Skip to main content

Diese Version von GitHub Enterprise Server wird eingestellt am 2026-08-25. Nicht mehr unterstützte Versionen werden nicht unterstützt. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Eine bessere Leistung, verbesserte Sicherheit und neue Features in GitHub Enterprise Server finden Sie unter Overview des Upgradeprozesses. Wenden Sie sich bei Fragen zum Upgrade an den GitHub Enterprise Support.

Bewährte Methoden zum Schützen von Konten

Anleitungen zum Schutz von Konten mit Zugriff auf deine Softwarelieferkette

Über diesen Leitfaden

In diesem Leitfaden werden die Änderungen mit den größten Auswirkungen beschrieben, die du zum Erhöhen der Kontosicherheit vornehmen kannst. In den einzelnen Abschnitten wird jeweils eine Änderung beschrieben, die du zur Verbesserung der Sicherheit an deinen Prozessen vornehmen kannst. Die Änderungen mit den größten Auswirkungen sind zuerst aufgeführt.

Welches Risiko besteht?

Kontosicherheit ist grundlegend für die Sicherheit deiner Lieferkette. Wenn ein Angreifer Ihr Konto auf GitHub übernehmen kann, kann er anschließend schädliche Änderungen an Ihrem Code oder Build-Prozess vornehmen. Ihr erstes Ziel sollte also sein, es für jemanden schwierig zu machen, Ihr Konto und die Konten anderer BenutzermitgliederIhrer Unternehmensinstanz zu übernehmen.

Authentifizierung zentralisieren

Wenn Sie der Websiteadministrator für Ihre Instanz sind, können Sie die Anmeldeumgebung für Benutzer vereinfachen, indem Sie eine Authentifizierungsmethode auswählen, die eine Verbindung mit Ihrem vorhandenen Identitätsanbieter (IdP) herstellt, z. B. CAS, SAML oder LDAP. Dies bedeutet, dass sie sich kein zusätzliches Kennwort GitHubmehr merken müssen.

Einige Authentifizierungsmethoden unterstützen auch die Kommunikation zusätzlicher Informationen an GitHub, z. B. welche Gruppen der Benutzer Mitglied ist, oder die Synchronisierung kryptografischer Schlüssel für den Benutzer. Das ist eine gute Möglichkeit, die Verwaltung bei wachsenden Organisationen zu vereinfachen.

Weitere Informationen zu den verfügbaren GitHubAuthentifizierungsmethoden finden Sie unter Grundlagen der Identitäts- und Zugriffsverwaltung.

Konfigurieren der zweistufigen Authentifizierung

Der beste Weg, die Sicherheit von Ihrem persönlichen Konto oder Ihrer Instanz zu verbessern, besteht darin, die Zwei-Faktor-Authentifizierung (2FA) einzurichten. Kennwörter selbst können kompromittiert werden, wenn sie erraten werden können, auf einer kompromittierten Website wiederverwendet oder durch Social Engineering wie Phishing kompromittiert werden. Mit der zweistufigen Authentifizierung wird die Kompromittierung eines Kontos deutlich erschwert, selbst wenn der Angreifer über das entsprechende Kennwort verfügt.

Um sowohl die Sicherheit als auch den zuverlässigen Zugriff auf dein Konto zu gewährleisten, solltest du immer mindestens zwei Anmeldeinformationen mit Zwei-Faktor-Authentifizierung in deinem Konto registriert haben. Zusätzliche Anmeldenachweise stellen sicher, dass Sie auch dann nicht aus Ihrem Konto ausgesperrt werden, wenn Sie den Zugriff auf einen Anmeldenachweis verlieren.

Wenn Sie der Websiteadministrator für Ihre Instanz sind, können Sie möglicherweise 2FA für alle Benutzer Ihrer Instanz konfigurieren. Die Verfügbarkeit von 2FA hängt von der Authentifizierungsmethode ab, die du verwendest. Weitere Informationen findest du unter Authentifizierung zentralisieren.

Wenn Sie ein Organisationsbesitzer sind, könnenmöglicherweise verlangen, dass alle Mitglieder der Organisation 2FA aktivieren.

Um mehr über die Aktivierung von 2FA für dein eigenes Konto zu erfahren, siehe Zwei-Faktor-Authentifizierung konfigurieren. Um mehr darüber zu erfahren, wie du 2FA in deiner Organisation forderst, siehe Erfordern der zweistufigen Authentifizierung in deiner Organisation.

Konfigurieren deines Unternehmenskontos

Unternehmensbesitzer können möglicherweise 2FA für alle Benutzer inInstanzunternehmens anfordern. Die Verfügbarkeit von 2FA-Richtlinien auf GitHub hängt davon ab, wie Benutzer sich authentifizieren, um auf die Ressourcen Ihrer Instanz zuzugreifen.

  • Wenn Sie sich über einen externen IdP mit CAS oder SAML SSO anmelden GitHub Enterprise Server , haben Sie die 2FA auf GitHub nicht konfigurieren. Die zweistufige Authentifizierung für den Identitätsanbieter muss von einem Benutzer mit Administratorzugriff konfiguriert werden.

  • Wenn Sie sich über ein externes LDAP-Verzeichnis bei GitHub Enterprise Server anmelden, können Sie 2FA für Ihr Unternehmen in GitHub vorschreiben. Wenn du die integrierte Authentifizierung für Benutzerinnen außerhalb deines Verzeichnisses zulässt, können einzelne Benutzerinnen die zweistufige Authentifizierung aktivieren. Es ist jedoch nicht möglich, festzulegen, dass für dein Unternehmen die zweistufige Authentifizierung verwendet werden muss.

Weitere Informationen finden Sie unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.

Konfigurieren eines persönlichen Kontos

Hinweis

Je nach der Authentifizierungsmethode, die , einen Websiteadministrator konfiguriert hat, können Sie möglicherweise 2FA für Ihr persönliches Konto nicht aktivieren.

GitHub unterstützt mehrere Optionen für 2FA, und während eine dieser Optionen besser als nichts ist, ist die sicherste Option eine WebAuthn-Anmeldeinformationen. WebAuthn erfordert einen Authentifikator wie einen FIDO2-Hardware-Sicherheitsschlüssel, einen Plattformauthentifikator wie Windows Hello, ein Apple- oder Google-Telefon oder einen Kennwort-Manager. Phishing ist bei anderen Formen der zweistufigen Authentifizierung zwar schwierig, aber möglich (wenn du beispielsweise gebeten wirst, dein sechsstelliges Einmalkennwort vorzulesen). WebAuthn ist jedoch wesentlich widerstandsfähiger gegen Phishing, da die Domänenbindung in das Protokoll integriert ist, wodurch verhindert wird, dass Anmeldedaten von einer Website, die sich als Anmeldeseite ausgibt, auf GitHub verwendet werden können.

Wenn Sie 2FA einrichten, sollten Sie immer die Wiederherstellungscodes herunterladen und mehr als eine 2FA-Anmeldung einrichten. Dadurch wird sichergestellt, dass der Zugriff auf dein Konto nicht von einem einzelnen Gerät abhängt. Weitere Informationen findest du unter Zwei-Faktor-Authentifizierung konfigurieren und Wiederherstellungsmethoden bei der Zwei-Faktor-Authentifizierung konfigurieren.

Konfigurieren eines Organisationskontos

Hinweis

Je nach der Authentifizierungsmethode, die konfiguriert hat, ist es möglicherweise nicht möglich, 2FA für Ihre Organisation zu benötigen.

Als Organisationsinhaberin kannst du erkennen, für welche Benutzerinnen die zweistufige Authentifizierung nicht aktiviert ist. Du kannst ihnen beim Einrichten der zweistufigen Authentifizierung behilflich sein und anschließend festlegen, dass für deine Organisation die zweistufige Authentifizierung verwendet werden muss. Informationen zu dieser Vorgehensweise findest du unter:

  1. Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist
  2. Vorbereitung auf die Anforderung der Zwei-Faktor-Authentifizierung in Ihrer Organisation
  3. Erfordern der zweistufigen Authentifizierung in deiner Organisation

Stellen Sie über SSH-Schlüssel eine Verbindung mit GitHub her

Es gibt noch andere Möglichkeiten, mit GitHub zu interagieren, außer sich auf der Website anzumelden. Viele Menschen authentifizieren den Code, den sie an GitHub übertragen, mit einem privaten SSH-Schlüssel. Weitere Informationen finden Sie unter Informationen zur SSH.

Ein Angreifer, der an deinen privaten SSH-Schlüssel gelangt, kann deine Identität annehmen und böswilligen Code an alle Repositorys pushen, für die du Schreibzugriff hast. Wenn du deinen privaten SSH-Schlüssel in einem Datenträgerlaufwerk speicherst, solltest du ihn mit einer Passphrase zu schützen. Weitere Informationen finden Sie unter Arbeiten mit SSH-Schlüssel-Passphrasen.

Eine weitere Option besteht darin, SSH-Schlüssel mit einem Hardwaresicherheitsschlüssel zu generieren. Dabei kann derselbe Schlüssel wie für die zweistufige Authentifizierung verwendet werden. Die Kompromittierung von Hardwaresicherheitsschlüsseln per Fernzugriff ist schwierig, da der private SSH-Schlüssel auf der Hardware verbleibt und über die Software nicht direkt zugänglich ist Weitere Informationen finden Sie unter Generieren eines neuen SSH-Schlüssels und Hinzufügen des Schlüssels zum ssh-agent.

Hardwaregestützte SSH-Schlüssel sind ziemlich sicher, aber die Hardwareanforderung funktioniert für einige Organisationen möglicherweise nicht. Ein alternativer Ansatz besteht darin, SSH-Schlüssel zu verwenden, die nur für einen kurzen Zeitraum gültig sind. Auch wenn der private Schlüssel kompromittiert wird, kann er nicht lange genutzt werden. Auf diesem Konzept beruht die Unterhaltung einer eigenen SSH-Zertifizierungsstelle. Bei diesem Ansatz kannst du weitgehend festlegen, wie sich Benutzer*innen authentifizieren, jedoch bist du dafür verantwortlich, selbst eine SSH-Zertifizierungsstelle zu unterhalten. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

Nächste Schritte