Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 3.106 Server unter Windows 2000 - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 3.106 Server unter Windows 2000

LogoWindows 2000 Server

Beschreibung

Windows 2000 ist das Nachfolgeprodukt zum Betriebssystem Windows NT, das häufig eingesetzt wird, um kleine, mittlere und auch große Rechnernetze aufzubauen. Es ist zu erwarten, dass Windows 2000 in Zukunft die Rolle von Windows NT übernimmt, so dass mit einer entsprechend großen Verbreitung zu rechnen ist. Die Sicherheit eines solchen Betriebssystems spielt eine wichtige Rolle, da Schwachstellen auf der Betriebssystemebene die Sicherheit aller Anwendungen beeinträchtigen können. Der vorliegende Baustein beschreibt die aus Sicherheitssicht relevanten Gefährdungen und insbesondere auch Maßnahmen, die für einen Server mit Windows 2000 zutreffen.

Windows 2000 Produkte im Überblick

Die Windows 2000 Produktfamilie umfasst die Arbeitsplatz-Variante "Microsoft Windows 2000 Professional", die vergleichbar mit der Workstation Version von Microsoft Windows NT ist (siehe dazu Baustein B 3.209 Client unter Windows XP) und drei verschiedene Server-Versionen:

Die einzelnen Versionen des Microsoft Windows 2000 Server Betriebssystems unterscheiden sich dabei hauptsächlich in der Skalierbarkeit. Die unterstützte Hardware-Ausstattung liegt z. B.

Die zugrunde liegende Architektur der Software und die verfügbaren Dienste unterscheiden sich nur in wenigen Punkten. So unterstützen z. B. der Advanced Server und der Datacenter Server im Gegensatz zur Windows 2000 Server Software auch Clustering-Mechanismen, mit denen mehrere physikalische Rechner zu einem virtuellen Rechner mit erhöhter Ausfallsicherheit zusammengeschaltet werden können.

Hauptunterschiede zu Windows NT

Windows 2000 bietet im Vergleich zu Windows NT einige neue Sicherheitsmechanismen. Hauptsächlich ist hier das Kerberos-Protokoll zu nennen, das von Windows 2000 standardmäßig als Authentisierungsverfahren benutzt wird. Das NTLM-Verfahren von Windows NT kann ebenfalls zur Authentisierung benutzt werden, so dass ein gemeinsamer Betrieb von Windows NT und Windows 2000 Rechnern innerhalb einer Windows 2000 Domäne möglich ist.

Durch die Verwendung des Kerberos-Verfahrens wird es einfacher, die Authentisierung von Benutzern zu delegieren. Dies ist eine der Voraussetzungen für den Betrieb großer Windows 2000 Netze, in denen sich Benutzer auch über Domänengrenzen hinweg authentisieren können.

Eine der wichtigsten neuen Komponenten unter Windows 2000 ist das Active Directory. Dabei handelt es sich um eine verteilte Datenbank, die die Benutzer- und Konfigurationsdaten einer Domäne auf mehrere Domänen-Controller verteilt. Änderungen können an jedem Domänen-Controller vorgenommen werden. Die Domänen-Controller replizieren diese Änderungen untereinander. Durch die Verwendung des Active Directory werden größere Domänen möglich als bei Windows NT. Zum einen kann die Active Directory Datenbank wesentlich mehr Einträge fassen, als die SAM- Benutzerdatenbank eines Windows NT Domänen-Controllers. Zum anderen lässt sich aufgrund der verteilten Struktur des Active Directories die Last besser auf mehrere Domänen-Controller verteilen, als dies bei Windows NT der Fall ist.

Unter Sicherheitsaspekten spielt das Active Directory eine wichtige Rolle, da es

Sollte der Windows 2000 Server die Rolle eines Domänen Controller in einer Active Directory Gesamtstruktur übernehemen, so ist der Baustein B 5.16 Active Directory gemäß der Modellierungsanweisung anzuwenden.

Weitere sicherheitsspezifische Neuerungen von Windows 2000 sind

Ein weiterer Punkt, in dem sich Windows NT und Windows 2000 unterscheiden, ist die Voreinstellung der Zugriffsrechte auf das Dateisystem: Unter Windows 2000 lassen sich diese Zugriffsrechte restriktiver konfigurieren als unter Windows NT. Eine solche restriktive Konfiguration ist nicht zwingend erforderlich, unter Sicherheitsgesichtspunkten jedoch wünschenswert. Ihre Verwendung kann jedoch zu Problemen mit Windows NT Applikationen führen, die für eine solche Rechtekonfiguration nicht ausgelegt sind.

Gefährdungslage

Wie jedes IT-System ist auch ein Netz von Microsoft Windows 2000 Rechnern vielfältigen Gefahren ausgesetzt. Dabei sind neben Angriffen von außen auch Angriffe von innen möglich. Oft nutzen erfolgreiche Angriffe Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten. Daher kommt der korrekten Konfiguration des Systems und seiner Komponenten eine wichtige Rolle zu. Generell gilt, dass die Gefährdungslage einzelner Rechner immer auch vom Einsatzszenario abhängt und diese Einzelgefährdungen auch in die Gefährdung des Gesamtsystems eingehen.

Für den IT-Grundschutz eines servergestützten Netzes unter dem Betriebssystem Microsoft Windows 2000 werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.18 Ungeregelte Weitergabe von Datenträgern

Menschliche Fehlhandlungen:

- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.48 Fehlerhafte Konfiguration von Windows 2000/XP/Server 2003 basierten IT-Systemen

Technisches Versagen:

- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische CD-ROM-Erkennung
- G 4.35 Unsichere kryptographische Algorithmen

Vorsätzliche Handlungen:

- G 5.7 Abhören von Leitungen
- G 5.23 Computer-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP/Server 2003 System
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP/Server 2003 Systemen
- G 5.83 Kompromittierung kryptographischer Schlüssel
- G 5.84 Gefälschte Zertifikate
- G 5.85 Integritätsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den erfolgreichen Aufbau eines Windows 2000 Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Installation bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

  1. Nach der Entscheidung, Windows 2000 als internes Betriebssystem einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Folgende Maßnahmen sind durchzuführen:
    • Zunächst muss der Aufbau bzw. die Migration eines Windows 2000 Systems geplant werden (siehe Maßnahme M 2.227 Planung des Windows 2000 Einsatzes ).
    • Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Maßnahme M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie ), die einerseits die bereits bestehenden Sicherheitsrichtlinien im Windows 2000-Kontext umsetzt und andererseits die für Windows 2000 spezifischen Erweiterungen definiert.
    • Die Benutzer bzw. die Administratoren haben einen wesentlichen Einfluss auf die Windows 2000 Sicherheit. Vor der tatsächlichen Einführung von Windows 2000 müssen die Benutzer und Administratoren daher für den Umgang mit Windows 2000 und dessen Komponenten geschult werden. Insbesondere für Administratoren empfiehlt sich aufgrund der Komplexität in der Planung und in der Verwaltung eines Windows 2000-Systems eine intensive Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben, so dass eine konsistente und korrekte Systemverwaltung gewährleistet ist.
    • Benutzern sollte insbesondere die Nutzung der Windows 2000 Sicherheitsmechanismen vermittelt werden (siehe M 3.28 Schulung zu Windows 2000 Sicherheitsmechanismen für Benutzer ). Hier spielt als neuer Dateisystemmechanismus EFS - das verschlüsselnde Dateisystem - eine Rolle, da die Sicherheit von EFS von der korrekten Konfiguration und Nutzung abhängt. Hinweise dazu finden sich unter M 4.147 Sichere Nutzung von EFS unter Windows 2000/XP .
  2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation des Windows 2000-Systems erfolgen. Dabei sind die folgenden Maßnahmen zu beachten:
    • Schon die Installation muss mit besonderer Sorgfalt durchgeführt werden, da insbesondere die Sicherheitskonfiguration während der Installation noch nicht erfolgt ist. In M 4.136 Sichere Installation von Windows 2000 sind die relevanten Empfehlungen zusammengefasst.
    • Nach der reinen Installation muss ein Windows 2000 System konfiguriert werden. Die dabei zu beachtenden Aspekte finden sich in M 4.137 Sichere Konfiguration von Windows 2000 . Dabei kommt unter anderem auch zum tragen, für welchen Einsatzzweck ein Windows 2000 Rechner geplant ist, auf die jeweils relevanten Maßnahmen wird dort entsprechend verwiesen.
    • Die sichere Konfiguration eines Windows 2000 Systems hängt nicht nur von der sicheren Konfiguration des Betriebssystems ab, die Windows 2000 Sicherheit hängt auch wesentlich von systemnahen Diensten ab. Die relevanten Dienste sowie Verweise auf dienstespezifische Maßnahmen finden sich in M 4.140 Sichere Konfiguration wichtiger Windows 2000 Dienste .
  3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:

Nachfolgend wird nun das Maßnahmenbündel für den Baustein "Windows 2000" vorgestellt.

Planung und Organisation

- M 2.227 (A) Planung des Windows 2000 Einsatzes
- M 2.228 (A) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.231 (A) Planung der Gruppenrichtlinien unter Windows 2000
- M 2.232 (B) Planung der Windows 2000/2003 CA-Struktur
- M 2.233 (B) Planung der Migration von Windows NT auf Windows 2000
- M 4.147 (Z) Sichere Nutzung von EFS unter Windows 2000/XP

Umsetzung

- M 4.48 (A) Passwortschutz unter NT-basierten Windows-Systemen
- M 4.75 (A) Schutz der Registrierung unter Windows NT/2000/XP
- M 4.136 (A) Sichere Installation von Windows 2000
- M 4.137 (A) Sichere Konfiguration von Windows 2000
- M 4.139 (A) Konfiguration von Windows 2000 als Server
- M 4.140 (A) Sichere Konfiguration wichtiger Windows 2000 Dienste
- M 4.141 (A) Sichere Konfiguration des DDNS unter Windows 2000
- M 4.142 (B) Sichere Konfiguration des WINS unter Windows 2000
- M 4.143 (B) Sichere Konfiguration des DHCP unter Windows 2000
- M 4.144 (B) Nutzung der Windows 2000 CA
- M 4.145 (A) Sichere Konfiguration von RRAS unter Windows 2000
- M 4.149 (A) Datei- und Freigabeberechtigungen unter Windows 2000/XP
- M 5.89 (A) Konfiguration des sicheren Kanals unter Windows 2000/XP
- M 5.90 (Z) Einsatz von IPSec unter Windows 2000/XP

Betrieb

- M 4.56 (C) Sicheres Löschen unter Windows-Betriebssystemen
- M 4.146 (A) Sicherer Betrieb von Windows 2000/XP
- M 4.148 (B) Überwachung eines Windows 2000/XP Systems

Notfallvorsorge

- M 6.43 (Z) Einsatz redundanter Windows NT/2000 Server
- M 6.76 (C) Erstellen eines Notfallplans für den Ausfall von Windows 2000/XP/2003-Systemen
- M 6.77 (A) Erstellung von Rettungsdisketten für Windows 2000
- M 6.78 (A) Datensicherung unter Windows 2000/XP