|
|
| (17 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''Systemhärtung''' - Kurzbeschreibung
| | #WEITERLEITUNG [[Hardening]] |
| | |
| == Beschreibung ==
| |
| Unter '''Härten''' (englisch Hardening) versteht man in der Computertechnik, die [[Computersicherheit|Sicherheit eines Systems]] zu erhöhen, indem nur [[dedizierte Software]] eingesetzt wird, die für den Betrieb des Systems notwendig ist und deren unter Sicherheitsaspekten korrekter Ablauf garantiert werden kann. Das System soll dadurch besser vor Angriffen geschützt sein.
| |
| | |
| Das [[National Institute of Standards and Technology]] definiert Härten in der [[IT-Sicherheit]] wie folgt: „Ein Prozess, der dazu dient, eine Angriffsmöglichkeit zu eliminieren, indem Schwachstellen gepatcht und nicht benötigte Dienste abgeschaltet werden.“
| |
| | |
| Ziel ist es, ein System zu schaffen, das von vielen, auch weniger vertrauenswürdigen Personen benutzt werden kann. Beispielsweise gibt es für [[Gentoo Linux]] das ''hardened-Projekt'', das eine [[Linux (Kernel)|Kernel]]-Version sowie weitere Systemdienste zusammenstellt, mit denen ein sicheres [[Linux|Linux-System]] auch für fremde Nutzer bereitgestellt werden kann.
| |
| | |
| == Ziele ==
| |
| {| class="wikitable options"
| |
| |-
| |
| | Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten ||
| |
| |-
| |
| | Minimierung der möglichen Angriffsmethoden ||
| |
| |-
| |
| | Beschränkung der einem [[Hacker|Angreifer]] nach einem erfolgreichen Angriff zur Verfügung stehenden Werkzeuge ||
| |
| |-
| |
| | Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien ||
| |
| |-
| |
| | Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs ||
| |
| |}
| |
| | |
| Als Nebenziel der Härtung kann auch eine ''mögliche'' Verringerung der Komplexität und des Wartungsaufwands des Systems gesehen werden, die zu einer höheren Beherrschbarkeit und damit einer Minimierung von Administrationsfehlern führen kann.
| |
| | |
| == Methoden ==
| |
| ; Übliche Methoden der Härtung sind beispielsweise
| |
| {| class="wikitable sortable options"
| |
| |-
| |
| ! Option !! Beschreibung
| |
| |-
| |
| | Entfernung oder Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten ||
| |
| |-
| |
| | Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen ||
| |
| |-
| |
| | Anpassung von Dateisystemrechten und ihrer Vererbung ||
| |
| |-
| |
| | Verwendung von [[chroot]] oder anderen [[Jail]]s für die Ausführung von Software ||
| |
| |-
| |
| | Verwendung von [[Mandatory Access Control]] ||
| |
| |-
| |
| | Nutzung von [[Verschlüsselung]], z. B. für Datenübertragung
| |
| |-
| |
| | Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten
| |
| |}
| |
| | |
| == Betriebssysteme ==
| |
| Ein [[Betriebssystem]] ist als „gehärtetes System“ zu bezeichnen, wenn
| |
| {| class="wikitable sortable options"
| |
| |-
| |
| ! Option !! Beschreibung
| |
| |-
| |
| | Adressbereiche für [[Programmbibliothek]]en ([[Address Space Layout Randomization|ASLR]]) und Programme (PIE) zufällig im virtuellen Speicher zugewiesen werden || ASLR kann nur vom Hersteller dieser Bibliotheken zum Erstellungszeitpunkt realisiert werden, nicht nachträglich im Betrieb
| |
| |-
| |
| | nur die Komponenten und Dienste installiert sind, die zum eigentlichen Betrieb benötigt werden, ||
| |
| |-
| |
| | alle nicht benötigten [[Benutzerkonto|Benutzerkonten]] gelöscht sind, ||
| |
| |-
| |
| | alle nicht benötigten [[Port (Protokoll)|Ports]] geschlossen sind, ||
| |
| |-
| |
| | restriktive Rechte gesetzt sind, ||
| |
| |-
| |
| | straffe Systemrichtlinien vergeben sind ||
| |
| |}
| |
| | |
| Härtungsmaßnahmen sind getrennt von anderen Sicherungsmaßnahmen wie Patchzyklen, der Einführung von [[Antivirus]]-Lösungen, [[Firewall]]s oder [[Intrusion Detection System|IDS]]/[[Intrusion Prevention System|IPS]] zu betrachten, die komplementäre Methoden der Prävention darstellen.
| |
| | |
| <noinclude>
| |
| | |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| |
| ==== Links ====
| |
| ===== Weblinks =====
| |
| # https://de.wikipedia.org/wiki/H%C3%A4rten_(Computer) | |
| | |
| [[Kategorie:IT-Sicherheit]] | |
| | |
| </noinclude>
| |