Beste Praktiken für die Verwaltung privater Schlüssel - Security Center 5.10

Security Center – Administratorhandbuch 5.10

series
Security Center 5.10
revised_modified
2021-03-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher

Die Wirksamkeit der Fusionstreamveschlüsselung stützt sich auf eine externe Public Key Infrastruktur zur Verwaltung der privaten Schlüssel. Die gesamte Sicherheit des Systems basiert auf der Tatsache, dass private Schlüssel geheim bleiben. Übergabe und Handhabung privater Schlüssel müssen darum in sicherer Weise erfolgen.

Schutz der privaten Schlüssel

Die sicherste Methode zur Handhabung eines Paares aus öffentlichem und privatem Schlüssel besteht darin, das Verschlüsselungszertifikat direkt auf dem Clientrechner zu generieren und dieses Zertifikat (nur den öffentlichen Schlüssel) dem Archiver zuzuweisen, der für die Verschlüsselung zuständig ist. Auf diese Weise reduzieren Sie die Angriffsfläche, weil Sie sicherstellen, dass der privater Schlüssel niemals den Clientrechner verlässt, auf der er verwendet wird.

Wenn Sie den gleichen privaten Schlüssel auf mehreren Clientrechnern verwenden möchten, sollten Sie auf eine sichere Verteilungsmethode achten. Verwenden Sie für die Verschlüsselung des privaten Schlüssels vor der Übertragung ein starkes Passwort. Die Vorgehensweise ist unter Ein Zertifikat mit dem privaten Schlüssel exportieren beschrieben.

Sobald alle Kopien des privaten Schlüssels auf den Clientrechnern installiert sind, können Sie die temporären Dateien wieder sicher löschen, die zur Verteilung des privaten Schlüssels verwendet worden sind.

BEST-PRACTICE: Wenn Ihr Unternehmens Active Directory Domain Services (ADDS) nutzt, wird die Verwendung des Credential Roaming-Mechanismus empfohlen, bei dem private Schlüssel nicht spezifischen Maschinen sondern Benutzergruppenprofilen zugeordnet werden.

Offenlegung privater Schlüssel verhindern

Vielleicht haben Sie die Befürchtung, dass Benutzer die privaten Schlüssel von ihren Clientrechnern exportieren. Um dieses Risiko zu senken, können Sie auf die folgenden besten Praktiken zur gestaffelten Abwehr zurückgreifen.
Private Schlüssel als nicht exportierbar kennzeichnen
Um zu verhindern, dass Windows-Clients private Schlüssel exportieren, können Sie die Schlüssel als nicht-exportierbar kennzeichnen.

Das entsprechende Flag setzen Sie beim Import eines Zertifikats.

Gehen Sie wie folgt vor:
  1. Erzeugen Sie ein Zertifikat und exportieren Sie öffentliche sowie private Schlüssel im PFX-Format. Verwenden Sie für die Verschlüsselung des privaten Schlüssels ein starkes Passwort.
  2. Importieren Sie nur den öffentlichen Schlüssel für die Archiver-Server.
  3. Importieren Sie den privaten Schlüssel für jede einzelne Maschine und kennzeichnen Sie den privaten Schlüssel als nicht exportierbar.
    certutil -importPFX [PFXfile] NoExport
  4. Sobald der private Schlüssel für alle Maschinen importiert ist, löschen Sie die ursprüngliche PFX-Datei.
WICHTIG: Manche Anwendungen von Drittanbietern ignorieren das „nicht exportierbar“-Flag. Aus diesem Grunde ist die Kennzeichnung privater Schlüssel als „nicht exportierbar“ nicht völlig narrensicher.
Bedienerkonto im nicht bevorrechtigten Modus betreiben
Sie können Ihre Security Desk Benutzer am Export privater Schlüssel hindern, indem Sie die Zertifikate auf dem lokalen Computer anstatt im persönlichen Bereich der Benutzer installieren und den Benutzern Administratorrechte verweigern. Security Desk muss aber weiterhin Zugriff auf die privaten Schlüssel haben. Das bedeutet, Sie müssen Security Desk als Administrator ausführen und das Passwort für die Security Desk Benutzer eingeben.
Die Nutzung von Applikationen über die Windows-Einstellungen für Benutzergruppen einschränken
Sie können die Security Desk Benutzer an einem Zugriff auf die privaten Schlüssel hindern, indem Sie über die Windows-Einstellungen für Benutzergruppen die Tools zur Handhabung von Zertifikaten sperren, z. B. certmgr.msi.

Sicherungskopie eines privaten Schlüssels erstellen

Wenn Sie private Schlüssel verlieren, ist eine Wiederherstellung Ihrer verschlüsselten Daten nicht mehr möglich. Wir empfehlen darum, auf einem geschützten Clientrechner zur Sicherung ein zusätzliches Verschlüsselungszertifikat für alle Daten zu erzeugen, die Sie verschlüsseln. Der zu diesem Zertifikat gehörende private Schlüssel darf auf keinem anderen Clientrechner verwendet werden. Einziger Zweck dieser Sicherung ist es, eine Rettungslösung für den Fall parat zu haben, dass alle auf Ihren Clientrechnern verwendeten privaten Schlüssel verlorengehen.