M 4.237 Sichere Grundkonfiguration eines IT-Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Grundeinstellungen, die vom Hersteller oder Distributor eines Betriebssystems vorgenommen werden, sind meist nicht auf Sicherheit optimiert, sondern auf eine einfache Installation und Inbetriebnahme sowie oft darauf, dass jeder Anwender möglichst einfach auf möglichst viele Features des Betriebssystems zugreifen kann. Beim Einsatz von IT-Systemen (egal, ob als Client oder Server) in Behörden oder Unternehmen ist dies oft nicht wünschenswert.
Der erste Schritt bei der Grundkonfiguration muss daher sein, die Grundeinstellungen zu überprüfen und nötigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen. Die Grundkonfiguration ist naturgemäß relativ stark vom eingesetzten Betriebssystem abhängig. Aus diesem Grund sind in den betriebssystemspezifischen Bausteinen entsprechende detailliertere Maßnahmen enthalten.
Ziele einer sicheren Grundkonfiguration sollten sein, dass
- das System gegen "einfache" Angriffe über das Netz abgesichert ist,
- ein normaler Benutzer durch reine Neugierde oder gar zufällig keinen Zugriff auf sensitive Daten erlangen kann, die nicht für ihn bestimmt sind,
- kein normaler Benutzer beim normalen Arbeiten mit dem System durch reine Bedienungsfehler oder Leichtsinn ("Was passiert eigentlich, wenn ich diese Datei lösche?") schwerwiegenden Schaden am System oder an Daten anderer Benutzer verursachen kann, und dass
- auch für die Arbeiten des Systemadministrators die Auswirkungen kleinerer Fehler so weit wie möglich begrenzt sind.
Die Einstellungen, die im Rahmen der Grundkonfiguration überprüft und angepasst werden sollten betreffen insbesondere die folgenden Bereiche:
-
Einstellungen für den Systemadministrator
Für das Konto des Systemadministrators müssen besonders sichere Einstellungen gewählt werden. Dies betrifft beispielsweise die Einstellungen für die Benutzerumgebung wie- Suchpfade für Programme und Dateien,
- Umgebungsvariablen und die
- Konfiguration bestimmter Programme.
- Einstellungen für die Systemverzeichnisse und -dateien
Bei der Grundkonfiguration muss überprüft werden, ob die Berechtigungen für Systemverzeichnisse und -dateien den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf einem Server sollten für die Berechtigungen der Systemverzeichnisse und -dateien relativ restriktive Einstellungen gewählt werden. -
Einstellungen für Benutzerkonten
Im Rahmen der Grundkonfiguration sollte überprüft werden, welche Standardeinstellungen für Benutzerkonten gelten. Die Einstellungen müssen gegebenenfalls entsprechend der Sicherheitsrichtlinie angepasst werden. Dies betrifft im wesentlichen die selben Parameter wie für das Konto des Systemadministrators, für normale Benutzer können aber unter Umständen andere Einstellungen sinnvoll sein. -
Bereinigung der Benutzerdatenbank
Oft wird im Rahmen der Standardinstallation eines Betriebssystems eine größere Anzahl von Benutzerkonten eingerichtet, die für den Betrieb nicht in jedem Fall notwendig sind. Daher sollte im Rahmen der Grundkonfiguration geprüft werden, welche Benutzerkonten wirklich gebraucht werden. Nicht benötigte Benutzerkonten sollten entweder gelöscht oder zumindest so deaktiviert werden, so dass unter dem betreffenden Konto keine Anmeldung am System möglich ist. -
Überprüfung der Netzdienste
Die Standardinstallation eines Betriebssystems enthält oft eine Reihe von Netzdiensten, die normalerweise nicht benötigt werden und die gerade deswegen eine Quelle von Sicherheitslücken sein können. Nach der Installation sollte deswegen überprüft werden, welche Netzdienste auf dem System installiert und aktiviert sind. Nicht benötigte Netzdienste sollten deaktiviert oder ganz deinstalliert werden.
Die Überprüfung auf laufende Dienste kann einerseits lokal mit den Mitteln des installierten Betriebssystems und andererseits von außen durch einen Portscan von einem anderen System aus erfolgen. Durch eine Kombination beider Methoden kann weitgehend ausgeschlossen werden, dass das System noch weitere ungewollte Netzdienste anbietet. -
Einstellungen für den Zugriff auf das Netz
Im Rahmen der Grundkonfiguration sollten auch die Einstellungen für den Zugriff auf das Netz sowie wichtige externe Dienste getroffen und dokumentiert werden. Dies betrifft beispielsweise (sofern nicht bereits bei der Installation geschehen):- Vergabe der IP-Adresse und Konfiguration der grundlegenden Netzparameter oder Konfiguration des Zugriffs auf einen Server, der automatisch, beispielsweise über DHCP (Dynamic Host Configuration Protocol) Netzeinstellungen verteilt. Für Server wird allerdings von der Verwendung von DHCP abgeraten.
- Konfiguration des Zugriffs auf einen DNS-Server und gegebenenfalls andere Namensdienste und die
- Konfiguration des Zugriffs auf verteilte Dateisysteme, Datenbanken oder sonstige externe Dienste.
- Zusätzlicher Schutz durch einen lokalen Paketfilter
Server und Clients mit hohem Schutzbedarf sollten zusätzlich zum Schutz durch die organisationsweiten Sicherheitsgateways oder Paketfilter, die das interne Netz segmentieren, mit einem lokalen Paketfilter abgesichert werden. Entsprechende Funktionalitäten sind in praktisch allen modernen Betriebssystemen vorhanden.
Im Rahmen der Grundkonfiguration sollte zumindest für Server mit hohem Schutzbedarf ein entsprechender Schutz durch einen lokalen Paketfilter realisiert werden. Auch für Server mit normalem Schutzbedarf wird der Schutz durch einen lokalen Paketfilter empfohlen. Gegebenenfalls kann in diesem Fall eine "liberalere" Konfiguration gewählt werden.
Für Clients wird der Einsatz eines lokalen Paketfilters zumindest dann empfohlen, wenn diese einen hohen oder sehr hohen Schutzbedarf im Bezug auf die Vertraulichkeit oder Integrität besitzen.
Genauere Informationen zur Einrichtung eines lokalen Paketfilters finden sich in M 4.238 Einsatz eines lokalen Paketfilters. - Anlegen einer Integritätsdatenbank
Nach Abschluss der Grundkonfiguration wird empfohlen, mit einem entsprechenden Tool eine Integritätsdatenbank anzulegen. Bei manchen Betriebssystemen gehören entsprechende Programme bereits zum Umfang einer Standardinstallation. Die Integritätsdatenbank sollte nicht auf dem System selbst, sondern auf einem schreibgeschützten Datenträger (beispielsweise CD-R) oder einem anderen, besonders gesicherten System gespeichert werden. Bei einem Verdacht auf eine Kompromittierung des Systems lassen sich anhand der erzeugten Prüfsummen Dateien identifizieren, die von einem Angreifer modifiziert wurden. Bei den regelmäßigen Überprüfungen der Systemintegrität (siehe auch M 5.8 Regelmäßiger Sicherheitscheck des Netzes) dient diese Datenbank als Referenz für einen definierten, sicheren Zustand des Systems.
Es sollte dokumentiert werden, welche Einstellungen im Rahmen der Grundkonfiguration überprüft, sowie ob und gegebenenfalls wie sie geändert wurden. Die Dokumentation muss so beschaffen sein, dass im Notfall auch eine andere Person als der eigentliche Administrator ohne vorherige Kenntnis des Systems anhand der Dokumentation nachvollziehen kann, was getan wurde. Im Idealfall sollte es möglich sein, alleine mit Hilfe der Dokumentation das System wiederherzustellen.
Ergänzende Kontrollfragen:
- Wie sind die Einstellungen für die Benutzerumgebung des System-administrators?
- Wurden nicht benötigte Benutzerkonten deaktiviert oder gelöscht?
- Wurden nicht benbötigte Netzdienste deaktiviert oder deinstalliert? Wurde ein Portscan durchgeführt?
- Wurde eine Integritätsdatenbank erzeugt? Welches Tool wurde benutzt?