M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Zum geregelten Betrieb eines Windows 2000 Netzes werden neben der reinen Betriebssystemsoftware zusätzliche Dienste benötigt. Als wichtigster Dienst zum Betrieb einer Windows 2000 Domänenstruktur steht der Active Directory Service (ADS) zur Verfügung, der damit eine zentrale Stellung einnimmt. Die Sicherheit eines Windows 2000 Netzes hängt wesentlich von der Konfiguration des Active Directories ab, die daher der sorgfältigen Planung und Umsetzung bedarf (siehe dazu M 2.229 Planung des Active Directory, M 2.230 Planung der Active Directory-Administration, M 2.231 Planung der Gruppenrichtlinien unter Windows, M 3.27 Schulung zur Active Directory-Verwaltung). Daneben existieren weitere Windows 2000 Dienste, die je nach Bedarf (siehe M 2.227 Planung des Windows 2000 Einsatzes) weitere Funktionen übernehmen können. Beispiele für wichtige Dienste sind:
- DDNS-Dienst und WINS-Dienst zur Namensauflösung,
- DHCP-Dienst zur dynamischen Verwaltung von IP-Adressen,
- DFS-Dienst zum Aufbau virtueller, unternehmensweiter Dateibäume,
- Windows PKI-Dienste zur Verwaltung von Zertifikaten,
- Windows RRAS-Dienst für den Remote-Zugang.
Als Voraussetzung für die Sicherheit eines Windows 2000 Netzes muss die sichere Konfiguration jedes einzelnen eingesetzten Dienstes erfolgen. Dies gilt auch für die sichere Konfiguration der Zusammenarbeit einzelner Dienste (z. B. DDNS und DHCP).
Folgendes ist für die betrachteten Dienste zu berücksichtigen:
- Der DDNS (Dynamic Domain Name Service) ist zwingend einzusetzen, wenn eine Windows 2000 Domäne aufgebaut werden soll, da das AD auf DNS als Namensdienst angewiesen ist. Daher kommt der Integrität und Konsistenz der Daten des DNS eine besondere Bedeutung unter Windows 2000 zu. Fehler in den DNS-Daten oder ein Ausfall des DNS-Servers haben zur Folge, dass z. B. sämtliche Anmeldeversuche fehlschlagen, wenn keine Ausweichserver zur Verfügung stehen. Betroffen sind hiervon auch die Anmeldeversuche eines Administrators direkt am DC. Hinweise zur sicheren Konfiguration finden sich in M 4.141 Sichere Konfiguration des DDNS unter Windows 2000.
- Der WINS (Windows Internet Name Service) Dienst ist zum Betrieb einer reinen Windows 2000 Domäne nicht notwendig und muss daher nicht betrieben werden. Da ein Windows 2000 Netz jedoch meistens durch die Migration eines bestehenden Netzes aufgebaut wird und dadurch zumindest übergangsweise meist auch Altsysteme vorhanden sind, muss WINS in der Regel weiter eingesetzt werden. Dies ist insbesondere dann notwendig, wenn WINS-basierte Applikationen existieren, die nicht migriert werden können. Durch den Parallelbetrieb von DDNS und WINS ergibt sich zusätzlich das Problem der Konsistenz der jeweils gehaltenen Daten. Hinweise zur sicheren Konfiguration von WINS finden sich in M 4.142 Sichere Konfiguration des WINS unter Windows 2000.
- DHCP (Dynamic Host Configuration Protocol) bietet die Möglichkeit, Rechner dynamisch mit IP-Adressen zu versehen. Einem so genannten DHCP-Server wird eine Menge von IP-Adressen übergeben, die er auf Anfrage von DHCP-Clients dem anfragenden Rechner zuteilen kann. Die IP-Adressen werden dabei nur für eine bestimmte Zeit, die so genannte Lease-Zeit, zugeteilt. Ist diese abgelaufen, muss eine erneute Anfrage an den DHCP-Server gestellt werden. Hierbei kann eine neue IP-Adresse angefragt oder die Lease-Zeit der alten Adresse verlängert werden. Ein Rechner kann die IP-Adresse auch vor Ablauf der Lease-Zeit wieder freigeben. Aufgrund der dynamischen Zuordnung von IP-Adresse zu Rechner und demzufolge auch zum Rechnernamen, muss bei Änderungen der Zuordnung auch eine Änderung im Namensdienst (DDNS) erfolgen. Aus Sicherheitssicht ergibt sich dabei das Problem, die Konsistenz der Namen zur IP-Adressen-Zuordnung innerhalb des DDNS angesichts ständig wechselnder Zuordnungen zu gewährleisten. Hinweise zur sicheren Konfiguration und Nutzung von DHCP finden sich in M 4.143 Sichere Konfiguration des DHCP unter Windows 2000. Wenn es organisatorisch möglich ist, sollte eine feste Bindung von IP-Adressen an die MAC-Adressen der Netzwerkkarten in den einzelnen Rechnern angestrebt werden und keine voll dynamische Vergabe erfolgen. Dies erleichtert zudem die Auswertung von Protokollen auf anderen Systemen, wie z. B. Firewalls.
- Neben den Windows 2000 Systemmechanismen zur Authentisierung und Absicherung von Kommunikationskanälen erlaubt Windows 2000 zusätzlich die Verwendung PKI-basierter (Public Key Infrastructure) Verfahren. Zur Verwaltung der dabei eingesetzten Schlüssel und Zertifikate stellt Windows 2000 PKI-Komponenten zur Verfügung. Die Kernkomponente einer PKI-Architektur ist die Ausgabestelle für Zertifikate (Certificate Authority, CA). Hinweise zum Umgang und zur sicheren Konfiguration der Windows 2000 CA finden sich in M 4.144 Nutzung der Windows 2000 CA. Es muss jedoch darauf hingewiesen werden, dass die Planung und der Betrieb einer PKI Sorgfalt und Zeit benötigen und auch die lokalen Anforderungen berücksichtigt werden müssen. Die angeführten Empfehlungen beziehen sich daher nur auf die technischen Besonderheiten der Windows CA.
- Auch unter Windows 2000 steht mit dem Dienst RRAS (Routing & Remote Access Service) die Möglichkeit zur Verfügung, per Einwahl aus der Entfernung auf Ressourcen eines Windows 2000 Netzes zuzugreifen. Außerdem ist es hiermit möglich, abgesicherte VPN (Virtual Private Networking) Verbindungen zwischen Teilnetzen verschiedener Standorte herzustellen. Wird Benutzern die Möglichkeit zur Einwahl eröffnet, ergeben sich automatisch neue Gefährdungen für ein Windows 2000 Netz. Nun spielt auch die Sicherheit der zur Einwahl benutzten Rechner, z. B. am heimischen Arbeitsplatz (siehe dazu auch Baustein B 5.8 Telearbeit), und die Sicherheit bei der Kontaktaufnahme (Authentisierung, Absicherung der Kommunikation) eine Rolle für die Sicherheit des internen Netzes. Weitere Hinweise zu den Windows 2000 spezifischen Aspekten finden sich in M 4.145 Sichere Konfiguration von RRAS unter Windows 2000.
Abschließend muss darauf hingewiesen werden, dass die Konfiguration einzelner Dienste immer von lokalen Gegebenheiten oder Anforderungen abhängt. Die Konfiguration muss immer im Kontext gesehen werden. Im Einzelfall muss sogar aufgrund lokaler Gegebenheiten auf weniger sichere Konfigurationen ausgewichen werden. In diesen Fällen ist es jedoch wichtig, dann zusätzliche Schutzmaßnahmen einzusetzen, die geeignet sind, die fehlende Sicherheit in der Dienstkonfiguration auszugleichen. Beispiele hierfür sind der Einsatz einer zusätzlichen Firewall oder auch organisatorische Maßnahmen.
Ergänzende Kontrollfragen:
- Wurden die benötigten Infrastrukturdienste sinnvoll im Netz angesiedelt?
- Wurde eine Anhäufung von Diensten auf wenigen Rechnern vermieden?
- Kann auf den zusätzlichen Einsatz von WINS verzichtet werden?
- Wurde die Konfiguration der Dienste DDNS und DHCP aufeinander abgestimmt?