Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 3.103 Server unter Windows NT - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 3.103 Server unter Windows NT

Logo Server unter Windows NT

Beschreibung

Betrachtet wird ein Server für ein Client-Server-System, der unter dem Betriebssystem Windows NT Version 3.51 oder 4.0 betrieben wird. Dieses Kapitel behandelt die Sicherheitsaspekte des Servers, die Client-spezifischen Maßnahmen sind den Bausteinen für die jeweiligen Client-Betriebssysteme zu entnehmen.

Auf sicherheitsspezifische Aspekte von Windows NT-Anwendungen, zum Beispiel bezüglich Mail, Schedule+, Direct-Data-Exchange (DDE) oder Remote Access Service (RAS), wird nur am Rande eingegangen. Zusätzlich zu den hier angegebenen Gefährdungen und Schutzmaßnahmen gelten noch die im Baustein B 3.101 Allgemeiner Server für einen allgemeinen Server genannten Maßnahmen. Falls im Windows NT Netz die Peer-to-Peer Funktionalität von Windows NT genutzt wird, ist außerdem der Inhalt des Bausteins B 5.1 Peer-to-Peer-Dienste zu berücksichtigen.

Gefährdungslage

Für den IT-Grundschutz eines servergestützten Netzes unter dem Betriebssystem Windows NT werden folgende typische Gefährdungen angenommen:

Organisatorische Mängel:

- G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten
- G 2.30 Unzureichende Domänenplanung
- G 2.31 Unzureichender Schutz des Windows NT Systems

Technisches Versagen:

- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische CD-ROM-Erkennung

Vorsätzliche Handlungen:

- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP/Server 2003 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP/Server 2003 Systemen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz

Bei der Bearbeitung der originären Windows NT Maßnahmen sollte zuerst anhand der Maßnahme M 2.91 Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server-Netz und zusätzlich, soweit Peer-to-Peer Funktionalität genutzt wird, auch der Maßnahme M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste eine Sicherheitsstrategie ausgearbeitet werden, da diese die Grundlage für die weiteren Maßnahmen ist.

Die eigentliche Planung des Windows NT Netzes sollte dann, wie in der Maßnahme M 2.93 Planung des Windows NT Netzes beschrieben, durchgeführt werden. Entsprechend den dabei erarbeiteten Vorgaben sollte zunächst ein Server installiert und mit einer kleinen Anzahl von Clients ausgetestet werden, um die festgelegten Strukturen optimieren und anpassen zu können, ehe sie in der Breite eingesetzt werden.

Für die unter Windows NT vernetzten Systeme sind, neben den hier genannten Maßnahmen, die im Baustein B 3.101 Allgemeiner Server beschriebenen Maßnahmen zu realisieren. Der Server sollte in einem separaten Serverraum aufgestellt werden. Zu realisierende Maßnahmen sind im Baustein B 2.4 Serverraum beschrieben. Alternativ kann ein Serverschrank verwendet werden, vergleiche Baustein B 2.7 Schutzschränke .

Für angeschlossene Clients sind die in den entsprechenden Bausteinen beschriebenen Maßnahmen zu realisieren. Soweit auch die Peer-to-Peer Funktionalität von Windows NT genutzt wird, sind außerdem die im Baustein B 5.1 Peer-to-Peer-Dienste genannten Maßnahmen zu realisieren.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Windows NT Netz" vorgestellt:

Planung und Konzeption

- M 2.91 (A) Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server-Netz
- M 2.93 (A) Planung des Windows NT Netzes
- M 4.50 (Z) Strukturierte Systemverwaltung unter Windows NT
- M 4.51 (Z) Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT
- M 4.76 (B) Sichere Systemversion von Windows NT
- M 5.36 (Z) Verschlüsselung unter Unix und Windows NT
- M 5.41 (C) Sichere Konfiguration des Fernzugriffs unter Windows NT
- M 5.42 (C) Sichere Konfiguration der TCP/IP-Netzverwaltung unter Windows NT
- M 5.43 (B) Sichere Konfiguration der TCP/IP-Netzdienste unter Windows NT

Umsetzung

- M 2.94 (B) Freigabe von Verzeichnissen unter Windows NT
- M 4.48 (A) Passwortschutz unter NT-basierten Windows-Systemen
- M 4.49 (A) Absicherung des Boot-Vorgangs für ein Windows NT/2000/XP System
- M 4.52 (A) Geräteschutz unter Windows NT/2000/XP
- M 4.53 (A) Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT
- M 4.55 (A) Sichere Installation von Windows NT
- M 4.57 (A) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (A) Schutz der Registrierung unter Windows NT/2000/XP
- M 4.77 (A) Schutz der Administratorkonten unter Windows NT

Betrieb

- M 2.92 (B) Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz
- M 4.54 (A) Protokollierung unter Windows NT
- M 4.56 (B) Sicheres Löschen unter Windows-Betriebssystemen

Notfallversorge

- M 6.42 (A) Erstellung von Rettungsdisketten für Windows NT
- M 6.43 (Z) Einsatz redundanter Windows NT/2000 Server
- M 6.44 (A) Datensicherung unter Windows NT