M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Werden in einem servergestützten Netz auf Clients Peer-to-Peer-Dienste aktiviert, so werden dadurch neue Kommunikationsmöglichkeiten geschaffen, die auf dem Server nicht protokolliert werden.
In einer solchen Konstellation ist der Parallelbetrieb der beiden Netzstrukturen nicht sinnvoll, da die gewünschte Funktionalität im Allgemeinen vom Server übernommen werden kann. Daher sollte in einem servergestützten LAN auf eine Installation der Peer-to-Peer-Funktionalität ganz verzichtet werden. Der Administrator sollte im Einzelfall entscheiden, ob auf speziellen Clients Peer-to-Peer-Dienste freigeschaltet werden, beispielsweise die Funktionalitäten "Dateifreigabe" und "Netz-DDE-Freigabe" unter Windows. Druckdienste auf Clients können in bestimmten Fällen eine sinnvolle Ergänzung sein.
Unter Windows NT/2000/XP können nur Administratoren Ressourcen zum Netzzugriff (unter Verwendung des Dateimanagers bzw. Explorers) freigeben. Vor einer derartigen Freigabe ist zu prüfen, ob sie mit den festgelegten Sicherheitsstrategien zu vereinbaren ist (siehe auch M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste, M 2.91 Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server-Netz, M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie und M 2.325 Planung der Windows XP Sicherheitsrichtlinie).
Ähnliches gilt für Clients unter Unix bzw. Linux. Auch hier sind für die Bereitstellung von Ressourcen im Netz in der Regel Administrator-Rechte erforderlich.
Ergänzende Kontrollfragen:
- Wer hat entschieden, ob Peer-to-Peer-Funktionen in einem servergestützten Netz zum Einsatz kommen sollen?