M 4.276 Planung des Einsatzes von Windows Server 2003
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Vor der Einführung von Windows Server 2003 sind umfangreiche Planungen durchzuführen, damit eine geregelte und auch sichere Einführung sowie in Folge ein sicherer Betrieb ermöglicht wird. Dabei ist zu gewährleisten, dass die festgelegten Sicherheitsrichtlinien (siehe M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server) eingehalten werden und so eine richtlinienkonforme Umsetzung erfolgt. Hierbei ist zu beachten, dass Windows Server 2003 in der Standardinstallation ohne bereits vorinstallierte Softwarekomponenten zur Verfügung steht, um den Betrieb später nicht benötigter Komponenten zu vermeiden. In Abhängigkeit des Einsatzszenarios ist zu definieren, für welche Serverrolle Windows Server 2003 geplant wird und welche Softwarekomponenten hierfür gegebenenfalls zusätzlich installiert werden müssen.
Die im Zusammenhang mit der Einführung bzw. dem Betrieb von Active Directory stehenden Fragestellungen bzw. Planungsschritte werden hier nur ansatzweise berücksichtigt.
Grobkonzept
Die Planung eines Windows Server 2003 erfolgt in mehreren Schritten. Ein definierter Anforderungskatalog gemäß M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware erleichtert die Planung erheblich und ist zu empfehlen.
Die konkrete Planung kann nach dem Prinzip des Top-Down-Entwurfes erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt. Im Grobkonzept werden beispielsweise folgende typische Fragestellungen behandelt:
- Wird ein neues Netz aufgebaut oder wird ein bestehendes Netz migriert?
- Soll ein existierendes Windows-Netz (z. B. basierend auf Windows 2000 Server) vollständig oder nur teilweise nach Windows Server 2003 migriert werden?
- Handelt es sich um einen zusätzlichen einzuführenden Server oder um das Upgrade eines existierenden Servers (siehe M 4.283 Sichere Migration von Windows NT 4 Server und Windows 2000 Server auf Windows Server 2003)?
- Welche Komponenten, z. B. Dateiserver, Druckserver, DNS-Server, werden ersetzt, welche bleiben erhalten?
- Müssen existierende Verfahren oder Komponenten, wie z. B. ein bestehendes Kerberos-System oder auch eine bestehende PKI, in Windows Server 2003 integriert werden? Hier sind u. a. die Interoperabilität mit anderen IT-Systemen sowie der angebotene Funktionsumfang zu berücksichtigen.
- Wird die geplante Konfiguration des Servers der zu erwartenden Datenmenge und Spitzenlast gerecht?
- Ist das Lizenzierungsmodell ausreichend und geeignet für das Bereitstellungskonzept und das Notfallkonzept?
- Ist ein Mischbetrieb von Windows Server 2003 und anderen Betriebssystemen, wie Windows 2000, Windows 95, Novell oder Unix, notwendig? Ist dies der Fall, so hat dies u. a. Einfluss auf die im System verwendeten Authentisierungsverfahren, die abhängig von den anderen eingesetzten Betriebssystemen auch Schwachstellen aufweisen und damit die Sicherheit der Windows-Server-2003 Umgebung insgesamt herabsetzen können. Der Sicherheitsstandard in der Mischumgebung sollte in einer IT-Sicherheitsrichtlinie festgelegt sein.
Rollenplanung
Im Rahmen der Erstellung von Teilkonzepten sollten die Serverrollen festgelegt werden. Das Bedienkonzept von Windows Server 2003 definiert mittels verschiedener Konfigurationsassistenten konkrete Rollen, welche zunächst als Ausgangsbasis für die Planung berücksichtigt werden sollten. Die Rollen sind in Abhängigkeit des Einsatzszenarios und der Anforderungsdefinition zu planen. In Teilkonzepten für die einzelnen Rollen müssen die spezifischen Anforderungen berücksichtigt werden, wie z. B. zu erwartende Datenmenge und Last, Kommunikationsprotokolle und -schnittstellen, Zugriffskonzept, Konfiguration der jeweiligen Betriebssystemkomponenten usw.
Rollen (Auswahl)
Serverrolle | Serverkonfigurations-Assistent | Manuelle Konfiguration | Sicherheitskonfigurations-Assistent |
---|---|---|---|
Dateiserver | x | x | |
Druckserver | x | x | |
Anwendungsserver | x | x | |
Mailserver | x | ||
Terminalserver | x | x | |
RAS/VPN-Server | x | x | |
Domänencontroller | x | x | |
DNS-Server | x | x | |
DHCP-Server | x | x | |
Streaming Media-Server | x | x | |
WINS-Server | x | x | |
Web-Server | x | x | |
Remote Installations-Server | x | x | |
Bastion-Host | x | ||
Zertifikatsserver | x | x |
Der Sicherheitskonfigurations-Assistent unterstützt eine große Zahl weiterer Serverrollen von Microsoft-Produkten, z. B. die Rolle des Datenbankservers.
Kombination von Serverrollen
Rollen können kombiniert werden, um sowohl Beschaffungskosten als auch den Administrationsaufwand zu verringern. Kombinationsmöglichkeiten sind hauptsächlich durch folgende Aspekte beschränkt:
- Sicherheit/Schutzbedarf des IT-Systems
- designbedingte Beschränkungen von Windows Server 2003
-
Skalierbarkeitsanforderungen
Nachfolgende Möglichkeiten der Rollenverteilung sind Empfehlungen. In jedem Fall sind die geplanten Rollenkombinationen zu testen.-
Anwendungsserver, Zertifikatsserver, Webserver, RAS/VPN-Server:
Diese Rollen sollten hauptsächlich aus Gründen der Sicherheit jeweils getrennt von anderen Rollen verwendet werden. -
Terminalserver, Druckserver:
Diese Rollen sind hauptsächlich aus Design- und Skalierbarkeitsgründen von anderen Rollen zu trennen. Zum Beispiel werden auf Druckservern Treiber von anderen Herstellern installiert, die die Verfügbarkeit des Servers beeinträchtigen können. -
Bastion Host:
Ein Bastion-Host ist ein abzusichernder Computer, der direkt mit dem Internet verbunden ist. Bastion-Hosts werden in der Regel als Webserver, DNS-Server, FTP-Server, SMTP-Server und als NNTP-Server eingesetzt. Die Rolle des Bastion-Hosts eignet sich für Server im exponierten Bereich und sollte nicht mit anderen Serverrollen kombiniert werden.
-
Anwendungsserver, Zertifikatsserver, Webserver, RAS/VPN-Server:
-
Kombinationen
- Infrastrukturdienste können gemeinsam auf einem Server betrieben werden. Kommt Active Directory zum Einsatz, empfiehlt sich die Integration von DNS auf den Domänencontrollern. Bei erhöhten Sicherheitsanforderungen in mittleren und großen Umgebungen sollte WINS nicht auf dem Domänencontroller integriert werden.
- In vielen Fällen bietet es sich an, einem Dateiserver weitere Rollen hinzuzufügen, z. B. Infrastrukturdienste. Auch die Rolle des Streaming-Media-Servers könnte von einem Dateiserver übernommen werden.
Die Verwendung von Remoteinstallationsdiensten (RIS) ist auf einem Dateiserver möglich, zum Beispiel im Rahmen von Helpdesk-Szenarien. Hierbei kann jedoch die Sicherheit des Servers durch die Remoteinstallationsdienste beeinträchtigt werden.
Die Dienste der Mailserverrolle können für bestimmte administrative oder infrastrukturelle Einsatzzwecke mit anderen Rollen kombiniert werden. Hier sollte seitens der Anforderungsdefinition klar von der Rolle des Bastion-Hosts unterschieden werden.
-
Weitere Serverapplikationen und -dienste
- Die Internet Information Services (IIS) enthalten Basisdienste für verschiedene Serverrollen (z. B. Webserver) und stellen selbst keine eigene Serverrolle dar. Bei der Planung sollte unter Sicherheitsgesichtspunkten zwischen statischen und dynamischen IIS-Komponenten unterschieden werden.
- Weitere Serverrollen können durch Zusatzsoftware bereitgestellt werden. Die Verträglichkeit mit den Standardrollen ist im Einzelfall abzuwägen, dabei sind die bei den oben zur Kombination von Rollen beschriebenen möglichen Konflikte zu berücksichtigen. Die Planung sollte auf Basis der Ergebnisse des Software-Auswahlprozesses (siehe B 1.10 Standardsoftware) erfolgen.
- 16-bit-Anwendungen und sonstige veraltete Software, die keine Sicherheitsmechanismen auf Anwendungsebene bieten bzw. die Mechanismen von Windows Server 2003 nicht unterstützen, stellen ein erhöhtes Sicherheitsrisiko für den Server dar. Daher sind besondere Anforderungen der Absicherung auf Daten- und Netzwerkebene bei der Planung der Windows Server 2003 Umgebung zu berücksichtigen. Dies ist sowohl technisch als auch organisatorisch relevant.
-
Rollen in heterogenen Umgebungen
- Heterogene Serverumgebungen mit vorhandenen Diensten und Rollen beeinflussen ebenfalls die Rollenplanung, vor allem wenn vorhandene Dienste in Windows Server 2003 überführt, konsolidiert oder wenn bestimmte Rollen parallel auf verschiedenen Plattformen realisiert werden sollen (das klassische Beispiel hierfür ist DNS). Letztlich ist die Rollenplanung auch vom Format und den Migrationsmöglichkeiten vorhandener Datenbestände und Produktionssysteme und der damit verbundenen mittel- und langfristigen Strategie abhängig.
Überlegungen zur Konfiguration des Servers
Die Dimensionierung der Hardware erfolgt unter den Gesichtspunkten Performance, Verfügbarkeit und Serverrolle.
Für die Performance sollten die Mindestanforderungen des Herstellers sowie der Anforderungskatalog berücksichtigt werden. Lastsimulationstools von der Microsoft-Website oder von Serverherstellern ermöglichen eine Vorhersage des Lastverhaltens von Windows Server 2003 Komponenten. Insbesondere die Maximalzahl gleichzeitiger Benutzer ist sorgfältig und prognostisch einzuschätzen. Bei hoher Benutzerzahl bzw. Nutzungsintensität ist die Zusammenfassung mehrerer Server zu einem Cluster zu erwägen.
Die geplanten Serverrollen und Serverapplikationen, die voraussichtliche Last sowie die zu erwartende Datenmenge entscheiden über weitere Parameter der Hardwarekonfiguration. Wichtige Parameter sind z. B. die Aufteilung von Festplatten-Arrays und das Partitionslayout. Die Einrichtung unabhängiger Festplatten-Arrays (RAID-Level) ist aus Performance- und Verfügbarkeitsgründen für bestimmte Serverrollen zu empfehlen, z. B. Dateiserver oder Datenbankserver. Die Software-RAID-Varianten von Windows Server 2003 ermöglichen es, kurzfristig und kostengünstig eine Datenredundanz zu konfigurieren. Sie eignen sich jedoch nicht für Performance-Steigerung und können auch einen Plattenausfall im laufenden Betrieb meist nicht kompensieren. Hardware-RAID-Level sind bei der Planung in jedem Fall zu bevorzugen.
Die Planung des Partitionslayouts sollte sich am zu erwartenden Datenaufkommen und an der logischen Trennung verschiedener Datenarten orientieren. Z. B. ist eine Partition sinnvoll, die nur das Betriebssystem und Programmdateien enthält. Nutzdaten oder temporäre Daten sollten auf separate Partitionen, die sich gegebenenfalls auf anderen Disk Arrays befinden, verteilt werden. Bei Windows Server 2003 mit Service Pack 1 oder früher sind Datenträgerkontingente nur auf Partitions- bzw. Volumeebene konfigurierbar.
Netzanbindung
Im Rahmen der Einsatzplanung von Windows Server 2003 ist es notwendig, in Abhängigkeit der gewählten Serverrolle eine geeignete Netzanbindung zu berücksichtigen. Die benötigten Kommunikationsprotokolle können aus der Serverrolle(n) abgeleitet werden. Hier ist zu prüfen, ob die Kommunikationsprotokolle mit dem Netzkonzept, den Sicherheitsrichtlinien für die Kommunikationsprotokolle und gegebenenfalls dem Konzept für die Sicherheitsgateways in Konflikt stehen. Der Datendurchsatz am Server kann aufgrund des zu erwartenden Zugriffsaufkommens durch Clients dimensioniert werden. Im Fall von verschlüsselten Zugriffen sind die Performanceeinbußen zu berücksichtigen. Entsprechend sollte die Leistungsfähigkeit skaliert werden, z. B. durch schnellere Prozessoren und Netzwerkadapter oder softwareseitig mit Hilfe des Netzlastenausgleichs in einem Cluster unter Windows Server 2003. Sowohl die Kommunikationsprotokolle als auch der Datendurchsatz sind wesentliche Merkmale der Verfügbarkeit und müssen sorgfältig geplant werden.
Bei der Planung eines Servers, auf den über unsichere Netze zugegriffen werden kann oder der sich in einer besonders exponierten Lage befindet, zum Beispiel Webserver mit Anbindung zum Internet, müssen erhöhte Sicherheitsanforderungen beachtet werden. Bei der Planung für Server in exponierter Lage kann prinzipiell analog zur Planung von Servern im geschützten Bereich vorgegangen werden, jedoch ist bei allen Planungsaspekten von einer stark erhöhten Bedrohung durch Einbruchsversuche, Denial-of-Service-Attacken oder sonstigen Kompromittierungsversuchen auszugehen. Außerdem muss konzeptionell festgelegt werden, wie der oder die Server vom lokalen Netz isoliert werden und wie gegebenenfalls die Kommunikation mit dem lokalen Netz abgesichert werden kann. Als Beispiel sind Sicherheitsgateways und DMZ-Anordnung zu nennen.
Grundsätzlich nicht empfehlenswert ist der Einsatz von Mitgliedsservern einer geschützten Active-Directory-Umgebung in exponierter Lage oder DMZ. Die Sicherheitskontexte sollten entsprechend getrennt werden.
Möglichkeiten des Zugriffs
Bei der Einsatzplanung ist auch zu berücksichtigen, welche Zugriffswege ermöglicht werden müssen bzw. sollen (NetBIOS-Freigaben, WebDAV, DFS usw.). Hinsichtlich der Absicherung der Kommunikation sind gegebenenfalls die Maßnahmen M 4.277 Absicherung der SMB-, LDAP- und RPC-Kommunikation unter Windows Server 2003 und M 5.132 Sicherer Einsatz von WebDAV unter Windows Server 2003 zu berücksichtigen. Die Notwendigkeit jedes zugelassenen Zugriffswegs ist zu begründen.
Überlegungen zur Administration des Servers
Im Rahmen der Planung des Einsatzes sollten folgende weiterführende Aspekte berücksichtigt werden. Eigene Teilkonzepte hierfür sind zu empfehlen, vorhandene Konzepte sollten ergänzt werden.
- Planung der Administration (M 2.364 Planung der Administration für Windows Server 2003), dies beinhaltet auch eventuell erforderliche Zusatzsoftware für die Administration
- Überwachung (Monitoring, Protokollierung, Auswertung), siehe M 2.365 Planung der Systemüberwachung unter Windows Server 2003
- Patchmanagement, Updates
- Bereitstellung (M 4.281 Sichere Installation und Bereitstellung von Windows Server 2003 , M 4.283 Sichere Migration von Windows NT 4 Server und Windows 2000 Server auf Windows Server 2003)
- Übernahme bestehender Daten
Festlegungen zu diesen Aspekten sollten in der Sicherheitsrichtlinie für Windows Server 2003 getroffen und bei der weiteren Planung berücksichtigt werden. Vor dem produktiven Einsatz sollte die Richtlinie in verbindlicher Form vorliegen.
Lizenzmodell
Geeignete Lizenzmodelle sind abhängig vom Einsatz der Windows-Systeme. Für die Lizenzkontrolle wird Windows Server 2003 vom Hersteller mit Produktschlüssel und Produktaktivierung ausgeliefert. Es ist darauf zu achten, dass der betrachtete IT-Verbund ausreichend lizenziert ist und das für das einzelne Windows Server 2003 System eine aktivierbare oder aktivierungsfreie Installationsquelle und Lizenz verfügbar ist. Dies ist gegebenenfalls im Bereitstellungskonzept und im Notfallkonzept zu berücksichtigen.
Ergänzende Kontrollfragen:
- Sind die benötigten Serverrollen identifiziert und auf Verträglichkeit überprüft worden?
- Ist die benötigte Interoperabilität mit anderen IT-Systemen gegeben?
- Entspricht die Netzanbindung hinsichtlich Kapazität und Sicherheit den Anforderungen?