Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Sperrung von Terminals/Benutzerkennungen nach erfolglosen Zugangsversuchen

Eine Benutzerkennung bzw. ein Benutzer soll nach einer vorgegebenen Anzahl von abgewiesenen Zugangsversuchen für eine begrenzte Zeit gesperrt werden. Diese Funktion wird „Suspendierung“ genannt. Die Suspendierung einer Benutzerkennung ist zwar die wirksamste Reaktion, kann aber dazu führen, dass neben dem Eindringling auch autorisierte Benutzer blockiert werden. Um dies zu verhindern kann die Suspendierung auf einen Benutzer, auch „Initiator“ genannt, beschränkt werden.

Zur Identifizierung des Initiators steht im Dialog mindestens der Terminal-Name zur Verfügung, im Batch die Initiator-Kennung. Wurde der Batch-Auftrag in einer Dialog-Task abgesetzt, stehen die Dialog-Attribute zur Verfügung. Handelt es sich um einen sekundären Batch-Auftrag, könnte die Audit-Id einen Hinweis auf den ursprünglichen Initiator geben.

Benutzeridentifikation

Um einen Benutzer zu identifizieren stehen je nach Zugangsweg bis zu 4 Attribute zur Verfügung:

  1. eine sekundäre Benutzerkennung
    im Dialog mit persönlichem Logon die persönliche Benutzerkennung
    im Batch die persönliche bzw. Logon-Benutzerkennung des Initiators

  2. der Kerberos-Principal 

    im Net-Dialog als kennzeichnendes Attribut
    im Batch der Principal des Initiators

  3. die Audit-Information
    ist ein Attribut mit gemischtem Inhalt für die Protokollierung durch SAT. Es kann die persönliche Kennung oder den Kerberos Principal des Initiators enthalten. Diese Information wird an Batch-Aufträge weiter vererbt.

  4. der Terminal-Name
    im Dialog das schwächste Attribut zur Bestimmung des Initiators, wenn auch im einfachsten Fall das einzige.
    im Batch der Terminal-Name des Initiators

Über die Attribute 1-3 kann der Initiator direkt identifiziert werden, über Attribut 4 nur indirekt.

Bei abgewiesenen Zugangsversuchen wird versucht, anhand der persönlichen Attribute des aktuellen Initiators eine Zugangsversuchsreihe zu erkennen. Diese Versuche können auch in unterschiedlichen Zugangsklassen stattgefunden haben.

Zwei Zugangsversuche sind dem selben Initiator zuzuordnen, wenn

  • mindestens eines seiner Attribute 1-3 bekannt ist und alle übereinstimmen oder

  • keines seiner Attribute 1-3 bekannt ist, aber das Terminal übereinstimmt.

Die Suspendierung bezieht sich auf die Benutzerkennung, auf die sich die abgewiesenen Zugangsversuche bezogen. Versucht ein Angreifer sein Glück mit einer anderen Benutzerkennung, beginnt dort die Überwachung neu.

Verwaltung

Die Verwaltung der Suspendierung erfolgt spezifisch für jede Benutzerkennung. Die Attribute können aber auch über die Standard-Attribute der Zugangskontrolle zentral verwaltet werden.

Die Benutzerkennung TSOS und die des Sicherheitsbeauftragten können nicht gesperrt werden, es wird nur der Initiator gesperrt.

Mit dem Kommando /UNLOCK-USER-SUSPEND werden alle Suspendierungen einer Benutzerkennung aufgehoben, mit /SHOW-USER-SUSPEND angezeigt.

Powered by Atlassian Confluence and Scroll Viewport.