M 2.227 Planung des Windows 2000 Einsatzes
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Vor der Einführung eines Windows 2000 Systems, welches aus vernetzten, einzelnen Windows-Rechnern aufgebaut ist, sind umfangreiche Planungen durchzuführen, damit eine geregelte und auch sichere Einführung sowie in Folge ein sicherer Betrieb ermöglicht wird. Im Rahmen der Windows 2000 Planung sind abhängig von den geplanten Einsatzszenarien für Windows 2000 Systeme verschiedene Gesamt- und Einzelkonzepte zu erstellen. Dabei ist aus Sicherheitssicht jeweils zu gewährleisten, dass die festgelegten Sicherheitsrichtlinien (siehe M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie) eingehalten und in der Planung berücksichtigt werden, so dass eine richtlinienkonforme Umsetzung erfolgen kann.
Die Planung eines Windows 2000 Systems erfolgt in mehreren Schritten nach dem Prinzip des Top-Down-Entwurfes: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt.
Im Grobkonzept werden beispielsweise folgende typische Fragestellungen behandelt:
- Wird ein neues Netz aufgebaut oder wird ein bestehendes Netz migriert?
- Soll ein existierendes Windows Netz (z. B. Windows NT basiert) vollständig oder nur teilweise nach Windows 2000 migriert werden?
- Welche Komponenten, z. B. Server, Druckserver, Arbeitsplatzrechner, werden ersetzt, welche bleiben erhalten?
- Müssen existierende Verfahren oder Komponenten, wie z. B. ein bestehendes Kerberos-System oder auch eine bestehende PKI, in Windows 2000 integriert werden? Hier ist u. a. die Interoperabilität sowie der angebotene Funktionsumfang zu berücksichtigen.
- Ist ein Mischbetrieb von Windows 2000 und anderen Betriebssystemen, wie Windows 9x/ME/NT/WfW, OS/2, Novell oder Unix, notwendig? Ist dies der Fall, so hat dies u. a. Einfluss auf die im System verwendeten Authentisierungsverfahren, die je nach den anderen eingesetzten Betriebssystemen auch Schwachstellen aufweisen und damit die Sicherheit des gesamten Windows 2000 Systems schwächen können.
- Muss Windows 2000 mit existierenden Windows NT Domänen, z. B. mit Backup-Domänen-Controllern, zusammenarbeiten? Dies hat Einfluss auf den Modus (Mixed-Mode, Native-Mode), in dem eine Domäne betrieben werden muss. Je nach Modus sind dann einige Sicherheitsmechanismen nicht verfügbar.
Die folgenden typischen Teilkonzepte sind für Windows 2000 zu berücksichtigen, wobei sich die jeweiligen Empfehlungen zu den Teilkonzepten in spezifischen Maßnahmen befinden:
-
Das Active Directory Konzept: Mit Windows 2000 wurde das Active Directory (AD) als zentraler Datenspeicher zur Systemverwaltung
eingeführt. Technisch gesehen ist die AD-Installation einfach und problemlos durchzuführen. Durch die zentrale Stellung des AD innerhalb von Windows 2000 und insbesondere dadurch, dass Domänen unter Windows 2000 nun global verwaltet, sowie hierarchisch und baumartig angeordnet werden können, ergeben sich allerdings eine Vielzahl organisatorischer und unternehmenspolitischer Problemstellungen. Diese erfordern eine ausgedehnte Planungsphase für das AD-Konzept. Dabei ist ein Zeitrahmen von ein bis zwei Jahren für global operierende Unternehmen und Behörden durchaus als minimaler Planungszeitraum einzukalkulieren.
Aus Sicherheitssicht stellt das AD eine wichtige Schaltzentrale für ein Windows 2000 System dar, da durch die Berechtigungen im AD administrative Delegationen erreicht werden können. Zudem erlaubt der Mechanismus der Gruppenrichtlinien (vergleichbar mit den Windows NT Systemrichtlinien) eine feingranulare Konfiguration auch der Sicherheitseinstellungen eines Windows 2000 Systems. Auch hier ist eine zentrale Verwaltung der Sicherheitseinstellungen möglich.
Das AD erfordert neben der eigentlichen Planung der AD-Struktur (siehe M 2.229 Planung des Active Directory ) noch die Planung weiterer Teilkonzepte für die im AD verwendeten Sicherheitsmechanismen. Es sind dies das Konzept für die AD-Administration (siehe M 2.230 Planung der Active Directory-Administration ), in dem u. a. auch die Rechtevergabe auf AD-Objekten geregelt wird, sowie das Konzept für die Gruppenrichtlinien (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows ), in denen u. a. die Sicherheitseinstellungen für alle Windows 2000 Systeme und deren Verteilung geregelt werden. Des Weiteren müssen im Rahmen des AD-Administrationskonzeptes insbesondere auch Regeln für die Zugehörigkeit zu den verschiedenen administrativen Gruppen erstellt werden. Hier ist u. a. festzugelegen, wer Mitglied in den von Windows 2000 vordefinierten Gruppen, wie z. B. Organisations-Admins, und den selbst definierten Gruppen sein soll. - Das PKI-Konzept: Windows 2000 bietet PKI-Komponenten im Standardlieferumfang an, die zum Aufbau einer unternehmensweiten PKI (Public Key Infrastruktur) genutzt werden können. Die dabei verwendeten Zertifikatsausgabestellen (Certificate Authority, CA) können sowohl von Windows 2000 Systemkomponenten, z. B. von den EFS-Komponenten, als auch von externen Komponenten, also z. B. bei Kunden oder Geschäftspartnern, und von Komponenten von Drittherstellern, wie z. B. E-Mail-Programmen, verwendet werden. Im Rahmen des PKI-Konzeptes (siehe M 2.232 Planung der Windows 2000/2003 CA-Struktur ) ist dabei die hierarchische Struktur von CAs, deren Vertrauensstellungen zueinander, sowie der Einsatzzweck und die Verteilung von Zertifikaten an Benutzer und innerhalb des Systems zu regeln.
-
Das DNS/WINS/DHCP-Konzept: Neben dem AD ist eine weitere grundsätzliche Neuerung innerhalb von Windows 2000, dass als primärer Namensdienst zur Zuordnung von Rechnernamen zu IP-Adressen DNS (Domain Name Service) genutzt wird. Insbesondere gilt, dass ohne DNS kein Windows 2000 AD aufgebaut werden kann. Dabei muss jedoch nicht zwingend die Windows 2000 DNS-Komponente eingesetzt werden, sondern es kann auch eine externe DNS-Implementierung (z. B. Unix-basiert) zum Einsatz kommen. Allerdings muss die Fremdimplementierung gewissen Anforderungen genügen. So müssen z. B. so genannte SRV-Records und dynamische Updates von DNS-Einträgen unterstützt werden. Da die Domänennamen einer Windows 2000 Domänenhierarchie mit dem hierarchischen DNS-Namensraum übereinstimmen, beeinflussen sich AD-Konzept und DNS-Konzept maßgeblich. Zusätzlich muss im DNS-Konzept berücksichtigt werden, ob der bisherige Namensdienst WINS (Windows Internet Naming Service) - der für den Betrieb von Windows 2000 Systemen nicht mehr notwendig ist - aus Gründen der Rückwärtskompatibilität weiter betrieben werden muss. Gründe hierfür können z. B. Applikationen sein, die zwingend WINS benötigen.
Außerdem ist die Integration des DNS mit dem DHCP (Dynamic Host Configuration Protocol) zu planen, mit dem der Rechner automatisch nach dem Einschalten für den Netzzugriff konfiguriert wird. Unter dem Gesichtspunkt der Sicherheit sind jeweils die berechtigten Administratoren und die Verwendung der einzelnen komponentenspezifischen Sicherheitsmechanismen festzulegen. Hinweise zu den Einzelkonzepten werden genauer in M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste und den darin referenzierten Maßnahmen gegeben. - Das RAS-Konzept: Auch Windows 2000 bietet Komponenten, um den entfernten Zugang zu einem lokalen Netz zu realisieren. Im Vergleich zu der aus Windows NT bekannten Lösung sind keine gravierenden Änderungen zu verzeichnen. Insbesondere aus Sicherheitssicht ergeben sich kaum Unterschiede. Als wesentliche Neuerung ist lediglich die Verfügbarkeit starker Verschlüsselung zu nennen, die nach Einspielen des so genannten "High-Encryption-Pack" und des "Service Pack 1" zur Verfügung steht. Alternativ kann auch das mittlerweile verfügbare Service Pack 2 genutzt werden, das die stärkere Verschlüsselung integriert enthält. Für die Konfiguration der Zugangskontrolle steht eine neue regelgesteuerte Möglichkeit zur Verfügung, die in Maßnahme M 4.145 Sichere Konfiguration von RRAS unter Windows 2000 erläutert wird.
- Das NTFS-Konzept: Auch unter Windows 2000 wird das Windows NT-File System (NTFS) eingesetzt, das im Vergleich zu der unter Windows NT eingesetzten Vorgängerversion einige Neuerungen auch sicherheitstechnischer Art bietet. Einerseits können Dateiberechtigungen und Überwachungseinstellungen unter Windows 2000 nun wesentlich detaillierter erfolgen, andererseits besteht mit dem Dateisystem EFS die Möglichkeit der Dateiverschlüsselung. Daneben steht das verteilte Dateisystem DFS, das auch schon unter Windows NT verwendet werden konnte, unter Windows 2000 integriert zur Verfügung. Entsprechende Maßnahmen für die sicherheitsrelevanten Neuerungen finden sich unter M 3.28 Schulung zu Windows 2000/XP Sicherheitsmechanismen für Benutzer, M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste, M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP, sowie unter M 4.148 Überwachung eines Windows 2000/XP Systems.
- Das Migrations-Konzept: Der völlige Neuaufbau eines Windows 2000 Systems stellt normalerweise nicht den Regelfall dar. Vielmehr besteht regelmäßig der Wunsch oder die Notwendigkeit, existierende, meist Windows NT-basierte Netze auf Windows 2000 umzustellen. Dabei muss die so genannte Migration sorgfältig geplant, vorbereitet und durchgeführt werden. Eine allgemeine Empfehlung, welche der verschiedenen Migrationskonzepte zur Anwendung kommen sollen, kann nicht gegeben werden, da dies vom zu migrierenden Netz abhängt. Generell muss jedoch schon bei der Planung des Windows 2000 Netzes bedacht werden, dass das Netz über einen längeren Zeitraum als heterogenes Netz betrieben werden muss, das migrierte und auch nicht migrierte Komponenten enthalten wird. Insbesondere ist zu beachten, dass während der Migration die Sicherheit des Systems - im Vergleich zu einem reinen Windows 2000 System - gefährdet sein kann. Dies geschieht u. U. durch Fehler bei der Migration, durch nicht kompatible Konfigurationsparameter oder aber durch die Notwendigkeit der Rückwärtskompatibilität für Sicherheitseinstellungen. Hinweise zu typischen Sicherheitsproblemen bei der Migration sind in M 2.233 Planung der Migration von Windows NT auf Windows 2000 zu finden.
- Das Auditing/Protokollierungs-Konzept: Um die Sicherheit in einem Windows 2000 System gewährleisten zu können, muss das Einhalten der festgelegten Sicherheitsrichtlinien (siehe M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie ) überwacht werden. Dazu stellt Windows 2000, wie auch schon Windows NT, einen ereignisbasierten Protokollierungs-Mechanismus zur Verfügung. Die im Rahmen eines Auditing-Konzeptes zu beachtenden Sicherheitsaspekte sind in der Maßnahme M 4.148 Überwachung eines Windows 2000/XP Systems zusammengefasst.
- Das IPSec-Konzept: Für die Kommunikationsabsicherung auf Transportebene stellt Windows 2000 eine IPSec-konforme Implementierung zur Verfügung. Durch IPSec können alle IP-basierten Kommunikationsverbindungen von und zu einem Rechner abgesichert werden. Dabei ist es möglich, die Endpunkte der Kommunikation zu authentisieren und die Datenpakete signiert und verschlüsselt zu übertragen, so dass die Integrität und Vertraulichkeit der Daten gewährleistet werden kann. Empfehlungen für die Konfiguration der IPSec-Komponenten sind in Maßnahme M 5.90 Einsatz von IPSec unter Windows 2000/XP zusammengefasst.
Neben diesen Teilkonzepten können je nach Einsatzszenario auch weitere Konzepte notwendig werden, wie z. B. Internet-Konzept oder Softwareverteilungs-Konzept, die dann in der Planungsphase berücksichtigt werden müssen. So basiert beispielsweise die Windows 2000 Authentisierung auf dem Kerberos-Protokoll. Hierbei werden Zeitstempel benutzt, um u. a. die Gültigkeit von Authentisierungsdaten zu beschränken. Daher müssen die Systemuhren aller Rechner, die mit Kerberos arbeiten, innerhalb eines Toleranzintervalls synchronisiert sein. Standardmäßig erfolgt der regelmäßige Uhrenabgleich automatisch durch Windows 2000 selbst. Sofern jedoch auf eine externe Zeitquelle synchronisiert werden soll, ist dazu ein Konzept zu entwerfen, das alle notwendigen Randbedingungen umfasst. Dies sind beispielsweise Zeitserver, Verfahren beim Ausfall des Zeitservers und Toleranzintervalle.
Ergänzende Kontrollfragen:
- Wurde die Windows 2000 Planung bedarfsgerecht durchgeführt?
- Sind alle für den konkreten Einsatz notwendigen Teilkonzepte entworfen?
- Wurde die AD-Struktur mit allen Betroffenen abgestimmt?