandbuch V2.13-T04

Sicherheits- Anwendungsprogramm. Benutzerhandbuch V2.13-T04 Sicherheits- Anwendungsprogramm LOCK Benutzerhandbuch V2.13-T04 Inhaltsverzeichnis A. Einführung... 2 B. Allgemeine Beschreibung... 2 C. Leistungsmerkmale... 3 D. Vor der Verwendung des LOCK-Sicherheits-Anwendungsprogramms...

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

VARONIS DATA GOVERNANCE SUITE

VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE Funktionen und Vorteile VOLLSTÄNDIG INTEGRIERTE LÖSUNGEN Varonis DatAdvantage für Windows Varonis DatAdvantage für SharePoint Varonis DatAdvantage

Mehr

Microsoft Office SharePoint Server

Microsoft Office SharePoint Server Microsoft Office SharePoint Server von Dipl.-Ing. Thomas Simon Dipl.-Ing. Lars Kuhl Dipl.-Des. Alexandra Meyer Dominik Zöller Microsoft Office SharePoint Server 2007 Seite 4-83 4 Planungsaspekte 4.1 Architektur

Mehr

Themen des Kapitels. 2 Übersicht XenDesktop

Themen des Kapitels. 2 Übersicht XenDesktop 2 Übersicht XenDesktop Übersicht XenDesktop Funktionen und Komponenten. 2.1 Übersicht Themen des Kapitels Übersicht XenDesktop Themen des Kapitels Aufbau der XenDesktop Infrastruktur Funktionen von XenDesktop

Mehr

Methoden zur Benutzerüberprüfung im ELMS 1.1

Methoden zur Benutzerüberprüfung im ELMS 1.1 Methoden zur Benutzerüberprüfung im ELMS 1.1 2012-12-21 Kivuto Solutions Inc [VERTRAULICH] INHALTSVERZEICHNIS ÜBERSICHT...1 ÜBERPRÜFUNGSMETHODEN...2 Integrierte Benutzerüberprüfung (IUV)...2 Shibboleth

Mehr

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Beim Installieren und Konfigurieren von IBM (R) Cognos (R) Express (R) führen Sie folgende Vorgänge aus: Sie kopieren die Dateien für alle

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

3 Konfiguration von Windows

3 Konfiguration von Windows Einführung 3 Konfiguration von Windows Vista Sicherheitseinstellungen Lernziele: Die UAC (User Account Control) Der Windows Defender Sicherheit im Internet Explorer 7 Die Firewall Prüfungsanforderungen

Mehr

IT-Risk Management und die Superuser. Vertrauen ist gut, Kontrolle ist Vorschrift! Michaela Weber, CA

IT-Risk Management und die Superuser. Vertrauen ist gut, Kontrolle ist Vorschrift! Michaela Weber, CA IT-Risk Management und die Superuser Vertrauen ist gut, Kontrolle ist Vorschrift! Michaela Weber, CA Agenda > Aufbau einer klassischen IT Infrastruktur und der Need eines gesamtheitlichen IT Lösungsansatzes

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

Informationen zur Lizenzierung von Windows Server 2008 R2

Informationen zur Lizenzierung von Windows Server 2008 R2 Informationen zur Lizenzierung von Windows Server 2008 R2 Produktübersicht Windows Server 2008 R2 ist in folgenden Editionen erhältlich: Windows Server 2008 R2 Foundation Jede Lizenz von, Enterprise und

Mehr

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch

Mehr

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.7 Virtuelle StruxureWare Data Center Expert-Appliance Der StruxureWare Data Center Expert-7.2-Server ist als virtuelle Appliance verfügbar, die auf

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria

Identity Management in der Praxis. Roman Brandl Sun Microsystems, Austria Identity Management in der Praxis Roman Brandl Sun Microsystems, Austria Agenda Was (alles) ist IdM? Sun Identity Management Portfolio Fallbeispiele / Denkanstöße Q&A Identity Grid Audit Dienste Richtlinien

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Konfiguration von Sophos Anti-Virus für Windows

Konfiguration von Sophos Anti-Virus für Windows Konfiguration von Sophos Anti-Virus für Windows Diese Konfigurationsanleitung beschreibt die grundlegenden Einstellungen von Sophos Anti-Virus. Bei speziellen Problemen hilft oft schon die Suche in der

Mehr

KURZDARSTELLUNG DER LÖSUNGEN

KURZDARSTELLUNG DER LÖSUNGEN KURZDARSTELLUNG DER LÖSUNGEN Content Aware Identity and Access Management Mai 2010 Wie kann Content Aware Identity and Access Management mir die Steuerung ermöglichen, die jetzt und in Zukunft für die

Mehr

Berechtigungsmanagement für Fileserver

Berechtigungsmanagement für Fileserver Berechtigungsmanagement für Fileserver Sicherer Self-Service mit DIVA Access Manager Peter Bück Vertriebsleiter inspiring security TESIS Unternehmensgruppe Gegründet: 1992 Stammsitz: München Weltweiter

Mehr

Schnell wieder am Start dank VMware Disaster Recovery Ausfallzeiten minimieren bei der Wiederherstellung von VMs mit Veeam Backup & Replication v6

Schnell wieder am Start dank VMware Disaster Recovery Ausfallzeiten minimieren bei der Wiederherstellung von VMs mit Veeam Backup & Replication v6 Schnell wieder am Start dank VMware Disaster Recovery Ausfallzeiten minimieren bei der Wiederherstellung von VMs mit Veeam Backup & Replication v6 Florian Jankó LYNET Kommunikation AG Vorhandene Tools

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Wo kann GFI EventsManager im Netzwerk installiert werden?

Wo kann GFI EventsManager im Netzwerk installiert werden? Installation Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet ihres Standorts auf allen Computern im Netzwerk installiert werden, die die Systemvoraussetzungen

Mehr

Heterogenes Speichermanagement mit V:DRIVE

Heterogenes Speichermanagement mit V:DRIVE Heterogenes Speichermanagement mit V:DRIVE V:DRIVE - Grundlage eines effizienten Speichermanagements Die Datenexplosion verlangt nach innovativem Speichermanagement Moderne Businessprozesse verlangen auf

Mehr

Installationsanleitung Webhost Linux Flex

Installationsanleitung Webhost Linux Flex Installationsanleitung Webhost Linux Flex Stand März 2014 Inhaltsverzeichnis 1. Zugangsdaten & Login... 3 2. Passwort ändern... 4 3. Leistungen hinzufügen / entfernen... 6 4. Datenbanken anlegen / entfernen...

Mehr

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG Copyright (C) 1999-2004 SWsoft, Inc. Alle Rechte vorbehalten. Die Verbreitung dieses Dokuments oder von Derivaten jeglicher Form ist verboten, ausgenommen Sie

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Win7Deploy Seite 2 von 17. Was ist Win7Deploy?

Win7Deploy Seite 2 von 17. Was ist Win7Deploy? Win7Deploy Seite 1 von 17 Win7Deploy Eine einfache, passgenaue und kostengünstige Lösung um Windows 7 in Ihrem Unternehmen einzuführen [ www.win7deploy.de ] Ablauf einer Win7Deploy Installation am Beispiel

Mehr

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren

Mehr

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN?

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? Wie kann ich die Kosten- und Leistungsziele meiner Organisation ohne neue Investitionen erfüllen? Das CA

Mehr

3 System Center Virtual Machine Manager 2012

3 System Center Virtual Machine Manager 2012 System Center Virtual Machine Manager 2012 3 System Center Virtual Machine Manager 2012 Dieses Tool dient zur Verwaltung virtueller Maschinen. Virtual Machine Manager ermöglicht eine höhere Auslastung

Mehr

Datenblatt: Messaging-Sicherheit

Datenblatt: Messaging-Sicherheit Datenblatt: Messaging-Sicherheit Optimierte Messaging-, Internet- und Netzwerksicherheit mit einem Minimum an Verwaltungsaufwand Überblick schafft eine sicherere Messaging-, Internet- und Netzwerkumgebung,

Mehr

Wie kann ich meine unternehmenskritischen. virtualisieren und gleichzeitig die Sicherheit gewährleisten bzw. erhöhen?

Wie kann ich meine unternehmenskritischen. virtualisieren und gleichzeitig die Sicherheit gewährleisten bzw. erhöhen? LÖSUNG IM ÜBERBLICK Schützen virtueller Umgebungen Wie kann ich meine unternehmenskritischen Server virtualisieren und gleichzeitig die Sicherheit gewährleisten bzw. erhöhen? agility made possible CA Access

Mehr

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes Sicherheit 99 9 Sicherheit 7. Ergänzungslieferung 02/2007 Ein ITP-Handbuch 9 Sicherheit 9 Moderne Anwendungen müssen einer Vielzahl von Anforderungen gerecht werden. Mit dem Siegeszug der IT in die Geschäftswelt

Mehr

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation)

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation) Einrichtung des NVS Calender-Google-Sync-Servers Folgende Aktionen werden in dieser Dokumentation beschrieben und sind zur Installation und Konfiguration des NVS Calender-Google-Sync-Servers notwendig.

Mehr

W i r p r ä s e n t i e r e n

W i r p r ä s e n t i e r e n W i r p r ä s e n t i e r e n Verbesserte Optik Internet-Schutz neu erfunden Malware kann Sie immer raffinierter ausspionieren. Können Ihre smaßnahmen da mithalten? CA konzentrierte sich auf IT-Experten

Mehr

Netzwerk- Prüfung Risikobericht

Netzwerk- Prüfung Risikobericht Netzwerk- Prüfung Risikobericht VERTRAULICHE Informationen: Die in diesem Bericht enthaltene Informationen sind ausschließlich für den Gebrauch des oben angegebenen Kunden und enthält unter Umständen vertrauliche,

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

Mit weniger Klicks zu mehr Patientensicherheit

Mit weniger Klicks zu mehr Patientensicherheit Mit weniger Klicks zu mehr Patientensicherheit Vergence vereinfachen Sie Ihren Arbeitsalltag Es ist kein Geheimnis: Ärzte und Pfleger leiden heutzutage gleichermaßen unter dem stetig ansteigenden Zeitdruck

Mehr

Microsoft IT optimiert das Group Policy Management mit Lösungen von NetIQ

Microsoft IT optimiert das Group Policy Management mit Lösungen von NetIQ Microsoft IT optimiert das Group Policy mit Lösungen von NetIQ Bei Microsoft IT verantwortet das Identity Team die Implementierung und Wartung von Group Policy Objects (GPOs) im Active Directory - und

Mehr

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 ZIEL...3 2 FUNKTIONS-KONZEPT...3 2.1 Struktur...3

Mehr

Grid und Multi-Grid-Verwaltung

Grid und Multi-Grid-Verwaltung Entscheidende Vorteile Hohe Verfügbarkeit, hohe Skalierbarkeit Infoblox Bietet stets verfügbare Netzwerkdienste dank einer skalierbaren, redundanten, verlässlichen und fehlertoleranten Architektur. Garantiert

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

EXECUTIVE VIEW. die Centrify Server Suite. KuppingerCole Report. von Martin Kuppinger Juli 2014. von Martin Kuppinger mk@kuppingercole.

EXECUTIVE VIEW. die Centrify Server Suite. KuppingerCole Report. von Martin Kuppinger Juli 2014. von Martin Kuppinger mk@kuppingercole. KuppingerCole Report EXECUTIVE VIEW von Martin Kuppinger Juli 2014 die von Martin Kuppinger mk@kuppingercole.com Juli 2014 Inhalt 1 Einführung... 3 2 Produktbeschreibung... 4 3 Stärken und Herausforderungen...

Mehr

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Wenn Sie Benutzer von ProtectOn 2 sind und überlegen, auf ProtectOn Pro upzugraden, sollten Sie dieses Dokument lesen. Wir gehen davon aus, dass

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6

Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6 Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6 Installationsvoraussetzungen: Die Setup-Routine benötigt das DotNet-Framework 4.0 Client Profile, das normalerweise über Microsoft

Mehr

Verbinden von Outlook mit ihrem Office 365 Konto

Verbinden von Outlook mit ihrem Office 365 Konto Webmailanmeldung Öffnen sie in ihrem Browser die Adresse webmail.gym-knittelfeld.at ein. Sie werden automatisch zum Office 365 Anmeldeportal weitergeleitet. Melden sie sich mit ihrer vollständigen E-Mail-Adresse

Mehr

Avigilon Control Center Virtual Matrix Benutzerhandbuch

Avigilon Control Center Virtual Matrix Benutzerhandbuch Avigilon Control Center Virtual Matrix Benutzerhandbuch Version 5.0 PDF-ACCVM-A-Rev1_DE Copyright 2013 Avigilon. Alle Rechte vorbehalten. Änderungen der vorliegenden Informationen vorbehalten. Ohne ausdrückliche

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Die DeskCenter Management Suite veröffentlicht neue Version 8.1

Die DeskCenter Management Suite veröffentlicht neue Version 8.1 Die DeskCenter Management Suite veröffentlicht neue Version 8.1 Neues im Basis Modul Benutzerdefinierte Felder Die DeskCenter Management Suite erlaubt nun das Erstellen von selbst definierten Eingabefeldern.

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Konfiguration und Verwendung von MIT - Hosted Exchange

Konfiguration und Verwendung von MIT - Hosted Exchange Konfiguration und Verwendung von MIT - Hosted Exchange Version 3.0, 15. April 2014 Exchange Online via Browser nutzen Sie können mit einem Browser von einem beliebigen Computer aus auf Ihr MIT-Hosted Exchange

Mehr

Scan Resolve Analyse Report Transparenz in Windows-Dateisystemen Rechte- und Risiko-Analysen in gewachsenen Windows-Dateisystemen Revision, Wirtschaftsprüfer und Aufsichtsbehörden fordern verstärkt detaillierte

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

Dokumentation Active Directory Services mit Vertrauensstellungen

Dokumentation Active Directory Services mit Vertrauensstellungen Dokumentation Active Directory Services mit Vertrauensstellungen Inhaltsverzeichnis Hilfestellung... 1 Video: Installation unter VMware Workstation... 1 Schritt 1... 1 Einstellung des Computernamen...

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Acronis Backup & Recovery 10 Server for Windows. Installationsanleitung

Acronis Backup & Recovery 10 Server for Windows. Installationsanleitung Acronis Backup & Recovery 10 Server for Windows Installationsanleitung Inhaltsverzeichnis 1. Installation von Acronis Backup & Recovery 10... 3 1.1. Acronis Backup & Recovery 10-Komponenten... 3 1.1.1.

Mehr

Anleitung zur Mailumstellung Entourage

Anleitung zur Mailumstellung Entourage Anleitung zur Mailumstellung Entourage (Wenn Sie Apple Mail verwenden oder mit Windows arbeiten, so laden Sie sich die entsprechenden Anleitungen, sowie die Anleitung für das WebMail unter http://www.fhnw.ch/migration/

Mehr

Dell SupportAssist Version 1.1 für Microsoft System Center Operations Manager Schnellstart-Handbuch

Dell SupportAssist Version 1.1 für Microsoft System Center Operations Manager Schnellstart-Handbuch Dell SupportAssist Version 1.1 für Microsoft System Center Operations Manager Schnellstart-Handbuch Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG liefert wichtige Informationen,

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Überwachung der Windows Sicherheitsprotokolle mit CaseWare Monitor

Überwachung der Windows Sicherheitsprotokolle mit CaseWare Monitor Überwachung der Windows Sicherheitsprotokolle mit CaseWare Monitor Überblick Windows-Sicherheitsprotokolle In den meisten Windows-Umgebungen wird der Nutzen von Überwachungsprotokollen nicht voll ausgeschöpft.

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

Cloud-Services im Berechtigungsund PW Management? Alle Wege führen zum IAM. IT-Com Casino Baden. Gerd Rossa, CEO ism Secu-Sys AG

Cloud-Services im Berechtigungsund PW Management? Alle Wege führen zum IAM. IT-Com Casino Baden. Gerd Rossa, CEO ism Secu-Sys AG Cloud-Services im Berechtigungsund PW Management? Alle Wege führen zum IAM. IT-Com Casino Baden Gerd Rossa, CEO ism Secu-Sys AG ism GmbH 2012 Unternehmens-IT in der Klemme Problem 1: Schatten-IT Problem

Mehr

Aufzeichnen und Wiedergeben von allen Windows und Unix User Sessions

Aufzeichnen und Wiedergeben von allen Windows und Unix User Sessions Aufzeichnen und Wiedergeben von allen Windows und Unix User Sessions Wie eine Sicherheitskamera auf Ihren Servern ObserveIT ist die einzige Unternehmenslösung, die Windows und Unix User Sessions aufzeichnet

Mehr

Calogero Fontana Fachseminar WS09/10. calogero.b.fontana@student.hs-rm.de. Virtualisierung

Calogero Fontana Fachseminar WS09/10. calogero.b.fontana@student.hs-rm.de. Virtualisierung Calogero Fontana Fachseminar WS09/10 calogero.b.fontana@student.hs-rm.de Virtualisierung Was ist Virtualisierung? Definition Virtualisierung ist das zur Verfügung stellen von Hardware-Ressourcen für ein

Mehr

BEDIENUNGSANLEITUNG Selfservice QSC -COSPACE business

BEDIENUNGSANLEITUNG Selfservice QSC -COSPACE business Inhaltsverzeichnis 1 Erst-Login 2 2 Benutzerkonto einrichten 2 3 Benutzerkonto bearbeiten 2 3.1 Aktivieren/Deaktivieren 2 3.2 Speichererweiterung hinzubuchen/deaktivieren 3 3.3 Rufnummer hinzufügen/entfernen

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager End-to-end, mit hohem Funktionsumfang, anwendungsbasiertes und IP-Adressenverwaltung Optimierung der Verwaltung und Senkung der Verwaltungskosten mit dem Appliance Manager

Mehr

BlackBerry Device Service

BlackBerry Device Service 1 28. Juni 2012 Cosynus Workshop 27.6.2012 BlackBerry Device Service direkte Exchange Active Sync Aktivierung Installation des BlackBerry Fusion BlackBerry Device Server (BDS) 28. Juni 2012 2 Mobile Fusion

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Schnellstartanleitung. Version R9. Deutsch

Schnellstartanleitung. Version R9. Deutsch Data Backup Schnellstartanleitung Version R9 Deutsch März 19, 2015 Agreement The purchase and use of all Software and Services is subject to the Agreement as defined in Kaseya s Click-Accept EULATOS as

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

IBM Software Demos Tivoli Provisioning Manager for OS Deployment Für viele Unternehmen steht ein Wechsel zu Microsoft Windows Vista an. Doch auch für gut vorbereitete Unternehmen ist der Übergang zu einem neuen Betriebssystem stets ein Wagnis. ist eine benutzerfreundliche,

Mehr

ShadowProtect 4 Backup Fast, Recover Faster

ShadowProtect 4 Backup Fast, Recover Faster ShadowProtect 4 Backup Fast, Recover Faster Schnelles und zuverlässiges Disaster Recovery, Datenschutz, System Migration und einfachere Verwaltung von Microsoft Systemen Üebersicht Nutzen / Vorteile Wie

Mehr

Integration von SAP Netweaver mit Identity und Access Management

Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Unternehmenslösungen für sicheres und skalierbares Identity und Access

Mehr

Arbeiten mit Outlook Web Access und Outlook 2003

Arbeiten mit Outlook Web Access und Outlook 2003 Konfigurationsanleitung inode Hosted Exchange Arbeiten mit Outlook Web Access und Outlook 2003 Inhaltsverzeichnis 1. Grundlegendes...3 2. Online Administration...4 2.1 Mail Administration Einrichten des

Mehr

2 Datei- und Druckdienste

2 Datei- und Druckdienste Datei- und Druckdienste 2 Datei- und Druckdienste Lernziele: Verteiltes Dateisystem (DFS) Dateiserver Ressourcen Manager (FSRM) Verschlüsseln Erweiterte Überwachung Prüfungsanforderungen von Microsoft:

Mehr

BlackBerry Enterprise Server Express Systemvoraussetzungen

BlackBerry Enterprise Server Express Systemvoraussetzungen BlackBerry Enterprise Server Express Systemvoraussetzungen Hardware-en: BlackBerry Enterprise Server Express Die folgenden en gelten für BlackBerry Enterprise Server Express und die BlackBerry Enterprise

Mehr

Netzwerkkonzepte in System Center 2012 R2 Virtual Machine Manager

Netzwerkkonzepte in System Center 2012 R2 Virtual Machine Manager Netzwerkkonzepte in System Center 2012 R2 Virtual Machine Manager Agenda Das grosse Ganze MAC Adresspools IP-Adresspool Logische Netzwerke Netzwerkstandorte VM-Netzwerke Logische Switches Portprofile Portklassifizierungen

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

Fileserver mit OSL Storage Cluster Hochverfügbare NFS und Samba Server in heterogenen Netzwerkumgebungen. 11.10.2007 Christian Schmidt

Fileserver mit OSL Storage Cluster Hochverfügbare NFS und Samba Server in heterogenen Netzwerkumgebungen. 11.10.2007 Christian Schmidt Fileserver mit OSL Storage Cluster Hochverfügbare NFS und Samba Server in heterogenen Netzwerkumgebungen 11.10.2007 Christian Schmidt Agenda Ausgangssituation am Beispiel der IBB Einführung in NFS und

Mehr

Rollenbasierte Zugriffssteuerung (Role Based Access Control) für.net-anwendungen. Strategien für Authentifizierung und Berechtigungen

Rollenbasierte Zugriffssteuerung (Role Based Access Control) für.net-anwendungen. Strategien für Authentifizierung und Berechtigungen Rollenbasierte Zugriffssteuerung (Role Based Access Control) für.net-anwendungen Strategien für Authentifizierung und Berechtigungen 1 ZIEL DIESES DOKUMENTS... 3 2 HAUPTFUNKTIONEN... 3 2.1 AUTHENTIFIZIERUNG...

Mehr

3 System Center Virtual Machine Manager 2012

3 System Center Virtual Machine Manager 2012 3 System Center Virtual Machine Manager 2012 Dieses Tool dient zur Verwaltung virtueller Maschinen. Virtual Machine Manager ermöglicht eine höhere Auslastung physikalischer Server, die zentralisierte Verwaltung

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013

Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013 Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013 E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen, um Ihren Mailclient zu konfigurieren,

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Ließe sich Ihre Druckumgebung sicherer und effizienter gestalten?

Ließe sich Ihre Druckumgebung sicherer und effizienter gestalten? HP Access Control Ließe sich Ihre Druckumgebung sicherer und effizienter gestalten? Welche sind Ihre Sicherheits- und Compliance- Richtlinien? Wo in Ihrer Organisation werden vertrauliche oder geschäftskritische

Mehr

VMware View 3. Sven Fedler. IT-Frühstück 24.09.2009

VMware View 3. Sven Fedler. IT-Frühstück 24.09.2009 VMware View 3 Volle Kontrolle über Ihre Desktops und Anwendungen Sven Fedler IT-Frühstück 24.09.2009 VMware View Driving Leadership Technology: Platform, Management and Now User Experience Market: Over

Mehr

MySQL Community Server 5.1 Installationsbeispiel

MySQL Community Server 5.1 Installationsbeispiel MySQL Community Server 5.1 Installationsbeispiel Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der untermstrich-datenbank

Mehr