Passwortmanagement am Beispiel LRZ

Ähnliche Dokumente
Herausforderungen und Anforderungen für ein organisationsweites Notfall-Passwortmanagement. Felix von Eye, Wolfgang Hommel und Helmut Reiser 1

Richtlinie zur Wahl und Nutzung von Passwörtern und Passphrases

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Umstieg auf Microsoft Exchange in der Fakultät 02

Einrichten eines Exchange-Kontos mit Outlook 2010

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Dieter Brunner ISO in der betrieblichen Praxis

Rethink. Website! your. AUSWIRKUNGEN DES EU-TABAKWERBEVERBOTS BTWE-Portal Tabak-Check in

Windows Server 2008 für die RADIUS-Authentisierung einrichten

ZKI Verzeichnisdienste DoSV, I&AM

Alltag mit dem Android Smartphone

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Avira Server Security Produktupdates. Best Practice

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Präsentation: Google-Kalender. Walli Ruedi Knupp Urdorf

GPP Projekte gemeinsam zum Erfolg führen

Zugriff auf Unternehmensdaten über Mobilgeräte

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Web Interface für Anwender

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Hilfe zur ekim. Inhalt:

Dezentrale Verschlüsselung. Lumension Device Control Version 4.4

Registrierung im Portal (Personenförderung)

Wir machen neue Politik für Baden-Württemberg

ANYWHERE Zugriff von externen Arbeitsplätzen

Beispiel Zugangsdaten -Konto

Benutzerverwaltung Business- & Company-Paket

MWSoko Erste Schritte

IT-Trend-Befragung Xing Community IT Connection

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Das Onlinebefragungssystem der Qualitätsagentur. - Zugang beantragen - im System anmelden - Befragung einrichten, durchführen und auswerten

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Was meinen die Leute eigentlich mit: Grexit?

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Zugriff auf elektronische Angebote und Datenbanken der Hochschulbibliothek von externen Lokationen

Verarbeitung der -Adressen

Leichte-Sprache-Bilder

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Anforderungen an die HIS

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München

Beispiel Zugangsdaten -Konto

Konfiguration des Mailtools Messenger in Netscape

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

bestens ENDLICH: DIE PRAXISSOFTWARE, DIE BESTENS FUNKTIONIERT klar aktuell mobil einfach alles alles WIE SIE ES SICH WÜNSCHEN!

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Internet/ Was darf der Arbeitnehmer, was darf der Arbeitgeber?

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

:: Anleitung Hosting Server 1cloud.ch ::

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

peer-to-peer Dateisystem Synchronisation

Sicherheitsanalyse von Private Clouds

Clientkonfiguration für Hosted Exchange 2010

Ihr Benutzerhandbuch für das IntelliWebs - Redaktionssystem

Traditionelle Suchmaschinenoptimierung (SEO)

Logistikmanagement aus Kundensicht, ein unterschätztes Potenzial

Bacher Integrated Management

Windows Server 2012 RC2 konfigurieren

Änderung des Portals zur MesseCard-Abrechnung

GeoPilot (Android) die App

Registrierung als webkess-benutzer

e-books aus der EBL-Datenbank

Sparstudie 2014: Gibt s noch Futter für das Sparschwein? September 2014 IMAS International

SMART Newsletter Education Solutions April 2015

Fotostammtisch-Schaumburg

Facebook und Datenschutz Geht das überhaupt?

REGIONALES RECHENZENTRUM ERLANGEN [ RRZE] Datenbanken. RRZE-Campustreffen, Stefan Roas und Ali Güclü Ercin, RRZE

Benutzerhandbuch MedHQ-App

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Benutzung des NAM. Starten Sie Ihren Browser und rufen Sie folgende Adresse auf:

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

TeleTrusT-Informationstag "Cyber Crime"

Digitaler Semesterapparat

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Die Gesellschaftsformen

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Website freiburg-bahai.de

Englische Werbung im Internet für das Tourismusgewerbe von Thüringen

Windows Vista Security

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

SMS Einsatz in der Aus- und Weiterbildung Broschüre

Office 365 ProPlus für Studierende

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK

Materialien für Veranstalter

Inhouse-Schulung For tbildung.mal-alt-werden.de

Neues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Transkript:

am Beispiel LRZ oder: Einfache Maßnahmen, um sich unbeliebt zu machen ;-) Wolfgang Hommel Leibniz-Rechenzentrum (LRZ) ZKI AK Verzeichnisdienste Leipzig, 20.03.2014

Executive summary ;-) LDAP-Server Da sind die Passworte drin Läuft bestens 2

Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 3

Passwörter im Identity Management Iden%ty(&(Access(Management Alle drin im I&AM-System? Was ist z.b. mit root-/administrator- Passworten für Server? Passworten für externe Dienste, z.b. Hersteller-Support? A1ribute Stammdaten,(dienstspezifische(Daten,( Datenquellen Studenten,(Mitarbeiter,( Gäste,(Self(Services,( Autorisierung( Freischalten(von(Diensten,(Rollen,( Provisioning von(diensten(und(systemen Authen%fizierung Passwörter,( Zer%fikate,(TokenIIds,(WebISSO,( Födera%onen DFNIAAI,(eduGAIN,( Interessiert das Thema nur die Identity Manager? 4

Passwörter: Interessengruppen Iden%ty(&(Access(Management A1ribute Stammdaten,(dienstspezifische(Daten,( (B/L) DSG Standards(/(good(prac%ces (ISO/IEC(20000I1,(ITIL(v3,( ) Datenschutz IT(Service( Management Major(Incidents Knowledge(Management Business(Con%nuity( Management Datenquellen Studenten,(Mitarbeiter,( Gäste,(Self(Services,( Autorisierung( Freischalten(von(Diensten,(Rollen,( Provisioning von(diensten(und(systemen Authen%fizierung Passwörter( Zer%fikate,(TokenIIds,(WebISSO,( Födera%onen DFNIAAI,(eduGAIN,( Management(der( Informa%onssicherheit Definierte(Zuständigkeiten Sicherheitsbewusstsein(( Zugangskontrolle Sicherheitsvorfälle Compliance Standards(/(good(prac%ces (ISO/IEC(27001,(BSI(ITIGrundschutz,( ) 5

Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 6

Motivation für Passwortleitlinien am LRZ Hintergrund Position des LRZ: LRZ gehört zur Bayerischen Akademie der Wissenschaften LRZ ist IT-Dienstleister für alle Münchner Universitäten und Hochschulen sowie einige weitere wissenschaftsnahe Einrichtungen (= Kunden) für nationales und europäisches Supercomputing Auswirkungen kompromittierter Kennungen Kunden fordern ISO/IEC 27001 / BSI IT-Grundschutz: Forschungskooperationen mit Industriepartnern Verträge zur Auftragsdatenverarbeitung Nachweis angemessener Maßnahmen im Ernstfall 7

Passwortrichtlinien am LRZ Richtlinie für Kunden/ Benutzer Zielgruppenspezifische Vorgaben: Richtlinie für Kunden und deren Benutzer Dienstanweisung für LRZ-Mitarbeiter (strikter, umfangreicher) Grundlagen Geltungsbereich Zielsetzung Passwortqualität, -ablauf, -nutzung I&AM-Kopplung Organisatorisches Dienstanweisung für LRZ-Mitarbeiter 1 2 3 4 8

Inhalte und Akzeptanz Passwortqualität: Mindestlänge Mindestanzahl pro Zeichentyp Mindestunterschiede bei Änderungen Verbot von Trivialpassworten Anderes Passwort als bei externen Diensten Passwortablauf: Zwang zur regelmäßigen Änderung Passwortnutzung: Verbot der Weitergabe Verbot der unverschlüsselten Speicherung Einsatz passwortgeschützter Screensaver Farblegende: gut akzep1ert wird hingenommen wird gehasst schwer zu sagen 9

Anfängliche Akzeptanzdefizite Regelmäßige Passwortänderung: Befürchtungen: Kunden: Supportaufwand für vergessene Passwörter Kollegen: Aufwand bei Administration von Dutzenden von Servern Realität: Weniger schlimm als erwartet; Gewöhnungseffekt. Anzahl benötigter Passwörter oft reduzierbar. Maßnahme ist in ISO/IEC 27001 und BSI IT-Grundschutz vorgegeben aber ist sie bei zentralem I&AM immer sinnvoll? Einsatz passwortgeschützter Screensaver: Moral bzgl. manueller Aktivierung könnte noch besser sein Zeitgesteuerte Aktivierung suboptimal und oft lästig 10

Organisatorische und technische Umsetzung Vor der Einführung: Abstimmung mit IT-Verantwortlichen der Kunden Mehrere Info-Veranstaltungen / Ankündigungsschreiben Im laufenden Betrieb: Mehrere Hinweis-E-Mails zu bald ablaufenden Passwörtern Nach Passwortablauf: Nur noch Self-Service-Portal nutzbar LRZ-intern: Autom. Prüfung von lokalen Passworten auf Linux-Servern Domänenintegrierte Windows-Server mit pers. Kennung 11

Wie machen es andere? Erzwungene regelmäßige Passwortänderung 3 Monate Studenten Mitarbeiter 6 Monate 12 Monate nie Quelle: http://seclists.org/educause/2014/q1/203 EDUCAUSE Security Mailingliste, Umfrage von Thomas Carter, Februar 2014 0 5 10 15 20 Anzahl Hochschulen ( =44) 12

Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 13

LRZ: Motivation für Notfall-Passwort-Management Anwendungsbereich: Funktionskennungen (Passwort mehreren Mitarbeitern bekannt) Nicht I&AM-verwaltete Kennungen (root/administrator auf Servern, Netzkomponenten usw.) Dienstlich genutzte externe Services (Herstellersupport usw.) Notfall: Passwort wird dringend dienstlich von jemandem benötigt, der es im Tagesgeschäft nicht verwendet. Beispiele: (Major Incident / Security Incident / Einsatz der Rufbereitschaft) + eigentlich zuständige Administratoren nicht verfügbar/erreichbar Unerwartete Abwesenheiten (z.b. Krankenhausaufenthalt, Todesfall) 14

LRZ: Früheres Vorgehen Ablageorte: Versiegelte Kuverts beim Abteilungsleiter Passwortlisten/USB-Sticks im Tresor des Hauptsekretariats Nachteile: Uneinheitlich, z.t. genauer Ablageort nicht jedem bekannt Zugriff hängt von Anwesenheit einzelner Personen ab Unregelmäßige Kontrolle von Aktualität und Unversehrtheit Großer Aufwand bei regelmäßiger Passwortänderung 15

LRZ: Anforderungen an eine modernere Lösung Architektur für LRZ-weiten Einsatz: AuthNZ über I&AM-System Übersichtlichkeit bei ca. 2.000 Passwort-Einträgen Nachvollziehbarer Zugriff auf Passworteinträge: Push-Benachrichtigung bei Einsichtnahme Genehmigungsworkflows je nach Nutzergruppe Effiziente Umsetzung von Passwortänderungen: Minimaler Zeitaufwand Integrierter Zufallspasswort-Generator Erinnerungen und Nachverfolgbarkeit 16

Gewähltes Produkt: Mateso Password Safe 17

Beispiel: Siegelbruch Verschickt auch E-Mail (per default) an Eigentümer des Eintrags 18

LRZ: Akzeptanz der Lösung Anfängliche Skepsis: (Damals) reines Windows-Produkt Sicherheit des Produkts? Sicherheit der Betriebsumgebung? Sicherheit der I&AM-Integration? Sicherheit des Siegelkonzepts? Intuitive Bedienbarkeit? Inzwischen: Wird ohne Klagen und rein freiwillig verwendet, Füllstand ca. 55% Integration in Prozess Mitarbeiter scheidet aus Geplant: Verpflichtende Nutzung ab 2015 19

Überblick Einordnung (nicht nur) ins Identity Management Passwortrichtlinien am LRZ: Motivation Inhalte und Akzeptanz Organisatorische und technische Umsetzung Notfall-Passwort-Management am LRZ: Motivation und Anforderungen Technische Umsetzung Mehrfaktor-Authentifizierung und Login-Monitoring 20

Multi-Faktor-Authentifizierung am LRZ Smartcards: Feitian PKI Card, ~ 8 Euro bei mind. 100 Stück Kartenleser mit Pinpad sind der eigentliche Kostenfaktor Ansteuerung unter verschiedenen OS hat Bastelpotential Google Authenticator: Auf Linux-Servern sehr einfach zu installieren Nutzung meist mit (privaten) Smartphones Praktischer Einsatz: Nur für ausgewählte Systeme mit erhöhtem Schutzbedarf Vereinfacht und Notfallzugang nicht 21

Monitoring mit LoginIDS Ungewöhnliches Nutzungsverhalten als Indikator kompromittierter Kennungen automatisch erkennen Auswertung erfolgreicher Authentifizierungen Logfile-Analyse: Auf (fast) beliebige Dienste/Systeme anwendbar Keine Prävention der Nutzung kompromittierter Kennungen Unschärfe der Nutzerprofile konfigurierbar, explizit unter Datenschutzaspekten konzipiert Informationen / Download: https://git.lrz.de/ LoginIDS https://git.lrz.de/?p=loginids.git;a=tree 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback