Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Als eine der organisatorischen Hauptaufgaben bei der Planung des eDirectory-Einsatzes muss zunächst eine Sicherheitsrichtlinie fixiert werden. Durch die Sicherheitsrichtlinie wird festgelegt, welche Sicherheitsbestimmungen in einem eDirectory-System gelten sollen und wie diese bei der Installation umgesetzt werden müssen.

Durch die eDirectory-Sicherheitsrichtlinie sollten sämtliche sicherheitsbezogenen Themenbereiche eines eDirectory-Verzeichnisdienstes geregelt werden. Die folgende Liste gibt einen groben Überblick über die Bereiche, die durch eine solche Richtlinie geregelt werden sollten. Die Liste muss je nach Einsatzszenarien in der Behörde bzw. im Unternehmen entsprechend angepasst, ausgestaltet und erweitert werden.

Allgemeines:

Rechtevergabe:

Administration:

Datenkommunikation:

Zertifikatsautorität:

Dateisystem des unterliegenden Betriebssystems:

LDAP:

Client-Zugriff auf den eDirectory-Verzeichnisdienst:

Verschlüsselung von Attributen

Fernzugriff zur Systemüberwachung und Administration:

Diese komponentenspezifische Auflistung von Themengebieten kann in folgende zeitliche Abfolge gebracht werden:

1. Definition der eDirectory-Baumstruktur

Im ersten Schritt ist die logische Struktur des eDirectory-Baumes, die Aufteilung in Organisation und Organisationseinheiten sowie insbesondere auch die Zuordnung der Server und der zu verwaltenden Netz-Ressourcen festzulegen (siehe M 2.236 Planung des Einsatzes von Novell eDirectory).

Anschließend muss über die im Verzeichnisdienst gehaltenen Objekte und deren Attribute entschieden werden. Bei Bedarf sind hierzu Schemaänderungen am eDirectory vorzunehmen. Weiterhin sollte an dieser Stelle über die Partitionierung der Verzeichnisdaten und über die Einrichtung von Repliken entschieden werden (siehe M 2.237 Planung der Partitionierung und Replikation im Novell eDirectory).

2. Regelung der Verantwortlichkeiten

Ein eDirectory-Verzeichnisdienst sollte von geschulten Netzadministratoren sicher betrieben werden. Dabei ist im Rahmen der Notfallvorsorge eine geeignete Stellvertreterregelung zu treffen. Generell sollte ein Konzept zur rollenbasierten Administration erstellt werden. Nur die berechtigten Sicherheits-Administratoren dürfen eDirectory-Sicherheitsparameter verändern.

Die Verantwortlichkeiten der einzelnen Benutzerdes eDirectory-Verzeichnisses sind unter Schritt 10 dargestellt.

3. Festlegung von Namenskonventionen

Um die Verwaltung des eDirectory-Verzeichnisbaums zu erleichtern, sollten eindeutige Namen für die Server, Applikationen, Drucker, Benutzer, Benutzergruppen und die weiteren eDirectory-Objekte verwendet werden.

4. Festlegung der Regeln für Benutzerkonten

Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle oder nur für bestimmte Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Außerdem sollte das Erstellen der Login-Skripts geregelt werden.

5. Einrichtung von Gruppen (Organizational Roles)

Zur Vereinfachung der Administration sollten Benutzer-Objekte, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Die korrespondierenden eDirectory-Objekte heißen Organizational Roles. Benutzerrechte sowie Zugriffsrechte auf Verzeichnisobjekte und gegebenenfalls weitere vordefinierte Funktionen werden dann den Gruppen (Organizational Roles) und nicht einzelnen Benutzer-Objekten zugeordnet. Die Benutzer-Objekte erben die Rechte und Berechtigungen der Gruppen (Organizational Roles), denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe (Organizational Role) zusammenzufassen. Benutzerberechtigungen sollten nur dann einzelnen Benutzern zugewiesen werden, wenn dies ausnahmsweise unumgänglich ist.

6. Festlegung der Vorgaben für Protokollierung

Hierbei ist festzulegen, welche vom eDirectory generierten Ereignisse zu protokollieren sind und bei welcher Ereigniskombination eine Benachrichtigung an den Sicherheits- bzw. Systemadministrator zu erfolgen hat. Weiterhin muss entschieden werden, wie lange die gesammelten Ereignisdaten aufzubewahren sind.

7. Regelungen zur Datenspeicherung

Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung). Bei eDirectory werden Benutzerdaten nur auf eDirectory-Servern abgelegt. Eine Datenspeicherung auf den lokalen Festplatten der einzelnen Clients findet nicht statt. Die Frage nach der Datenspeicherung ist jedoch auf der Ebene einzelner Partitionen zu klären. Datenbestände sollten in Bezug auf ihren Schutzbedarf klassifiziert werden, und entsprechend sollte die Partitionierung des Verzeichnisses auf vertrauenswürdige und gesicherte Hosts vorgenommen werden. Dabei sind besonders die hochsensiblen Daten des Security-Containers zu berücksichtigen.

8. Einrichtung von Projektverzeichnissen

Um eine saubere Trennung von benutzer- und projektspezifischen Daten (Objekten) untereinander durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, die eine solche Objekthaltung unterstützt.

9. Vergabe der Zugriffsrechte

Für die Objekte des Verzeichnisdienstes ist festzulegen, welche Attribute für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind.

10. Verantwortlichkeiten der Administratoren und Benutzer im Client-Server-Netz

Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im eDirectory-Verzeichnissystem übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für

Auch die Benutzer müssen in einem eDirectory-Verzeichnisdienst mit Client-Zugriff bestimmte Verantwortlichkeiten übernehmen, insbesondere wenn ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. In

der Regel beschränkt sich dies jedoch auf die Vergabe der eigenen Passwörter für das Login.

11. Schulung

Abschließend muss festgelegt werden, welche Benutzer zu welchen Teilaspekten geschult werden müssen. Erst nach ausreichender Schulung kann der Produktivbetrieb aufgenommen werden. Besonders die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von eDirectory gründlich zu schulen.

Die so entwickelten Sicherheitsrichtlinien sind zu dokumentieren und im erforderlichen Umfang den Benutzern des eDirectory-Verzeichnisdienstes mitzuteilen. Bei der Definition der Sicherheitsrichtlinie für eDirectory ist zu beachten, dass sie sich an den bisher geltenden Sicherheitsrichtlinien der Behörde bzw. des Unternehmens orientieren muss, diesen nicht widersprechen (Konsistenz) und auch nicht im Widerspruch zu geltendem Recht stehen darf. In der Regel wird eine eDirectory-Sicherheitsrichtlinie existierende Regelungen spezifisch anpassen oder aber sinngemäß erweitern, z. B. durch zusätzliche Anforderungen für Komponenten. Dabei sind unter Umständen neue Regelungen für eDirectory-spezifische Funktionalitäten, z. B. iMonitor, zu treffen. Generell gilt, dass sich die Planung des eDirectory-Verzeichnisdienstes an den jeweiligen Sicherheitsrichtlinien orientiert, dabei jedoch auch Einfluss auf die Sicherheitsrichtlinien besitzt (Feedback-Prozess).

Ergänzende Kontrollfragen: