Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 2.114 Uneinheitliche Windows-Server-2003-Sicherheitseinstellungen bei SMB, RPC und LDAP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 2.114 Uneinheitliche Windows-Server-2003-Sicherheitseinstellungen bei SMB, RPC und LDAP

Die beiden in der Windows-Welt essentiellen Kommunikations-Protokolle SMB/CIFS und LDAP wurden vom Hersteller mit erweiterten Signierungs- und Verschlüsselungsmechanismen ausgestattet. Sie dienen der Verschlüsselung und Authentisierung dieser an sich unsicheren Protokolle. Unter Windows Server 2003 sind einige der Mechanismen schon in den Einstellungen der lokalen Sicherheitsrichtlinie vorkonfiguriert. Der Einsatz dieser Mechanismen betrifft die Kommunikation mit allen beteiligten Windows-Servern im Netz sowie viele Basisdienste von Windows und hat Auswirkungen auf den gesamten Netzbereich. Wenn diese Einstellungen nicht flächendeckend ordnungsgemäß und konsistent eingestellt werden, sind schwer nachvollziehbare Seiteneffekte bis hin zu Fehlfunktionen einzelner Windows-Server und -Clients die Folge.

Durch Fehlkonfiguration, falsches Vorgehen und falsche Aktivierungsreihenfolge beim Vornehmen der Signierungs- und Verschlüsselungseinstellungen zu SMB und LDAP kann die Verfügbarkeit für weite Teile des Windows-Netzes stark beeinträchtigt werden. Bei größeren Umgebungen kann das Zurückversetzen des Windows-Netzes in einen funktionstüchtigen Zustand sehr hohen Aufwand verursachen, da in einer solchen Situation viele netz-basierte Verwaltungs- und Steuerungsfunktionen gestört sind.

Insbesondere für Domänen-Controller stellen inkonsistente Einstellungen innerhalb der Domäne eine große Gefahr dar, weil sich entsprechende Symptome (Störung von Verwaltungsfunktionen wie z. B. Gruppenrichtlinien) unter Umständen erst nach einer gewissen Zeit bemerkbar machen.

Ältere Windows-Versionen sind nicht ohne weiteres kompatibel zu den erhöhten Sicherheitseinstellungen für SMB, RPC und LDAP. Zum Beispiel sind Vertrauensstellungen ohne Kerberos-Authentisierung, wie sie in großen, standortübergreifenden IT-Verbünden genutzt werden, nicht ohne weiteres zu den erhöhten Sicherheitseinstellungen kompatibel. Durch unzureichende Analyse aller betroffenen IT-Systeme und eine unzureichende Planung des Einsatzes können unerwartete Kommunikationsstörungen in allen Bereichen die Verfügbarkeit insgesamt stark einschränken. Eine unzureichende Planung kann dadurch hohe Folgekosten bei der Realisierung nach sich ziehen.

Beispiel:

In großen Umgebungen kann es zu Schwierigkeiten beim Domänenbeitritt eines Servers sowie zu Problemen mit Vertrauensstellungen kommen, wenn keine Kerberos-basierte Vertrauensstellung verwendet wird. Anmeldeversuche schlagen sporadisch fehl, obwohl das richtige Kennwort eingegeben wurde. Dies kommt durch unterschiedlich konfigurierte Domänencontroller zustande, die zufällig für Authentisierungsversuche ausgewählt werden. Auch Applikationen können in ihrer Funktionsweise beeinträchtigt werden.

In großen Umgebungen kann es zu Schwierigkeiten beim Domänenbeitritt eines Servers sowie zu Problemen mit Vertrauensstellungen kommen, wenn keine Kerberos-basierte Vertrauensstellung verwendet wird. Anmeldeversuche schlagen sporadisch fehl, obwohl das richtige Kennwort eingegeben wurde. Dies kommt durch unterschiedlich konfigurierte Domänencontroller zustande, die zufällig für Authentisierungsversuche ausgewählt werden. Auch Applikationen können in ihrer Funktionsweise beeinträchtigt werden.