Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.414 Computer-Viren-Schutz für Domänen-Controller - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.414 Computer-Viren-Schutz für Domänen-Controller

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Für einen ausreichenden Schutz gegen Computer-Viren und andere Schadprogramme muss in einer Institution ein umfassendes Computer-Viren-Schutzkonzept umgesetzt werden. Die entsprechende Vorgehensweise wird im Baustein B 1.6 Computer-Viren-Schutzkonzept beschrieben. In dem Computer-Viren-Schutzkonzept sollten grundsätzlich auch die Domänen-Controller einer Institution berücksichtigt werden.

Damit die Nutzung eines Viren-Schutzprogramms auf einem Domänen-Controller keine negativen Auswirkungen auf den laufenden Betrieb hat, sind jedoch für Domänen-Controller einige Besonderheiten zu beachten.

Die Hinweise in dieser Maßnahme sind als allgemeine Hinweise zu verstehen. Unter Umständen müssen zusätzlich die speziellen Anweisungen des Herstellers des jeweils eingesetzten Viren-Schutzprogramms berücksichtigt werden.

Bei der Auswahl der Viren-Schutz-Software muss darauf geachtet werden, dass der Einsatz auf einem Domänen-Controller explizit unterstützt wird. Entscheidend ist dabei, dass die Viren-Schutz-Software die vom Betriebssystem-Hersteller vorgesehenen Programmierschnittstellen (Application Programming Interface, API) verwendet.

Bei der Verwendung falscher Programmierschnittstellen werden unter Umständen die Metadaten der untersuchten Dateien durch den Zugriff der Viren-Schutz-Software verändert. In diesem Fall ist es möglich, das der File Replication Service (FRS) des Betriebssystems eine Replizierung der vermeintlich geänderten Datei innerhalb der Organisation veranlasst. Solche unnötigen Replizierungen können zu einer verminderten Systemleistung führen und sollten daher vermieden werden. Weitere Details bezüglich kompatibler Viren-Schutzprogramme sind im Microsoft-Knowledge-Base-Artikel mit der Artikel-ID 815263 zu finden.

Die korrekte Funktionsweise der Viren-Schutz-Software sollte in einer Testumgebung vor dem endgültigen Einsatz in einer Produktivumgebung ausgiebig auf korrekte Funktionalität getestet werden. Die Testumgebung sollte dabei den Gegebenheiten der Produktivumgebung möglichst nachempfunden werden, um Auswirkungen auf die Gesamtleistung des Domänen-Controllers festzustellen.

Um die Einführung von Schadsoftware zu vermeiden, sollte auf Domänen-Controllern ausschließlich die Active-Directory-Funktionalität des Betriebssystems verwendet und möglichst keine weiteren Dienste angeboten werden. Insbesondere darf ein Domänen-Controller nicht als herkömmlicher Arbeitsplatz genutzt werden. So sollten lokal auf einem Domänen-Controller angemeldete Benutzer nicht in der Lage sein, im Internet zu surfen, E-Mails zu empfangen oder auf externe Datenträger, wie z. B. USB-Speichermedien oder DVD-ROMs, zuzugreifen.

Ebenso sollte der Domänen-Controller nicht als Dateifreigabe-Server genutzt werden. Werden auf dem Domänen-Controller Dateien per Dateifreigaben im Netz verfügbar gemacht, so werden diese Dateien vom Viren-Schutzprogramm bei jedem Zugriff auf Schadsoftware untersucht, was zu Performance-Einbußen auf dem Domänen-Controller führen kann. Dateifreigaben auf dem Domänen-Controller sollten somit deaktiviert werden.

Grundsätzlich sollte das Viren-Schutzprogramm alle Dateizugriffe transparent im Hintergrund überwachen. Allerdings existieren auf den Windows-Server-Betriebssystemen einige Dateien, z. B. Verzeichnisdienst-Datenbank, Protokolldateien, Datenbank des Dateireplikationsdienstes, die bei einem Zugriff durch ein Viren-Schutzprogramm die Funktionen des Domänen-Controllers beeinträchtigen können. Um unnötige Dateisperrungen durch das Viren-Schutzprogramm zu verhindern und den einwandfreien Betrieb des Domänen-Controllers sicherzustellen, sollten daher die folgenden Punkte beachtet werden.

Zugriff auf die Active Directory-Datenbank und Protokolldateien durch die Extensible Storage Engine (ESE)

Die Verzeichnisdienst-Datenbank und Protokolldateien werden vom Active Directory mittels ESE für den exklusiven Dateizugriff geöffnet. Daher kann die ESE nur auf die Dateien zugreifen, die nicht durch die Viren-Schutz-Software blockiert werden. Gleichzeitig kann die Viren-Schutz-Software nur auf die Dateien zugreifen, die nicht durch die ESE blockiert werden.

Sowohl die Datenbankdateien als auch die Protokolldateien verwenden Active-Directory-interne Prüfsummen, die durch den Dateizugriff eines Viren-Schutzprogramms ungültig werden und zu inkonsistenten Datenbanken führen können. Eine inkonsistente Datenbank kann zu einem Ausfall des Active Directory führen.

Daher sind folgende Dateien aus der regelmäßigen Virenüberprüfung auszuschließen:

Zugriff auf die Datenbank und Protokolldateien des Dateireplikationsdienstes (FRS) durch ESE

Wie bereits beschrieben, können durch den unsachgemäßen Einsatz von Viren-Schutzprogrammen bei Datenbank- oder Protokolldateizugriffen konkurrierende Zugriffe des Replikationsdienstes auftreten. Ebenso kann eine Änderung der internen Prüfsummen dieser Dateien zu einem Ausfall des Active Directory führen. Daher sollten folgende Dateien aus der regelmäßigen Virenüberprüfung ausgeschlossen werden:

Wird der Dateireplikationsdienst verwendet, um Windows-Freigaben zu replizieren, deren Verknüpfungsziel auf Windows Server Betriebssystemen liegt, so sind diese Dateien der SYSVOL-Ordner ebenfalls auszuschließen

Dateireplikation durch den Dateireplikationsdienst (File Replication Service, FRS)

Der Dateireplikationsdienst wird von den Windows-Server-Betriebssystemen für die Replizierung von Anmeldeskripten und Systemrichtlinien des SYSVOL-Ordners zwischen Domänen-Controllern verwendet. Werden die Metadaten (Sicherheitsinformationen oder Zeitstempel) einer Datei durch ein Viren-Schutzprogramm verändert, so wird die entsprechende Datei durch FRS zwischen den Domänen-Controllern erneut repliziert. Dieses Verhalten führt zu einer erhöhten Replizierung der SYSVOL-Dateien und damit zu

Um eine übermäßige Replikation zu verhindern, sollten folgende Punkte beachtet werden:

Update-Funktion des Microsoft Betriebssystems

Im Rahmen der Update-Funktion des Windows-Server-Betriebssystems ("Microsoft Update", "Windows Update" oder "Automatisches Update") kann das exklusive Zugriffsrecht für Dateien eines Viren-Schutzprogramms zu Problemen führen.

Um diese Probleme zu vermeiden, sollten folgende Dateien aus der regelmäßigen Virenüberprüfung ausgeschlossen werden:

Weitere Details zu den auszuschließenden Dateien finden sich online im Dokument Managing Domain Controllers im Microsoft Windows Server TechCenter und im Microsoft-Knowledge-Base-Artikel mit der Artikel-ID 822158, welcher Empfehlungen für die Suche nach Viren auf einem Windows Server 2003-, Windows 2000- oder Windows XP-Computer beschreibt.

Hinweise zur Einführung von Skriptsignaturen können den Hilfsmitteln zum IT-Grundschutz (siehe Virenprüfung durch Einführung von Skriptsignaturen in Hilfsmittel zum Baustein Active Directory) entnommen werden.

Prüffragen: