Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.364 Planung der Administration für Windows Server 2003 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.364 Planung der Administration für Windows Server 2003

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Vor der Einführung eines Windows Server 2003 sind umfangreiche Planungen durchzuführen, damit eine geregelte und auch sichere Einführung sowie anschließend ein sicherer Betrieb ermöglicht werden. Aus der Beschreibung des Einsatzszenarios und der Definition des Einsatzzwecks ergeben sich Anforderungen an die Planung der Administration des Windows Server 2003. Administrative Änderungen, die im laufenden Betrieb durchgeführt werden, können sicherheitsrelevante Nebeneffekte hervorrufen. Die Planung der Administration muss anhand der Vorgaben der Sicherheitsrichtlinie erfolgen (siehe M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server). Darin sollte unter anderem darauf hingewiesen werden, dass die Verwendung des Servers in der Rolle einer Arbeitsstation eines Benutzers zu unterlassen ist.

Die Administration kann vor Ort mit dem Zugang zur Konsole des Servers, von einem anderen Computer innerhalb des LAN oder von außerhalb z. B. über VPN erfolgen. Bei der Planung der Aufgaben und Berechtigungen der Administratoren sind Regelungen der Zutrittsberechtigung zu treffen (siehe M 2.6 Vergabe von Zutrittsberechtigungen). Dabei ist die vorher erarbeitete Funktionstrennung (siehe M 2.5 Aufgabenverteilung und Funktionstrennung) zu beachten. Unnötige Zutrittsrechte zum Server sind zu vermeiden.

Typische administrative Aufgaben

Eingebaute Standardgruppen für die Administration

Die Administration von Windows Server 2003 erfordert weitreichende Berechtigungen und somit ein geeignetes Berechtigungskonzept. Folgende lokale Sicherheitsgruppen für die Administration sind nach einer Standardinstallation vorhanden:

   
Systemdefinierte Sicherheitsgruppe  Administratives  Bedeutung für die Administration 

Administratoren

 

Voll

 

Vollzugriff auf alle Bereiche, sehr sicherheitskritisch

 

Hauptbenutzer

 

Hoch

 

Umfangreicher Zugriff auf Systemeinstellungen, mit einigen Einschränkungen: Hauptbenutzer können z. B. nicht den Besitz von Dateien übernehmen, Gerätetreiber laden oder entladen, Sicherheits- und protokolle verwalten, Dienste installieren

 

Sicherungs-Operatoren

 

Hoch

 

Lese- und Schreibzugriff auf alle Dateien

 

Remoteunterstützungsanbieter

 

Hoch

 

nur in Active-Directory-Umgebung vorhanden, dürfen von Ferne an einer Konsolensitzung teilnehmen ("Shared Desktop"), erhalten somit die Rechte des angemeldeten Benutzers. Für Fernadministration ungeeignet, besser geeignet ist Remotedesktop

 

Hilfedienstgruppe

 

Kein bis hoch

 

mit Hilfe dieser Gruppe können Administratoren gemeinsame Rechte für alle Supportanwendungen festlegen, kann hohes Sicherheitsrisiko verursachen

 

Netzwerkkonfigurations-Operatoren

 

Mittel

 

Eigenschaften von Verbindungen im Ordner Netzwerkverbindungen administrieren

 

Druck-Operatoren

 

Mittel

 

Administration von Druckern und Druckerwarteschlangen

 

Leistungsprotokollbenutzer

 

Gering

 

Administration der Konsole Leistung (perfmon.exe)

 

Distributed COM-Benutzer

 

Gering

 

Administration der Konsole Komponentendienste

 

Systemmonitorbenutzer

 

Gering

 

lesender Zugriff auf Leistungszähler und -protokolle

 

Benutzer

 

Sehr gering

 

erlaubt Anmeldung an Mitgliedsservern und alleinstehenden Servern

 

Remotedesktopbenutzer

 

Kein

 

Gruppe zur Steuerung der Remote-Desktop-Einwahlmöglichkeit

 

TelnetClients

 

Kein

 

Gruppe zur Steuerung der Telnet-Einwahlmöglichkeit

 

Replikations-Operator

 

Kein

 

vom Betriebssystem verwendete Gruppe, darf nicht für Benutzer verwendet werden

 

Gäste

 

Kein

 

Steuerung des Ressourcenzugriffs für Benutzer ohne Anmeldung, darf nicht für Benutzer verwendet werden

 

Hinweis:
Die Standardgruppen auf einem Domänencontroller unterscheiden sich zum Teil von den hier genannten.
Die Standardgruppen auf einem Domänencontroller unterscheiden sich zum Teil von den hier genannten.

Für die Aufgabenerfüllung der Administration gibt es im Betriebssystem Windows Server 2003 Sicherheitsgruppen, z. B. die Gruppe Administratoren, die vollen administrativen Zugriff auf alle Bereiche des Servers haben und somit die Sicherheit des Windows Server 2003 erheblich beeinflussen können. Für definierte Einsatzzwecke von Windows Server 2003, z. B. Dateiserver, sind Sicherheitsgruppen mit nicht vollen administrativen Rechten einzuplanen. So können administrative Aufgaben, z. B. das Erstellen einer Datensicherung unter Verwendung der Gruppe Sicherungsoperatoren, sowie die damit einhergehenden Gefährdungen auf ihre Teilbereiche im Windows Server 2003 beschränkt werden. Es ist immer das Prinzip der minimal nötigen Berechtigungskombination einzuhalten. Z. B. sollte betrachtet werden, ob es ausreicht, die Administrationsaufgaben mit den geringeren Rechten der Sicherheitsgruppe Hauptbenutzer durchzuführen (siehe M 5.10 Restriktive Rechtevergabe). Bei einem bestehenden Netz ist zu berücksichtigen, ob für die festgelegten Aufgaben mit den vorhandenen Sicherheitsgruppen aus dem Active Directory oder dem lokalen Server gearbeitet werden kann (zu berücksichtigen ist hierbei G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen von Windows Server 2003). Die Installation von

zusätzlichen Komponenten erweitert die Auswahl von Standardgruppen, die für die Administration in Frage kommen. Ein Beispiel hierfür ist die Sicherheitsgruppe Terminalserverbenutzer bei installierten Terminalserverdiensten oder DHCP-Administratoren bei installiertem DHCP-Dienst. Die Festlegung auf vorhandene Sicherheitsgruppen ist jedoch nicht immer geeignet, da deren Rechte nicht administriert werden können. Daher ist eine für die festgelegten Administrationsaufgaben angepasste Sicherheitsgruppe zu empfehlen.

Um Fehler zu vermeiden, ist genau festzulegen, für welche administrativen Aufgaben die Berechtigungen der Gruppe Administratoren wirklich erforderlich sind. Zum Beispiel können Änderungen des Vollzugriffs im Dateisystem standardmäßig nur durch die Gruppe Administratoren erfolgen (für weitere Informationen siehe M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP), andererseits hat die Gruppe Administratoren immer Zugriff via Remotedesktop auf jedem Server, unabhängig von der Gruppe Remotedesktopbenutzer. In größeren Umgebungen sollten immer die Gruppen mit dem niedrigsten administrativen Zugriffsniveau bevorzugt werden. Bei Bedarf können Berechtigungen um Gruppen mit höherem Zugriffsniveau ergänzt werden.

Selbstdefinierte Gruppen

Weiterhin können selbstdefinierte Sicherheitsgruppen entworfen werden, welche die Berechtigungen für eine definierte administrative Aufgabe enthalten. Eigene Gruppen können entsprechend ihres Zugriffsniveaus in der oben genannten Auflistung ergänzt werden.

Durch die Planung muss vermieden werden, dass Programme ungewollt mit zu weitreichenden administrativen Berechtigungen aufgerufen werden, weil die Programme dadurch Zugriff auf kritische Bereiche des Servers erhalten und die Sicherheit des Servers gefährden können.

Benutzerkonten für die Administration

Bei der Betrachtung der Arbeitsaufgaben, die eine Person mit einem autorisierten Benutzerkonto in einer IT-Umgebung durchführt, muss für Administratoren eine grundlegende Abgrenzung gefunden werden:

Es ist sehr zu empfehlen, diese Betrachtungsweise in zwei separaten Konten für eine Person abzubilden. Da die eingebauten Standardgruppen von Windows Server 2003 keine spezielle Nutzung als Administrator bzw. Benutzer erzwingen, sollte ein normales Benutzerkonto für das tägliche Arbeiten und ein administratives Konto für administrative Aufgaben vorhanden sein und dementsprechend genutzt werden.

Es ist wichtig, einen definierten und dokumentierten Prozess für die Einrichtung und Entfernung von Benutzerkonten zu implementieren. Dies ist besonders wichtig für administrative Konten.

Das Ziel ist immer, die Anmeldung einer Benutzersitzung auf einem Windows-Server-2003- oder Windows-Verwaltungscomputer mit so geringen Berechtigungen wie möglich durchzuführen, am besten mit normalen Benutzerrechten. Mehrere grundlegende Ansätze sind hierfür denkbar:

Es empfiehlt sich, die jeweiligen Strategien in einer Richtlinie für die Windows Server 2003 Umgebung zu vermerken.

Konfigurationsänderungen

Es muss bei der Planung beachtet werden, dass administrative Änderungen im laufenden Betrieb hinsichtlich Verfügbarkeit und Zuverlässigkeit als kritisch zu betrachten sind (siehe M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Bei der Planung der administrativen Aufgaben muss also unterschieden werden, welche Aufgaben während des laufenden Betriebs und welche Aufgaben nur in speziellen Wartungsfenstern durchgeführt werden können. Dies ist stark von der Konfiguration von Windows Server 2003, den zusätzlichen Serverapplikationen und den Verfügbarkeitsanforderungen abhängig. Konfigurationsänderungen sollten vorzugsweise nur in speziellen Wartungsfenstern durchgeführt werden, da unter Umständen Neustarts des Servers im laufenden Betrieb provoziert werden können.

Administrationswerkzeuge

Ein wichtiger Aspekt ist die Auswahl der geeigneten Administrationswerkzeuge für den jeweiligen Server. Die mitgelieferten Werkzeuge von Windows Server 2003 bieten eine sehr gute Integration in die Sicherheitsmechanismen des Betriebssystems und ein einheitliches Bedienkonzept.

Die zentralen mitgelieferten Komponenten für die Administration sind:

Externe Dienstleister

Die speziellen Anforderungen an Outsourcing (siehe B 1.11 Outsourcing) sowie vertragliche Vereinbarungen mit externen Dienstleistern müssen in das Berechtigungskonzept (siehe oben) einfließen. Für externe Dienstleister sollten separate Sicherheitsgruppen entworfen werden, die nur in den notwendigen Bereichen von Windows Server 2003 über Berechtigungen verfügen. Die vorhandenen Standardgruppen sind meist nicht geeignet. Beispielsweise ist zu überlegen, ob für einen reinen Datensicherungsdienstleister die Berechtigungen der Gruppe Sicherungsoperatoren schon zu weitreichend sind.

Die Übergabe von Anmeldedaten von administrativen Konten sowie die Durchsetzung von Kennwortrichtlinien gestaltet sich besonders schwierig, wenn die jeweils beauftragte Person des Dienstleisters nicht vor Ort arbeitet (siehe auch G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel). Kommt außerdem Active Directory zum Einsatz, ist es nicht möglich, innerhalb einer Domäne unterschiedliche Kennwortrichtlinien für externe Dienstleister zu erzwingen. Dies muss daher auf organisatorischer Ebene geregelt und in einer IT-Richtlinie definiert werden.

Einspielen von Patches und Updates

Windows Server 2003 ermöglicht das regelmäßige automatische Einspielen von Aktualisierungen. Das Risiko von automatischen Neustarts und von Inkompatibilitäten mit installierten Programmen ist hierbei abzuwägen.

Für Server mit hohem Schutzbedarf sollte diese Funktion deaktiviert werden. Bei Servern mit normalem Schutzbedarf ist die Entscheidung für automatisches Update im Einzelfall zu treffen.

Automatische Updates sollten nicht direkt aus dem Internet bezogen werden, sondern über ein Software-Verteilungssystem (z. B. Windows Server Update Service, WSUS) verwaltet und zum Installieren freigegeben werden. Hier sind Regeln zu definieren, welche Arten von Updates und Patches automatisch installiert werden und welche der Freigabe durch einen Administrator bedürfen. In jedem Fall ist M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates umzusetzen und zu gewährleisten.

Vor dem Einspielen von Service Packs in der Windows-Server-2003-Umgebung sollte eine Ausroll-Strategie (Reihenfolge der Server, mögliches Rollback) festgelegt werden. Hierbei ist auch zu berücksichtigen, dass Service Packs bestimmte neue Funktionen enthalten können, die auf Servern mit bestimmten Rollen vorrangig installiert werden müssen. Ein Beispiel hierfür ist die neue Sicherheitsgruppe Distributed COM-Benutzer im Service Pack 1.

Dokumentation

Zur Planung der Administration gehört auch der Entwurf eines geeigneten Dokumentationskonzeptes. Es sollte eng an das Änderungsmanagement (M 2.221 Änderungsmanagement) angelehnt sein.

Die definierten Aufgaben der Administratoren des Windows Server 2003, die entsprechenden Berechtigungen (auch Ressourcenberechtigungen) und die verwendeten Administrator-Werkzeuge sind in die Dokumentation aufzunehmen, um bei Personalausfall den weiteren Betrieb zu ermöglichen (siehe G 1.1 Personalausfall und M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile).

Es ist ein geeignetes Konzept zur Dokumentation der Kennwörter von Dienstkonten zu entwickeln. Diese Kennwörter sind hochkritisch und müssen einer strikten Zugriffskontrolle unterliegen (z. B. Tresor, Mehrfachverschlüsselung und Vier-Augen-Prinzip).

Bei der Verwendung von administrativen Skripten muss eine erweiterte Dokumentation angefertigt werden. Die zu dokumentierenden Konfigurationen und Einsatzszenarien können aus der Dokumentation der Testumgebung für Skripte verwendet werden (siehe M 4.240 Einrichten einer Testumgebung für einen Server).

Ergänzende Kontrollfragen: