M 2.364 Planung der Administration für Windows Server 2003
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Vor der Einführung eines Windows Server 2003 sind umfangreiche Planungen durchzuführen, damit eine geregelte und auch sichere Einführung sowie anschließend ein sicherer Betrieb ermöglicht werden. Aus der Beschreibung des Einsatzszenarios und der Definition des Einsatzzwecks ergeben sich Anforderungen an die Planung der Administration des Windows Server 2003. Administrative Änderungen, die im laufenden Betrieb durchgeführt werden, können sicherheitsrelevante Nebeneffekte hervorrufen. Die Planung der Administration muss anhand der Vorgaben der Sicherheitsrichtlinie erfolgen (siehe M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server). Darin sollte unter anderem darauf hingewiesen werden, dass die Verwendung des Servers in der Rolle einer Arbeitsstation eines Benutzers zu unterlassen ist.
Die Administration kann vor Ort mit dem Zugang zur Konsole des Servers, von einem anderen Computer innerhalb des LAN oder von außerhalb z. B. über VPN erfolgen. Bei der Planung der Aufgaben und Berechtigungen der Administratoren sind Regelungen der Zutrittsberechtigung zu treffen (siehe M 2.6 Vergabe von Zutrittsberechtigungen). Dabei ist die vorher erarbeitete Funktionstrennung (siehe M 2.5 Aufgabenverteilung und Funktionstrennung) zu beachten. Unnötige Zutrittsrechte zum Server sind zu vermeiden.
Typische administrative Aufgaben
- Ereignisanzeige überwachen Software installieren, warten und deinstallieren
- Windows Komponenten hinzufügen/ändern/entfernen
- Aktualisierungen (Windows Update)
- Auslastung kontrollieren
- Funktion der Hardware überwachen
- Funktion von Applikationen und Diensten überwachen
- Dateisystem warten
- Rechte entsprechend neuer Anforderungen anpassen
- Benutzer/Gruppenverwaltung, neue Benutzer/Gruppen anlegen, verschieben oder löschen
- Anpassungen am OU Design vornehmen
- Änderungen oder Anpassungen am Active Directory vornehmen
- Daten sichern
- Netzwerkkonnektivität prüfen
- Virenschutz prüfen und warten Registrierdatenbank warten
- Datum/Uhrzeit/Zeitzonen administrieren
Eingebaute Standardgruppen für die Administration
Die Administration von Windows Server 2003 erfordert weitreichende Berechtigungen und somit ein geeignetes Berechtigungskonzept. Folgende lokale Sicherheitsgruppen für die Administration sind nach einer Standardinstallation vorhanden:
Systemdefinierte Sicherheitsgruppe | Administratives | Bedeutung für die Administration |
---|---|---|
Administratoren |
Voll |
Vollzugriff auf alle Bereiche, sehr sicherheitskritisch |
Hauptbenutzer |
Hoch |
Umfangreicher Zugriff auf Systemeinstellungen, mit einigen Einschränkungen: Hauptbenutzer können z. B. nicht den Besitz von Dateien übernehmen, Gerätetreiber laden oder entladen, Sicherheits- und protokolle verwalten, Dienste installieren |
Sicherungs-Operatoren |
Hoch |
Lese- und Schreibzugriff auf alle Dateien |
Remoteunterstützungsanbieter |
Hoch |
nur in Active-Directory-Umgebung vorhanden, dürfen von Ferne an einer Konsolensitzung teilnehmen ("Shared Desktop"), erhalten somit die Rechte des angemeldeten Benutzers. Für Fernadministration ungeeignet, besser geeignet ist Remotedesktop |
Hilfedienstgruppe |
Kein bis hoch |
mit Hilfe dieser Gruppe können Administratoren gemeinsame Rechte für alle Supportanwendungen festlegen, kann hohes Sicherheitsrisiko verursachen |
Netzwerkkonfigurations-Operatoren |
Mittel |
Eigenschaften von Verbindungen im Ordner Netzwerkverbindungen administrieren |
Druck-Operatoren |
Mittel |
Administration von Druckern und Druckerwarteschlangen |
Leistungsprotokollbenutzer |
Gering |
Administration der Konsole Leistung (perfmon.exe) |
Distributed COM-Benutzer |
Gering |
Administration der Konsole Komponentendienste |
Systemmonitorbenutzer |
Gering |
lesender Zugriff auf Leistungszähler und -protokolle |
Benutzer |
Sehr gering |
erlaubt Anmeldung an Mitgliedsservern und alleinstehenden Servern |
Remotedesktopbenutzer |
Kein |
Gruppe zur Steuerung der Remote-Desktop-Einwahlmöglichkeit |
TelnetClients |
Kein |
Gruppe zur Steuerung der Telnet-Einwahlmöglichkeit |
Replikations-Operator |
Kein |
vom Betriebssystem verwendete Gruppe, darf nicht für Benutzer verwendet werden |
Gäste |
Kein |
Steuerung des Ressourcenzugriffs für Benutzer ohne Anmeldung, darf nicht für Benutzer verwendet werden |
Hinweis:
Die Standardgruppen auf einem Domänencontroller unterscheiden sich zum Teil von den hier genannten.
Die Standardgruppen auf einem Domänencontroller unterscheiden sich zum Teil von den hier genannten.
Für die Aufgabenerfüllung der Administration gibt es im Betriebssystem Windows Server 2003 Sicherheitsgruppen, z. B. die Gruppe Administratoren, die vollen administrativen Zugriff auf alle Bereiche des Servers haben und somit die Sicherheit des Windows Server 2003 erheblich beeinflussen können. Für definierte Einsatzzwecke von Windows Server 2003, z. B. Dateiserver, sind Sicherheitsgruppen mit nicht vollen administrativen Rechten einzuplanen. So können administrative Aufgaben, z. B. das Erstellen einer Datensicherung unter Verwendung der Gruppe Sicherungsoperatoren, sowie die damit einhergehenden Gefährdungen auf ihre Teilbereiche im Windows Server 2003 beschränkt werden. Es ist immer das Prinzip der minimal nötigen Berechtigungskombination einzuhalten. Z. B. sollte betrachtet werden, ob es ausreicht, die Administrationsaufgaben mit den geringeren Rechten der Sicherheitsgruppe Hauptbenutzer durchzuführen (siehe M 5.10 Restriktive Rechtevergabe). Bei einem bestehenden Netz ist zu berücksichtigen, ob für die festgelegten Aufgaben mit den vorhandenen Sicherheitsgruppen aus dem Active Directory oder dem lokalen Server gearbeitet werden kann (zu berücksichtigen ist hierbei G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen von Windows Server 2003). Die Installation von
zusätzlichen Komponenten erweitert die Auswahl von Standardgruppen, die für die Administration in Frage kommen. Ein Beispiel hierfür ist die Sicherheitsgruppe Terminalserverbenutzer bei installierten Terminalserverdiensten oder DHCP-Administratoren bei installiertem DHCP-Dienst. Die Festlegung auf vorhandene Sicherheitsgruppen ist jedoch nicht immer geeignet, da deren Rechte nicht administriert werden können. Daher ist eine für die festgelegten Administrationsaufgaben angepasste Sicherheitsgruppe zu empfehlen.
Um Fehler zu vermeiden, ist genau festzulegen, für welche administrativen Aufgaben die Berechtigungen der Gruppe Administratoren wirklich erforderlich sind. Zum Beispiel können Änderungen des Vollzugriffs im Dateisystem standardmäßig nur durch die Gruppe Administratoren erfolgen (für weitere Informationen siehe M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP), andererseits hat die Gruppe Administratoren immer Zugriff via Remotedesktop auf jedem Server, unabhängig von der Gruppe Remotedesktopbenutzer. In größeren Umgebungen sollten immer die Gruppen mit dem niedrigsten administrativen Zugriffsniveau bevorzugt werden. Bei Bedarf können Berechtigungen um Gruppen mit höherem Zugriffsniveau ergänzt werden.
Selbstdefinierte Gruppen
Weiterhin können selbstdefinierte Sicherheitsgruppen entworfen werden, welche die Berechtigungen für eine definierte administrative Aufgabe enthalten. Eigene Gruppen können entsprechend ihres Zugriffsniveaus in der oben genannten Auflistung ergänzt werden.
Durch die Planung muss vermieden werden, dass Programme ungewollt mit zu weitreichenden administrativen Berechtigungen aufgerufen werden, weil die Programme dadurch Zugriff auf kritische Bereiche des Servers erhalten und die Sicherheit des Servers gefährden können.
Benutzerkonten für die Administration
Bei der Betrachtung der Arbeitsaufgaben, die eine Person mit einem autorisierten Benutzerkonto in einer IT-Umgebung durchführt, muss für Administratoren eine grundlegende Abgrenzung gefunden werden:
- Welche Aufgaben betreffen die Nutzung des IT-Systems?
- Welche Aufgaben betreffen die Administration des IT-Systems?
Es ist sehr zu empfehlen, diese Betrachtungsweise in zwei separaten Konten für eine Person abzubilden. Da die eingebauten Standardgruppen von Windows Server 2003 keine spezielle Nutzung als Administrator bzw. Benutzer erzwingen, sollte ein normales Benutzerkonto für das tägliche Arbeiten und ein administratives Konto für administrative Aufgaben vorhanden sein und dementsprechend genutzt werden.
Es ist wichtig, einen definierten und dokumentierten Prozess für die Einrichtung und Entfernung von Benutzerkonten zu implementieren. Dies ist besonders wichtig für administrative Konten.
Das Ziel ist immer, die Anmeldung einer Benutzersitzung auf einem Windows-Server-2003- oder Windows-Verwaltungscomputer mit so geringen Berechtigungen wie möglich durchzuführen, am besten mit normalen Benutzerrechten. Mehrere grundlegende Ansätze sind hierfür denkbar:
-
Sekundäre Anmeldung auf dem Server
Auf dem zu administrierenden Server wird eine normale Benutzersitzung mit eingeschränkten Rechten angemeldet, Administrationswerkzeuge werden mit Hilfe der sekundären Anmeldung (Ausführen als... oder runas) mit dem entsprechenden administrativen Benutzerkonto auf dem Server ausgeführt. In diesem Fall ist zu überlegen, ob normalen Benutzern die lokale Anmeldung auf einem Server erlaubt wird (Standardeinstellung) oder ob hierfür eine separate Sicherheitsgruppe entworfen wird. -
Einrichten einer Verwaltungsstation
Für den Betrieb einer Verwaltungsstation ist Active Directory zu empfehlen (M 2.229 Planung des Active Directory). Die Anmeldung an der Verwaltungsstation erfolgt mit einem Benutzerkonto, das auf diesem Computer nur geringe Berechtigungen besitzt (z. B. Benutzer). Von der Verwaltungsstation aus wird auf die zu administrierenden Server mit entsprechenden Werkzeugen (siehe unten) zugegriffen. Entweder hat das Benutzerkonto dort die erforderlichen Berechtigungen, oder der Zugriff erfolgt mit Hilfe der sekundären Anmeldung. Dadurch ist in den meisten Fällen keine komplette Anmeldung mit administrativen Berechtigungen nötig. -
Lokales Anmelden mit erweiterten Berechtigungen
In diesem Szenario sollte das lokale Anmelden an Servern generell unterbunden und nur für ausgewählte administrative Benutzerkonten freigeschaltet werden. Diese Benutzerkonten sollten genau für die vorgesehene Aufgabe angepasst sein. Weitere Einschränkungen dieser Konten, z. B. Anmeldezeiten, sind zu empfehlen.
Es empfiehlt sich, die jeweiligen Strategien in einer Richtlinie für die Windows Server 2003 Umgebung zu vermerken.
Konfigurationsänderungen
Es muss bei der Planung beachtet werden, dass administrative Änderungen im laufenden Betrieb hinsichtlich Verfügbarkeit und Zuverlässigkeit als kritisch zu betrachten sind (siehe M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Bei der Planung der administrativen Aufgaben muss also unterschieden werden, welche Aufgaben während des laufenden Betriebs und welche Aufgaben nur in speziellen Wartungsfenstern durchgeführt werden können. Dies ist stark von der Konfiguration von Windows Server 2003, den zusätzlichen Serverapplikationen und den Verfügbarkeitsanforderungen abhängig. Konfigurationsänderungen sollten vorzugsweise nur in speziellen Wartungsfenstern durchgeführt werden, da unter Umständen Neustarts des Servers im laufenden Betrieb provoziert werden können.
Administrationswerkzeuge
Ein wichtiger Aspekt ist die Auswahl der geeigneten Administrationswerkzeuge für den jeweiligen Server. Die mitgelieferten Werkzeuge von Windows Server 2003 bieten eine sehr gute Integration in die Sicherheitsmechanismen des Betriebssystems und ein einheitliches Bedienkonzept.
Die zentralen mitgelieferten Komponenten für die Administration sind:
- Microsoft Management Console (MMC)
Fast alle Komponenten sind über ein eigenes MMC-Snap-In zu administrieren. Mit der MMC können Komponenten auf entfernten Servern von einer Verwaltungsstation aus administriert werden. Viele Werkzeuge von Drittherstellern benutzen die MMC als Administrationsoberfläche. -
Fernadministration per Remotedesktop
Die Verwendung von Remotedesktops kann die Sicherheit des Servers hinsichtlich Integrität und Vertraulichkeit verringern, siehe G 5.132 Kompromittierung einer RDP-Benutzersitzung unter Windows Server 2003. Außerdem entstehen erhöhte organisatorische Anforderungen. -
Konsolen, die Internet Information Services (IIS) erfordern
Diese werden für die Administration des Anwendungsservers sowie zum Teil für die Zertifizierungsdienste benötigt. Außerdem setzen viele Werkzeuge von Drittherstellern auf Web-basierte Konsolen. Hierbei entstehen zusätzliche Risiken, so dass gegebenenfalls weitere Maßnahmen umzusetzen sind (siehe M 4.282 Sichere Konfiguration der IIS-Basis-Komponente unter Windows Server 2003). - Kommandozeilenbefehle
Viele Komponenten von Windows Server 2003 können mit Kommandozeilenbefehlen administriert werden. Sie stellen ein mächtiges Werkzeug dar. Die Syntax der Kommandos ist teilweise kompliziert, so dass ein erhebliches Risiko für falsche Bedienung und Fehlkonfiguration besteht. Die Verwendung sollte sich auf Fälle konzentrieren, bei denen GUI-basierte Werkzeuge nicht im erforderlichen Maß zur Verfügung stehen.
Einige Einstellungen sind jedoch tatsächlich nur durch entsprechende Kommandozeilenbefehle zu realisieren. Meist ist der konkrete Anwendungsfall explizit dokumentiert, z. B. in Artikeln der Microsoft Knowledge Base, in der Windows-Hilfe oder in anderen vom Hersteller online bereitgestellten Dokumenten. Es wird empfohlen, die Gewährleistung und der Umfang der Herstellerunterstützung für den konkreten Anwendungsfall vorab mit dem Hersteller zu klären.
Die Verwendung von Kommandozeilenwerkzeugen ist geeignet, wenn eine sehr flexible Automation von Vorgängen erforderlich ist, zum Beispiel mit Hilfe von Skripten. Die Skripte müssen vor Verwendung auf einem Testsystem erprobt werden (siehe M 2.367 Einsatz von Kommandos und Skripten unter Windows Server 2003).
Bestimmte Konfigurationsroutinen und Administrationsprogramme von Drittherstellern können weitere Konfigurationsänderungen an Windows Server 2003 erfordern, z. B. wenn diese IIS-Komponenten oder das .NET-Framework voraussetzen. Dadurch kann die Sicherheit des Servers beeinträchtigt werden. Bei der Festlegung ihrer Verwendung ist auf ihre Eignung zu achten (siehe B 1.10 Standardsoftware).
Die Verwendung von 16-bit-Programmen für Administrationszwecke ist generell zu vermeiden. -
Fernadministration
-
Zugriff aus dem LAN
Die mitgelieferten Remote-Werkzeuge bieten innerhalb des LAN einen effizienten Zugriff auf Windows Server 2003. Sofern die IT-Sicherheitsrichtlinie für Windows Server 2003 erfüllt ist, sind für ein normales Sicherheitsniveau keine weiteren Maßnahmen erforderlich. Die Nutzung der im LAN zugelassenen Remote-Werkzeuge, z. B. von Remote-Desktop-Verbindungen, sollten in einer Sicherheitsrichtlinie definiert sein.
Die mitgelieferten Remote-Werkzeuge bieten innerhalb des LAN einen effizienten Zugriff auf Windows Server 2003. Sofern die IT-Sicherheitsrichtlinie für Windows Server 2003 erfüllt ist, sind für ein normales Sicherheitsniveau keine weiteren Maßnahmen erforderlich. Die Nutzung der im LAN zugelassenen Remote-Werkzeuge, z. B. von Remote-Desktop-Verbindungen, sollten in einer Sicherheitsrichtlinie definiert sein. - Zugriff über Sicherheits-Gateways
Der Zugriff über Sicherheits-Gateways sollte auf Grundlage der RAS-Sicherheitsrichtlinie (siehe M 2.187 Festlegen einer RAS-Sicherheitsrichtlinie) erfolgen. Remote-Werkzeuge können von einem anderen Computer innerhalb des LAN, aber auch von außerhalb, z. B. über das Internet, verwendet werden. Für einen Fernzugriff von außerhalb der durch Sicherheits-Gateways geschützten IT-Umgebung muss der Authentisierungsvorgang und die Datenübertragung verschlüsselt werden. Hierfür ist HTTPS oder VPN zu empfehlen. Weiterhin ist zu beachten, dass der Zugriff von externen Clients auf wenige Computer beschränkt wird. Hierfür müssen jedoch alle beteiligten Komponenten in das Administrationskonzept mit einbezogen werden (z. B. Sicherheits-gateways, VPN-Gateways, Windows-Server-2003-Zertifizierungsdienste).
Im Rahmen der Planung der Fernadministration zu Windows Server 2003 muss auch für den entfernten Zugang eine Sicherheitsrichtlinie festgelegt werden. Die durch die organisationsweiten IT-Sicherheitsrichtlinien geltenden Vorschriften sind dazu entsprechend anzupassen und zu erweitern.
Der Zugriff über Sicherheits-Gateways sollte auf Grundlage der RAS-Sicherheitsrichtlinie (siehe M 2.187 Festlegen einer RAS-Sicherheitsrichtlinie) erfolgen. Remote-Werkzeuge können von einem anderen Computer innerhalb des LAN, aber auch von außerhalb, z. B. über das Internet, verwendet werden. Für einen Fernzugriff von außerhalb der durch Sicherheits-Gateways geschützten IT-Umgebung muss der Authentisierungsvorgang und die Datenübertragung verschlüsselt werden. Hierfür ist HTTPS oder VPN zu empfehlen. Weiterhin ist zu beachten, dass der Zugriff von externen Clients auf wenige Computer beschränkt wird. Hierfür müssen jedoch alle beteiligten Komponenten in das Administrationskonzept mit einbezogen werden (z. B. Sicherheits-gateways, VPN-Gateways, Windows-Server-2003-Zertifizierungsdienste).
Im Rahmen der Planung der Fernadministration zu Windows Server 2003 muss auch für den entfernten Zugang eine Sicherheitsrichtlinie festgelegt werden. Die durch die organisationsweiten IT-Sicherheitsrichtlinien geltenden Vorschriften sind dazu entsprechend anzupassen und zu erweitern.
-
Zugriff aus dem LAN
Externe Dienstleister
Die speziellen Anforderungen an Outsourcing (siehe B 1.11 Outsourcing) sowie vertragliche Vereinbarungen mit externen Dienstleistern müssen in das Berechtigungskonzept (siehe oben) einfließen. Für externe Dienstleister sollten separate Sicherheitsgruppen entworfen werden, die nur in den notwendigen Bereichen von Windows Server 2003 über Berechtigungen verfügen. Die vorhandenen Standardgruppen sind meist nicht geeignet. Beispielsweise ist zu überlegen, ob für einen reinen Datensicherungsdienstleister die Berechtigungen der Gruppe Sicherungsoperatoren schon zu weitreichend sind.
Die Übergabe von Anmeldedaten von administrativen Konten sowie die Durchsetzung von Kennwortrichtlinien gestaltet sich besonders schwierig, wenn die jeweils beauftragte Person des Dienstleisters nicht vor Ort arbeitet (siehe auch G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel). Kommt außerdem Active Directory zum Einsatz, ist es nicht möglich, innerhalb einer Domäne unterschiedliche Kennwortrichtlinien für externe Dienstleister zu erzwingen. Dies muss daher auf organisatorischer Ebene geregelt und in einer IT-Richtlinie definiert werden.
Einspielen von Patches und Updates
Windows Server 2003 ermöglicht das regelmäßige automatische Einspielen von Aktualisierungen. Das Risiko von automatischen Neustarts und von Inkompatibilitäten mit installierten Programmen ist hierbei abzuwägen.
Für Server mit hohem Schutzbedarf sollte diese Funktion deaktiviert werden. Bei Servern mit normalem Schutzbedarf ist die Entscheidung für automatisches Update im Einzelfall zu treffen.
Automatische Updates sollten nicht direkt aus dem Internet bezogen werden, sondern über ein Software-Verteilungssystem (z. B. Windows Server Update Service, WSUS) verwaltet und zum Installieren freigegeben werden. Hier sind Regeln zu definieren, welche Arten von Updates und Patches automatisch installiert werden und welche der Freigabe durch einen Administrator bedürfen. In jedem Fall ist M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates umzusetzen und zu gewährleisten.
Vor dem Einspielen von Service Packs in der Windows-Server-2003-Umgebung sollte eine Ausroll-Strategie (Reihenfolge der Server, mögliches Rollback) festgelegt werden. Hierbei ist auch zu berücksichtigen, dass Service Packs bestimmte neue Funktionen enthalten können, die auf Servern mit bestimmten Rollen vorrangig installiert werden müssen. Ein Beispiel hierfür ist die neue Sicherheitsgruppe Distributed COM-Benutzer im Service Pack 1.
Dokumentation
Zur Planung der Administration gehört auch der Entwurf eines geeigneten Dokumentationskonzeptes. Es sollte eng an das Änderungsmanagement (M 2.221 Änderungsmanagement) angelehnt sein.
Die definierten Aufgaben der Administratoren des Windows Server 2003, die entsprechenden Berechtigungen (auch Ressourcenberechtigungen) und die verwendeten Administrator-Werkzeuge sind in die Dokumentation aufzunehmen, um bei Personalausfall den weiteren Betrieb zu ermöglichen (siehe G 1.1 Personalausfall und M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile).
Es ist ein geeignetes Konzept zur Dokumentation der Kennwörter von Dienstkonten zu entwickeln. Diese Kennwörter sind hochkritisch und müssen einer strikten Zugriffskontrolle unterliegen (z. B. Tresor, Mehrfachverschlüsselung und Vier-Augen-Prinzip).
Bei der Verwendung von administrativen Skripten muss eine erweiterte Dokumentation angefertigt werden. Die zu dokumentierenden Konfigurationen und Einsatzszenarien können aus der Dokumentation der Testumgebung für Skripte verwendet werden (siehe M 4.240 Einrichten einer Testumgebung für einen Server).
Ergänzende Kontrollfragen:
- Haben die Mitarbeiter der IT-Abteilung normale und administrative Benutzerkonten?
- Ist die Fernadministration sicherheitsverträglich organisiert worden?
- Ist eine sicherheitsverträgliche Regelung für das Einspielen von Updates getroffen worden?
- Ist ein Wartungsfenster definiert worden?