Sichere Benutzerkonten

Zur CeBIT plante unser Unternehmen, eine komplexe Lösung auf der Basis der Terminaldienste von Windows Server 2003 in einer Demo-Umgebung zu präsentieren. Da unserer Stand als Partner eines Herstellers direkt auf der Messe nur sehr klein war, befand sich das Demosystem – fünf Server und ein SAN-System – in unseren Firmenräumen, die nur etwa 700 Meter vom Hannoveraner Messegelände entfernt sind. Der Zugriff erfolgte über das Internet, natürlich durch mehrere Komponenten abgesichert.

Am Tag vor Messebeginn war das Demosystem fertig, und die letzten Tests waren abgeschlossen. Als Leiter unseres Windows-Kompetenzteams wollte ich zum Abschluss noch das Active Directory nach den Regeln der Kunst konfigurieren und absichern. Eine meiner Maßnahmen umfasste ein Skript, das automatisiert allen Benutzerkonten neue Kennwörter einträgt – lange und komplexe Kennwörter, versteht sich. Aus Erfahrung wusste ich, dass viele Messe-Systeme nur gering abgesichert sind und zum Angriff quasi einladen. Der Einfachheit halber ließ ich mein Skript, das sich bei vielen Kunden schon bewährt hatte, gleich über die ganze Demo-Domäne laufen, denn es sollten ja alle Konten abgesichert werden.

Eine andere Konfiguration erforderte dann, dass ich mich neu anmeldete. Dies schlug fehl, obwohl ich mein Kennwort auf das Sorgfältigste eintippte. Nach wiederholten Versuchen stieg mein Adrenalinpegel: Was war passiert? Waren wir etwa über die bereits bestehende Internetverbindung gehackt worden? Für einen IT-Dienstleister eine sehr peinliche Situation &

Meine Security-Kollegen konnten keine Auffälligkeiten feststellen. Unser Firmennetzwerk, von der Demoumgebung natürlich hermetisch abgeschottet, lief ohne Probleme. Trotzdem war unsere Firma alarmiert: Wer oder was hatte uns hier angegriffen? Was war geschehen?

Nach kurzer Zeit dämmerte mir, dass unsere Umgebung nicht unsicher, sondern ganz im Gegenteil zu sicher war. Meine Absicherung der Domäne mit neuen Kennwörtern hatte durchschlagenden Erfolg gehabt: Das Skript, das ich eingesetzt hatte, hatte radikal jedem Benutzerkonto ein neues Kennwort erteilt – im Active Directory gelten aber auch Computerkonten als Benutzerobjekte, und so konnten sich nicht einmal mehr die Domänencontroller authentifizieren.

Zwar war kein aktuelles Backup unseres Demo-Active Directory vorhanden. Doch die gesamte Umgebung basierte auf moderner Blade-Technik, und unmittelbar vor meiner „Absicherung“ der Domäne hatten meine Kollegen ein Image aller Maschinen angelegt. In weniger als zehn Minuten waren diese zurückgespielt, und der Spuk hatte ein Ende.